Un plan de continuité d’activité, ou PCA, permet à une organisation de faire face à une cyberattaque. Le principe du PCA : imaginer tous les scénarios de sinistres possibles pour préparer les mesures de protection de l’activité adaptées. Véritable “roue de secours” de l’entreprise, il vise comme son nom l’indique à assurer la continuité des activités, presque comme si de rien n’était. Tel est son but en tout cas.
Sans PCA, le moindre sinistre peut tourner à la catastrophe absolue. Éclairage sur cet indispensable – mais trop souvent méconnu-, plan d’action et de réaction.
Un PCA, Plan de Continuité d’Activité, vise à assurer la continuité des activités d’une entreprise en cas d’incident. La non-continuité des activités représente en effet un risque majeur pour l’entreprise, associé à des pertes de données et pertes financières proportionnelles au temps d’arrêt subi.
Mettre en place un PCA consiste à faire l’inventaire des menaces potentielles, cyber-menaces notamment, et de leurs impacts, puis à identifier toutes les procédures à mettre en place pour y faire face.
Le PCA et PRA sont parfois confondus, mais ils adoptent des approches différentes et complémentaires.
Le plan de continuité informatique évalue à la fois les menaces potentielles mais aussi leurs impacts.
Le PCA fait l’inventaire des différents risques auxquels l’entreprise pourrait être exposée. L’analyse de risque nécessite une collaboration de tous les acteurs du système d’information : techniciens et utilisateurs.
Les résultats de l’analyse d’impact sont avant tout des données temporelles : le temps maximal d’indisponibilité supportable pour chaque activité.
Après avoir identifié les menaces potentielles pouvant interrompre l’activité de l’entreprise, le PCA permet de déclencher les mesures nécessaires pour une neutralisation du sinistre informatique… Mais impossible de déclencher quoi que ce soit d’efficace sur des machines obsolètes ou du matériel mal entretenu.
La gestion de crise informatique suppose de soigner le parc informatique, la maintenance et les mises à jour en amont : le succès du PCA repose sur la réactivité des machines et la performance des logiciels.
Le principe du PCA consiste à identifier tous les risques pouvant affecter l’entreprise..
La mise en place d’un PCA implique un audit informatique, qui permettra d’identifier :
Une étude approfondie du contexte global de l’entreprise est nécessaire au déploiement d’un plan performant. Le PCA doit prendre en compte les spécificités de l’entreprise, de chaque service et leurs contraintes.
Une fois les risques identifiés et les activités évaluées, le plan doit :
La mesure du risque passe par l’examen de deux critères :
La gravité :
La gravité se détermine par rapport aux conséquences d’un risque. Il peut s’agir de pertes de données, d’argent, de clients, etc.
La probabilité :
Le calcul de la probabilité d’occurrence s’appuie sur une échelle de fréquences combinée à plusieurs facteurs techniques propres au risque.
L’idée est de pouvoir utiliser matériel et réseaux malgré le sinistre, en s’appuyant sur les ressources non-affectées ou des ressources externes.
Tous les scénarios et actions possibles doivent être recensés dans un document écrit. Les noms des intervenants jouant un rôle dans le PCA doivent aussi y être mentionnés ainsi que les missions précises de chacun en cas de crise.
Le texte du PCA doit pouvoir être compris par tous, y compris par des personnes n’y ayant pas encore été formées.
Des contrôles périodiques, sous forme de pannes fictives notamment, doivent ainsi être provoquées pour vérifier la pertinence du plan et les corrections à apporter. En cas d’inadaptation du plan, on procédera à une réédition.
Il s’agit lors de chaque contrôle de :
Le PCA ne peut être un document figé : il doit évoluer avec l’organisation pour répondre à ses besoins.
Pour être efficace, un PCA doit rester souple, et s’adapter (être adapté) constamment aux évolutions de l’entreprise. Le Plan de Continuité d’Activité doit aussi être intégralement revu et mis à jour régulièrement, au moins une fois par an, pour intégrer l’évolution des technologies et des objectifs de l’entreprise.
La meilleure façon de mettre un jour un PCA est d’en sous traiter la gestion à un spécialiste de l’infogérance informatique, l’idée – et l’idéal- étant d’aboutir à une maintenance préventive permanente. Mieux vaut prévenir que guérir.
Nous rejoindre
Nous sommes une entreprise d’infogérance spécialisée pour les PME de 1 à 200 collaborateurs. Pour renforcer l’équipe :