PCA et PRA : guide de survie de l'entreprise en cas de cyberattaque
TPE, PME et ETI (entreprises de taille intermédiaires) sont des cibles privilégiées pour les cyberattaques. Elles représentaient 40 % des cibles d’attaques par rançongiciel en 2022 et devraient être tout autant visées par les hackers en 2023.
Là où les grandes entreprises sont en général assez bien protégées – en tout cas vigilantes – seules un tiers des entreprises de taille plus modeste seraient correctement armées contre les attaques numériques des pirates informatiques. Profitant de la faiblesse de leur système d’information, les attaquants réussissent à trouver des accès discrets au réseau… infiltrant le système informatique en toute tranquillité, parfois jusqu’à l’irréparable.
En 2022, environ 3 millions de visiteurs du site cybermalveillance.gouv.fr, soit plus de 80 % du trafic sur l’année, cherchaient une assistance en ligne. Il était déjà presque trop tard pour eux : le risque de défaillance de l’entreprise augmenterait de 50 % dans les 6 mois suivant une attaque… si l’entreprise n’a pas pris les mesures nécessaires en amont.
Revenons sur ces deux piliers de l’infogérance informatique et de la cyberprotection que sont le PCA et le PRA. Plans de sauvegarde et guide de survie de l’entreprise en cas de cyberattaque.
Attaques informatiques : toutes les entreprises sont concernées
En réponse au phénomène, nombre de spécialistes de la cyberprotection comme WANDesk Infogérance et Cloud à Paris, fournissent des solutions pour pouvoir réagir en cas de paralysie d’un réseau d’entreprise. Les offres en la matière concernent essentiellement les entreprises les plus vulnérables : TPE et les PME.
Ces prestataires, sous forme de conseil et/ou de prise en main de la sécurité des SI de leurs clients, proposent des solutions adaptatives et évolutives de protection contre les tentatives d’attaque. Leurs solutions sont matérielles et logicielles, avec une forte politique de déploiement d’antivirus, de cloisonnement des infrastructures, de redondance de serveurs et de pare-feux.
Une différence apparaît cependant entre les entreprises au niveau de leur politique en matière de sécurité. On distingue d’un côté les entreprises réactives, de l’autre, les entreprises proactives. Un positionnement déterminant : si posséder des outils pour bien réagir en cas de cyberattaque est vital pour l’entreprise, être toujours prêt à désamorcer une attaque en amont est un atout stratégique précieux.
Contexte et conséquences d’une cyberattaque
« Oui oui, on sait bien qu’aujourd’hui, il y a des risques… » Voici, à peu de choses près, ce que de trop nombreux chefs de PME répondent lorsqu’on évoque le risque possible de fraude informatique sur les postes et le réseau de leur société.
Mais sont-ils bien conscients des répercussions sur leur activité ? Voici un aperçu non-exhaustif des arnaques courantes et conséquences encourues…
Trois profils de cyberattaques
Le piratage informatique pourrait de nos jours se résumer à trois grands fléaux :
- l’usurpation d’identité la réclamation de rançon ;
- le vol par transfert de fonds ;
- l’espionnage industriel.
Fraude n°1 au palmarès : la fraude au Président, faux fournisseur, faux client, faux banquier, faux avocat… Les deepfake en tout genre fleurissent de plus belle et rivalisent d’inventivité. L’habileté et l’intelligence de production de faux documents, de faux emails et de fausses identités atteignent aujourd’hui des sommets.
Viennent ensuite les attaques les plus classiques de cyberfraude avec intrusion des pirates dans un système d’information pour y propager des logiciels malveillants, augmentant à la faveur du BYOD.
La conséquence d’une faiblesse
Le point commun à toutes ces attaques est l’existence d’un pont ou point d’échange entre un contact intrusif et un point d’entrée de l’entreprise.
Ces contacts peuvent se faire entre deux personnes physiques via une messagerie, par exemple, ou bien entre un logiciel et un humain ou bien encore entre deux logiciels.
Plus personne n’est à l’abri, d’autant que la cybercriminalité actuelle tend davantage à commettre une accumulation de « petits » larcins auprès de plusieurs PME mal équipées plutôt qu’un hold-up de grand compte.
Des dommages collatéraux
Hormis les aspects financiers purs, avec par exemple, une intrusion dans votre système d’information conduisant à une demande de rançon, les dommages collatéraux d’une panne ou d’un blocage du système d’information peuvent être extrêmement lourds et perturbants. Quand l’informatique plante par le biais d’une attaque, managers et employés ne peuvent plus travailler ni avoir accès à leurs outils de production. Plus le temps passe et plus la perte pour l’entreprise est conséquente. Et, malgré les efforts de protection fournis pour se prémunir de ce genre de situation, on n’est jamais sûr de récupérer ni sa force de frappe ni toutes ses données…
Dans tous les cas, les conséquences sont dramatiques pour l’entreprise victime : d’un point de vue financier comme pour l’image dégagée auprès des employés, des clients, des fournisseurs…
PCA et PRA : pour éviter la paralysie et ses conséquences
Environ 7 entreprises sur 10 reconnaissent aujourd’hui ne pas posséder de plan d’urgence à activer en cas de cyberattaque. Les infrastructures protégées sont là, les sauvegardes dans le Cloud sont faites, les antivirus tournent, les pare-feux sont parés… mais tous les postes sont verrouillés, et le message s’affiche : « Tous les fichiers de votre machine sont encryptés et vous n’y avez plus accès. Versez-nous une rançon sur ce compte pour obtenir les clés de décryptage. »
Plus d’ERP, plus de CRM, plus de GED, plus de mails, plus de base client, plus d’applications dédiées, plus de supply chain, plus de gestion de flotte de livraison, plus de Web… L’entreprise est bloquée. Et le reste parfois même après avoir payé la rançon !
Pour se prémunir d’une telle situation, mettre en place un Plan de Continuité d’Activité et/ou un Plan de Reprise d’Activité, avec le concours d’un prestataire informatique dédié, est la meilleure des solutions.
Dans les deux cas, il s’agit d’établir une checklist des actions à effectuer par les machines et les hommes pour retrouver le plus vite possible une activité saine et limiter les dégâts en cas de sinistre.
Quelle est la différence entre PCA et PRA ?
Le PCA, Plan de Continuité de l’Activité, permet de maintenir le mieux possible l’activité d’une entreprise dans son ensemble pendant et après un accident.
Le PRA, Plan de Reprise de l’Activité, se concentre sur les conditions de reprise de l’activité suite à un sinistre et un arrêt.
PCA et PRA se complètent et interviennent en parallèle pour réparer les dégâts causés par une attaque.
PCA : le plan de continuité d’activité
Le PCA consiste en l’organisation en amont d’un circuit de secours.
Très schématiquement, le PCA prévient la panne du système informatique. Son but est de garantir la disponibilité du SI en cas d’attaque. Le PCA garantit que toutes les applications critiques restent en état d’activité et que toutes les données soient conservées afin que les collaborateurs puissent poursuivre leur activité.
D’un point de vue technique, le PCA prévoit essentiellement des redondances d’installations, de serveurs, de machines et de logiciels : des roues de secours qui prennent le relais le plus vite possible en cas de nécessité.
Pour résumer : le Plan de Continuité des Activités (PCA) garantit le fonctionnement de l’entreprise en cas d’incident.
Mettre en place un PCA est un vaste projet, parfois long et coûteux pour une PME. Ces dernières optent le plus souvent pour le déploiement d’un PRA uniquement, à leurs risques et périls cependant.
PRA : le plan de reprise d’activité
Le PRA intervient juste après un sinistre, pour organiser la reprise d’une activité normale et restaurer le système.
Redémarrer un SI ne se fait pas n’importe comment. Le PRA expose et orchestre toutes les procédures à suivre en cas de défaillance de l’informatique et des systèmes d’information. L’idée est de suivre les étapes nécessaires pour restaurer une globalité d’applications et de machines telles qu’elles étaient avant l’incident technique, sans pertes d’informations, le plus souvent à partir d’une infrastructure et de données de secours, à jour, évidemment.
Le PRA vise aussi à minimiser les temps d’arrêt de l’entreprise. Il inclut pour ce faire deux éléments importants : le RPO, Recovery Point Objective et le RTO, Recovery Time Objective.
PCI et PRI : qu’est-ce que c’est ?
Le PCI, Plan de Continuité Informatique, est une sous partie du PCA. Il désigne l’ensemble des procédures à orchestrer pour assurer la continuité de fonctionnement du service informatique exclusivement.
Le PRI, Plan de Reprise Informatique, correspond à l’ensemble des processus qui permettront au système informatique de redémarrer à la suite à un incident critique ou une attaque.
Comme le PCA et le PRA, le PCI et PRI sont complémentaires.
L’anticipation : la meilleure protection contre les pirates informatiques
Un bon plan doit envisager, décrire et anticiper toutes les procédures et actions à mettre en œuvre pour débloquer, sans faire d’erreur, les situations critiques en cas de cyberattaque.
Former les utilisateurs à adopter les bons réflexes est une très bonne chose, mais qu’en est-il, plusieurs mois après la formation, quand l’incident s’est produit et que la situation de crise est présente ? PCA et PRA sont comme deux boutons sur lesquels appuyer en cas d’urgence, pour tout restaurer à l’identique ou presque, limiter au maximum les dégâts et maintenir l’activité.
Comment mettre en place un PCA informatique et / ou un PRA informatique ?
L’élaboration d’un PCA et d’un PRA réclame une analyse des besoins, un recensement des actifs de la société, une analyse des risques, l’établissement d’un plan d’enchaînement des actions en situation de crise et la désignation d’interlocuteurs clés. Il faut couvrir ainsi tous les aspects techniques, organisationnels et humains pour pouvoir réagir et maintenir l’activité dans n’importe quelle situation. N’hésitez pas à nous contacter pour discuter de vos besoins. Nous trouverons votre solution.
