La sécurité informatique repose en grande partie sur l’anticipation. Si survient une panne ou un arrêt total forcé de l’infrastructure IT dû à une cyberattaque ou un malware par exemple, l’entreprise doit avoir un plan. L’idée : ne pas se retrouver prise au dépourvu. Chaque minute passée à chercher – trop tard – une solution peut coûter cher à l’entreprise, financièrement comme en données, et compromettre son image et sa pérennité.
Face aux enjeux de cybersécurité actuels, le PRA, Plan de Reprise d’Activité, serait en quelque sorte le bouton sur lequel appuyer en cas de crise pour rétablir une situation normale. Mais derrière ces trois lettres se cache tout de même un plan complexe, qui mérite quelques explications.
Le Plan de Reprise d’Activité, disaster recovery plan en anglais, intervient suite à une interruption contrainte des systèmes d’information d’une organisation. Le but du PRA : rétablir l’accès au réseau et permettre la remise en route des activités. Il vise en d’autres termes à “backuper” le système.
Le PRA détaille l’ensemble des procédures à mettre en œuvre et les moyens technologiques à déployer et pour relancer les services d’une organisation en cas de sinistre ou d’incident majeur. Le PRA permet de reconstruire les serveurs en leur affectant les données répliquées et ainsi de redémarrer les applications. ll doit assurer la disponibilité rapide de toutes les structures informatiques de l’entreprise : réseaux, serveurs et datacenters.
L’incident en question consiste généralement en un problème de cybersécurité : une brèche dans le système de sécurité informatique de l’entreprise ayant permis l’intrusion d’un virus, généré un vol ou une perte de données, mais peut aussi prendre la forme d’une catastrophe naturelle comme un incendie, d’une panne matérielle ou d’une (grosse) erreur humaine.
Le PRA est un plan de gestion de crise en soi : il assure la reprise et la reconstruction post-sinistre de l’ensemble du système informatique… et rétablit en priorité les applications les plus stratégiques pour les utilisateurs et l’entreprise. Mais avant même de rétablir le système, mettre en place un PRA vise en premier lieu à minimiser le temps d’arrêt opérationnel. Plus le temps de récupération est long, plus l’entreprise met en péril ses résultats financiers et la satisfaction de ses clients.
L’objectif d’un PRA : minimiser les temps morts, la perte de données, et garantir un redémarrage rapide des activités dans les meilleurs délais et les meilleures conditions, pour réduire les conséquences financières de l’incident. Le Plan de Reprise d’Activité informatique répond ainsi à une aspiration fondamentale : assurer la pérennité de l’entreprise.
Au-delà de “simple” la relance du système informatique, le PRA vise à :
Le PRA s’appuie autant sur une cartographie ultra-détaillée des risques que sur la redondance des données critiques, data redundancy : l’enregistrement de mêmes données sur différents supports informatiques, par mesure de sécurité.
Un PRA bien pensé devient – en théorie – un plan de réparation absolu et imparable. Et étant donné les prévisions en termes de cybersécurité pour 2023, protéger son entreprise s’impose plus que jamais comme une nécessité.
Les États-Unis imposent aux entreprises depuis plusieurs années déjà des contraintes quant à leurs sauvegardes de données. La France y arrive peu à peu, notamment grâce aux réglementations qui imposent à certains types d’organisation, dans le secteur bancaire notamment, la maîtrise de leurs activités essentielles et des risques associés.
Le PRA doit être formalisé par un document détaillant chaque procédure à mettre en place pour relancer ou reconstruire le système informatique après son arrêt forcé.
Il indique notamment :
En fonction des priorités stratégiques de l’entreprise, le responsable du système informatique doit évaluer deux paramètres clés : RPO et RTO.
Le point de récupération, ou RPO, pour Recovery Point Objective, indique la quantité de données qu’une organisation peut accepter de perdre en cas d’incident majeur. Le RPO répond à la question : “si un accident survient entre deux sauvegardes, quel historique de travail l’entreprise peut-elle se permettre de perdre ?” On utilise aussi la notion de perte de données maximale admissible, ou PDMA.
Le RPO se mesure dès l’instant où l’incident majeur arrive et peut être formulé en secondes, minutes, heures ou jours.
L’objectif de temps de récupération, RTO, pour Recovery Time Objective, ou encore durée maximale d’interruption admissible, définit le temps d’arrêt supportable pour une organisation. Quelques secondes d’interruptions peuvent représenter des pertes financières énormes dans certains secteurs (le trading haute fréquence par exemple), quelques heures ne changent que peu de choses dans d’autres.
Le RTO répond ainsi à la question : « combien de temps peut se permettre de prendre le système d’information pour être à nouveau accessible suite à interruption d’activité ? » Il s’agit de la durée maximale fixée par une entreprise pour restaurer les opérations normales après une panne ou une perte de données.
Le RTO correspond ainsi au délai de rétablissement du système. Il définit le temps de basculement vers le nouveau système.
Sachant que le délai d’interruption de service se décompose en :
La somme de ces délais doit idéalement être inférieure au RTO.
Le RPO est souvent exprimé en heures ou en minutes et est déterminé en fonction de la criticité des données. Plus les données sont critiques, plus le RPO doit être faible, c’est-à-dire, proche de zéro.
On parle aussi de DMIA, durée maximale d’interruption admissible.
La rédaction et mise en place d’un Plan de Reprise d’Activité (PRA) informatique compte schématiquement six grandes étapes.
Au cœur des trois premières : l’analyse d’impact. L’analyse d’impact évalue les conséquences d’un sinistre sur l’ensemble des activités de l’entreprise et la capacité de celle-ci à s’en relever. Les résultats de l’analyse d’impact permettent définir les priorités et mesures nécessaires pour assurer la continuité des activités lors d’un sinistre, ce qui sera intégré au PRA.
La 6e étape doit faire l’objet de contrôle régulier : pour rester pertinent et efficace, le PRA doit être contrôlé, testé, mis à jour régulièrement. Le document du PRA également.
Il existe différents types de Plan de Reprise d’Activité (PRA) informatique, qui peuvent être adaptés aux besoins spécifiques de chaque entreprise.
Quelques exemples de PRA informatique :
Le choix du PRA dépend du profil de l’entreprise et de ses ressources.
Tandis que le PCA décrit les mesures pour assurer la continuité de l’activité par un “système de secours”, le PRA détaille celles qui permettent sa reprise après un arrêt forcé du SI.
Le Plan de Reprise de l’Activité est donc déployé au moment de la crise où l’infrastructure est indisponible et que le PCA a pris le relais… si PCA il y a. Si toutes les entreprises ne mettent pas en place de PCA, PCA et PRA restent complémentaires dans tous les cas.
En cas de cyberattaque, on observe deux configurations d’application du PRA. Avoir anticipé ou pas, telle est la question… Cas de crise : deux options.
Dans le meilleur des cas, l’entreprise disposait d’un PCA , en amont du PRA, qui l’a aidée à réduire l’impact du sinistre. Elle peut alors réduire RTO et RPO à leur minimum et lancer un redémarrage “à chaud” des applications selon les procédures établies par le PRA. Il s’agit d’une relance rapide des activités sur un ou plusieurs serveurs de secours, le tout basé sur des copies des données avant sinistre.
Si l’organisation n’a pas prévu de PCA, la relance du système informatique passe nécessairement par un redémarrage “à froid”, c’est-à-dire plusieurs heures voire plusieurs jours après le sinistre informatique. La reprise repose alors sur les dernières sauvegardes de l’entreprise.
Ce déploiement de PRA “à froid” tend cependant à disparaître du paysage informatique, à la faveur du stockage en cloud.
Si la mise en place d’un PRA assure la continuité des activités en cas de sinistre, elle procure aussi d’autres bénéfices, secondaires, mais très importants. Et quelques difficultés ou inconvénients.
Il procure, au-delà de l’informatique, des bénéfices précieux pour l’entreprise :
Certains freins ou manquements en amont de la mise en place du PRA peuvent compromettre sa mission.
Le coût d’un PRA informatique peut varier considérablement en fonction de la taille de l’entreprise, de la complexité du système informatique, des exigences de reprise, et d’autres facteurs. À garder en tête en consultant un devis : combien pourrait coûter l’absence de PRA ?
Par définition, le PRA se déploie uniquement quand l’entreprise accuse un réel arrêt de ses activités informatiques.
Pour que ce plan de relance du SI performe et permette une reprise rapide des activités, il faut néanmoins le penser bien en amont de toute crise éventuelle, et de préférence par un professionnel de l’infogérance informatique.
Combien de temps pour concevoir un PRA ? Trois mois au minimum, selon la taille de l’organisation. L’idéal est aussi de l’associer à un PCA, qui minimise les dégâts de la crise et optimise l’application du PRA.
En sécurité informatique comme ailleurs : toujours avoir un plan B. Il en va de la survie de votre activité. Le meilleur moment pour le mettre en place : le plus tôt possible.
Nous rejoindre
Nous sommes une entreprise d’infogérance spécialisée pour les PME de 1 à 200 collaborateurs. Pour renforcer l’équipe :