PRA informatique : comment minimiser les conséquences d’une cyber crise

La sécurité informatique repose en grande partie sur l’anticipation. Si survient une panne ou un arrêt total forcé de l’infrastructure IT dû à une cyberattaque ou un malware par exemple, l’entreprise doit avoir un plan. L’idée : ne pas se retrouver prise au dépourvu. Chaque minute passée à chercher – trop tard – une solution peut coûter cher à l’entreprise, financièrement comme en données, et compromettre son image et sa pérennité.

Face aux enjeux de cybersécurité actuels, le PRA, Plan de Reprise d’Activité, serait en quelque sorte le bouton sur lequel appuyer en cas de crise pour rétablir une situation normale. Mais derrière ces trois lettres se cache tout de même un plan complexe, qui mérite quelques explications.

Le PRA informatique : définition

Le Plan de Reprise d’Activité, disaster recovery plan en anglais, intervient suite à une interruption contrainte des systèmes d’information d’une organisation. Le but du PRA : rétablir l’accès au réseau et permettre la remise en route des activités. Il vise en d’autres termes à “backuper” le système.

Le PRA détaille l’ensemble des procédures à mettre en œuvre et les moyens technologiques à déployer et pour relancer les services d’une organisation en cas de sinistre ou d’incident majeur. Le PRA permet de reconstruire les serveurs en leur affectant les données répliquées et ainsi de redémarrer les applications. ll doit assurer la disponibilité rapide de toutes les structures informatiques de l’entreprise : réseaux, serveurs et datacenters.

L’incident en question consiste généralement en un problème de cybersécurité : une brèche dans le système de sécurité informatique de l’entreprise ayant permis l’intrusion d’un virus, généré un vol ou une perte de données, mais peut aussi prendre la forme d’une catastrophe naturelle comme un incendie, d’une panne matérielle ou d’une (grosse) erreur humaine.

Le PRA est un plan de gestion de crise en soi : il assure la reprise et la reconstruction post-sinistre de l’ensemble du système informatique… et rétablit en priorité les applications les plus stratégiques pour les utilisateurs et l’entreprise. Mais avant même de rétablir le système, mettre en place un PRA vise en premier lieu à minimiser le temps d’arrêt opérationnel. Plus le temps de récupération est long, plus l’entreprise met en péril ses résultats financiers et la satisfaction de ses clients.

Sécurité informatique à long terme et PRA

L’objectif d’un PRA : minimiser les temps morts, la perte de données, et garantir un redémarrage rapide des activités dans les meilleurs délais et les meilleures conditions, pour réduire les conséquences financières de l’incident. Le Plan de Reprise d’Activité informatique répond ainsi à une aspiration fondamentale : assurer la pérennité de l’entreprise.

Au-delà de “simple” la relance du système informatique, le PRA vise à :

  • anticiper les sinistres informatiques pour atténuer leur impact ;
  • garantir quoi qu’il arrive la protection des données sensibles ;
  • entretenir la compétitivité de l’entreprise en protégeant ses applications informatiques vitales.

Le PRA s’appuie autant sur une cartographie ultra-détaillée des risques que sur la redondance des données critiques, data redundancy : l’enregistrement de mêmes données sur différents supports informatiques, par mesure de sécurité.

Un PRA bien pensé devient – en théorie – un plan de réparation absolu et imparable. Et étant donné les prévisions en termes de cybersécurité pour 2023, protéger son entreprise s’impose plus que jamais comme une nécessité.

Les États-Unis imposent aux entreprises depuis plusieurs années déjà des contraintes quant à leurs sauvegardes de données. La France y arrive peu à peu, notamment grâce aux réglementations qui imposent à certains types d’organisation, dans le secteur bancaire notamment, la maîtrise de leurs activités essentielles et des risques associés.

Le PRA en pratique

Le PRA doit être formalisé par un document détaillant chaque procédure à mettre en place pour relancer ou reconstruire le système informatique après son arrêt forcé.

Il indique notamment :

  • les sauvegardes à enclencher pour garantir la sécurité des données confidentielles ;
  • les durées maximales d’interruption admissibles : le RTO, Recovery Time Objective ;
  • la perte de données maximale admissible : RPO, Recovery Point Objective.

Au cœur d’un projet de PRA informatique : RPO et RTO

En fonction des priorités stratégiques de l’entreprise, le responsable du système informatique doit évaluer deux paramètres clés : RPO et RTO.

Le RPO

Le point de récupération, ou RPO, pour Recovery Point Objective, indique la quantité de données qu’une organisation peut accepter de perdre en cas d’incident majeur. Le RPO répond à la question : “si un accident survient entre deux sauvegardes, quel historique de travail l’entreprise peut-elle se permettre de perdre ?” On utilise aussi la notion de perte de données maximale admissible, ou PDMA.

Le RPO se mesure dès l’instant où l’incident majeur arrive et peut être formulé en secondes, minutes, heures ou jours.

Le RTO

L’objectif de temps de récupération, RTO, pour Recovery Time Objective, ou encore durée maximale d’interruption admissible, définit le temps d’arrêt supportable pour une organisation. Quelques secondes d’interruptions peuvent représenter des pertes financières énormes dans certains secteurs (le trading haute fréquence par exemple), quelques heures ne changent que peu de choses dans d’autres.

Le RTO répond ainsi à la question : « combien de temps peut se permettre de prendre le système d’information pour être à nouveau accessible suite à interruption d’activité ? » Il s’agit de la durée maximale fixée par une entreprise pour restaurer les opérations normales après une panne ou une perte de données.

Le RTO correspond ainsi au délai de rétablissement du système. Il définit le temps de basculement vers le nouveau système.

Sachant que le délai d’interruption de service se décompose en :

  • délai de détection de l’incident
  • délai de passage en mode secours
  • délai de mise en œuvre des procédures de secours
  • délai de contrôle + relance des applications

La somme de ces délais doit idéalement être inférieure au RTO.

Le RPO est souvent exprimé en heures ou en minutes et est déterminé en fonction de la criticité des données. Plus les données sont critiques, plus le RPO doit être faible, c’est-à-dire, proche de zéro.

On parle aussi de DMIA, durée maximale d’interruption admissible.

La mise en place d’un PRA

La rédaction et mise en place d’un Plan de Reprise d’Activité (PRA) informatique compte schématiquement six grandes étapes.

  1. Identifier les risques potentiels, qu’ils soient d’origine naturelle ou humaine.
  2. Évaluer les ressources critiques : données, applications, équipements.
  3. Définir une stratégie de reprise d’activité.
  4. Détailler les procédures de cette stratégie.
  5. Rédiger le PRA : de manière claire et précise, en détaillant chaque action, intervenant et les responsabilités de chacun.
  6. Tester régulièrement le PRA pour s’assurer qu’il fonctionne correctement en cas de sinistre.

 Au cœur des trois premières : l’analyse d’impact. L’analyse d’impact évalue les conséquences d’un sinistre sur l’ensemble des activités de l’entreprise et la capacité de celle-ci à s’en relever. Les résultats de l’analyse d’impact permettent définir les priorités et mesures nécessaires pour assurer la continuité des activités lors d’un sinistre, ce qui sera intégré au PRA.

La 6e étape doit faire l’objet de contrôle régulier : pour rester pertinent et efficace, le PRA doit être contrôlé, testé, mis à jour régulièrement. Le document du PRA également.

Les différents types de plan de reprise d’activité

Il existe différents types de Plan de Reprise d’Activité (PRA) informatique, qui peuvent être adaptés aux besoins spécifiques de chaque entreprise.

Quelques exemples de PRA informatique :

  • PRA interne : mis en place par l’entreprise elle-même, il utilise ses propres ressources et infrastructures.
  • PRA externe : externalisé auprès d’un prestataire informatique spécialisé qui fournit des services de sauvegarde, de stockage et de récupération des données.
  • PRA hybride : ce type de PRA combine des éléments internes et externes, en utilisant à la fois les ressources de l’entreprise et celles d’un prestataire externe.
  • PRA en mode cloud : ce PRA utilise des services de stockage et de récupération des données basés sur le cloud, offerts par des fournisseurs tels que OVH ou Microsoft Azure.
  • PRA en mode cluster : ce type de PRA utilise des clusters de serveurs pour assurer la redondance et la disponibilité des données.

Le choix du PRA dépend du profil de l’entreprise et de ses ressources.

Quelle est la différence entre PCA et PRA ?

Tandis que le PCA décrit les mesures pour assurer la continuité de l’activité par un “système de secours”, le PRA détaille celles qui permettent sa reprise après un arrêt forcé du SI.

Le Plan de Reprise de l’Activité est donc déployé au moment de la crise où l’infrastructure est indisponible et que le PCA a pris le relais… si PCA il y a. Si toutes les entreprises ne mettent pas en place de PCA, PCA et PRA  restent complémentaires dans tous les cas.

PRA, PCA et sinistre informatique en pratique

En cas de cyberattaque, on observe deux configurations d’application du PRA. Avoir anticipé ou pas, telle est la question… Cas de crise : deux options.

L’entreprise ayant associé PRA et PCA

Dans le meilleur des cas, l’entreprise disposait d’un PCA , en amont du PRA, qui l’a aidée à réduire l’impact du sinistre. Elle peut alors réduire RTO et RPO à leur minimum et lancer un redémarrage “à chaud” des applications selon les procédures établies par le PRA. Il s’agit d’une relance rapide des activités sur un ou plusieurs serveurs de secours, le tout basé sur des copies des données avant sinistre.

L’entreprise sans plan de continuité d’activité

Si l’organisation n’a pas prévu de PCA, la relance du système informatique passe nécessairement par un redémarrage “à froid”, c’est-à-dire plusieurs heures voire plusieurs jours après le sinistre informatique. La reprise repose alors sur les dernières sauvegardes de l’entreprise.

Ce déploiement de PRA “à froid” tend cependant à disparaître du paysage informatique, à la faveur du stockage en cloud.

PRA : bénéfices, avantages et inconvénients du PRA

Si la mise en place d’un PRA assure la continuité des activités en cas de sinistre, elle procure aussi d’autres bénéfices, secondaires, mais très importants. Et quelques difficultés ou inconvénients.

Avantages liés à l’élaboration d’un PRA

Il procure, au-delà de l’informatique, des bénéfices précieux pour l’entreprise :

  • un sentiment de sécurité, qui favorise la confiance des actionnaires par exemple ;
  • une prise de décision minimisée au moment de la crise (c’est-à-dire en pleine panique).

Inconvénients associés à la mise en place d’un PRA

Certains freins ou manquements en amont de la mise en place du PRA peuvent compromettre sa mission.

  • Des difficultés d’appropriation : faute d’un bon éclairage sur ses enjeux, certains dirigeants le voient comme une simple option et n’en font pas une priorité.
  • La négligence de certaines mesures préventives quotidiennes, que pourtant le PRA ne remplace pas.
  • La durée maximale d’interruption admissible et la perte de données maximale admissible ne sont pas toujours définies, ce qui limite l’efficacité du dispositif.
  • L’absence de remise en contexte dans un système de sécurité informatique global : une autre source d’échec est de se concentrer seulement sur le PRA sans considérer les éléments structurels nécessaires à son succès, comme la maintenance du parc informatique.
  • Obsolescence du plan : le PRA doit être mis à jour fréquemment pour jouer son rôle efficacement.

L’investissement dans un PRA informatique : combien ça coûte ?

Le coût d’un PRA informatique peut varier considérablement en fonction de la taille de l’entreprise, de la complexité du système informatique, des exigences de reprise, et d’autres facteurs. À garder en tête en consultant un devis :  combien pourrait coûter l’absence de PRA ?

Quand lancer le PRA ?

Par définition, le PRA se déploie uniquement quand l’entreprise accuse un réel arrêt de ses activités informatiques.

Pour que ce plan de relance du SI performe et permette une reprise rapide des activités, il faut néanmoins le penser bien en amont de toute crise éventuelle, et de préférence par un professionnel de l’infogérance informatique.

Combien de temps pour concevoir un PRA ? Trois mois au minimum, selon la taille de l’organisation. L’idéal est aussi de l’associer à un PCA, qui minimise les dégâts de la crise et optimise l’application du PRA.

En sécurité informatique comme ailleurs : toujours avoir un plan B. Il en va de la survie de votre activité. Le meilleur moment pour le mettre en place : le plus tôt possible.

Découvrir notre offre !

Toute notre expertise dans un contrat cadre, une configuration de service sur mesure