EXTER vous propose un accompagnement dans la réalisation de votre Plan de Reprise d’Activité informatique ou PRA. A travers cet article nous allons vous expliquer comment et pourquoi ce type de document et ensemble de procédures sont indispensables au bon fonctionnement de votre entreprise.
Qu’est-ce qu’un Plan de Reprise d’Activité Informatique ? Définition !
Un Plan de Reprise d’Activité informatique (PRA) est un document formel créé par une entreprise qui contient des instructions détaillées sur la manière de répondre à des incidents majeurs imprévus en période de crise. Des événements tels que des catastrophes naturelles, pandémies comme le Covid-19, des pannes et coupures électriques, les dégâts des eaux, des cyberattaques, une panne matérielle, une erreur humaine et tout autre événement perturbateur.
Ainsi, le PRA contient un état des lieux et des mesures préventives, curatives et des stratégies visant à minimiser les effets d’une catastrophe, afin que l’organisation puisse continuer à fonctionner en cas de sinistre ; ou reprendre rapidement ses activités stratégiques. Grâce à une posture agile, il facilite également la prise de décision par la direction générale et les responsables.
Quelles sont les deux paramètres de mesure pour l’élaboration et la mise en place d’un Plan de Reprise d’Activité ?
Il existe deux paramètres de mesure qui permettent de définir un Plan de Reprise d’Activité informatique : le RTO et le RPO.
- Le RTO ou Recovery Time Objective détermine combien de temps il faut pour restaurer un système.
- Le RPO ou Recovery Point Objective détermine à quelle date sauvegarde permet de remonter.
Du coup, quelle différence avec le Plan de Reprise Informatique (PRI) ?
Le Plan de Reprise Informatique (PRI) est un élément crucial de la stratégie de résilience d’une entreprise face aux incidents majeurs affectant son système d’information. Il définit précisément les étapes et procédures à suivre pour restaurer les données et remettre en service les systèmes informatiques essentiels après un sinistre.
Le PRI s’inscrit dans une démarche plus large de gestion des risques et de continuité d’activité. Il fait partie intégrante du Plan de Reprise d’Activité (PRA), qui vise à rétablir l’ensemble des fonctions critiques de l’entreprise, au-delà du seul aspect informatique. Le PRI est également étroitement lié au Plan de Continuité d’Activité (PCA), dont l’objectif est d’assurer le maintien des activités essentielles de l’organisation, même en mode dégradé, pendant la crise.
Pourquoi mettre en place un plan de reprise d’activité ?
Ces perturbations peuvent entraîner une perte de chiffre d’affaire, une dégradation de la marque et un mécontentement des clients. Aussi, plus le temps de reprise d’activité est long, plus l’impact de ces incidents sur l’entreprise est important. Ainsi, un bon Plan de Reprise d’Activité informatique doit permettre une reprise rapide après une perturbation ; quelle qu’en soit la source.
Exemple : avec la vague d’arrêts de travail et l’activité partielle liés au variant Omicron de nombreuses entreprises ont mis en place un plan de reprise d’activité lié aux ressources humaines. Un ensemble de procédures a été édicté par la direction générale et les équipes des ressources humaines des entreprises pour l’organisation du travail. Face aux incertitudes conjoncturelles, aux environnements changeants, l’entreprise doit faire preuve d’anticipation pour réduire les conséquences néfastes.
Aussi, sachez que la réalisation d’un Plan de Reprise d’Activité informatique, et sa mise en place, est plus ciblé qu’un plan de continuité d’activité et ne couvre pas nécessairement toutes les éventualités pour les processus, les actifs, les ressources humaines et les partenaires commerciaux. Le listing et l’identification des activités critiques, des ressources-clés, est indispensable.
Voici d’autres raisons essentielles pour lesquelles une entreprise souhaite disposer d’un PRA Informatique détaillé :
- Pour minimiser les interruptions des opérations quotidiennes et assurer la continuité d’activité.
- Pour limiter l’étendue des perturbations et des dommages en cas de panne ou de sinistre.
- Afin de minimiser l’impact économique de l’interruption.
- Pour établir à l’avance des moyens alternatifs de fonctionnement et de remise en service.
- Former le personnel aux procédures d’urgence.
- Enfin, assurer un rétablissement rapide et sans heurts du service.
Ainsi, pour répondre aux attentes actuelles en matière de continuité des opérations, les sociétés doivent être en mesure d’apporter des solutions pour restaurer les systèmes critiques dans les minutes, voire les secondes qui suivent une interruption. Elle doit définir la criticité des environnements applicatifs et besoins de sauvegarde automatique de la base de données ; ainsi que sa réplication et sa restauration. Une application rapide du PRA est indispensable.
Exemple de la perte d’une base de donnée
Prenons le cas d’un sinistre concernant une base de donnée entrainant une perte de données. Les causes d’un sinistre peuvent être nombreuses. Certaines ne peuvent être évités. C’est pourquoi un bon plan de reprise après sinistre est important.
Ainsi, un plan de reprise d’activité SQL est un processus permettant de remettre votre base de donnée en état de marche et de surmonter les pertes de données après un sinistre. Ce PRA doit être planifié et documenté afin d’éviter les pertes de données.
La haute disponibilité est le terme qui indique le pourcentage de temps pendant lequel un système doit être disponible. Dans certains environnements, elle peut atteindre 99,999 % ou seulement 5,26 minutes d’indisponibilité par an.
Enfin, un bon plan de reprise d’activité pour une base de données doit tenir compte de nombreux facteurs : sensibilité des données, tolérance à la perte de données, disponibilité requise, etc. Le plan peut être basé sur quelques solutions :
- Failover clustering
- Mise en miroir des bases de données
- Réplication
- Expédition des journaux
- Sauvegarde et restauration
Chaque solution a ses propres avantages et son propre coût de mise en œuvre. En fonction des besoins, un PRA SQL devrait inclure une ou plusieurs solutions disponibles.
Comment faire pour mettre en place un plan de reprise d’activité (PRA) ?
La constitution d’un Plan de Reprise d’Activité informatique réussi aborde généralement tous les types de perturbation des opérations ; et pas seulement les grandes catastrophes naturelles ou d’origine humaine qui rendent tout ou partie de l’informatique inutilisable.
Les perturbations peuvent être des pannes de courant, des pannes du système téléphonique, la perte temporaire de l’accès à une installation en raison d’alertes à la bombe, d’un « incendie possible » ou d’un incendie non destructeur à faible impact, d’une inondation ou d’un autre événement. Un PRA informatique doit être organisé par type de catastrophe et par lieu. Aussi, il doit contenir des solutions, des scripts (instructions) qui peuvent être mis en œuvre par n’importe qui et quel que soit le secteur d’activité.
Une évolution constante des documents de PRA
Avant les années 1970, la plupart des sociétés ne devaient se préoccuper que de faire des copies de leurs documents papier. La planification de la reprise d’activité a pris de l’importance dans les années 1970 ; lorsque les entreprises ont commencé à s’appuyer davantage sur les opérations informatiques. À cette époque, la plupart des systèmes étaient des ordinateurs centraux orientés vers le traitement par lots. Ainsi, un autre ordinateur central hors site pouvait être mis en route à partir de bandes de sauvegarde ; en attendant que le site principal soit rétabli.
Ensuite, dans les années 2000, les entreprises sont devenues encore plus dépendantes des services numériques en ligne. Avec l’introduction du big data, du cloud, des médias mobiles et sociaux, les entreprises ont dû faire face à la capture et au stockage de quantités massives de données à un rythme exponentiel.
Les Plans de Reprise d’Activité informatique ont dû devenir beaucoup plus complexes. Ils ont du tenir compte de quantités beaucoup plus importantes de stockage de données provenant d’une myriade d’appareils. Il a aussi fallu tenir compte des contraintes réglementaires.
L’avènement du cloud computing dans les années 2010 a contribué à atténuer cette complexité de la reprise après sinistre. Le cloud a permis aux entreprise d’externaliser leurs PRA et solutions de reprise d’activité.
Modèle et exemple plan de reprise d’activité :
L’élaboration, la réalisation et la mise en place d’un Plan de Reprise d’Activité informatique en cas de sinistre comporte plusieurs étapes. Bien que celles-ci puissent varier quelque peu en fonction de la société, ou des choix de sa direction générales et des équipes, voici les étapes et ensemble de procédures de base du PRA :
Évaluation des risques
D’abord, effectuez une évaluation des risques et une analyse de l’impact sur les activités qui portent sur de nombreux risques potentiels. Analysez chaque secteur fonctionnel de l’entreprise pour déterminer les conséquences possibles. Qu’il s’agisse d’un scénario moyen ou de la pire des situations, comme la perte totale du bâtiment principal. Les plans robustes de reprise d’activité fixent des objectifs en évaluant les risques dès le départ ; dans le cadre d’un plan plus large de continuité des activités. L’objectif est de permettre aux clients et aux utilisateurs de poursuivre leurs activités essentielles pendant que le service informatique traite l’événement et ses retombées.
Ensuite, tenez compte des facteurs de risque liés à l’infrastructure et à la zone géographique dans votre analyse des risques. Par exemple, la capacité des équipes à accéder au datacenter en cas de catastrophe naturelle. Enfin, pensez à l’utilisation ou non de la sauvegarde des données en cloud, et le fait que vous ayez un site unique ou plusieurs sites sont tous pertinents ici.
Évaluez les besoins critiques
Ensuite, établissez des priorités pour les opérations et le traitement en évaluant les besoins critiques de chaque service. Préparez des accords écrits pour les alternatives sélectionnées. Aussi, incluez des détails spécifiant toutes les procédures de sécurité informatique spéciales, la disponibilité, le coût de reprise, la durée, la garantie de compatibilité, les heures de fonctionnement. L’ensemble ne devant pas être standardisé mais adapté à votre corps de métier.
Listez aussi ce qui constitue une urgence, les exigences en matière de ressources non-mainframe, les tests du système d’information, les conditions de résiliation, une procédure informant les utilisateurs des modifications du système d’informations, les exigences en matière de personnel, les spécifications, le choix du matériel informatique de traitement requis et des autres équipements, un processus de négociation de l’extension du service, et d’autres questions contractuelles. Ainsi, votre but est d’être prêt et de disposer des capacités de reprise nécessaires le moment venu.
Guide pour définir les objectifs du Plan de Reprise d’Activité informatique
Dressez une liste des situations critiques pour planifier la continuité des activités. Ensuite, déterminez les données, les applications critiques, les équipements ou les accès des utilisateurs qui sont nécessaires pour prendre en charge ces fonctions.
En fonction du coût des temps d’arrêt, déterminez l’objectif de temps de récupération de chaque fonction. Il s’agit de la durée maximale d’interruption, en heures, minutes ou secondes, pendant laquelle une opération ou une application peut être hors ligne sans que cela ait un impact inacceptable sur l’activité.
Ensuite, déterminez l’objectif de point de récupération, ou le point dans le temps auquel vous devez récupérer l’application. Il s’agit essentiellement de la quantité de données que la société peut se permettre de perdre.
Enfin, évaluez les accords de niveau de service (SLA) que votre entreprise a promis aux utilisateurs, aux dirigeants ou à d’autres parties prenantes.
Collectez les données et créez le document écrit
Recueillez les données pour votre plan en utilisant des formulaires préformatés si nécessaire. Les données à collecter à cette étape peuvent inclure :
- des listes (liste des coordonnées critiques, liste des postes des employés de secours, liste principale des fournisseurs, liste principale des appels, liste de contrôle des notifications) ;
- des inventaires (équipement de communication, matériel informatique du centre de données, documentation, formulaires, polices d’assurance, matériel et logiciels micro-informatiques, équipement de bureau, équipement de stockage hors site, matériel de groupe de travail, etc.)
- les calendriers de sauvegarde et de conservation des logiciels et des fichiers de données ;
- les procédures de restauration/récupération du système d’informations ;
- listez les emplacements temporaires de reprise d’activité ;
- autres documents, inventaires, listes et matériels.
Organisez et utilisez les données recueillies dans votre plan écrit et documenté. N’oubliez pas d’écrire la démarche et les étapes à suivre pour la remise en route de l’activité.
Testez et faites évoluer votre Plan de Reprise d’Activité informatique après sinistre
Ensuite, élaborez des critères et des procédures pour tester le plan de reprise d’activité informatique. C’est essentiel pour s’assurer que l’organisation a adopté des procédures et des installations de sauvegarde compatibles et réalisables ; ainsi que pour identifier les domaines qui doivent être modifiés. Il permet également de former l’équipe et de prouver la valeur du PRA et la capacité de la société à résister aux catastrophes.
Enfin, testez le plan en fonction des critères et des procédures. Effectuez un premier essai à blanc ou un essai structuré et corrigez les problèmes éventuels ; idéalement en dehors des heures de fonctionnement normales. Parmi les types de tests du PRA informatique, citons les tests de la liste de contrôle du plan, les tests d’interruption complète, les tests parallèles et les tests de simulation. Vous n’avez pas les compétences en interne ? Faites appel à un prestataire informatique comme EXTER.
Pour aller plus loin
La notion de PRA doit bien évidement être mise en corrélation avec la notion de Plan de Continuité d’Activité (PCA). Cette dernière section de notre article va vous permettre d’en comprendre les subtilités.
C’est quoi le Plan de Continuité d’Activité informatique (PCA) ?
Un plan de continuité des activités (PCA) est un document qui contient les informations critiques dont une entreprise a besoin pour continuer à fonctionner pendant un événement imprévu. Le PCA énonce les fonctions essentielles de l’entreprise, identifie les systèmes et processus qui doivent être maintenus et détaille comment les maintenir.
Quelle est la différence entre un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) ?
Il existe plusieurs éléments distinctifs entre le Plan de Continuité des Activités (PCA) et le Plan de Reprise des Activités (PRA). Ces deux stratégies de gestion de crise sont essentielles pour toute entreprise, mais elles se concentrent sur des aspects différents du processus de récupération suite à un sinistre.
Le Plan de Continuité des Activités, ou PCA, a pour principal objectif de garantir le maintien de l’activité de l’entreprise en cas de survenue d’un sinistre. Il s’agit d’un ensemble de procédures et de dispositions mises en place préalablement pour assurer que les opérations essentielles de l’entreprise peuvent continuer, malgré les éventuelles perturbations. Le PCA va donc se concentrer sur l’identification des processus clés de l’entreprise et la mise en place de plans de secours pour permettre leur continuation dans des conditions difficiles.
D’un autre côté, le Plan de Reprise des Activités, également connu sous le nom de PRA, est axé sur la restauration des systèmes informatiques et des infrastructures technologiques après qu’un sinistre ait eu lieu. Il se concentre sur la réparation et le rétablissement des systèmes critiques qui ont été interrompus ou endommagés par le sinistre. Le PRA comprend souvent des stratégies pour restaurer les serveurs, les bases de données, les réseaux informatiques et autres éléments essentiels de l’infrastructure informatique.
Comment mettre en place un plan de continuité d’activité ?
Il est désormais obligatoire pour une entreprise de planifier la continuité de ses activités ; y compris des plans de sauvegarde des données et de reprise après sinistre. L’objectif est qu’en cas de catastrophe, d’installation d’un logiciel malveillant, d’une attaque de ransomware à un tremblement de terre, vous savez quoi faire et disposez des outils nécessaires.
Dans cet esprit, examinons les domaines spécifiques que vous devez aborder lors de l’élaboration de votre plan et comment vous pouvez garantir qu’il sera efficace si et quand cela est nécessaire.
1. Évaluez vos risques
Quelle que soit la taille ou la structure de votre entreprise, vous devez comprendre où se situent vos risques pour les réduire ou les éliminer. Vous devrez répertorier toutes les menaces potentielles pour vos opérations commerciales afin de pouvoir réfléchir à la manière d’atténuer ces risques le plus efficacement possible.
L’évaluation des risques doit être un effort d’équipe, abordant tous les aspects de vos opérations et tous les types de menaces, notamment :
- Catastrophes naturelles ;
- Cyber-attaques ;
- Rançongiciel ;
- Erreur humaine ;
- Temps d’arrêt imprévus ;
- Des pannes de courant ;
- Corruption de données ;
- Pannes du système ;
- Pannes informatiques.
2. Effectuer une analyse d’impact sur l’entreprise
Le processus de planification de la continuité des activités doit inclure une analyse d’impact sur l’entreprise qui prend en compte la perte de revenus, l’augmentation des dépenses, les impacts réglementaires et d’autres facteurs.
Dans le cadre de cette analyse, vous devez établir ou mettre à jour votre objectif de temps de récupération (RTO) (la quantité de temps d’arrêt que votre entreprise peut tolérer) et votre objectif de point de récupération (RPO) ; la quantité de données que votre entreprise peut se permettre de perdre avant le les impacts sont tout simplement trop importants.
3. Identifiez les systèmes critiques
Avec une compréhension claire de vos risques et de leurs impacts potentiels sur votre entreprise, l’étape suivante consiste à identifier les systèmes et fonctions critiques.
Cette liste vous aidera à prioriser ces systèmes en matière de protection et de récupération. Au fur et à mesure que vous élaborez votre plan de continuité d’activité, la cartographie de la topologie et des dépendances de votre réseau, de votre matériel et de vos logiciels peut s’avérer inestimable pour localiser et résoudre les problèmes, accélérant ainsi la récupération.
4. Sauvegardez vos données
Même si vous sauvegardez probablement déjà vos données sous une forme ou une autre, votre évaluation des risques et votre analyse de l’impact commercial devraient vous donner une base solide pour choisir la stratégie et la solution de sauvegarde les plus efficaces pour vos besoins.
Au minimum, vos solutions de sauvegarde de données doivent respecter la règle de sauvegarde 3-2-1.
5. Plan de rétablissement
Chaque plan de continuité des activités informatiques doit inclure un plan de reprise après sinistre. Votre plan doit tenir compte de l’acquisition des technologies dont vous avez besoin pour respecter vos RPO et RTO. Il doit également désigner votre stratégie de récupération, de la récupération basée sur les fichiers à la récupération sur machine virtuelle (VM) et sur le cloud.
6. Testez votre plan de continuité d’activité informatique (régulièrement)
Si vous devez mettre en œuvre vos plans de continuité d’activité et de reprise après sinistre, il n’y a pas de temps à perdre. Il est essentiel de tester votre plan de continuité des activités informatiques pour qu’il fonctionne comme prévu en cas de sinistre.
Recevez votre devis personnalisé dans la journée
Dites-nous ce qu'il vous faut, on s'occupe de tout !