Le Plan de Reprise d’Activité (PRA) : les étapes de cet indispensable

Le PRA doit être au cœur d’une stratégie de cyber résilience. On peut le définir comme un ensemble de mesures permettant de rétablir et de reprendre l’activité de l’entreprise le plus rapidement et le plus normalement possible après un sinistre. Il n’existe pas de PRA standard. Les processus à déployer dépendent des spécificités de l’entreprise et de son secteur d’activité. Néanmoins, les objectifs principaux du PRA restent les mêmes :

• Assurer la continuité des activités
• Minimiser les dégâts matériels
• Garantir la protection des données numériques sensibles grâce à des sauvegardes
• Protéger l’infrastructure informatique.

Le PRA comporte des mesures préventives et curatives. Les mesures préventives regroupent des méthodes qui permettent d’éviter les interruptions d’activités après le sinistre. On retrouve par exemple la sauvegarde et la redondance de données, ainsi que la mise en place d’un site de secours. Les mesures curatives sont des méthodes qui permettent de redémarrer l’activité après le sinistre. Elles seront définies en fonction du sinistre et de la criticité des systèmes touchés. On retrouve ici la mise en place d’un système de restauration des données, un redémarrage des applications et des machines et l’utilisation du site de secours.

En outre, le PRA permet de conforter une image de fiabilité auprès des clients et des partenaires de l’entreprise.

Aujourd’hui, plus aucune entreprise ne fonctionne sans système informatique. C’est pourquoi la dégradation voire même la paralysie de celui-ci peut avoir de lourdes conséquences.

Ces conséquences peuvent être d’ordre commercial. En effet, si une entreprise est indisponible, ses clients risquent d’aller voir d’autres concurrents, ce qui causera une perte de ventes. Cela se vérifie notamment pour les entreprises de e-commerce. Plus la durée d’inactivité est longue, plus les conséquences sont lourdes : une étude de Continuity Central, indique que 93% des entreprises qui ont perdu l’accès à leurs données pendant 10 jours ou plus ont mis la clef sous la porte l’année suivant le sinistre.

Cette perte de ventes engendre par conséquent une perte financière. Il faut ajouter à cela les coûts liés à la remise en route du système informatique. De plus, cette période d’inactivité peut entacher l’image et la réputation de l’entreprise. Les clients et partenaires peuvent perdre confiance en l’entreprise et certains d’entre eux pourront se tourner vers la concurrence. Selon l’étude Global Data Protection Index de 2020, le coût d’arrêt moyen s’élevait entre 301 000 $ et plus d’1 000 000 $ pour certaines entreprises.

Attention également à ne pas négliger les conséquences juridiques des sinistres informatiques. En effet, les organisations de certains secteurs peuvent encourir à des sanctions pour ne pas avoir respecté les obligations réglementaires. Si le sinistre provoque des fuites de données personnelles des clients ou des collaborateurs, l’entreprise ne sera pas en conformité avec le Règlement Européen sur la Protection des Donnés (RGPD).

La première étape de la conception du Plan de Reprise d’Activité consiste à imaginer l’inimaginable. Vous devez essayer d’identifier l’ensemble des risques auxquels votre système informatique pourrait faire face : panne matérielle, panne logicielle, cyberattaque, coupures électriques, incendie, catastrophe naturelle, erreur humaine, etc.

Cette étape consiste à organiser les applicatifs selon leur degré de criticité. Dans une organisation, certaines activités supportent moins bien les arrêts imprévus que d’autres. Vous devez donc classer ces activités avec les applicatifs informatifs correspondants, du plus au moins critique. Cela permet ainsi de définir le périmètre effectif de votre Plan de Reprise d’Activité. Ce classement de criticité doit également être comparé à la probabilité des risques envisagés.

Cela implique aussi de définir le Recovery Time Objective (RTO), c’est-à-dire la durée maximale d’interruption admissible d’une ressource informatique. Il est également nécessaire de définir le Recovery Point Objective (RPO), c’est-à-dire la durée maximum d’enregistrement des données qu’il est acceptable de prendre lors d’une panne. Les besoins de sauvegarde, de réplication ainsi que de restauration pourront alors être aussi définis.

Cette étape consiste à organiser les applicatifs selon leur degré de criticité. Dans une organisation, certaines activités supportent moins bien les arrêts imprévus que d’autres. Vous devez donc classer ces activités avec les applicatifs informatifs correspondants, du plus au moins critique. Cela permet ainsi de définir le périmètre effectif de votre Plan de Reprise d’Activité. Ce classement de criticité doit également être comparé à la probabilité des risques envisagés.

Cela implique aussi de définir le Recovery Time Objective (RTO), c’est-à-dire la durée maximale d’interruption admissible d’une ressource informatique. Il est également nécessaire de définir le Recovery Point Objective (RPO), c’est-à-dire la durée maximum d’enregistrement des données qu’il est acceptable de prendre lors d’une panne. Les besoins de sauvegarde, de réplication ainsi que de restauration pourront alors être aussi définis.

Bien que la mise en place d’un PRA prévienne des pertes financières, il est souvent perçu comme un investissement important. Le budget dédié au Plan de Reprise d’Activité est central, d’autant plus qu’il détermine le type de solution backup à privilégier en cas d’arrêt de l’activité informatique. En cas d’attaque, le budget consacré sera rentabilisé face au coût que peut engendrer un sinistre sur le système informatique de l’entreprise.

En cas d’arrêt de l’activité de l’entreprise, certains PRA prévoient « un site secours » qui prend le relais du site principal. Le matériel doit alors être constamment prêt à l’emploi et surtout être adapté à la situation de crise en question. Cette solution permet de bénéficier du principe de réciprocité : un site protège l’autre.

Une fois que le PRA est mis en place, il est important de faire des tests régulièrement pour évaluer sa fiabilité. Même si le coût d’un test est important, on estime que 60% des premiers tests de PRA échouent. Ils révèlent certaines faiblesses de l’infrastructure informatique de l’entreprise et permettent de se rendre compte que certaines étapes n’ont pas été correctement abordées. Des correctifs pourront alors être apportés pour l’améliorer.

Il est essentiel de répercuter les changements faits sur le système d’information sur le PRA. Chaque changement applicatif ou matériel doit faire l’objet d’une modification sur le PRA afin qu’il soit pris en compter et en assurer leur fiabilité.

Le partage de connaissance du système d’information est primordial pour améliorer les performances d’un PRA. Les phases de tests ou les remontées d’échecs doivent être impérativement documentées pour optimiser le PRA.

Certains secteurs comme la banque et la finance font parfois face à des réglementations et des normes qui régissent la reprise d’activité et donc de la mise en place d’un PRA.

Comme nous l’avons évoqué précédemment, le PRA est un outil qui anticipe et maîtrise l’impact d’un sinistre sur l’activité de l’entreprise.

Le Plan de Continuité d’Activité (PCA) est quant à lui, un outil qui s’inscrit dans une démarche de gestion des risques. Il vise à garantir la meilleure disponibilité des infrastructures informatiques. Il se déclenche suite à un incident et entraine le basculement automatiquement du système informatique de l’entreprise sur un second site dédié.

La synergie entre un PRA et une architecture de secours comme le PCA, protège de manière efficace l’entreprise en cas de sinistre.