PRA Informatique : Pourquoi et comment le mettre en place dans votre entreprise ?

Avec l’ampleur que prend maintenant le système informatique, ces incidents peuvent paralyser, partiellement ou totalement, une structure pour une durée plus ou moins longue. Or, c’est un risque que ne peut se permettre de prendre une société, que ce soit une PME ou une multinationale. Car les pertes économiques engendrées pourraient vite se révéler astronomiques. Il est donc essentiel d’avoir un plan de secours en cas de sinistre, et c’est là qu’entre en jeu le PRA. Qu’est-ce que c’est ? Quels avantages sa mise en place peut-elle apporter à une structure ? Comment le mettre sur pied ? Voilà quelques questions parmi d’autres auxquelles vous trouverez les réponses ici.

Comprendre le Plan de Reprise d’Activité

Si vous évoluez au sein d’une entreprise, sans doute savez-vous – au moins dans les grandes lignes – ce que c’est que le PCA (Plan de Continuité d’Activité). Eh bien, le PRA est un des constituants du PCA. La différence entre ces deux plans est que si le PCA ne peut se faire sans le PRA, le PRA peut être indépendant.

Alors qu’est-ce que le PRA au juste ? C’est un ensemble d’actions mises en place qui permettent à une entreprise de reprendre ses activités essentielles dans un laps de temps défini (par le PRA instauré). Dans sa globalité, il a pour but d’alléger les conséquences d’un incident causé par un désastre quelconque qui affecte le système informatique de la société.

Avec la dématérialisation croissante au niveau des entreprises, les dégâts causés par un incident de cette nature seraient bien trop énormes pour ne pas protéger le SI. Ce site dédié à la PRA informatique vous donnera plus de détails sur les séquelles éventuelles d’une panne informatique prolongée et plus encore.

–          Choisir entre un PRA classique ou PRA dans le Cloud

Deux solutions s’offrent aux entreprises qui veulent mettre sur pied un PRA : une solution en interne ou un recours au Cloud (privé ou public).

Dans le premier cas, l’entreprise utilise des serveurs internes. Si la sécurité des données est son point fort, cette solution requiert en revanche un investissement. Etant donné que tout se fera en interne, un monitoring constant de la direction du système informatique sera également nécessaire pour assurer sa fonctionnalité. Il nécessitera aussi un certain investissement financier pour acheter le matériel adéquat s’il n’est pas déjà en leur possession. Serveurs, stockage et réseau sont entre autres les matériels qu’il est nécessaire d’acquérir pour un PRA en interne.

Avec le Cloud Computing, la société aura recours à un prestataire externe, et donc à des serveurs externalisés pour sauvegarder et protéger ses applications. Le choix peut encore se faire entre le Cloud Privé et le Cloud Public, selon les préférences de chaque entreprise. Mais dans la généralité du Cloud Computing, son point faible est au niveau de la sécurité des données répliquées. La structure devra faire extrêmement attention au type de contrat passé et au niveau de sécurité offert par le prestataire pour assurer une protection optimale à ses données. Son point fort est son coût bien plus abordable et la vitesse de redémarrage qui prend seulement quelques heures, tandis que le PRA en interne prend au moins 2 jours. Il faudra cependant s’assurer d’avoir une bonne connexion pour accéder aux données dans le Cloud.

Les avantages de l’instauration du PRA

Si le PCA auquel est attaché le PRA est imposé dans les entreprises américaines depuis de longues années maintenant, dans l’Hexagone, les débuts remontent seulement aux années 2010. Mais si le PCA a fait ses preuves, toutes les entreprises ne peuvent pas se permettre de l’instaurer (à cause de son coût élevé). Dans certains cas, il n’est même pas nécessaire, d’où l’intérêt pour le PRA.

Ce dernier a de multiples avantages qui ne pourront être que bénéfiques aux structures qui choisissent de le mettre en place. Qu’une entreprise penche pour une solution en interne ou en externe, les avantages sont nombreux. Par exemple, le PRA :

  • Assure la continuité des activités de l’entreprise
  • Minimise les conséquences d’un incident : pertes économiques moins élevées, retard des activités minime, renommée de l’entreprise intacte…
  • Améliore les performances du SI de l’entreprise grâce à une révision complète (nécessaire à l’élaboration du PRA)
  • Mise en place moins coûteux par rapport au PCA
  • Offre une garantie de service de haute qualité aux clients
  • Est un bon point pour l’image de marque d’une société

Les limites et freins généralement rencontrés par les sociétés

Mais il est aussi nécessaire de savoir que le Plan de Reprise d’Activité a des limites. Dans de nombreux cas, la direction (d’une entreprise) ne prend pas assez au sérieux les tests menés pour améliorer l’efficacité du PRA et faire connaitre à chacun son rôle. La procédure perd donc de son efficience, alors qu’elle peut être une excellente assurance en cas de sinistre.

Pour ce qui est de la limite principale, il s’agit du coût puisque comme tout nouvel outil à installer, le PRA a un prix. C’est un point qui a empêché et continue d’empêcher nombre d’entreprises à sauter le pas. Mais si l’avancée technologique nécessite l’instauration du PRA, cette dernière peut aussi alléger les coûts de revient, notamment grâce au Cloud Computing.

Les incidents potentiels qui nécessitent la mise en place d’un PRA

Il existe 3 types de sinistres informatiques qui peuvent endommager partiellement ou totalement un SI. Si certains incidents n’ont que des conséquences limitées, d’autres peuvent provoquer une perte de données massive et irréversible, à moins quele PRA soit en place.

–          Les catastrophes naturelles

Des évènements tels que les catastrophes naturelles peuvent causer des dégâts très lourds dans les infrastructures, informatiques ou non. Ces sinistres peuvent être à grande échelle et peuvent toucher une ville, une région ou un pays entier. Bien que ces désastres à grande échelle soient rares, ils doivent faire partie des risques à considérer pour la mise au point d’un PRA.

Il peut s’agir d’un cyclone, d’une tempête, d’un tremblement de terre, d’une sècheresse, d’inondations, etc.

–          Les incidents techniques sur les installations

Un sinistre sur les installations informatiques peut avoir diverses origines. Il peut être la cause d’actes mal intentionnés (sabotage, vol, attentat). Il peut aussi être dû à un évènement imprévu comme un feu, une panne électrique, un dégât des eaux. Il peut également s’agir d’une simple erreur humaine.

–          La cybercriminalité

Les attaques informatiques sont un fléau qui prend de l’ampleur à mesure que la technologie avance. Logiciel malveillant, cyber attaque ou encore piratage peuvent être motivés par un espionnage industriel, un vol, une tentative d’usurpation d’identité, une fraude… Quelle que soit la motivation du hacking, il peut porter un coup violent, voire fatal à la société. C’est donc un risque qu’il est absolument nécessaire de prendre en compte.

Elaborer un PRA adapté à votre société étape par étape

Il n’existe pas de plan figé pour mettre en place le PRA dans une structure. Cela vaut aussi bien si l’entreprise fait appel à un prestataire externe expérimenté dans la mise en place d’un PRA, que si un salarié en interne s’en charge. Pour l’élaboration d’un Plan de Reprise d’Acticité efficace, il est nécessaire que les responsables s’adaptent à chaque entreprise. Néanmoins, il existe des actions basiques qu’il est essentiel de mener pour arriver à élaborer un PRA qui tient la route. Voici les étapes essentielles à effectuer pour arriver à l’élaboration d’un Plan de Reprise d’ Activité cohérent et efficace.

–          Obtenir l’accord de la direction

Avoir le feu vert des dirigeants de l’entreprise est évidemment incontournable. Aucun projet ne peut arriver à son terme et être fonctionnel sans l’assentiment et l’appui de la direction.

Mais la direction a un rôle encore plus essentiel que de simplement donner son accord puisqu’elle devra assurer la coordination du PRA. Elle sera en charge de constituer une équipe (une cellule de crise) pour mettre la procédure en place. Cela requiert notamment de choisir les responsables compétents (salarié ou prestataire interne), et de leur allouer le temps et les moyens nécessaires pour mener le projet à terme. Ces responsables seront ensuite chargés de constituer une équipe avec, en son sein, des représentants de chaque département de la société.

–          Mener une étude sur les dangers potentiels

Comme précédemment mentionné, il existe 3 catégories d’incidents, mais les scénarios possibles sont multiples. Une fois qu’ils seront identifiés, il s’agira alors d’étudier la vulnérabilité de l’architecture informatique de l’entreprise selon chaque scénario. Cela inclut d’envisager le pire cas possible, à savoir la destruction totale des locaux de l’organisation, voire des pertes humaines.

Une fois toutes les failles possibles découvertes, il sera temps de trouver des solutions adaptées à chacune d’entre elles, et d’établir un plan minutieux pour y  faire face. Dans certains cas, cette étude peut mener à des révisions immédiates (sans que survienne un incident), qui dans tous les cas se révèlera favorable à l’entreprise.

–          Etablir les priorités

C’est ici (entre autres) que les représentants de chaque département seront particulièrement utiles, car ce sont ceux qui sont le plus au fait des besoins de leur département. Le ou les représentants devront documenter des fonctions existantes dans leur département, ainsi que leurs besoins. Une fois le tout identifié, il faudra établir une liste selon un ordre d’importance : essentiel, important, non important… Le but étant de faire en sorte que le Plan s’occupe d’abord des points critiques, avant de passer, si nécessaire, à autre chose.

–          Mettre au point une stratégie de récupération des données/applications

Le but de la manœuvre est de sauvegarder un maximum de données. Dans le cas où un incident survient effectivement, il faudra établir une stratégie claire pour avoir accès et récupérer les données et applications « sauvées ».

Si une structure opte pour une solution PRA informatique en interne, il lui faudra être particulièrement vigilante sur cette stratégie de récupération. Il faudra l’adapter à la possibilité que les locaux de l’entreprise puissent être touchés, inaccessibles, voire complètement détruits.

Dans le cas où l’entreprise choisit une solution en externe, il faudra également penser à établir les contrats nécessaires avec les prestataires.

–          Documenter le PRA sur écrit

Le PRA est une procédure qui concerne directement tout ce qui est informatique. Sans surprise, il est donc nécessaire de mettre en détail les procédures dans un document écrit pour que le document soit consultable à tout moment. Les scénarios des incidents possibles étant variés, il se peut en effet que les employés soient incapables d’accéder aux informations dans la base de données de l’entreprise.

–          Mener un test de validation et des essais réguliers chaque année

Il y a test et test. Le premier est un test de procédure, utile pour valider (ou non) la mise en place du PRA (dont la direction se chargera). Le second test est une sorte de répétition.

Si le test avant validation est toujours mené correctement, les tests réguliers au fil des années ne le sont pas toujours, ou du moins ne sont pas effectués assez sérieusement. Ça s’explique par le fait que beaucoup estiment ces essais inutiles, ce qui est un tort.

Tester le PRA régulièrement est une action essentielle. Ces tests réguliers sont nécessaires, non seulement pour former ceux qui ont un rôle à jouer, mais aussi pour effectuer des corrections, si besoin. Il est en effet possible que des éléments et actions jugés efficaces pendant l’élaboration du PRA ne le soient plus à un certain moment. Une mise à jour régulière permettra de mettre le doigt sur tout ce qui est obsolète, pour effectuer des changements dans les plus brefs délais. On estime qu’un à deux tests par année est nécessaire pour un PRA efficace.

Plusieurs types de test sont à mener pour trouver toutes les failles possibles dans le PRA : Tests de simulation, tests de liste de contrôle, tests parallèle et interruption complète.

9 JANV. 2020 PAR SYBELLEDELACROIX BLOG : LE BLOG DE SYBELLEDELACROIX

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *