Plan de continuité des activités ou plan de reprise après sinistre : Quelles sont les différences et comment choisir ?
Au sein d'un système d'information, un désastre peut survenir rapidement. Alors que les risques d'interruption d'activité sont toujours plus élevés au fil du temps (panne de réseau, piratage, catastrophe naturelle, ou autres), la continuité ou la reprise d'activité est cruciale pour les entreprises.
En effet, pour éviter des conséquences dramatiques sur l'activité, il est nécessaire de garantir la haute disponibilité des systèmes d'information (SI). Cependant, si la sécurité des SI est souvent abordée à travers une approche logicielle (antivirus, anti-malware, etc.), elle doit également être considérée à travers une approche plus rigoureuse et holistique, telle qu'un plan de continuité d'activité (PCA) ou un plan de reprise d'activité (PRA).
Quelles sont les différences ? Comment choisir le plan qui correspond le mieux aux besoins de votre organisation ?
Pourquoi élaborer un plan de continuité des activités (PCA) ou un plan de reprise après sinistre (PRS) ?
Un PCA ou un PRD garantit l'accès aux applications et aux données critiques de l'entreprise, grâce à des équipements de secours. C'est un système redondant qui prend le relais pour permettre la poursuite de l'activité ou assurer un redémarrage rapide après une interruption. L'avantage est que les utilisateurs ne ressentent pas vraiment cette transition, ce qui réduit le risque de subir les conséquences négatives d'un arrêt du système.
Quelles sont les conséquences ?
L'interruption du système d'information d'une entreprise peut entraîner.. :
- Une perte nette de chiffre d'affaires (l'activité ne peut plus être menée à bien) ;
- Une dégradation de l'image de marque (due à l'insatisfaction des utilisateurs) ;
- un impact juridique (si l'incident empêche l'organisation de remplir ses obligations contractuelles) ;
- et/ou des réactions négatives de la part des employés, des clients et des partenaires.
L'intérêt d'un plan de continuité des activités ou d'un plan de reprise après sinistre réside dans la prévention des catastrophes. À ce titre, les PCA et les PRS peuvent être comparés à une assurance habitation : Une couverture qui peut ne pas sembler utile 99 % du temps, mais qui devient cruciale lorsqu'un problème survient. Quel type de protection ces solutions offrent-elles ?
Qu'est-ce qu'un plan de continuité des activités (PCA) ?
Le plan de continuité des activités (PCA) est une politique globale de gestion des menaces potentielles, qui évalue les impacts potentiels qu'une organisation peut subir si ces menaces se matérialisent et assure la continuité des activités.
Le PCA constitue donc le framework dans lequel l'entreprise va construire sa politique de résilience en se donnant les moyens de répondre efficacement aux menaces qui pèsent sur elle, tout en préservant ses intérêts et ceux de ses parties prenantes.
Chaque entreprise définit les risques auxquels elle est confrontée et ce qu'elle peut faire pour se protéger. Pour une organisation qui a besoin que ses informations soient toujours disponibles, l'objectif du plan de continuité des activités est de garantir que les applications essentielles resteront disponibles même en cas de catastrophe, sans subir d'interruption opérationnelle et sans suspendre leurs services.
Au cœur du PCA se trouve la conception de l'architecture du système d'information. Il s'agit de :
- Mettre en place des équipements redondants (réseau, serveurs, systèmes de stockage de données) qui peuvent prendre le relais en cas de défaillance d'un composant critique, à plusieurs endroits différents ;
- Mettre à jour en permanence les données sur les réseaux primaire et secondaire ;
- Assurer la disponibilité des ressources matérielles et organisationnelles tout au long de la chaîne de valeur (personnel, locaux, postes de travail, outils de communication, etc ;)
- Déterminer les applications et les données essentielles au maintien de l'activité et hiérarchiser les besoins.
A noter qu'un PCA global peut regrouper plusieurs plans de reprise d'activité (PRA) adaptés aux besoins de l'entreprise : Un PCA dédié au système d'information, un autre relatif au service financier, etc.
Qu'est-ce qu'un plan de reprise après sinistre (PRS) ?
Le plan de reprise d'activité (PRA) permet une reprise ou un redémarrage rapide de l'activité en cas d'interruption, selon le rythme fixé par les équipes. Contrairement au PCA, qui sert à prévenir l'arrêt de l'activité, le PRA sert à gérer les risques. Par exemple, si le SI n'est pas disponible, le plan de reprise d'activité décrit toutes les procédures à suivre pour redémarrer le système le plus rapidement possible et le remettre dans l'état où il se trouvait avant l'événement.
Les procédures DRP visent à limiter les effets négatifs de l'incident sur l'activité de l'organisation. Cela nécessite de prévoir un système de sauvegarde et de restauration des données à partir d'un site de sauvegarde (idéalement physiquement délocalisé), mais aussi de connaître la criticité des différents éléments du système pour choisir une séquence de redémarrage pertinente et fixer des délais acceptables. En outre, il est possible de fournir une copie "saine" des données afin d'éviter un chiffrement total ou partiel et de permettre une restauration propre en cas de ransomware.
Enfin, il est essentiel de déterminer les causes et les règles de déclenchement d'un plan de reprise via un comité préétabli qui, en cas d'incident, pourra prendre les décisions appropriées sur la base des informations dont il dispose, et de tester réellement le PRD une à deux fois par an.
BCP ou DRP : comment choisir ?
Voici quelques questions à se poser avant de choisir entre un PCA et un PRD :
- Votre organisation peut-elle se permettre une interruption, même brève, de ses activités? (Par exemple, pour un hôpital, une interruption du réseau informatique peut être désastreuse, auquel cas il est nécessaire d'avoir un PCA). À ce titre, deux indicateurs de temps sont à prendre en compte : l'objectif de temps de reprise (RTO), qui est le délai maximal pouvant être supporté pour redémarrer l'activité, et l'objectif de point de reprise (RPO), qui est la quantité maximale de données que l'entreprise peut accepter de perdre (ou de ne pas être en mesure de mettre à jour).
- Quel est votre budget ? Pour le calculer, il est important d'évaluer l'impact économique d'un arrêt complet de votre système d'information sur une période donnée. Et n'oubliez pas que pour être pertinent, un PCA ou un PDS doit être testé et mis à jour régulièrement, ce qui augmente le coût initial.
- Quelles sont les applications et les données critiques qui doivent être sauvegardées ou protégées pour l'avenir ?
En outre, vous devez tenir compte des problèmes liés à une éventuelle externalisation de la sauvegarde en dehors de votre infrastructure afin d'éviter la perte de données en cas de catastrophe affectant vos bâtiments (incendie, inondation, tremblement de terre, etc.).
Enfin, notez qu'un PCA/PDR doit être préparé longtemps à l'avance, avec une marge qui dépend de la taille de l'infrastructure et des éléments à identifier. Prévoyez-lui en général au moins trois mois.
Quel que soit votre besoin, Iguane Solutions peut vous accompagner sur l'aspect technique de la mise en œuvre de votre plan de continuité ou de reprise d'activité, à partir de votre analyse de risques, et adapté à vos enjeux et à vos contraintes.
Gardez à l'esprit qu'aucun PCA/PDR n'est semblable à un autre, chacun doit être conçu spécifiquement pour répondre aux problèmes de votre entreprise.
Vous souhaitez en savoir plus ?
Contactez Iguane Solutions pour en savoir plus et nous faire part de vos besoins !
