Tribunes

Les secrets d'un bon Plan de Reprise d'Activité

Alianor Sibai, consultante mc2i Groupe, détaille les caractéristiques d'un bon PCA/PRA.

Le système d'information constitue aujourd'hui l'épine dorsale de l'activité de la majorité des entreprises. Par conséquent, il n'y a rien de plus préjudiciable pour une entreprise qu'une défaillance de son système informatique, qui peut paralyser ses processus opérationnels, voire mettre en péril sa pérennité. Quels sont les risques qui pèsent sur le SI d'une entreprise ? Et comment s'en prévenir ?

PublicitéQu'est-ce qu'un Plan de Reprise d'Activité ?
Le Plan de Reprise d'Activité (PRA), de son appellation anglo-saxonne Disaster Recovery Plan (DRP), a pour objectif de minimiser les temps morts et les pertes de données de l'entreprise suite à une attaque ou un sinistre portant atteinte à l'intégrité de son système informatique.

Le PRA est le volet informatique d'un plan plus vaste, le Plan de Continuité d'Activité (PCA) ou Business Continuity Plan (BCP). Ce dernier assure la survie de l'entreprise, bien au-delà de son SI, mais dans sa globalité. Il tend à éviter toute interruption de service, aussi minime soit-elle. Le BCP s'inscrit dans la politique de sécurité informatique de l'entreprise, et il est obligatoire dans certains secteurs tels que le secteur bancaire.

Quelles menaces pèsent sur le SI de l'entreprise ?
Bien que la grande majorité des problèmes proviennent généralement d'une mauvaise utilisation du SI par les salariés, il existe d'autres risques que les DSI doivent prendre en considération.

Un SI peut être confronté à diverses menaces d'origine humaine, matérielle ou naturelle, dont les conséquences peuvent être catastrophiques. A titre d'exemple, l'incendie du siège du Crédit Lyonnais en mai 1996 a causé la perte d'archives importantes, et l'explosion de l'usine AZF à Toulouse en septembre 2001 est responsable d'une colossale perte financière de 2.5 milliards de dollars en dommages directs.

L'analyse de risque et d'impact, deux étapes indispensables du PRA

Avec la multiplication des choix d'infrastructures, d'applications et de logiciels, chaque système d'information est d'autant plus unique qu'il est complexe. Il est dès lors indispensable pour chaque entreprise de mener des analyses de risque et d'impact lui permettant de personnaliser son PRA en fonction du degré de vulnérabilité de son SI.

L'analyse de risque permet d'identifier les scénarios d'attaques et de sinistres possibles, ainsi que leur probabilité d'occurrence et leurs conséquences sur l'activité de l'entreprise. L'analyse d'impact, quant à elle, permet d'identifier la Durée Maximale d'Interruption Admissible (DMIA) pour chaque processus, en tenant compte des répercussions financières, légales et d'image de marque pour l'entreprise.

De cette analyse découlent deux exigences mesurables définies par le NSIT : le temps maximal de rétablissement ou Recovery Time Objective (RTO), et la perte de données maximale admissible ou Recovery Point Objective (RPO). La stratégie de reprise d'activité doit être choisie et mise en place en tenant compte de ces exigences.

PublicitéLa stratégie de secours informatique, un ensemble de mesures préventives et curatives

En termes de prévention, la première action à entreprendre est la sauvegarde régulière des données. Une étude récente publiée par Maaf Assurance met en exergue la valeur et la criticité des données pour une entreprise : «80% des entreprises ayant perdu leurs données informatiques font faillite dans les 12 mois qui suivent ». Pour pérenniser l'entreprise, la DSI doit mettre en place tout un système informatique ad hoc secondaire, appelé site de secours, géographiquement éloigné du système principal, et capable de prendre le relai en cas de défaillance.

L'ensemble de ces mesures préventives doit être clairement documenté dans un PRA précis et régulièrement actualisé, déterminant le rôle de chacun en cas de crise.

Suite à un sinistre ou une attaque, le PRA doit également prévoir la restauration des données, le redémarrage des applications et des machines et la procédure de bascule du SI principal vers le SI secondaire.

Plus le SI de l'entreprise est évolutif plus la mise à jour de son PRA est coûteuse. C'est la raison pour laquelle de nombreuses entreprises se tournent vers le DRaaS ou Disaster-Recovery-as-a-Service. La mise à disposition de ressources SaaS et IaaS constituerait-il une alternative idéale au PRA traditionnel ?