Comment assurer le maintien de votre activité en cas d'incident ?
Toute entreprise étant vulnérable à une perte de données, il est essentiel qu’une organisation dispose d’un plan de continuité des activités (PCA) et d’un plan de reprise après sinistre (PRA) testés et mis en pratique en amont. Dans cet article, nous allons examiner le plan de continuité des activités et le plan de reprise après sinistre. Nous parlerons de ce qu’ils sont, de leur utilité, de comment et quand les utiliser et pourquoi.
La mise en place de ces plans est une stratégie proactive consistant à créer des contingences et des plans pour assurer la sécurité des employés et maintenir les activités en cas d’incident.
Si vous êtes victime d’un incident impliquant une interruption d’activité partielle ou totale, vous risquez des conséquences financières (par l’arrêt d’activité critiques de votre entreprise comme la production ou le support), des conséquences internes, une dégradation de votre image de marque et donc des conséquences de satisfaction et conséquences juridiques vis-à-vis de vos clients.
Le plan de continuité d’activités : comment le mettre en place ?
Le plan de continuité d’activités est le plan qui décrit comment une entreprise réagira en cas de catastrophe ou de perturbation des services. Les processus essentiels à la survie de l’entreprise doivent faire l’objet d’une attention particulière en matière de sauvegarde, et les employés essentiels doivent être formés à la planification et à l’exécution de la continuité des activités. Les applications critiques nécessaires à l’entreprise doivent pouvoir rester disponibles, même en cas de sinistre. On retrouve notamment dans le plan de continuité d’activités la mise en place d’équipements redondants (réseau, système de stockage, serveurs, datacenters) qui seront capables de prendre automatiquement le relais en cas de panne de l’élément principal. Les utilisateurs doivent pouvoir continuer à utiliser le service, sans se rendre compte qu’il y a eu un incident.
Le PCA comporte une vraie dimension stratégique et préventive. Tout d’abord il est primordial de classer les ressources les plus critiques pour l’entreprise, celles que vous devez backuper, car elles sont indispensables au fonctionnement de votre entreprise. Pour les sauvegardes, on appliquera la règle du 3-2-1 :
- disposer de trois copies de vos données au moins
- stocker ces copies sur deux supports différents
- conserver une copie de la sauvegarde hors site
Ensuite il faut identifier le lieu où vous souhaitez mettre en place le plan de continuité d’activité par exemple le site de votre entreprise ou sur un site externe type datacenter. Le plan de continuité d’activités peut également comprendre plusieurs scénarios sur d’éventuels sinistres pouvant mettre à mal une partie ou l’ensemble des actifs, et les procédures à mettre en place afin de maintenir une partie de l’activité. De cette façon, ce plan anticipe toutes possibilités d’interruption de l’infrastructure en cas d’incident.
Aucun plan de continuité des activités n’est le même, cela dépend de votre secteur d’activité, de vos enjeux. Si vous souhaitez mettre en place un PCA, commencez par lister les ressources critiques liées à votre activité et consignez-les dans un cahier des charges. Si vous possédez déjà un PCA, pensez à le mettre à jour régulièrement afin d’être prêt à toutes éventualités.
Le plan de reprise d'activité
Le plan de reprise après sinistre est la partie du plan de continuité des activités qui concerne la reprise après une panne matérielle ou une catastrophe naturelle. Il est souvent considéré comme un complément au PCA. Ce plan permet à l’organisation informatique de répondre de manière efficace et efficiente aux urgences qui ont un impact sur les services technologiques, minimisant ainsi les dommages aux actifs critiques de l’entreprise et permettant une reprise plus rapide.
Un PRA regroupe donc toutes les mesures qui devront être appliquées, étape par étape, pour permettre aux utilisateurs du SI de retrouver l’accès aux données, applications, réseau de l’entreprise.. Il définit la nature et l’ordre des actions à mettre en place, afin de remettre le système dans l’état dans lequel il était avant l’incident.
Toutes ces procédures n’ont qu’un objectif : assurer un redémarrage le plus rapide et sûr possible du système informatique ainsi que de l’activité de l’entreprise. Le plan précisera les vérifications du système quant aux possibles pertes de données à déplorer. On mettra également en place un plan de système de sauvegarde et de restauration des données.
Niveau tarifs, ça donne quoi ?
Pour estimer le coût des mises places de ce genre de plan, on prendra en compte deux facteurs : le RPO et le RTO.
- RPO : recovery point objective, en français, PDMA, perte de données maximale admissible, est la quantité de données qu’on estime acceptable.
- RTO : recovery time objective, en français, DMIA, durée maximale d’interruption admissible, est le temps d’indisponibilité qu’on estime acceptable.
Ce sont ces deux notions qui mettent le curseur sur le coût du système à mettre en œuvre. En effet, plus on tend le PDMA et le DMIA vers 0 plus les coûts d’infrastructure s’élève. En général, le coût du PRA-PCA est proportionnel au risque de perte de chiffre d’affaires de l’organisation.
Pourquoi choisir d'externaliser ses PCA et PRA ?
Tout d’abord car si vous décidez de garder vos sauvegardes dans vos locaux, alors elles seront elles aussi impacté par tous les sinistres pouvant vous arriver. En faisant le choix d’externaliser vos backups, elles dépendent donc d’une autre infrastructure indépendante à la votre.
Si vous décidez de mettre votre PCA/PRA sur un de vos site mais distant, il faut être sûr que l’incident n’impactera pas vos systèmes de communication/interconnexion afin que vous puissiez justement accéder à ces plans. C’est donc tout l’intérêt d’externaliser sur un site qui est indépendant du votre et de votre infrastructure, qui sera donc accessible à n’importe quel moment.
Pour avoir plus d’informations sur la mise en place d’un PCA-PRA, contactez-nous !