Les causes d’incidents sur l’infrastructure du système d’information peuvent être diverses : panne matérielle, panne logicielle, panne de backup, cyberattaque, erreur humaine, catastrophe naturelle, etc. Mais une solution existe pour s’y préparer : le plan de reprise d’activité.
Article mis à jour le 10 mars 2021.
Une entreprise sur trois a déjà subi un incident ou une panne qui a nécessité le déclenchement d’un plan de reprise d’activité après sinistre . Cette statistique remonte déjà à 2015, lors d’une étude réalisée par Evolve IP.
Comme l’indiquait Evolve IP à l’époque, il ne s’agit pas de savoir si le système d’information d’une entreprise va ou non un jour rencontrer un sinistre, mais plutôt de savoir quand il surviendra.
Depuis, la pandémie du Covid a considérablement accéléré les choses. Eveillant plus que jamais les consciences et surtout les craintes de voir les données, les serveurs et l’ensemble de son système d’information mis en déroute. L’ombre d’un désastre informatique, s’il ne vient pas d’une pandémie ou encore d’un incendie tel celui subi par OVH, est finalement partout, susceptible de mettre à mal une stratégie d’entreprise.
Mais lorsqu’il surviendra, est-ce que l’entreprise sera prête à y faire face ?
En raison de la multiplication des réseaux informatiques, les entreprises doivent à présent établir leurs stratégies de protection de données en tenant compte également des potentielles attaques et des intrusions fréquentes sur les systèmes d’informations (ransomware, cryptolocker, phishing, etc.). L’ouverture d’un marché de solutions destinées à combattre les cyberattaques, reflète clairement cette problématique devenue majeure pour de nombreuses entreprises.
En 2017, ces cyberattaques ne devraient plus être considérées comme des épiphénomènes dans l’activité d’une entreprise.
Pourtant, 54 % des organisations sondées lors de l’étude de Evolve IT dépenseraient moins de 50.000 $ par an à la mise en place d’un plan de reprise d’activité ou de continuité d’activité.
Statistique qui nous indique que l’effort consenti par les entreprises à la sauvegarde de leur patrimoine numérique, au regard de ce que peut coûter à une organisation la perte totale ou partielle de ses données, reste faible.
Quels risques court une entreprise sans plan de reprise d’activité face à un sinistre sur son activité
93% des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant 10 jours ou plus, ont fait faillite dans l’année suivant la catastrophe.
Cette donnée rapportée par Continuity Central peut faire peur, mais elle indique concrètement la conséquence à court termes d’une rupture d’activité ou de discontinuité des services d’une entreprise.
Alors, quels sont les risques auxquels s’expose une entreprise n’ayant pas élaborer de plan de reprise d’activité (PRA), voire un plan de continuité d’activité (PCA) ? Comment aborder ce sujet, quelles sont les questions à se poser pour initier la construction d’un véritable plan de sauvegarde qui saura mettre à l’abris l’entreprise, son patrimoine numérique et celui des ses clients à moyen et long termes ?
LES IMPACTS D’UN SINISTRE SUR L’ENTREPRISE
Les effets ressentis seront tout d’abord d’ordre opérationnels et fonctionnels. Si aucune mesure n’existe en faveur du rétablissement des services, les équipes peuvent être directement impactées dans leur travail (arrêt de machine, de serveur, d’accès au réseau, etc.), les outils de communication internes et externes peuvent être inutilisables, etc.
Assez rapidement, le pouls de l’entreprise ralenti et son activité, tout comme sa visibilité, peuvent disparaître des radars de ses fournisseurs, de ses partenaires, de ses clients et de ses prospects. En d’autres termes plus le « délai d’invisibilité » sera court, moins l’impact sera négatif pour l’entreprise.
D’un point de vue commercial et financier, il peut s’en suivre des pertes sur les ventes ou la signature de contrats. Mais c’est également la perte de clients, voir de parts de marché qui peuvent être observées. Plus le cycle de vente propre au business modèle de l’entreprise sera court, plus les pertes d’un point de vue commercial seront immédiates.
Imaginons un instant que la plate-forme web d’Amazon France ne soit plus accessible pendant 1 heure de forte affluence.
Pour essayer de se représenter cela, le lundi 8 décembre 2014, Amazon enregistrait un nombre record de plus de 1 million de colis expédiés en une journée, depuis le réseau de distribution France. On peut supposer que l’heure d’inaccessibilité au service, lors de cette journée, aurait fortement impactée les revenus financiers d’Amazon.
A l’inverse, avec un cycle de vente moyen à long, l’entreprise a des chances d’essuyer moins de pertes directes. Il s’agira alors pour elle de rétablir au plus vite ses services.
Cependant cela pourra avoir d’autres impacts, comme sur l’image et la réputation de l’entreprise ou encore sur la confiance des partenaires. Une marketplace, un système de paiement en ligne, une plateforme de réservation de chambre d’hôtel pourraient voir une part des utilisateurs s’orienter vers de nouveaux prestataires ou communiquer négativement à l’encontre du service défaillant.
Comment se préparer en prévision d’un sinistre sur l’activité de son organisation ?
Bien que la réponse comporte de multiples volets selon les types de sinistres, leur envergure, la structure de l’organisation impactée, il est impératif de construire en amont un plan de reprise d’activité, c’est-à-dire de récupération des données et de réactivation des services perdus qui, sera éprouvé et testé avant sa mise en application, le jour du sinistre.
L’objectif pour une entreprise sera donc de monter un plan de reprise d’activité qui idéalement, devra être couplé avec un plan de continuité d’activité.
Lors du processus d’élaboration du plan de reprise d’activité, il sera obligatoire d’identifier les activités de l’entreprise considérées comme critiques, d’interviewer les responsables de chaque activité, de déceler l’origine probable de futurs sinistres, de définir les besoins humains et matériels qui soutiendrons la mise en œuvre du plan, d’estimer les coûts liés à la réalisation et au déroulement du plan de reprise, etc.
Autant de critères à appréhender, qui plus ils seront nombreux et collectés de manière précise, favoriseront le déclenchement et la réalisation du plan de reprise informatique par tous les acteurs concernés.
11 ÉTAPES À SUIVRE POUR BIEN DOCUMENTER UN PRA INFORMATIQUE
Que le PRA informatique soit construit en s’appuyant sur un site de secours, un datacenter ou qu’il soit construit dans le Cloud sur des ressources informatiques virtualisées, il convient d’adopter une démarche logique et parfaitement documentée pour assurer la performance d’un plan de reprise d’activité informatique.
Pour repère voici 11 étapes préalables et essentielles à avoir en tête pour mener à bien la constitution d’un plan de reprise d’activité pour son entreprise :
- Faire un audit de tous les risques de pannes possibles sur le système d’information et identifier les causes probables : panne matérielle, panne logicielle, cyberattaque, coupures électriques, incendie, catastrophe naturelle, erreur humaine, etc.
- Détecter et évaluer chaque risque pour identifier les applications métiers qui ne pourront pas fonctionner en mode dégradé. Il faut donc bien appréhender et mesurer la tolérance aux pannes de l’ensemble du système d’information.
- Définir la criticité des environnements applicatifs et les besoins de sauvegarde et réplication ainsi que de restauration qui devront s’appliquer. Devront être définis ici le RTO (Recovery Time Objective) et le RPO (Recovery Point Ojective).
- Prévoir des sauvegardes automatiques à une fréquence correspondant au besoin de l’organisation.
- Faire du « Crisis Management », c’est-à-dire attribuer des rôles et des tâches à des personnes précises qui auront la responsabilité d’intervenir le moment venu. En d’autres termes, il faut organiser et mobiliser ses équipes pour agir efficacement lors du sinistre.
- Définir des priorités et un coût de reprise d’activité : évaluer des seuils d’indisponibilité des services et les prioriser afin de définir le coût de remise en service de l’infrastructure. Selon les cas, la reprise d’activité devra pouvoir s’effectuer en moins d’une minute. La mise en place nécessaire d’environnements synchrones élèvera alors rapidement les coûts par exemple.
- Définir le choix de l’équipement de sauvegarde et de reprise d’activité ainsi que le budget qui y sera consacré. Il faut savoir que le doublement simple du matériel existant sur un site distant peut ne pas suffire selon les cas. Le choix du matériel est donc important si l’on veut qu’il puisse supporter la charge d’une remise en service.
- Tester régulièrement le plan de reprise d’activité : bien que le coût d’un test de PRA informatique soit conséquent, il est impératif d’évaluer régulièrement sa fiabilité à minima deux fois par an.
- Faire évoluer le plan de reprise d’activité en fonction des changements apportés au système d’information : le SI d’une entreprise évoluant constamment, il est essentiel de répercuter ces changements sur le PRA informatique construit initialement afin d’en assurer sa fiabilité.
- Documenter précisément le PRA: il faut encourager le retour d’expériences des acteurs garants de la fiabilité du PRA en le documentant précisément. Le partage de la connaissance du SI va directement impacter les performances d’un PRA informatique. Ainsi, les phases de tests ou les remontées d’échecs doivent être systématiquement documentées, ce qui est généralement peu souvent le cas.
- Prendre en compte les contraintes réglementaires auxquels certaines typologies d’organisations doivent se conformer dans l’exécution de leurs activités.
Si vous recherchez des informations sur la méthodologie d’un PCA (Plan de Continuité d’Activité), sachez qu’il existe une ressource très bien documentée, accessible sur le portail de l’économie et des finances du gouvernement et présentant étape par étape la démarche à suivre : http://www.economie.gouv.fr/files/hfds-guide-pca-plan-continuite-activite-_sgdsn.pdf
Quels critères retenir pour le maintien d’un plan de reprise d’activité fiable et performant dans son entreprise ?
Chaque entreprise avance différemment dans sa stratégie de sauvegarde et de protection de ses données numériques. Certaines disposent déjà d’un PRA associé à un PCA, d’autres ont initié des démarches préliminaires auprès de prestataires spécialisés ou évaluent simplement la pertinence d’un PRA / PCA pour leur organisation.
Parmi ces stades d’avancement autour d’un projet de PRA informatique, certaines interrogations doivent être levées en amont :
- Quel périmètre peut couvrir un prestataire dans la réalisation d’un PRA informatique ?
- Quels sont les éléments qui doivent être pris en charge par le prestataire et consignés dans le contrat de plan de reprise d’activité ?
- En cas de panne, quelles sont les garanties de retrouver ses services, ses données et sous quels délais ?
- Quelle sera la capacité du prestataire à détecter d’éventuels risques futurs et quelle sa réactivité pour en alerter l’entreprise ?
Que l’on parle d’un plan de reprise d’activité sur site ou dans un datacenter, la transparence des informations et la nature des communications entre le prestataire et l’entreprise sont essentielles à la tenue d’un PRA qui soit performant. La qualité du plan de reprise d’activité reposera également sur la capacité d’une équipe technique à remettre en cause régulièrement la fiabilité de son infrastructure et ce, pendant toute la durée du contrat.
Article initialement publié sur https://datacenter.cyres.fr/ en février 2017 et mis à jour pour la dernière fois le 10 mars 2021.