Les incidents survenant sur les infrastructures des systèmes informatiques ont des causes diverses : panne de logiciel, panne de matériel, panne de sauvegarde, cyberattaque, erreur humaine, catastrophe naturelle, …etc. Heureusement, un plan appelé plan de reprise d'activité informatique existe pour vous aider à vous y préparer (PRA informatique). Selon les statistiques les plus récentes, une entreprise française sur trois a déjà connu un incident informatique.
Découvrez dans cet article tout ce que vous devez savoir sur le plan de reprise d’activité informatique.
Table des matières
Définition d’un PRA informatique
Le plan de reprise d'activité informatique d'une entreprise est la réplique des précautions prises en cas d'incident pouvant affecter l'infrastructure du système informatique : sinistre, catastrophe naturelle, dysfonctionnement logiciel ou matériel, incendie, inondation, …
Par ailleurs, le plan de continuité d'activité est distinct du PRA informatique. En effet, le plan de continuité d’activité permet le bon fonctionnement des opérations informatiques d'une entreprise sans aucune perturbation du service, à long terme ou à court terme. Le programme se présente comme un document qui décrit toutes les actions qu'une entreprise doit entreprendre en cas d'incident.
Bien que la réglementation française ne rende pas obligatoire la création d'un PRA informatique, il est tout de même conseillé de le faire pour garantir la continuité des opérations de l'entreprise. Sans aucun doute, chaque minute qui passe après un incident peut entraîner une perte financière.
Que doit figurer dans un PRA informatique ?
Le PRA informatique de l'entreprise doit être complet et à jour si vous voulez qu'il fonctionne le jour où vous décidez de le mettre en activité. Certes, il doit contenir :
- les conséquences de l'incident, les risques qui y sont associés, la durée de la situation critique, les services informatiques de l'entreprise et le personnel qui serait impliqué dans la réponse à l'incident ;
- les actions de réparation : démarrage des programmes, récupération des données, travail à domicile ou utilisation d'un site de secours.
Le PRA informatique doit également présenter les précautions que l'entreprise doit prendre pour garantir la sécurité de ses systèmes et le bon fonctionnement de ses opérations, notamment le système de ventilation, le système de détection des intrusions physiques, le système de sauvegarde, etc.
Qui prend en charge l’élaboration d’un PRA informatique ?
Le plan de relance d’activité informatique concerne tous les types d'entreprises, et pas seulement celles du secteur informatique. En effet, la quasi-totalité des entreprises sont aujourd'hui informatisées en raison de l'évolution que les domaines de l'informatique et du numérique ont reconnue ces dernières années.
En conséquence, le matériel informatique est utilisé pour contrôler toutes les tâches de production et d'administration. Par conséquent, quel que soit le secteur d'activité d'une entreprise, il est crucial de garantir la continuité des opérations et la sécurité de ses systèmes d'information.
De plus, il n'y a pas d’exception concernant la taille des entreprises en question. Toute entreprise est exposée à un nombre infini de menaces qu'il convient d'identifier et d'éviter, qu'il s'agisse d'une TPE, d'une PME ou d'une grande structure internationale.
Même si l'élaboration et la mise en œuvre d'un plan de relance informatique sont coûteuses, les avantages de protéger son entreprise contre les pertes potentielles et les interruptions temporaires ou permanentes de fonctionnement l'emportent sur les coûts.
Comment élaborer un PRA informatique ?
Il faut respecter un processus très précis pour élaborer un plan de reprise d’activité informatique. Dans les lignes qui suivent, nous mettons en évidence les étapes pour élaborer un PRA informatique
Effectuer une évaluation des risques
La première étape de l'élaboration d'un plan de reprise d’activité informatique consiste à réaliser un audit des risques et des problèmes potentiels liés au dysfonctionnement du système d'information. En effet, ce processus consiste à identifier les causes de ces problèmes, ces derniers peuvent être une erreur humaine, une défaillance matérielle, une défaillance logicielle, une cyberattaque, une panne électrique, une catastrophe naturelle,...
Faire un diagnostic des risques
La deuxième étape consiste à diagnostiquer chaque risque afin de pouvoir déterminer quels programmes ne fonctionneront pas. Il est donc essentiel d'examiner dans quelle mesure les systèmes d'information doivent être tolérants à tous les types de défaillances possibles.
Créer les sauvegardes
L'identification des besoins de sauvegarde et la connaissance de la criticité des environnements applicatifs constituent la troisième étape de la création d'un plan de reprise d’activité informatique. En outre, il s'agit de créer des sauvegardes automatiques à des intervalles adaptés aux besoins de l'entreprise.
Attribution de missions au personnel
Dans cette étape, des missions sont confiées aux membres du personnel et aux prestataires de services qui sont prêts à agir en cas de sinistre. En d'autres termes, il est important de planifier les interventions afin de pouvoir réagir de manière appropriée en cas de crise.
Établir le prix du PRA
Pour ce faire, il est nécessaire d'évaluer le seuil d'inaccessibilité des services et de les classer afin de fixer le prix du plan de reprise informatique.
Choisir les ressources pour assurer la poursuite des activités de l’entreprise
C'est à ce stade qu'il faut choisir les outils permettant de maintenir et de reprendre l'activité de l'entreprise. Il est également important de prévoir le budget nécessaire à la mise en œuvre du plan de reprise après sinistre informatique.
Il est possible que l'entreprise ne dispose pas de suffisamment de ressources informatiques. Il est donc important de sélectionner le matériel informatique nécessaire pour faire face à la charge d'une reprise.
Testez le plan de reprise d’activité
L'efficacité et l'applicabilité du plan de reprise après sinistre de l'entreprise doivent être régulièrement testées. Bien que cela soit coûteux, il est conseillé d'effectuer ce type de test au moins trois ou quatre fois par an pour évaluer son efficacité.
Modifier le PRA pour refléter les modifications des processus d’information de l’entreprise.
Le système d'information de l'entreprise étant en constante évolution, il est indispensable de procéder à quelques ajustements du DRP informatique déjà créé pour en assurer l'efficacité.
Rédiger le PRA informatique
Cette étape consiste à documenter en détail le plan de reprise après sinistre. En créant une documentation complète, il est nécessaire d'encourager le retour d'expertise à long terme des prestataires de services qui garantissent l'efficacité du plan de reprise après sinistre informatique.
Transmission de la connaissance des systèmes d’information
L'efficacité d'un plan de reprise informatique dépendra directement de la qualité de la communication sur le système d'information de l'entreprise. De plus, même si ce n'est pas toujours le cas, les phases de test et les retours d'erreurs doivent être automatiquement documentés.
Prendre en compte les exigences réglementaires
La dernière étape consiste à prendre en compte les exigences légales auxquelles certains types d'entreprises doivent se conformer dans l'exercice de leurs activités.
Quelles sont les normes à respecter pour garantir l’efficacité d’un PRA informatique ?
Lorsqu'il s'agit de créer des sauvegardes et de protéger les données des clients, chaque entreprise réagit différemment. Si certaines entreprises ont déjà fait les premiers pas avec des prestataires de services, d'autres disposent déjà d'un PRA informatique lié à un BCP (Business Continuity Plan). Certaines entreprises se contentent de déterminer si le PRA répond à leurs besoins.
Avant de créer et de mettre en œuvre un projet de PRA informatique, il faut répondre aux questions suivantes :
- Pour quels domaines de responsabilité un prestataire de services peut-il élaborer un PRA informatique ?
- Quels détails le contrat relatif au plan de reprise après sinistre doit-il inclure ?
- Quelles garanties existe-t-il que les données numériques seront rapidement et complètement récupérées en cas de dysfonctionnement ?
- Dans quelle mesure le prestataire sera-t-il capable d'identifier les risques potentiels et comment réagira-t-il pour avertir l'entreprise ?
L'efficacité d'un plan de reprise après sinistre informatique dépend du maintien d'une communication claire entre les prestataires de l'entreprise et de la protection des données sensibles, que le plan soit mis en œuvre sur site ou dans un centre de données. En résumé, quel que soit le secteur d'activité de l'entreprise, il est essentiel de disposer d'un plan de reprise après sinistre informatique pour assurer la continuité des activités. De cette manière, chacun sait ce qu'il doit faire en cas de problème.
