Aucune entreprise n’est à l’abri d’un sinistre qui entraîne la destruction de matériel informatique et la perte de données. Dans ce cas, on enclenche le plan de reprise d’activité, ou PRA, qui permet de récupérer les données et de réactiver les services inaccessibles. Le PRA est construit sur deux axes : il précise les dispositifs techniques nécessaires pour redémarrer le système informatique, et définit les rôles de chaque personne dans sa mise en application. Aujourd’hui, toutes les entreprises doivent avoir un plan de reprise d’activité. Les menaces sont en effet omniprésentes, avec la montée des cyberattaques par rançongiciel, cheval de Troie ou phishing, et les possibles incendies, inondations et erreurs humaines. En mars 2021, OVH et ses clients en ont fait les frais : suite à l’incendie qui a ravagé son datacenter de Strasbourg, les serveurs de l’hébergeur web ont été paralysés pendant douze jours, et certaines données ont été perdues. Pour les entreprises clientes d’OVH qui n’avaient pas de PRA, cet incident a eu un impact catastrophique. Heureusement, il semble que la crise de la Covid-19 et les inquiétudes qu’elle a générées ont accéléré la prise de conscience de la nécessité de se doter d’un plan de reprise d’activité.
1. Les impacts d’un sinistre informatique sur votre entreprise
L’impact le plus évident d’une panne, d’une cyberattaque ou d’un sinistre est d’ordre commercial. Si les services d’une entreprise sont indisponibles, ses clients vont aller voir ailleurs, et la société perdra des ventes. C’est surtout vrai pour les entreprises qui ont des cycles de vente courts, comme celles qui travaillent dans le e-commerce. Et plus la durée d’inactivité est longue, plus les conséquences sont lourdes : une étude rapportée par le site Continuity Central indique que 93 % des entreprises qui ont perdu l’accès à leurs données pendant 10 jours ou plus ont dû fermer leurs portes l’année suivant le sinistre.
Sur le plan financier, il faut ajouter aux revenus perdus les coûts liés à la remise en route du système informatique. Mais, même si une courte période d’inactivité ne nuit pas immédiatement au chiffre d’affaires d’une société, toute catastrophe informatique peut entacher son image et sa réputation. Cela peut entraîner une perte de confiance de ses clients et partenaires, dont certains se tourneront vers la concurrence.
Enfin, il ne faut pas négliger les conséquences juridiques des sinistres informatiques. Dans certains secteurs d’activité, les organisations peuvent encourir des sanctions pour ne pas avoir respecté les obligations réglementaires. Et, depuis la mise en application du Règlement Européen sur la Protection des Données (RGPD), les entreprises sont responsables de la fuite des données personnelles de leurs clients et collaborateurs, ce qui peut arriver en cas de cyberattaques. Encore une fois, elles s’exposent à des amendes.
2. Les étapes à suivre pour un PRA réussi
Les PRA présente plusieurs avantages. Pour qu’il soit efficace, un plan de reprise d’activité doit être soigneusement élaboré. Tout commence par un audit informatique des risques, qui va permettre de dresser une cartographie précise des pannes et des problèmes éventuels.
Ensuite, chaque risque identifié doit être examiné pour savoir quels services et applications seront impactés par un sinistre. On peut alors mesurer la criticité des applications, afin de savoir lesquelles doivent être remises en route le plus vite possible. Cela permet de définir le RTO (Recovery Time Objective), c’est-à-dire la durée maximale après laquelle une application doit impérativement être restaurée afin d’éviter des conséquences irrémédiables. Cette étape permet également de déterminer les besoins de sauvegarde, de réplication et de restauration à l’aide du RPO (Recovery Point Objective) : il indique l’âge maximal des données sauvegardées, au-delà duquel la perte de données n’est plus acceptable. Les sauvegardes automatiques doivent être programmées en fonction du RPO.
Le PRA doit également évaluer le coût de la reprise d’activité, en s’appuyant sur la liste des services à redémarrer en priorité. Le coût varie en fonction du seuil d’indisponibilité : plus la reprise doit être rapide, plus elle sera chère. Le choix du mode de sauvegarde s’accompagne également de considérations financières. Doubler les supports de sauvegarde ne suffit pas : IPE vous conseille de suivre la règle du 3-2-1, c’est-à-dire faire au minimum trois copies des données, stockées sur deux supports différents, avec une copie conservée hors site.
Après l’aspect technique, le PRA s’intéresse à la dimension humaine de l’après-catastrophe. Il définit une stratégie de « crisis management » en attribuant des rôles et des tâches aux personnes clés, qui interviendront en cas de sinistre. De cette façon, chacun sait exactement ce qu’il a à faire. Une fois le PRA établi, le travail continue : il faut le tester régulièrement pour savoir s’il est fiable et s’il reste efficace au fur et à mesure que le temps passe. À chaque test, demandez les retours d’expérience des personnes responsables de l’application du PRA, et gardez-en une trace dans un journal d’évènements. Ce travail de documentation permet de faire évoluer le plan de reprise d’activité et d’améliorer la connaissance du SI. Enfin, en fonction de leur secteur d’activité, les entreprises doivent s’assurer que le PRA prend en compte les contraintes réglementaires qu’elles doivent respecter.
3. IPE, l’expert qui vous accompagne dans l’élaboration de votre PRA
Mettre en place un plan de reprise d’activité ne s’improvise pas. Avoir recours à l’aide d’un expert est souvent nécessaire pour préparer votre entreprise au pire. Fort de notre savoir-faire dans plusieurs domaines informatiques, nous proposons un accompagnement sur mesure qui s’articule en trois parties. Tout d’abord, nous évaluons les risques liés à votre activité : risques humains, menaces informatiques, catastrophes naturelles, etc.
Ensuite, nous élaborons les procédures à mettre en place en cas de crise. Celles-ci sont de deux types : les mesures préventives, comme la sauvegarde des données et la redondance des installations, et les mesures curatives, avec la définition des systèmes de secours. Comme chacun de nos clients est différent, les PRA que nous élaborons sont forcément personnalisés. Nous prenons en compte la taille de votre entreprise, son secteur d’activité, et les menaces auxquelles elle est tout particulièrement exposée. Nous vous proposons plusieurs niveaux de capacité de reprise : vous pouvez ainsi choisir le PRA qui correspond le mieux à vos attentes et à votre budget.
Enfin, IPE est à vos côtés en cas de panne ou de sinistre. Nos équipes déclenchent le PRA, et ont pour mission de rendre disponible l’intégralité des données et équipements nécessaires aux collaborateurs pour qu’ils puissent se remettre au travail dans le délai le plus court possible. Pour vous, c’est une garantie extrêmement précieuse.
Si votre entreprise ne peut pas supporter du tout de temps d’indisponibilité, le PRA n’est pas suffisant. À la place, optez pour un PCA (plan de continuité d’activité), qui permet aux utilisateurs d’accéder au système informatique quoiqu’il arrive. Un PCA est plus coûteux et complexe à mettre en œuvre qu’un PRA. Nous pouvons toutefois limiter son application aux systèmes clés de l’entreprise, après une analyse rigoureuse des risques et des impacts d’un sinistre.