PRA/PCA Plan de reprise / continuité d’activité

Cybercriminalité, problèmes de réseau, d’infrastructure, panne électrique ou matérielle, catastrophes naturelles etc. nombreux sont les incidents pouvant affecter le système d’information.

Ce dernier est un enjeu stratégique au sein des entreprises et des organismes publics. Ainsi, le préserver est un sujet majeur afin d’assurer le bon fonctionnement des activités critiques et vitales de l’entreprise en cas de sinistre.

Car un sinistre mal géré peut avoir des conséquences désastreuses sur l’entreprise sur le plan économique ainsi qu’en matière de réputation.

 

Vous avez déjà entendu parler de PRA/PCA ? Ces acronymes sont généralement connus mais qu’y a-t-il exactement derrière ?

Qu’est-ce qu’un plan de reprise/continuité d’activité ? Quelles sont leurs différences ? Pourquoi et comment le mettre en place ? On vous en parle dans cet article.

PRA/PCA


 

PRA/PCA qu’est-ce que c’est et quels sont leurs avantages ?

 

 

Les plans de reprise d’activité (PRA) et les plans de continuité d’activité (PCA) sont des procédures d’entreprise visant à mettre en œuvre l’ensemble des :

  • Processus,
  • Moyens humains,
  • Moyens matériels et technologiques,

permettant à cette dernière de faire face à un sinistre informatique majeur mettant en péril ses activités critiques et vitales.

 

Les PRA/PCA désignent des plans distincts qu’il est important de différencier.

Au vu des conséquences dramatiques d’une interruption d’activité pour toute entreprise, il est important de définir quel type de plan correspond à vos besoins et répondra au mieux à vos enjeux de disponibilité.

 

Mettre en place un PCA ou un PRA, permet de limiter l’ensemble des impacts liés à une interruption d’activité.

 

 

DÉFINITIONS

Qu’est-ce que le PCA ?

 

Le plan de continuité d’activité (PCA) est une procédure qui prend en compte toutes les mesures permettant d’assurer la continuité des activités métiers suite à une importante perturbation.

Il concerne les processus métiers, c’est-à-dire les activités vitales de l’entreprise. Les processus IT quant eux ne sont traités que s’ils sont supports aux processus métiers de l’organisme.

Le PCA s’inscrit dans une démarche de gestion des risques.

 

La mise en place du télétravail, comme on l’a vu dans le contexte de crise actuel, fait partie par exemple des méthodes à mettre en place en vue de la continuité d’activité.

 

Dans la pratique, bien que souvent demandé de prime abord par les sociétés, il est plutôt rare car très couteux et donc réservé à des activités critiques (services bancaires, certaines industries etc.).

Ce donc plutôt des plans de reprise d’activité qui seront mis en place.

 

 

 

Qu’est-ce que le PRA ?

 

Le plan de reprise d’activité (PRA) se compose de processus à mettre en œuvre après la survenue d’un incident pour permettre à l’entreprise de reprendre son activité normale directement ou progressivement (de manière dégradée puis complète).

 

Son objectif est d’atténuer les effets d’un sinistre sur la pérennité de vos activités. Il peut s’agir par exemple dans le cadre d’un sinistre sur le bâtiment n’ayant pas affecté le datacenter, de louer une salle ailleurs, ou de déménager provisoirement dans un autre site avec une connexion internet, permettant aux employés de se reconnecter aux données de l’entreprise.

 

 

Quelles sont les différences entre les deux ?

 

La différence entre un PRA/PCA se situe principalement sur le temps acceptable d’arrêt de production ou d’activité.

On le mesure au travers de 2 indicateurs : le RTO et le RPO.

PRA/PCA

 

  • Le RTO ou Recovery Time Objective, qui représente la durée maximale d’interruption admissible des services à la suite d’une panne ou d’un sinistre (ex : 1seconde, 1 minute, 1 heure, 1 jour etc.)
  • Le RPO ou Recovery Point Objective, qui désigne la durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne.

 

Un PRA aura donc toujours un RTO supérieur à zéro et un RPO supérieur ou égal à zéro, et un PCA quant à lui aura toujours un RTO égal à zéro et RPO égal à zéro.

 

Plan de reprise d'activité

 

Exemples

Pour illustrer ces deux notions, on peut prendre pour exemple le cas d’une entreprise qui utilise un ERP pour sa production. Si ce dernier vient à ne plus fonctionner, la production est bloquée, mettant alors en péril la pérennité de l’entreprise. Il faudra donc que le RTO de cet ERP soit extrêmement court. Par contre, le RTO d’une application de messagerie instantanée pourra quant à lui être beaucoup plus long, dans la mesure où ce n’est pas une application critique.

 

Pour ce qui est du RPO, si par exemple il est défini à 24h et que la volumétrie de données est faible, on peut alors considérer qu’une sauvegarde complète des données en fin de journée suffit. En outre, dans des secteurs critiques comme la banque ou les télécommunications, plusieurs sauvegardes seront nécessaires par jour et avec différentes techniques de sauvegarde en fonction de la volumétrie.

 

 

PRI et PCI les pendants informatiques de ces plans

 

En plus des plans dédiés à la production, il existe également des plans dédiés aux systèmes d’information :

  • PCI ou Plan de Continuité Informatique
  • PRI ou Plan de Reprise Informatique

 

Pour lesquels on va utiliser également les indicateurs RTO et RPO.

Ces plans sont actionnés par les équipes informatiques.

A la différence des PRA/PCA, ceux-ci concernent uniquement le système informatique.

 

PRA/PCA

 

Bien qu’une structure puisse décider de ne mettre en place qu’un PRI ou un PCI, ceux-ci peuvent faire partie des deux précédents dans la mesure où le système d’information a un rôle clé dans les activités de l’entreprise.

 

 

COMMENT ÇA FONCTIONNE ?

 

Le PCA

Le PCA doit présenter la stratégie adoptée ainsi que l’ensemble des procédures à suivre permettant de faire face à toute situation de crise à laquelle l’entreprise peut se trouver confrontée.

Il contient :

  • Une description du contexte ;
  • Les objectifs et obligations de l’entreprise, ainsi que les activités essentielles ;
  • Les risques identifiés, la gravité de leur impact et leur plausibilité ;
  • La stratégie à adopter pour la continuité de l’activité ;
  • Les rôles de chacun, les procédures à suivre et les moyens nécessaires ;
  • Le dispositif de gestion de crise ;
  • Des indicateurs pour mesurer et évaluer la bonne mise en œuvre du PCA.

 

Il est à noter que le PCA est évolutif, car il doit d’adapter aux priorités changeantes de votre entreprise. Il faut donc régulièrement le tenir à jour et le notifier aux prestataires qui vous accompagnent, afin d’être toujours prêt.

 

PRA/PCA

La reprise ou la continuité d’activité sont des enjeux stratégiques importants, il faut donc s’assurer de traiter ces démarches avec professionnalismes. Il est possible d’élaborer vos PRA/PCA en interne si vous disposez des compétences nécessaires. Si ce n’est pas le cas, il est recommandé de faire appel à une entreprise spécialisée.

 

 

 

Le PRA

Le but du PRA c’est de répondre à : « je ne veux jamais perdre ma donnée, et je peux toujours la récupérer dans un temps donné. »

 

Pour répondre à ce besoin il y a deux piliers essentiels que sont :

  • La sauvegarde
  • La réplication

 

En termes de cybersécurité par exemple, la 1ère étape est d’avoir un plan de récupération.

 

Tout comme pour le PCA, un audit est réalisé au démarrage afin d’identifier les éléments primordiaux, et de pouvoir élaborer une matrice de criticité des applications. Ce qui permettra d’adapter les RTO et RPO, ainsi que les moyens à mettre en œuvre.

Plan de reprise d'activité

 

 

Les PCI/PRI

 

Quelques exemples pour illustrer les PCI/PRI :

  • L’onduleur et/ou le groupe électrogène permettant de maintenir les serveurs en cas de coupure, font partie d’un PCI ou d’un PCA.
  • La virtualisation également, car elle permet de restaurer à l’identique et de repartir très rapidement. Elle peut même être essentielle, dans la mesure où il s’agit d’une solution logicielle qui permet donc de ne pas être dépendant du matériel en cas de sinistre.
  • Le cloud et notamment le cloud hybride, permettant de restaurer des VM externalisées si le serveur d’entreprise est touché ;
  • Une solution d’infogérance, au travers des SLA notamment peut rentrer dans un PRI.

 

Dans les cas des PCI/PRI on va en plus prendre en compte les télécoms et la téléphonie.

Il peut s’agir par exemple d’avoir un 2nd lien de secours, un IPBX virtualisé, etc.

 

QUELS SONT LES AVANTAGES DES PRA/PCA ?

 

Les avantages d’un PRA/PCA vont se mesurer par rapport aux risques de perte de chiffre d’affaires, de mauvaises réputation vis-à-vis des partenaires et clients, ou encore de sanctions disciplinaires ou pénales encourues en cas de non-respect d’obligations règlementaire lors d’une panne.

 

L’objectif du PRA est d’éviter cette perte de chiffres d’affaires, bien que sa mise en place ait un coût, ce dernier sera amorti en fonction de la perte de chiffre d’affaires estimée.

PRA/PCA

 

 

NOTRE RÔLE CHEZ EQUADEX

 

Chez Equadex, nous pouvons vous accompagner sur le PRA et sur la mise en place d’un PCI ou d’un PRI.

Mais également sur des solutions faisant partie intégrante de ces plans tels que :

  • Solutions de sauvegarde et de réplication (physiques et virtuelles) ;
  • Cloud privé régional et cloud hybride (Youbex et VCRB) ;
  • Liens télécoms (Fibre optique, liens DSL etc.) ;
  • Téléphonie d’entreprise ;
  • Infogérance et DSI externalisé ;
  • Solutions de sécurité
  • Infrastructure

Nous pouvons vous accompagner sur l’architecture de votre infrastructure, chaque infrastructure étant différente, nous faisons du sur-mesure.

 

Nous avons fait le choix de développer des partenariats et de nous certifier auprès des fournisseurs de référence tels que Veeam, Nutanix, Hyper-V, VMware etc. qui nous permettent de répondre aux mieux aux besoins de nos clients.

 

En conclusion

Afin de sortir d’une crise avec un minimum de dégâts, vous devez être préparés et avoir prévu au mieux la continuité et/ou la reprise d’activité.

Ne négligez pas ces aspects.

PRA/PCA

 

 

 

Vous avez besoin d’un conseil, d’un accompagnement, contactez nos équipes, nous pouvons vous accompagner sur ces aspects.

 

Nous contacter

 

A lire aussi :

%d blogueurs aiment cette page :