PRA/PCA : Plan de reprise et de continuité d’activité.

Nombreux sont les incidents pouvant affecter le système d’information.

 

Mettre en place un PCA ou PRA, permet de limiter l’ensemble des impacts liés à une interruption d’activité. Mais qu’est-ce qu’un PRA-PCA ? Comment le mettre en place et pourquoi ? Connu des grandes entreprises, il est souvent sous-estimé et même ignoré par les PME.

Le plan de reprise d’activité et le plan de continuité d’activité sont des pratiques étroitement liées.

Un PRA, acronyme de Plan de reprise d’activité et un PCA, acronyme de Plan de continuité d’activité sont des procédures d’entreprise visant à mettre en œuvre l’ensemble des processus, des moyens humains, matériels et technologiques pour permettre à l’entreprise de rester opérationnelle après un événement imprévu.

 

Plan de continuité d'activité

Un PCA, est une procédure qui prend en compte toutes les mesures permettant d’assurer la continuité des activités métiers suite à une importante perturbation. C’est un dispositif préventif qui interroge sur la criticité des ressources informatiques et leur continuité de service. Il concerne les processus métiers, c’est-à-dire les activités vitales de l’entreprise. Les processus IT quant à eux ne sont traités que s’ils sont supports aux processus métiers de l’organisme. Le PCA s’inscrit dans une démarche de gestion des risques. Par exemple, dans le cas de la perte d’un accès à Internet (coupure de fibre), une liaison 4G doit être disponible immédiatement ou la mise en place du télétravail, font parties des méthodes à mettre en place en vue de la continuité d’activité.

Plan de reprise d'activité

Le plan de reprise d’activité représente l’ensemble des procédures et des moyens (organisationnels, humains et techniques) permettant d’assurer la reprise d’activité de votre entreprise en cas de sinistre (inondation, coupure électrique, incendie, destruction de données vitales…). Ce document répertorie les démarches à entreprendre pour reconstruire son système informatique en cas de crise importante (de manière dégradée puis complète). Il permet également la remise en route des applications nécessaires aux activités d’une entreprise.  L’objectif principal est d’anticiper et d’atténuer les effets dévastateurs d’une crise ou catastrophe naturelle sur vos activités. Par exemple, le déport progressif d’un datacenter vers un autre après un incendie ou une inondation.

Opter pour un PCA est une excellente solution, mais pour autant le PRA ne doit pas être négligé.

L’objectif de ces deux plans est de limiter les risques et de permettre à une entreprise de fonctionner aussi normalement que possible pendant ou après une interruption.

A mesure que les cyberattaques augmentent et que la tolérance aux temps d’arrêt diminue, le PRA et le PCA prennent de l’importance. Ces plans permettent à une entreprise de se remettre sur pied suite à un sinistre, de limiter la perte de productivité engendré par une coupure, de réduire le risque de perte de données et de préjudice à la réputation de l’entreprise.

Quelles sont les différences entre un PRA et un PCA ? 

 

On entend beaucoup parler de PRA et PCA à mettre en œuvre lors d’un sinistre ou d’un incident avec le système informatique de l’entreprise. Cependant, il arrive souvent que l’on confonde les deux, alors que leurs buts et les cas dans lesquels ils s’appliquent sont différents.

Contrairement au PCA qui est là pour empêcher tout arrêt de l’activité de l’entreprise, le PRA va décrire l’ensemble des procédures nécessaires à un redémarrage au plus vite du système informatique. Ce redémarrage ne peut pas être fait de n’importe quelle façon, et le PRA est là pour définir la nature et l’ordre des actions à mettre en place pour remettre le système et les données dans l’état dans lequel elles étaient avant l’incident.

 

La différence entre PRA et PCA se situe principalement sur le temps acceptable, pour une entreprise, d’arrêt de production ou d’activité. Plus précisément, deux notions marquent cette différence :

 

  • Le RTO, acronyme de Recovery Time Objective, représente la durée maximale d’interruption admissible de vos services à la suite d’une panne ou d’un sinistre (1seconde, 1min, 1heure, 1jour).

 

  • Le RPO, acronyme de Recovery Point Objective, désigne la durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne.

Un plan de reprise d’activité informatique aura toujours un RTO supérieur à zéro et un RPO supérieur ou égal à zéro. Le plan de continuité d’activité informatique lui, aura toujours un RTO égal à zéro et un RPO égal à zéro.

Exemple :  Pour illustrer ces deux notions, on peut prendre pour exemple le cas d’une entreprise qui utilise un ERP pour sa production. Si ce dernier vient à ne plus fonctionner, la production est bloquée, mettant alors en péril la pérennité de l’entreprise. Il faudra donc que le RTO de cet ERP soit extrêmement court. Cependant, le RTO d’une application messagerie instantanée pourra quant à lui être beaucoup plus long, dans la mesure où ce n’est pas une application critique.

Pour ce qui est du RPO, si par exemple il est défini à 24h et que la volumétrie de données est faible, on peut alors considérer qu’une sauvegarde complète des données en fin de journée suffit. En outre, dans des secteurs critiques comme la banque ou les télécommunications, plusieurs sauvegardes seront nécessaires par jour et avec différentes techniques de sauvegarde en fonction de la volumétrie.

Quels sont les risques ? 

 

Sans mise en place d’un PRA ou d’un PCA vous risquez la perte partielle ou totale des ressources informatiques clés entraînant une rupture de service qui a pour conséquences possibles :

  • Une rupture de votre activité pour un temps non déterminé ;
  • Une perte financière à la suite de ventes non réalisées pendant l’absence de service ou des pénalités pour non-respect contractuel ;
  • Une atteinte à l’image auprès des investisseurs, et des clients ;
  • Un risque de perte de propriété intellectuelle ou de données.

 

Quels sont leurs avantages ?

  • Protection des données : Les données critiques des entreprises sont protégées dans des datacenters sécurisés. Il est nécessaire d’avoir des copies des données, et de les protéger contre toute intrusions, vols ou sinistres.

 

  • Avantage concurrentiel : Vous pourrez continuer votre activité en cas de sinistre. Si vos concurrents sont touchés également vous détiendrez une sécurité supplémentaire grâce au PRA.

 

  • Mettre les données de votre choix :  Intégré dans votre PRA les données que vous souhaitez. Les données critiques pour votre entreprise pourront être bien protégé/ prise en charge.

 

  • Efficacité : Le PRA s’active dès lors qu’un élément empêche le bon déroulement de la production. Ayez accès 24h/24 à vos données protégées sans limitation.

 

  • Moins de temps de prise de décision : Votre entreprise sera préparée en cas de sinistre. Vos décisions auront été réfléchi vous permettant de rebondir rapidement et d’assurer la continuité de votre société.

Quels sont les enjeux ? 

Le PRA et le PCA sont de plus en plus sollicités par les entreprises car la sauvegarde de données est l’une de leurs plus importantes préoccupations. L’enjeux est de taille puisque la perte de données d’une entreprise peut fortement impacter son activité.

  • Le premier enjeu est de continuer à fournir aux clients et aux usagers un service, même dégradé, pendant un sinistre.
  • Il faut ensuite, rétablir le retour au fonctionnement nominal afin d’assurer pleinement la mission de l’organisation.
  • La sensibilisation et la formation de son personnel afin que le retour à la normale s’effectue dans le calme et soit efficace, tout en limitant les impacts pour les usagers.
  • Enfin, il est primordial d’avoir une cartographie des risques mise à jour conjointement entre la direction, le métier et le service informatique.

 

 L’élaboration d’une stratégie est un processus complexe qui nécessite des recherches, notamment la réalisation d’une analyse de l’impact d’un sinistre sur l’entreprise, ainsi que l’élaboration de plans, de tests, d’exercices et de formations. Nous pouvons vous aider à mettre ces plans en place.

N’hésitez pas à nous contacter pour un accompagnement personnalisé, ou simplement échanger sur le sujet.

%d blogueurs aiment cette page :