Go to Top

Le Plan de Reprise d’Activité après sinistre en 6 points importants

La quantité sans cesse croissante de données est devenue ces deux dernières années un énorme défi pour les entreprises. De plus en plus de données sont maintenant collectées, traitées, transférées et stockées dans des centres de données internes ou externes. Le Big Data Analysis, autrement dit, l’analyse de toutes ces données, devient une tendance dominante au sein des entreprises, car les logiciels sophistiqués nécessaires pour accomplir une telle tâche deviennent abordables. Mais face à cette augmentation exponentielle des stocks de données, le risque d’en perdre augmente également.

Au fil des années, Kroll Ontrack a réalisé plusieurs enquêtes sur les pertes de données dans les entreprises et chez les particuliers. Les conclusions qui ressortent de ces enquêtes sont évidentes : en dépit de meilleures solutions logicielles, les pertes de données restent fréquentent et ce sont les utilisateurs qui en paient les conséquences.

Indépendamment de la raison (dysfonctionnement d’un disque dur, disque en fin de vie, mauvaise manipulation de l’utilisateur, catastrophes naturelles…) une perte de données peut avoir des effets graves pour une entreprise ou un particulier.

Pour une entreprise, une perte de données peut entraîner, dans le pire des cas, une faillite lorsque par exemple des délais ne peuvent pas être satisfaits sur un projet en cours ou que des bases de données ne sont plus disponibles. Les enquêtes de Kroll Ontrack montrent également qu’avoir des sauvegardes ne signifie pas nécessairement qu’elles fonctionneront correctement lors d’une catastrophe. Par conséquent, constituer  un solide plan de reprise d’activité après sinistre n’est pas seulement  un élément rassurant, c’est une nécessité !

Qu’est-ce qu’un Plan de Continuité d’Activité (PCA) et qu’inclut-il ?

Un Plan de Continuité d’Activité (PCA) est d’une grande utilité pour une entreprise dans le cas où son activité est interrompue, ce qui lui coûte généralement de l’argent. Pour réduire ces pertes au minimum, un document PCA se doit de couvrir toutes les étapes et respecter les agendas, afin que les ressources, processus et fonctions nécessaires soient capables de redémarrer au plus vite.

Qu’est-ce qu’un Plan de Reprise d’Activité après sinistre (PRA) et en quoi consiste-t-il?

Un plan de reprise après sinistre (PRA) est un processus documenté afin de récupérer une infrastructure informatique et commerciale en cas de catastrophe. En effet un sinistre peut se produire pour tout un tas de raisons naturelles ou artificielles, comme par exemple une tempête de neige, des inondations ou encore des actes de terrorisme et de piratage comme c’était le cas récemment avec les ransomwares. Tous ces exemples peuvent être qualifiés de sinistre. Dans de nombreux cas où un environnement informatique connait de graves problèmes suite à une catastrophe, la perte de données est probablement l’une des conséquences les plus courantes.

Quels sont les éléments à prendre en compte lors de l’élaboration d’un PCA / PRA ?

  1. Un bon plan PCA / PRA ne doit pas seulement couvrir les raisons habituelles de perte de données (défaillance matérielle ou causes naturelles). Il devrait également couvrir des incidents moins courant  comme par exemple ex une attaque de ransomware ou un sabotage. Chaque entreprise devrait s’adapter à ces situations mais également  à de nouveaux dangers, peut-être actuellement inconnus mais potentiellement dangereux à court terme,
  2. Un bon plan PCA / PRA devrait toujours être créé avec la participation de tous ceux qui sont impliqués dans le processus. Il n’est tout simplement pas logique de créer un plan par l’intermédiaire d’une ou deux personnes puis de l’exécuter par ordre de gestion. Plus il y a de personnes impliquées dans la création d’un plan, plus les pièges possibles peuvent être découverts et évités, rendant le plan de défense le plus performant possible. De plus, les employés peuvent identifier les spécificités en matière de vulnérabilité et de à l’avance,
  3. Les consultants informatiques déclarent souvent qu’une évaluation des risques est nécessaire pour la création d’un PCA / PRA puisque sont énumérées dans ce document toutes les menaces possibles pour l’entreprise afin de vérifier qu’elle soit en mesure de s’en protéger. Ce n’est pourtant qu’à moitié vrai car une évaluation des risques définit que ce qui peut causer une défaillance, et non ses effets.

Mieux identifier les risques susceptibles d’avoir une incidence sur le fonctionnement de l’entreprise

Cette étape permet de déterminer quels sont les risques et les  menaces, en internes et en externes, qui  risquent d’affecter le bon fonctionnement des opérations commerciales. Le Bilan d’Impact sur les Activité (BIA) peut être réalisé simplement à l’aide d’un questionnaire destiné aux employés concernés. Cependant, si vous disposez de suffisamment de temps, une analyse de l’évaluation des risques avec une véritable BIA est le meilleur moyen de procéder.

  1. Des tests sont nécessaires pour que le plan PCA / PRA fonctionne correctement lorsque survient une catastrophe. Par conséquent, lors de l’élaboration d’un plan, le test de celui-ci fait partie intégrante du processus. En essayant de réduire les coûts et de ne faire que des tests limités, la solidité d’un plan risque d’être insuffisante, ce qui en cas de défaillance engendrera sûrement des coûts beaucoup plus élevé. Il convient donc d’obtenir le budget nécessaire dès le début du plan,
  2. De la même manière que vous mettez à vous à jour votre matériel, il est important de mettre à jour votre plan PCA / PRA. Il n’est pas rare qu’un plan comporte 100 pages ou plus, dans le but de couvrir chaque étape de manière détaillée. Comme les technologies changent souvent et afin de se tenir au courant des changements dans le plan, il est judicieux de le diviser en plusieurs étapes distinctes pour une meilleure vue d’ensemble et pour faciliter les modifications futures,
  3. Une question importante souvent posée au sujet de l’utilisation des plans PCA / PRA : est-il vraiment nécessaire de développer un énorme plan avec des centaines de pages ? La réponse est : Non. Parfois, un simple document de 2 à 10 pages contenant les informations importantes peut suffire à couvrir toutes les étapes nécessaires pour réagir en cas de catastrophe ou de perte de données. Mais évidemment, cela dépend fortement de la structure des entreprises et de leur règlement. Dans tous les cas, il est judicieux de créer une version courte du document afin de rendre les démarches principales rapidement disponibles aux employés concernés.

Copyright image : unsplash / pexels.com/ CC0 License

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *