LE PLAN DE REPRISE D’ACTIVITÉ NE DOIT PLUS ÊTRE UNE OPTION POUR VOTRE ENTREPRISE

20 avril 2022 par
LE PLAN DE REPRISE D’ACTIVITÉ NE DOIT PLUS ÊTRE UNE OPTION POUR VOTRE ENTREPRISE
ST DIGITAL CAMEROUN, Jean-Philippe LAGUNA

Une entreprise sur trois a déjà subi un incident ou une panne qui a nécessité le déclenchement d’un plan de reprise d’activité après sinistre. 

il ne s’agit pas de savoir si le système d’information d’une entreprise va ou non rencontrer un sinistre, mais plutôt de savoir quand il surviendra. 

Et lorsqu’il surviendra, l’entreprise concernée sera-t-elle prête à y faire face ? 

Les causes d’incidents sur l’infrastructure du système d’information peuvent être diverses : panne matérielle, panne logicielle, panne de backup, cyberattaque, erreur humaine, catastrophe naturelle, etc. 

En raison de la multiplication des réseaux informatiques, les entreprises doivent à présent établir leurs stratégies de protection de données en tenant compte également des potentielles attaques et des intrusions fréquentes sur les systèmes d’informations (ransomware, cryptolocker, phishing, etc.). L’ouverture d’un marché de solutions destinées à combattre les cyberattaques, reflète clairement cette problématique devenue majeure pour de nombreuses entreprises. 

Les cyberattaques ne devraient plus être considérées comme des épiphénomènes dans l’activité d’une entreprise. 

Quels sont les risques auxquels s’expose une entreprise n’ayant pas élaborer de plan de reprise d’activité ou n’ayant pas entamé à minima une réflexion en ce sens ? 

LES IMPACTS D’UN SINISTRE SUR L’ENTREPRISE 

Les effets ressentis seront tout d’abord d’ordre opérationnels et fonctionnels. Si aucune mesure n’existe en faveur du rétablissement des services, les équipes peuvent être directement impactées dans leur travail (arrêt de machine, de serveur, d’accès au réseau, etc.), les outils de communication internes et externes peuvent être inutilisables, etc. 

Assez rapidement, le pouls de l’entreprise ralenti et son activité, tout comme sa visibilité, peuvent disparaître des radars de ses fournisseurs, de ses partenaires, de ses clients et de ses prospects. En d’autres termes plus le « délai d’invisibilité » sera court, moins l’impact sera négatif pour l’entreprise. 

D’un point de vue commercial et financier, il peut s’en suivre des pertes sur les ventes ou la signature de contrats. Mais c’est également la perte de clients, voir de parts de marché qui peuvent être observées. Plus le cycle de vente propre au business modèle de l’entreprise sera court, plus les pertes d’un point de vue commercial seront immédiates. 

A l’inverse, avec un cycle de vente moyen à long, l’entreprise a des chances d’essuyer moins de pertes directes. Il s’agira alors pour elle de rétablir au plus vite ses services. 

Cependant cela pourra avoir d’autres impacts, comme sur l’image et la réputation de l’entreprise ou encore sur la confiance des partenaires. Une marketplace, un système de paiement en ligne, une plateforme de réservation de chambre d’hôtel pourraient voir une part des utilisateurs s’orienter vers de nouveaux prestataires ou communiquer négativement à l’encontre du service défaillant. 

SE PRÉPARER EN PRÉVISION D’UN SINISTRE SUR L’ACTIVITÉ DE SON ORGANISATION  

Il est impératif de construire en amont un plan de reprise d’activité, c’est-à-dire de récupération des données et de réactivation des services perdus qui, sera éprouvé et testé avant sa mise œuvre, le jour du sinistre. 

L’objectif pour une entreprise sera donc de monter un plan de reprise d’activité qui idéalement, devra être couplé avec un plan de continuité d’activité. 

Lors du processus d’élaboration du plan de reprise d’activité, il sera obligatoire d’identifier les activités de l’entreprise considérées comme critiques, d’interviewer les responsables de chaque activité, de déceler l’origine probable de futurs sinistres, de définir les besoins humains et matériels qui soutiendrons la mise en œuvre du plan, d’estimer les coûts liés à la réalisation et au déroulement du plan de reprise, etc. 

Autant de critères à appréhender, qui plus ils seront nombreux et collectés de manière précise, favoriseront le déclenchement et la réalisation du plan de reprise d’activité par tous les acteurs concernés. 

LES ÉTAPES À SUIVRE POUR BIEN DOCUMENTER UN PRA 

Que le PRA soit construit en s’appuyant sur un site de secours, un datacenter ou qu’il soit construit dans le Cloud sur des ressources informatiques virtualisées, il convient d’adopter une démarche logique et parfaitement documentée pour assurer la performance d’un plan de reprise d’activité. 

Voici les étapes préalables à avoir en tête pour mener à bien la constitution d’un plan de reprise d’activité pour son entreprise. 

  1. Faire un audit de tous les risques de pannes possibles pour le système d’information et identifier les causes probables : panne matérielle, panne logicielle, cyberattaque, coupures électriques, incendie, catastrophe naturelle, erreur humaine, etc. 

  2. Détecter et évaluer chaque risque pour identifier les applications métiers qui ne pourront pas fonctionner en mode dégradé. Il faut donc bien appréhender et mesurer la tolérance aux pannes de l’ensemble du système d’information. 

  3. Définir la criticité des environnements applicatifs et les besoins de sauvegarde ainsi que de restauration qui devront s’appliquer. Devront être définis ici le RTO (Recovery Time Objective) et le RPO (Recovery Point Ojective). 

  4. Prévoir des sauvegardes automatiques à une fréquence correspondant au besoin de l’organisation. 

  5. Faire du « Crisis Management », c’est-à-dire attribuer des rôles et des tâches à des personnes précises qui auront la responsabilité d’intervenir le moment venu. En d’autres termes, il faut organiser ses équipes pour agir efficacement lors du sinistre. 

  6. Définir des priorités et un coût de reprise d’activité: évaluer des seuils d’indisponibilité des services et les prioriser afin de définir le coût de fonctionnement de l’infrastructure qui permettra la reprise d’activité. Lorsque la reprise doit s’effectuer en moins d’une minute, la mise en place d’environnement synchrone élèvera rapidement les coûts par exemple. 

  7. Définir le choix de l’équipement de sauvegarde et de reprise d’activité ainsi que le budget qui y sera consacré. Il faut savoir que le doublement simple du matériel existant sur un site distant peut ne pas suffire dans certains cas. Le choix du matériel est donc important si l’on veut qu’il puisse supporter la charge. 

  8. Tester régulièrement le plan de reprise d’activité : bien que le coût d’un test de PRA soit conséquent, il est impératif d’évaluer régulièrement sa fiabilité à minima deux fois par an. 

  9. Faire évoluer le plan de reprise d’activité en fonction des changements apportés au système d’information: le SI d’une entreprise évolue constamment. Il est donc essentiel de répercuter ces changements sur le PRA construit initialement afin d’en assurer sa fiabilité. 

  10. Documenter précisément le PRA: il faut encourager le retour d’expériences des acteurs garants de la fiabilité du PRA en le documentant précisément. Le partage de la connaissance du SI va directement impacter les performances d’un PRA. Ainsi, les phases de tests ou les remontées d’échecs doivent être systématiquement documentées, ce qui est généralement peu souvent le cas. 

  11. Il ne faut pas oublier de prendre en compte les contraintes réglementaires intervenant dans certains cadres légaux auxquels une organisation peut être dépendante. 

 


Archiver