PRA informatique : nos conseils pour bien préparer son plan de reprise d’activité

Une panne matérielle, une attaque informatique : différentes causes peuvent rendre l’infrastructure IT d’une entreprise inopérante, ce qui entraînera des dégâts pour son fonctionnement et sa réputation. Le plan de reprise d’activité informatique est donc une démarche cruciale pour anticiper les conséquences d’un incident informatique et prévoir un back-up afin de relancer immédiatement le système d’information.

C’est quoi un plan de reprise d’activité ?

Le fonctionnement d’une entreprise est grandement tributaire de la disponibilité des services et données informatiques. On parle de dépendance informatique et de data dépendance : en cas d’incident empêchant les équipes d’accéder au système d’information de l’entreprise, l’activité serait bloquée de fait avec les pertes d’exploitation que cela induit. Face à ce constat, il est donc nécessaire de « backuper » l’infrastructure IT afin de pouvoir relancer au plus vite le SI en cas de survenance d’un risque informatique préalablement identifié.

Définition du plan de reprise d’activité informatique

Le plan de reprise d’activité (PRA) est un document listant un ensemble de procédures afin d’agir face à une situation de crise. Le plan de reprise d’activité informatique est un plan d’action spécifiquement dédié aux risques d’incidents informatiques menaçant la continuité de service des infrastructures IT. On peut aussi parler de plan de reprise informatique (PRI).

Le PRA (en anglais « disaster recovery ») a pour objectif de permettre la reprise des activités grâce au redémarrage du système d’information. Il doit prévoir un système de sauvegarde des données pour protéger les informations confidentielles en cas de menace, ainsi que les cas de figure nécessitant de basculer l’activité vers un système informatique de secours. Il doit enfin quantifier deux éléments :

• Le recovery time objective (RTO), soit la durée maximale d’interruption admissible par les différents services sans que cela empêche leur bon fonctionnement. Il s’agit de l’estimation de la durée nécessaire à la réplication et au rechargement des données ainsi qu’au redémarrage des systèmes.
• Le recovery point objective (RPO), soit la perte de données maximale admissible sans compromettre l’organisation.

Un PRA informatique fiable et fonctionnel peut se conformer à la norme ISO 22301 du management de la continuité d’activité. C’est par ailleurs une obligation réglementaire dans certains secteurs d’activité comme la banque et la finance.

Quels dangers menacent le système d’information d’une entreprise ?

La menace informatique susceptible d’interrompre l’accès au système d’information de l’entreprise est de trois natures :

• La panne informatique : la surchauffe, la condensation ou l’usure des composants peut conduire à une panne matérielle d’un serveur, d’un routeur ou même d’un câble. L’autre origine peut être une panne logicielle, un bug dans une application ou dans le système d’exploitation d’un serveur.
• La cyberattaque : ransomware, malware, phishing… Il existe une multitude de méthodes utilisées par les cybercriminels pour perturber le fonctionnement du système d’information de l’entreprise, le rendre inaccessible ou le corrompre.
• L’erreur humaine : une mauvaise manipulation, un mauvais paramétrage ou encore un acte malveillant d’un collaborateur peuvent interrompre l’accès au système d’information.

Quelle différence entre un PRA et un PCA ?

Il ne faut pas confondre plan de reprise d’activité et plan de continuité d’activité. La différence entre PRA et PCA est avant tout une question d’échelle : le PRA porte spécifiquement sur les risques informatiques et les moyens à déployer pour rétablir le système d’information de l’entreprise. Le PCA quant à lui poursuit un objectif différent, le maintien de l’activité pendant la durée du sinistre. Il n’est pas centré uniquement sur l’infrastructure informatique, mais anticipe d’autres risques tels que les catastrophes naturelles ou la fraude. Il va par exemple prévoir dans ses mesures l’installation d’un dispositif d’alarme incendie. PRA et PCA sont donc complémentaires pour assurer la pérennité de l’entreprise.

Le PRA informatique étape par étape

Le pilotage du plan de reprise d’activité informatique de l’entreprise nécessite de passer en mode projet, avec une personne chargée de son élaboration qui bénéficie du soutien de la direction.

1. Identifier et évaluer les risques

Le PRA doit partir d’un état des lieux précis des risques et de leur impact sur le fonctionnement du système d’information de l’entreprise. Le document doit donc recenser les éléments qui composent l’infrastructure informatique, les applications utilisées par les collaborateurs, les besoins en termes de réseau ou encore la fréquence de sauvegarde des données.

2. Définir des priorités

À partir des besoins critiques des différents services qui composent l’entreprise, le PRA doit prioriser les ressources indispensables pour une reprise des fonctions essentielles, afin de permettre une restauration la plus rapide possible et à moindre coût. L’entreprise doit en effet prévoir un budget PRA informatique afin d’opter pour la solution la plus cohérente qui supportera les coûts du matériel et des services à mettre en place.

3. Établir une stratégie de récupération

La reprise d’activité informatique passe par une solution de secours. L’entreprise doit pouvoir s’appuyer sur un plan B, sur lequel les données et services seront répliqués afin de se substituer à l’infrastructure informatique défaillante. Par ailleurs, les responsabilités de chacun doivent être mentionnées pour que chaque collaborateur ait connaissance du rôle qu’il doit remplir en situation de crise afin d’assurer la reprise d’activité du SI la plus rapide et efficace.

4. Tester et faire évoluer régulièrement les procédures à suivre

L’architecture informatique d’une entreprise évolue en permanence, il convient donc d’adapter en conséquence le PRA en s’assurant que le dispositif de secours est à jour. De la même manière, le PRA doit s’adapter aux évolutions dans le personnel et les process. Des simulations semestrielles ou annuelles par exemple vont permettre de s’assurer de la résilience du système d’information en cas de sinistre, via un test de bascule vers le back-up du système d’information en conditions réelles. Les anomalies détectées seront mises à profit pour mettre à jour les procédures.

5. Documenter le PRA informatique

L’ensemble des procédures (préventives, curatives et stratégiques) visant à relancer l’infrastructure IT de l’entreprise doit être documenté de manière détaillée. Le jour venu, les équipes pourront ainsi s’appuyer sur des directives claires afin d’appliquer les bonnes actions en fonction de la panne. Chaque retour d’expérience sera précieux à notifier pour améliorer l’efficacité et la fiabilité du PRA.

Comment Telehouse peut-il accompagner les entreprises dans leur PRA ?

Le datacenter TH3 Telehouse à Magny-les-Hameaux dans l’Ouest parisien apporte toutes les garanties pour une mise en œuvre efficace et rapide d’un plan de reprise d’activité informatique. Ce centre de données bénéficie en effet d’une conception hautement redondante, assurant une continuité ininterrompue et une disponibilité des services en toutes circonstances. Les services de support dédiés 24/7 offrent une réactivité immédiate pour accompagner les entreprises dans la relance de leur SI. Par ailleurs, l’infrastructure du datacenter Telehouse TH3 offre une grande flexibilité pour s’adapter aux besoins d’un PRA.