En entreprise, la sécurité du système informatique ne dépend pas que des solutions antivirus. Elle nécessite également l’anticipation d’un éventuel arrêt de l’infrastructure IT. Dans ces circonstances, l’existence d’un plan de reprise d’activité est un très grand atout. Voici comment ce plan peut aider à se prémunir contre les catastrophes informatiques.
Plan de l'article
Le PRA : de quoi s’agit-il ?
Le Plan de reprise d’activité (PRA) est une opération qui vise à relancer le fonctionnement d’une entreprise après un sinistre. Dans le domaine de la sécurité informatique, le sinistre peut correspondre à une brèche de cybersécurité (perte, vol ou disparition de données) ou à un cybercrime.
A lire également : Décrypter le succès : valorisez votre business avec les données et un solide CRM
En informatique, le Plan de reprise d’activité peut avoir de nombreux objectifs. Il s’agit notamment de :
- L’anticipation et l’atténuation des impacts des cybercrises,
- La garantie de la protection des données numériques sensibles en cas de faille de sécurité,
- L’assurance de la continuité des travaux malgré un sinistre,
- Le déploiement d’un système de secours pour récupérer les applications vitales.
Le Plan de reprise d’activité est en général un document qui recense l’ensemble des processus nécessaires pour reconstruire et maintenir le système informatique quand un cyber crise se produit.
A lire en complément : Comment construire sa stratégie d'achats
Il indique également les moments et circonstances idéaux pour se référer aux systèmes de secours. Ce document mentionne en outre les durées maximales d’interruption admissibles (Recovery Time Objective) pour chaque département de l’entreprise après une cyber crise.
Le PRA informatique ne doit pas ailleurs pas être confondu avec plan de continuité d’activité. Ce dernier anticipe les impacts d’un éventuel sinistre sur l’entreprise. Il prévoit aussi les mesures à prendre pour limiter les conséquences néfastes d’une cyber crise.
Comment élaborer un PRA efficace pour se prémunir contre les catastrophes informatiques ?
La rédaction d’un plan de reprise d’activité se déroule en plusieurs étapes bien définies. Elle va de la conception du cahier des charges jusqu’à la mise en œuvre des mesures. Voici quelques conseils pour une élaboration efficace.
Vérifier les recommandations officielles et définir les responsabilités
Chaque secteur d’activité est régi par des normes et réglementations. Il faut alors prendre connaissance des modalités spécifiques à chaque secteur avant de commencer par élaborer le plan de reprise d’activité.
Cette étape est particulièrement importante dans le domaine de la banque et de la finance. L’Autorité des marchés financiers exige en effet que les entreprises agréées et spécialisées dans la gestion des portefeuilles mettent en place un PRA pour les éventuels cas de sinistre.
Il peut par ailleurs être utile de nommer un responsable de la réalisation du plan de reprise d’activité. Celui-ci doit provenir de la direction du système d’information. Son rôle est de déterminer les infrastructures à backuper en priorité pour éviter les interruptions d’activité en cas de d’arrêt du SI.
Auditer le système informatique et classer les activités critiques
L’inventaire des outils informatiques est une des étapes les plus importantes dans la réalisation du plan de reprise d’activité.
Il permet de recenser les besoins en termes de réseau, de débit, les serveurs existants ainsi que les applications logicielles qui sont utilisées de façon quotidienne. Les sauvegardes automatiques sont également prises en compte.
Une autre étape essentielle consiste à classifier les opérations du PRA selon leur degré de criticité. Cela permet la résolution des problèmes propriétaires et la reprise immédiate des activités de l’entreprise.
Prévoir un budget et les contours de la solution informatique de secours
Bien qu’elle permette de réduire les pertes financières, l’élaboration d’un plan de reprise d’activité représente une vraie dépense. Le budget alloué à cette opération détermine le type de solution de backup qui sera déployé en cas d’arrêt de l’activité informatique. Les entreprises doivent comparer les dépenses dues à un PRA à celles qui seraient effectuées en cas de rupture de fonctionnement des systèmes informatiques.
Une autre étape et pas des moindres dans la conception d’un plan de reprise d’activité consiste à définir les spécificités du système informatique de secours. De nombreuses sociétés optent pour un site de secours qui doté d‘infrastructures IT nécessaires pour effectuer une réplication de données.
Il s’agit d’une solution assez intéressante, car elle fonctionne selon le principe de réciprocité : chaque site protège l’autre.
Malgré son efficacité, ce système est assez onéreux. C’est pour cette raison que d’autres organisations préfèrent se tourner vers un prestataire de service pour disposer d’une infrastructure à distance. Elles optent alors pour le PRA sur cloud en mode DRaaS ou Recovery As A Service.