Dans plusieurs de nos publications traitant de la sécurité informatique (que vous pouvez dans notre dossier sur la Cybersécurité), vous avez pu lire « mise en place d’un PRA » ou « l’importance d’un Plan de reprise d’activité » pour les entreprises… Ce processus intervient quand nous abordons le sujet crucial de la sécurité du système d’information. Mais en quoi le Plan de Reprise d’Activité consiste-t-il concrètement ? Pourquoi le mettre en oeuvre ? Dans quel(s) cas le mettre en place ? Autant de questions auxquelles nous répondrons ci-après.
Qu’est-ce qu’un plan de reprise d’activité (PRA) ?
Le Plan de Reprise d’activité ou PRA, est un ensemble de procédures rédigées dans le but de prévoir les actions à mener au plus vite pour reconstruire ou redémarrer un système d’information touché par un incident ou un sinistre majeur.
Il est rédigé en tenant compte de tous les facteurs susceptibles de provoquer un incident majeur sur l’infrastructure du système d’information : incendie, inondation, panne logicielle, panne matérielle, vandalisme, problème de sauvegarde / backup, perte de données, ou encore une erreur humaine, une cyberattaque (ransomware, phishing…).
Le plan de reprise d’activité informatique, qui a pour objectif de pallier à de potentielles failles ou catastrophes informatiques, doit donc regrouper l’ensemble des procédures rédigées, décrivent les actions à mener, les personnes impliquées, le délai imparti et surtout les données à basculer en priorité sur le système relais.
La question n’est en effet pas de savoir si vous allez retrouver un fonctionnement normal de votre système d’information, mais quand vous allez le retrouver.
Pourquoi mettre en place un plan de reprise d’activité ?
Un plan de reprise d’activité informatique est, comme son nom l’indique, indispensable pour permettre à une entreprise de reprendre une activité en cas de sinistre significatif. En effet, le SI est la clé de voute de la majorité des sociétés. Un SI inexploitable pourra paralyser tout ou partie des activités d’une organisation.
Fort heureusement exceptionnelles, les menaces nécessitant la mise en place d’un PRA sont néanmoins nombreuses et de plus en plus courantes à cause d’une cybercriminalité toujours plus menaçante. On estime d’ailleurs, que plus d’une entreprise sur 3 aurait déjà subi un dommage nécessitant la mise en place d’un plan de reprise d’activité (Etude de Evolve IP, 2015).
Quels sont les avantages d’un plan de reprise d’activité ?
Outre le fait que la mise en place d’un plan de reprise d’activité permet à une entreprise victime d’un incident majeur de retrouver un SI fonctionnel, la rédaction de ce PRA rassurera, le cas échéant, des investisseurs ou les marchés, et garantit un haut niveau de qualité des services.
Voici quelques autres avantages du plan de reprise d’activité :
- Reprise d’activité après sinistre ;
- Apporte un sentiment de sécurité ;
- Montre le professionnalisme de l’entreprise ;
- Apporte une vision de l’intégralité de l’infrastructure informatique ;
- Permet de gagner en efficacité ;
- Permet de réduire les coûts ;
Comment mettre en place un plan de reprise d’activité ?
Pour élaborer un plan de reprise d’activité il sera indispensable d’interviewer tous les responsables de services pour identifier les données les plus sensibles à récupérer en priorité, de répertorier tous les risques auxquels le système d’information pourrait être confrontés, de lister tous les besoins humains et matériels pour mettre en place les actions nécessaires à la reprise d’activité, le coût de ces processus…
L’élaboration d’un plan de reprise d’activité doit être rigoureuse et prendre en considération tous les paramètres humains, matériels et les risques potentiels pour le système d’information. Il convient d’avoir une approche méthodique et exhaustive afin de :
- Lister tous les risques d’incidents ou de pannes informatiques éventuelles ;
- Evaluer chaque risque pour déterminer les données et applicatifs métiers éventuellement impactés ;
- Déterminer les besoins de sauvegarde, restauration… ;
- Définir les coûts, les délais et les personnes impliquées dans le plan de reprise d’activité ;
- Tester régulièrement le PRA et le faire évoluer en même temps que le système d’information ;
- Documenter le PRA.
Dans le cadre de la mise en place d’une stratégie de sécurité pour un système d’information, la rédaction d’un plan de reprise d’activité semble être indispensable. Tout comme la mise en place d’un PCA (Plan de Continuité d’Activité) l’est.