01 75 43 25 41
Parlons de votre projet
Logo noir - Némésis studio
Logo blanc - Némésis studio
Newsroom
Accueil Némésis studio PRA : comment assurer la reprise de votre activité en cas de sinistre ?
Némésis studio

PRA : comment assurer la reprise de votre activité en cas de sinistre ?

26 mai 2021 0 Commentaires

Temps de lecture : 10 min

 

Le mois dernier, nous vous parlions de l’importance d’avoir une stratégie de sauvegarde efficace. Seulement, pour que cette sauvegarde soit réellement efficace, il faut qu’elle soit accompagnée de méthodes spécifiques. C’est d’autant plus vrai quand cette sauvegarde doit être utilisée suite à une perte de données. En effet, suite à une telle catastrophe, il peut être difficile de savoir par où commencer pour rétablir les services et pour que sa société puisse rapidement reprendre ses activités. Pour pallier à ce désordre organisationnel qui pourrait vous faire perdre du temps, de l’argent, et bien plus, il existe ce que l’on appelle le plan de reprise d’activité.

 

Qu’est-ce qu’un plan de reprise d’activité informatique ?

Un plan de reprise d’activité (PRA) est un ensemble d’outils et de procédures qu’une entreprise planifie pour se remettre rapidement d’une potentielle perturbation majeure de ses outils informatiques. Le plan de reprise des activités est propre à chaque société car il dépend des besoins numériques et des objectifs de reprise spécifiques à chaque organisation.

Dans le plan de reprise des activités, la « perturbation » peut être tout événement qui interrompt l’accès aux données, aux applications ou aux systèmes. Cela peut inclure les pannes de courant, les problèmes techniques, les cyberattaques, les catastrophes naturelles, en bref, tout ce qui peut perturber le travail informatique d’une entreprise.

L’objectif du PRA est d’offrir un guide détaillé des actions à mener pour surmonter au mieux l’incident en restaurant rapidement les activités essentielles à la société. Plus le plan est bien construit et détaillé, plus il est possible de minimiser les dommages inerrants à une coupure de service.

Le plan de reprise des activités est un peu comme une assurance. Beaucoup d’organisations n’en mesurent l’intérêt qu’une fois qu’elles en ont réellement besoin. De ce fait, beaucoup de chefs d’entreprise, notamment de PME, ne mesurent pas l’importance d’un plan de reprise d’activité.

 

Plan de reprise d’activité (PRA) VS plan de continuité d’activité (PCA)

Il n’est pas rare d’entendre parler de « plan de continuité de l’activité » ou « PCA » quand le sujet tourne autour du plan de reprise (PRA). En effet, les deux termes sont souvent confondus. Cependant, ils ne représentent pas les mêmes plans d’action.

Le plan de continuité de l’activité (PCA) est principalement axé sur le maintien des services malgré les interruptions. Il a pour objectif principal de garantir le bon fonctionnement des systèmes informatiques critiques de la société, y compris en cas de crise.

Pour continuer à offrir la même qualité de service quelle que soit la situation, le PCA s’articule principalement autour de la conception de l’architecture du système informatique de l’organisation (mise en place d’équipements redondants).

Seules les applications et données essentielles à l’activité de l’entreprise sont généralement concernées par le plan de continuité d’activité car il nécessite la mise en place de solutions très coûteuses.

A contrario, le plan de reprise de l’activité consiste à rétablir l’activité de la société suite à une interruption. Il vise à rétablir tout le système informatique et pas seulement les systèmes essentiels. Ainsi, ces 2 plans sont souvent complémentaires.

 

Que contient un plan de reprise d’activité ?

Le plan de reprise des activités intègre généralement les éléments suivants :

 

La durée maximale d’interruption admissible (RTO : Recovery Time Objective)

Il s’agit du délai maximum alloué au rétablissement d’une application ou d’un processus à la suite d’un sinistre. Ce délai est défini avec précision afin d’éviter des conséquences importantes suite à une coupure trop longue d’un service. Il est généralement dépendant de la performance des solutions utilisées. Plus la solution sera performante, plus les délais seront courts.

 

La perte de données maximale admissible (RPO : Recovery Point Objective)

Il s’agit de la quantité maximale acceptable de perte de données. Le RPO est exprimé en temps (jours, heures, minutes ou secondes) et définit « l’âge » maximal des données pouvant être utilisées pour reprendre l’activité suite à une catastrophe. Ce temps est contrôlé en ajustant la fréquence des sauvegardes de données.

 

Le plan de sauvegardes de données à distance

La création d’une sauvegarde hors site des données les plus importantes est au cœur de toute solution de reprise d’activité. Il est donc important d’avoir tous les éléments nécessaires à l’exploitation de cette sauvegarde à disposition. Dans le cas d’une architecture complexe de sauvegarde (différents serveurs, différents supports, différents prestataires), un plan de sauvegarde est idéal pour avoir une vision d’ensemble de son parc de données.

Le tableau de responsabilité
Pour être réactif lors d’une reprise d’activité, il est important de définir qui fait quoi, quand, comment, etc. Le tableau de responsabilité permet d’attribuer des rôles et des responsabilités à des personnes / postes / services / prestataires définis afin d’assurer l’application du plan de reprise d’activité dans les meilleures conditions.

 

Test du plan de reprise d’activité

Le PRA nécessite de faire des tests fréquents pour garantir que les RTO et RPO peuvent être respectés en cas d’urgence réelle. Il est recommandé de planifier un test 1 à 2 fois par ans minimum mais aussi à chaque changement majeur sur l’installation (nouvel outil, nouveau serveur, nouveau prestataire).

A chaque nouveau test, le plan de reprise des activités pourra être complété et documenté avec les erreurs rencontrées et les solutions trouvées afin de gagner en efficacité lors des prochains tests ou lors d’une utilisation en situation de crise.

 

Comment élaborer un plan de reprise d’activité ?

Chaque organisation étant différente, il n’est pas possible de dresser une liste type pour élaborer son plan de reprise d’activité. Toutefois quelques étapes semblent indispensables :

 

Faire l’inventaire de vos ressources informatiques

Quelle que soit la taille de votre entreprise, cette étape d’inventaire est indispensable pour élaborer votre plan de reprise d’activité. Avant de pouvoir planifier le « retour à la normale », vous devez en effet savoir à quoi ressemble « la normale » pour votre société.

En créant un inventaire de toutes les ressources informatiques de votre réseau et des données que contient chaque ressource, vous pouvez commencer à rationaliser les éléments pour faciliter la sauvegarde et la récupération des informations à l’avenir.

 

Déterminer ce qui est « essentiel à l’activité »

De nombreuses organisations traitent et stockent beaucoup plus de données qu’elles ne le pensent. Une grande partie de ces données est redondante ou non cruciale pour le bon fonctionnement de l’activité. Au cours de l’inventaire informatique, vous rencontrerez probablement de nombreuses données de ce type.

Or si vous souhaitez copier l’intégralité des ressources informatiques de votre entreprise, y compris les fichiers inutiles, cela risque de demander beaucoup de ressources en termes de stockage mais aussi en termes de performances. Le jour où vous aurez besoin d’appliquer votre plan de relance d’activité, il sera alors long et fastidieux de tout remettre en place.

Il est donc préférable de déterminer quelles sont les ressources essentielles à la reprise de l’activité, celles sans lesquelles votre société pourrait difficilement fonctionner. En triant les données inutiles ou redondantes, vous pourrez considérablement réduire la taille des sauvegardes que vous devrez créer. Vous économiserez ainsi de l’espace de stockage mais aussi du temps et des ressources nécessaires plus tard.

 

Définir le rôle et les responsabilités de chacun

Pour être efficace, le PRA doit être appliqué à la lettre. Chaque employé ou prestataire ayant des responsabilités dans le plan de reprise des activités doit être clairement identifié afin que chacun connaisse son rôle à jouer. Pour cela, le plus pratique est de rédiger un tableau de responsabilité indiquant précisément le rôle et les tâches de chaque intervenant. Lors de cette étape, vérifiez que chacun peut répondre convenablement aux problématiques qui lui seront confiées. Pensez également à prévoir des intervenants de secours en cas de nécessité.

 

Définir vos objectifs de récupération

Au bout de combien de temps votre organisation doit-elle être en mesure de se remettre d’un sinistre ? Combien et quelles données pouvez-vous vous permettre de perdre en cas d’incident ? Ces questions sont cruciales pour définir vos objectifs de récupération et élaborer un plan de reprise d’activité efficace.

Elles vous permettent notamment de donner la priorité à certaines données par rapport à d’autres en fonction de vos RPO et vos RTO. Par exemple, les données moins importantes auxquelles il n’est pas nécessaire d’accéder immédiatement peuvent recevoir une priorité plus faible, en leur attribuant un temps de récupération plus long. La priorité de sauvegarde sera alors attribuée aux données plus critiques dont vous aurez besoin rapidement.

Dans ce cas, les données critiques (celles sans lesquelles votre organisation peut difficilement fonctionner) devraient se voir attribuer des RPO et des RTO courts afin de minimiser les conséquences néfastes sur votre activité (perte de chiffre d’affaires, perte de la confiance des clients, etc.). Cela pourrait signifier avoir des sauvegardes fréquentes de ces informations. Dans le cas de données très critiques, cela pourrait même aller jusqu’à mettre en place une solution de secours avec un serveur de sauvegarde configuré pour prendre le relais du serveur principal en cas de sinistre.

 

Trouver une solution de stockage de données à distance

Dans notre dernier article « Pourquoi utiliser une stratégie de sauvegarde 3-2-1 », nous vous parlions de l’importance d’effectuer des sauvegardes de vos données, mais aussi de l’importance d’avoir des données stockées à distance. En effet lorsque votre entreprise est touchée par une catastrophe qui peut détruire votre solution de stockage de données principale, ces données peuvent être perdues définitivement si vous ne disposez pas d’une solution de sauvegarde à distance.

Beaucoup de sociétés minimisent ce risque. Or, les systèmes de stockage de données peuvent être victimes de nombreux incidents naturels, techniques ou encore humains. Il est par exemple de plus en plus fréquent d’entendre parler d’attaque de ransomware. Ce type de cyberattaque peut aussi bien toucher les grands groupes que les petites PME. Dans ce cas, les pirates informatiques cryptent toutes les données de votre base de données principale jusqu’au paiement d’une rançon. Cependant, payer cette rançon ne signifie pas forcément que les criminels vous donneront la clé de cryptage pour restaurer vos données. Une sauvegarde à distance des données cryptées pourrait alors vous éviter bien des désagréments puisque vous pourriez les restaurer à partir de la sauvegarde.

De même, si les serveurs stockant vos données étaient physiquement endommagés, par exemple par un incendie, une inondation ou un problème technique, vous pourriez utiliser les données stockées sur la sauvegarde pour couvrir la perte.

Vous l’aurez compris, la sauvegarde permet de grandement minimiser les perturbations liées à une perturbation. N’hésitez pas à relire notre article « Pourquoi utiliser une stratégie de sauvegarde 3-2-1 » pour en savoir plus sur ce sujet.

 

Créer un test pour le plan de reprise d’activité

La création d’un PRA pour votre société est une chose, mais savoir que ce plan fonctionnera lorsque vous en aurez besoin en est une autre. Pour cette raison, il est essentiel de disposer d’une méthode pour tester régulièrement votre plan de reprise après sinistre. Cette méthode doit être mise en œuvre au minimum une fois par an. Plus votre activité repose sur des données critiques, plus les tests doivent être fréquents afin de limiter tout risque de défaillance en cas de catastrophe.

Lors de la création de ce test, tenez compte des éléments suivants :

Le manque de redondance

Y a-t-il des données et outils qui manquent de redondance dans votre plan de récupération ? Si ces points de défaillances uniques rencontrent un problème, pouvez-vous continuer votre plan de récupération ?

Le temps de récupération

Combien de temps faut-il entre le début et la fin du test pour restaurer les fonctionnalités prioritaires ? Combien de temps encore pour que les choses reviennent à la normale ? Tenez compte de ces temps de récupération et cherchez comment vous pourriez les rendre plus rapides.

Le point de récupération

Quelle quantité de données a été perdue lors du passage à la sauvegarde distante ? Les données perdues étaient-elles critiques pour votre activité ? La vérification des points de récupération est importante pour éviter la perte de données cruciales lors d’un incident réel.

Le type de sinistre simulé

Pour que vos tests de plan de reprise d’activité soient efficaces, essayez de simuler différents incidents (données corrompues suite à une attaque / inaccessibles suite à un dommage serveur / etc.). Essayez d’envisager comment différents types de perturbations peuvent affecter vos options et vos besoins en matière de récupération. Cela vous aidera à créer un PRA plus efficace.

 

Qui peut mettre en place un plan de reprise dans votre entreprise ?

Un plan de reprise des activités peut être mis en place en interne si votre équipe dispose des connaissances et compétences techniques nécessaires. Sinon, il est possible de déléguer tout ou partie du plan de reprise à une entreprise spécialisée. Le rôle de ce type de société est de vous aider à créer et gérer votre plan de reprise d’activité. Comme pour tout choix de prestataires vérifiez bien les services proposés et faites plusieurs demandes afin de vous assurer de signer pour des prestations répondant bien à vos besoins.

 

Comme d’habitude, nous espérons que cet article aura pu vous être utile et vous en apprendre davantage sur le plan de reprise d’activité. Toute notre équipe reste à votre disposition pour toute question. Alors n’hésitez pas à contacter les experts Némésis studio !

Tous droits de reproduction et de représentation réservés © Némésis studio. Toutes les informations reproduites sur cette page sont protégées par des droits de propriété intellectuelle détenus par Némésis studio. Par conséquent, aucune de ces informations ne peut être reproduite, modifiée, rediffusée, traduite, exploitée commercialement ou réutilisée de quelque manière que ce soit sans l’accord préalable écrit de Némésis studio. Némésis studio ne pourra être tenue pour responsable des délais, erreurs, omissions qui ne peuvent être exclus, ni des conséquences des actions ou transactions effectuées sur la base de ces informations.

3131 Views
Pourquoi utiliser une stratégie de sauvegarde des données 3-2-1 ?PrécedentPourquoi utiliser une stratégie de sauvegarde des données 3-2-1 ?28 avril 2021
Comment améliorer efficacement la qualité de vos données ?29 juin 2021Comment améliorer efficacement la qualité de vos données ?Suivant

Autres articles intéressants

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.