Pourquoi le plan de reprise d’activité ne doit plus être envisagé comme une option pour votre entreprise

Une entreprise sur trois a déjà subi un incident ou une panne qui a nécessité le déclenchement d’un plan de reprise d’activité après sinistre (Etude de Evolve IP, 2015). Comme l’indique Evolve IP, il ne s’agit pas de savoir si le système d’information d’une entreprise va ou non rencontrer un sinistre, mais plutôt de savoir quand il surviendra.
Et lorsqu’il surviendra, l’entreprise concernée sera-t-elle prête à y faire face ?

Les causes d’incidents sur l’infrastructure du système d’information peuvent être diverses : panne matérielle, panne logicielle, panne de backup, cyberattaque, erreur humaine, catastrophe naturelle, etc.
En raison de la multiplication des réseaux informatiques, les entreprises doivent à présent établir leurs stratégies de protection de données en tenant compte également des potentielles attaques et des intrusions fréquentes sur les systèmes d’informations (ransomware, cryptolocker, phishing, etc.). L’ouverture d’un marché de solutions destinées à combattre les cyberattaques, reflète clairement cette problématique devenue majeure pour de nombreuses entreprises.

plan de reprise d'activité

En 2017, ces cyberattaques ne devraient plus être considérées comme des épiphénomènes dans l’activité d’une entreprise.
Pourtant, 54 % des organisations sondées lors de l’étude de Evolve IT dépenseraient moins de 50.000 $ par an à la mise en place d’un plan de reprise d’activité ou de continuité d’activité.
Statistique qui nous indique que l’effort consenti par les entreprises à la sauvegarde de leur patrimoine numérique, au regard de ce que peut coûter à une organisation la perte totale ou partielle de ses données, reste faible.

Concrètement, quels risques court une entreprise face à un sinistre sur son activité ?

93% des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant 10 jours ou plus, ont fait faillite dans l’année suivante la catastrophe.

Cette donnée rapportée par Continuity Central peut faire peur, mais elle indique concrètement la conséquence à court termes d’une rupture d’activité ou de discontinuité des services d’une entreprise.

Alors, quels sont les risques auxquels s’expose une entreprise n’ayant pas élaborer de plan de reprise d’activité ou n’ayant pas entamé à minima une réflexion en ce sens ?

Les impacts d’un sinistre sur l’entreprise

Les effets ressentis seront tout d’abord d’ordre opérationnels et fonctionnels. Si aucune mesure n’existe en faveur du rétablissement des services, les équipes peuvent être directement impactées dans leur travail (arrêt de machine, de serveur, d’accès au réseau, etc.), les outils de communication internes et externes peuvent être inutilisables, etc.
Assez rapidement, le pouls de l’entreprise ralenti et son activité, tout comme sa visibilité, peuvent disparaître des radars de ses fournisseurs, de ses partenaires, de ses clients et de ses prospects. En d’autres termes plus le « délai d’invisibilité » sera court, moins l’impact sera négatif pour l’entreprise.

D’un point de vue commercial et financier, il peut s’en suivre des pertes sur les ventes ou la signature de contrats. Mais c’est également la perte de clients, voir de parts de marché qui peuvent être observées. Plus le cycle de vente propre au business modèle de l’entreprise sera court, plus les pertes d’un point de vue commercial seront immédiates.
Imaginons un instant que la plate-forme web d’Amazon France ne soit plus accessible pendant 1 heure de forte affluence.
Pour essayer de se représenter cela, le lundi 8 décembre 2014, Amazon enregistrait un nombre record de plus de 1 million de colis expédiés en une journée, depuis le réseau de distribution France. On peut donc supposer que l’heure d’inaccessibilité au service, lors de cette journée, aurait fortement impactée les revenus financiers d’Amazon.

A l’inverse, avec un cycle de vente moyen à long, l’entreprise a des chances d’essuyer moins de pertes directes. Il s’agira alors pour elle de rétablir au plus vite ses services.
Cependant cela pourra avoir d’autres impacts, comme sur l’image et la réputation de l’entreprise ou encore sur la confiance des partenaires. Une marketplace, un système de paiement en ligne, une plateforme de réservation de chambre d’hôtel pourraient voir une part des utilisateurs s’orienter vers de nouveaux prestataires ou communiquer négativement à l’encontre du service défaillant.

Comment se préparer en prévision d’un sinistre sur l’activité de son organisation ?

Bien que la réponse comporte de multiples volets selon les types de sinistres, leur envergure, la structure de l’organisation impactée, il est impératif de construire en amont un plan de reprise d’activité, c’est-à-dire de récupération des données et de réactivation des services perdus qui, sera éprouvé et testé avant sa mise œuvre, le jour du sinistre.

L’objectif pour une entreprise sera donc de monter un plan de reprise d’activité qui idéalement, devra être couplé avec un plan de continuité d’activité.
Lors du processus d’élaboration du plan de reprise d’activité, il sera obligatoire d’identifier les activités de l’entreprise considérées comme critiques, d’interviewer les responsables de chaque activité, de déceler l’origine probable de futurs sinistres, de définir les besoins humains et matériels qui soutiendrons la mise en œuvre du plan, d’estimer les coûts liés à la réalisation et au déroulement du plan de reprise, etc.

Autant de critères à appréhender, qui plus ils seront nombreux et collectés de manière précise, favoriseront le déclenchement et la réalisation du plan de reprise d’activité par tous les acteurs concernés.

11 étapes à suivre pour bien documenter un PRA

Que le PRA soit construit en s’appuyant sur un site de secours, un datacenter ou qu’il soit construit dans le Cloud sur des ressources informatiques virtualisées, il convient d’adopter une démarche logique et parfaitement documentée pour assurer la performance d’un plan de reprise d’activité.

etablir un plan de reprise d'activité

Pour repère voici 11 étapes préalables à avoir en tête pour mener à bien la constitution d’un plan de reprise d’activité pour son entreprise :

  1. Faire un audit de tous les risques de pannes possibles pour le système d’information et identifier les causes probables : panne matérielle, panne logicielle, cyberattaque, coupures électriques, incendie, catastrophe naturelle, erreur humaine, etc.
  2. Détecter et évaluer chaque risque pour identifier les applications métiers qui ne pourront pas fonctionner en mode dégradé. Il faut donc bien appréhender et mesurer la tolérance aux pannes de l’ensemble du système d’information.
  3. Définir la criticité des environnements applicatifs et les besoins de sauvegarde ainsi que de restauration qui devront s’appliquer. Devront être définis ici le RTO (Recovery Time Objective) et le RPO (Recovery Point Ojective).
  4. Prévoir des sauvegardes automatiques à une fréquence correspondant au besoin de l’organisation.
  5. Faire du « Crisis Management », c’est-à-dire attribuer des rôles et des tâches à des personnes précises qui auront la responsabilité d’intervenir le moment venu. En d’autres termes, il faut organiser ses équipes pour agir efficacement lors du sinistre.
  6. Définir des priorités et un coût de reprise d’activité: évaluer des seuils d’indisponibilité des services et les prioriser afin de définir le coût de fonctionnement de l’infrastructure qui permettra la reprise d’activité. Lorsque la reprise doit s’effectuer en moins d’une minute, la mise en place d’environnement synchrone élèvera rapidement les coûts par exemple.
  7. Définir le choix de l’équipement de sauvegarde et de reprise d’activité ainsi que le budget qui y sera consacré. Il faut savoir que le doublement simple du matériel existant sur un site distant peut ne pas suffire dans certains cas. Le choix du matériel est donc important si l’on veut qu’il puisse supporter la charge.
  8. Tester régulièrement le plan de reprise d’activité : bien que le coût d’un test de PRA soit conséquent, il est impératif d’évaluer régulièrement sa fiabilité à minima deux fois par an.
  9. Faire évoluer le plan de reprise d’activité en fonction des changements apportés au système d’information: le SI d’une entreprise évolue constamment. Il est donc essentiel de répercuter ces changements sur le PRA construit initialement afin d’en assurer sa fiabilité.
  10. Documenter précisément le PRA: il faut encourager le retour d’expériences des acteurs garants de la fiabilité du PRA en le documentant précisément. Le partage de la connaissance du SI va directement impacter les performances d’un PRA. Ainsi, les phases de tests ou les remontées d’échecs doivent être systématiquement documentées, ce qui est généralement peu souvent le cas.
  11. Il ne faut pas oublier de prendre en compte les contraintes réglementaires intervenant dans certains cadres légaux auxquels une organisation peut être dépendante.

 

Besoin d’un accompagnement pour votre PRA INFormatique ? CONTACTEZ-NOUS.

 

Si vous recherchez des informations sur la méthodologie d’un PCA (Plan de Continuité d’Activité), sachez qu’il existe une ressource très bien documentée, accessible sur le portail de l’économie et des finances du gouvernement et présentant étape par étape la démarche à suivre : http://www.economie.gouv.fr/files/hfds-guide-pca-plan-continuite-activite-_sgdsn.pdf

Quels critères avoir à l’esprit pour le maintien d’un Plan de reprise d’Activité performant dans SON entreprise ?

criteres pour mise en oeuvre d un PRA

Chaque entreprise avance différemment dans sa stratégie de sauvegarde et de protection de ses données numériques. Certaines disposent déjà d’un PRA associé à un PCA, d’autres ont initié des démarches préliminaires auprès de prestataires spécialisés, d’autres encore évaluent simplement à ce stade la pertinence d’un PRA / PCA pour leur organisation.

Quoi qu’il en soit, il faut être capable de se poser fréquemment certaines questions, de manière à garantir la fiabilité et la performance de sa solution de PRA si l’on en détient une.

Sous quel angle doivent être envisagées les relations avec un potentiel prestataire informatique garant d’un PRA ? Quelle est la réactivité et la disponibilité qui peuvent être attendues de la part du prestataire ? Quels sont les éléments qui doivent être pris en charge par le prestataire et qui doivent être consignés dans le contrat de plan de reprise d’activité ? En cas de panne, quelles sont les garanties de retrouver ses services, ses données et sous quel délai ? Quelle est la capacité du prestataire à long terme, de prévenir l’entreprise des risques à surveiller et auxquels elle pourrait être confrontée demain ?

Que l’on parle d’un plan de reprise d’activité sur site, dans un datacenter ou chez un hébergeur Cloud, la transparence des informations et la nature des communications entre le prestataire et l’entreprise, sont des composantes essentielles à la tenue d’un PRA performant et flexible qui tienne pendant toute la durée du contrat.

 

haut