La mise en place du Plan de Reprise d’Activité (PRA) et du Plan de Continuité d’Activité (PCA)

Pourquoi mettre en place un Plan de Reprise d'Activité ou un Plan de Continuité d'Activité ?

Préserver son système d’information est un enjeu majeur pour les entreprises. En le préservant, elles garantissent le bon fonctionnement de leurs activités critiques et vitales.

En cas de rançongiciel, catastrophe naturelle, panne matérielle, coupure électrique, effacement volontaire ou encore erreur humaine, les unités informatiques (serveurs, disques durs, baies de stockage, réseau…) peuvent se retrouver partiellement ou totalement détruite.

L’indisponibilité du système d’information coûte très cher aux entreprises. Selon l’étude Global Data Protection Index (GDPI) de 2020, pour la France :

• 24% des entreprises ont subi une perte de données au cours des douze derniers mois, avec un coût moyen de 493 000 dollars.
• 37 % des entreprises ont subi des temps d’inactivité non planifiés de leur système informatique, avec un coût moyen de 382 000 dollars.

Outre les pertes financières et la baisse de votre chiffre d'affaires, d'autres conséquences sont possibles :

• Baisse de la satisfaction clients, de la réputation et de l'image de marque de votre entreprise, mais aussi perte de confiance
• Problèmes juridiques en cas de non-respect des obligations légales
• Problème de fonctionnement en interne pouvant baisser la satisfaction des employés

Dans de telles circonstances, tout responsable informatique doit disposer de moyens permettant de redémarrer le système informatique dans des délais les plus courts possibles. Et c’est là, qu’entrent en jeu le PRA et le PCA.

Définition du PRA et PCA

Qu’est-ce qu’un PRA ?

Le Plan de Reprise d’Activité (PRA) est une procédure déclenchée en cas de sinistre. Il a pour but d’anticiper et d’atténuer les effets de ce sinistre et d’assurer la reprise des activités de l’entreprise.

Sous forme de document, le PRA répertorie étape par étape les procédures à effectuer pour reconstruire le SI et remettre en route les applications nécessaires à l'activité de l'entreprise.

Qu’est-ce qu’un PCA ?

Le Plan de Continuité d’Activité (PCA) est une procédure qui assure la continuité des activités de l’entreprise. C’est-à-dire qu'avec le PCA l'accès est préservé et il n'y a pas de coupure d’exploitation, ni de perte de données.

Également sous forme de document, le PCA contient les procédures à réaliser pour assurer la continuité d’activité de l’entreprise. Choix des unités informatiques de secours, méthodes ou encore actions humaines à assurer.

La différence entre le PRA et le PCA

Là où le Plan de Reprise d’Activité s’arrête à la gestion et au redémarrage de l’activité de l’entreprise, le Plan de Continuité d’Activité va lui empêcher l’arrêt de l’activité. Le PCA va beaucoup plus loin que le PRA et est ainsi plus adapté à des entreprises ayant des enjeux stratégiques et financiers très importants tels que les ETI et les Grands comptes mais aussi les organismes publics critiques tels que les hôpitaux.

Comment choisir entre le PRA et le PCA ? Quel plan est le plus adapté à mon entreprise et à ses enjeux ? Comment le mettre en place ? Quels sont les points à ne pas négliger ? On vous répond dans la suite de cet article.

Comment choisir entre le PRA et le PCA ?

Chaque PRA PCA est unique. Le choix entre l’un ou l’autre va dépendre de la criticité des activités de l’entreprise. Pour choisir, il faut commencer par définir un périmètre.

Comment définir le périmètre ?

Première étape, faire une analyse précise de l’existant qui identifie l’infrastructure et les mesures déjà en place dans l’entreprise, les activités les plus stratégiques et critiques pour l’entreprise et les besoins et enjeux de la direction.

L’objectif sera de répondre aux questions :

• Quelles sont les activités et les applications les plus stratégiques pour l’entreprise ?​
• Quelles sont celles qui peuvent souffrir d’un arrêt temporaire de fonctionnement ?

Deuxième étape, définir les fameux Recovery Time Objective (RTO) et Recovery Point Objective (RPO). Le RTO est la durée d'interruption maximale admissible. Le RPO, lui est la perte de données maximale admissible. L'un définit les objectifs de temps et l'autre le volume de données. Pour mieux comprendre ces deux notions, Kévin TABAR vous partage ses conseils dans un avis d'expert dédié au RTO et RPO.

Une fois ces deux étapes réalisées, vous aurez une vision globale et pourrez mieux appréhender la mise en place d’un PRA ou d’un PCA.

Par exemple, une entreprise qui estime que son activité est mise en péril dès la première seconde mettra en œuvre un PCA. Cependant, une entreprise qui estime que son activité est mise en péril qu'en cas de perte totale de ses données, mais accepte un arrêt d'activité et un redémarrage qu'après plusieurs heures mettra en place un PRA.
 

Et après ? Comment mettre en place mon PRA PCA ?

Définir la stratégie

Une fois le périmètre identifié, il convient de passer à l'étape de définition de la stratégie de continuité ou de reprise d'activité. Ce document reprend la définition des objectifs définis avec la direction (RTO RPO) et l'analyse des risques et il va clairement répertorier :

• Les infrastructures informatiques à mettre en place
• Les scénarios de crise possibles pour parer chaque menace potentielle
• Les procédures à suivre pour répondre à ces scénarios
• Les personnes de la cellule de crise qui jouent un rôle à suivre dans ces procédures et leurs missions

Tests réguliers et amélioration continue

Le point primordial à garder en tête, c'est que le PRA PCA n'est pas figé. Il doit impérativement évoluer pour suivre et répondre aux changements de l'entreprise (nouveaux applicatifs, nouvelles mises à jour...). Il est important de procéder à des tests réguliers afin de contrôler chaque étape du plan, et ce, pour tous les scénarios. Ces démarches de tests et contrôles permettront de faire remonter d'éventuels dysfonctionnements qui pourront être corrigés.

Faire appel à un prestataire ou le réaliser en interne ?

Et bien cela dépend de votre situation.

Si vous avez un service informatique ayant les compétences

Même si votre entreprise a un service informatique ainsi que les ressources et compétences pour réaliser en interne son PRA PCA, nous vous conseillons de faire appel à un prestataire externe. Il est toujours intéressant d'avoir un avis extérieur surtout sur ce type de plan. Le prestataire pourra par exemple, auditer votre plan avant et pendant à date fixe.

Si vous n'avez pas de service informatique

Dans ce cas, nous vous conseillons de faire appel à un prestataire. Afin de vous aider à le choisir, voici une liste non-exhaustive de questions à poser pour être sûr de faire le bon choix :

• Est-il capable de m'accompagner ?​ Connaît-il mon métier ?
• Dispose-t-il des ressources nécessaires et d’une expérience significative dans ce domaine ?
• ​Est-il spécialisé en infrastructures informatiques​ ?
• Quel SLA garantit-il ?​ (Le Service Level Agreement, ou SLA est un contrat par lequel le prestataire s’engage à fournir un certain niveau de prestation.)
• ​Met-il une assistance technique à disposition ?​
• Est-il certifié ou agréé HDS ? (Si vous êtes dans le domaine de la santé​)
• Applique-t-il la méthodologie DevOps​ ?
• Dispose-t-il d'un hébergement Cloud souverain et privé​ ?
• Garantit-il la fiabilité et la sécurité de ses infrastructures ?

Vous souhaitez mettre en place un PRA PCA ?

Dans le cadre d’un PRA PCA, compte tenu de notre expérience et de nos domaines de compétences, Axess est en mesure de vous accompagner dès la phase d’audit pour déterminer avec vous quelles seraient les ressources critiques de votre système d'information et vous aider dans la conception du plan. Notre équipe est également capable de vous accompagner dans le choix de l’architecture informatique nécessaire. Qu'il s'agisse d'une simple sauvegarde, un serveur identique sur un site distant (DRaaS/PRaaS), l’externalisation complète de votre SI ou la redondance de vos liens et équipements réseaux nous avons une solution pour vous.