Le Plan de reprise d’activité (PRA) est devenu un processus incontournable pour toute entreprise dépendante de son système d’information. Dans un monde où la majorité des données d’entreprise sont numérisées et les activités métiers s’appuient toujours plus sur des applications critiques, savoir anticiper et se préparer à un sinistre informatique sont indispensables.
Pourtant, une étude réalisée par Dimensional Research pour Arcserve en 2018 montrait que 76 % des entreprises françaises déclaraient avoir subi une perte de données au cours des deux dernières années. Par ailleurs, 82 % des PME non préparées à affronter un tel sinistre ne survivent pas à un crash informatique important.
Cet article vous permettra de comprendre ce qu’est le PRA informatique ; de déterminer quand le mettre en place ; de savoir comment procéder, étape par étape, pour sa mise en œuvre ; et enfin de cerner ses avantages et ses inconvénients.
PRA informatique : définition
Le plan de reprise d’activité (PRA) informatique, également appelé DRP pour « Disaster Recovery Plan » en anglais, regroupe l’ensemble des procédures techniques, organisationnelles et sécuritaires instaurées pour permettre le redémarrage du système d’information d’une entreprise suite à un sinistre ou un incident critique.
En anticipant et en préparant une stratégie de reprise, le PRA informatique vise à reconstruire les serveurs, leur affecter les données répliquées et redémarrer les applications le plus rapidement possible après un arrêt total ou partiel du système. Le délai de reprise peut varier de quelques minutes à quelques heures selon le niveau de continuité d’activité requis et les solutions retenues par l’entreprise au préalable.
Il faut distinguer le PRA informatique du plan de continuité d’activité (PCA). Ce dernier vise à maintenir le fonctionnement des activités stratégiques de l’entreprise et à éviter toute interruption de service. Le PRA, quant à lui, intervient une fois le sinistre survenu : son objectif est de permettre la reprise et la reconstruction du système. Ce faisant, le PRA fait partie intégrante d’une stratégie globale de continuité d’activité.
Quand mettre en place un PRA ?
La question se pose inévitablement pour toute entreprise : faut-il attendre qu’un sinistre informatique majeur survienne avant de concevoir un plan de reprise d’activité ? La stratégie la plus judicieuse serait d’anticiper et de se préparer en amont, avant même de subir le moindre incident.
Intégrer en prévention la mise en place d’un PRA dans sa politique de gestion des risques permet à toute organisation de réagir efficacement si son système d’information devait un jour être paralysé par une panne ou une cyberattaque. L’impact d’un tel sinistre potentiel s’en trouvera grandement minimisé. Bien sûr, suite à un crash effectif ayant provoqué pertes de données et interruptions d’activité prolongées, il apparaît également indispensable de concevoir ou de mettre à jour son plan de reprise informatique. L’urgence est de reconstruire un environnement opérationnel permettant une reprise normale des opérations.
Soulignons que plus vite le processus d’élaboration du PRA est engagé, meilleure sera l’efficacité du dispositif le moment venu.
PRA informatique : mise en place et étapes
Le PRA informatique nécessite la mise en place de certaines structures et étapes.
Définir les objectifs du PRA
Afin d’élaborer le plan de reprise informatique de son entreprise, la première étape consiste à clairement définir les objectifs poursuivis. Il peut notamment s’agir de :
- Minimiser le temps d’arrêt en cas de sinistre pour limiter l’impact sur l’activité ;
- Garantir la continuité d’activité des processus les plus critiques ;
- Assurer la reprise et la reconstruction des applications et des serveurs ;
- Préserver l’intégrité des données grâce à leur réplication.
Ces objectifs guideront les choix techniques et organisationnels tout au long de la mise en place du PRA informatique.
Audit du SI
Un audit du système d’information est recommandé pour identifier les applications et les services à secourir en priorité en cas de sinistre, en fonction de leur niveau de criticité métier.
Cet audit doit notamment analyser les dépendances entre services et données, les capacités techniques existantes et estimer les RTO (Recovery Time Objective) et RPO (Recovery Point Objective) attendus.
Lister les activités et ressources critiques
Sur la base des objectifs, l’entreprise doit ensuite lister de manière précise ses activités, ses services et ses ressources stratégiques devant impérativement être secourus.
Il peut s’agir d’éléments tels que :
- Les applications métiers vitales ;
- Les serveurs critiques ;
- Les bases de données prioritaires ;
- Les postes de travail indispensables ;
- Les connexions réseau vitales.
Ce référentiel guidera le choix des solutions techniques de continuité d’activité à mettre en œuvre.
Tester le PRA pour être sûr de son efficacité
La phase de test régulier du plan de reprise d’activité, une fois celui-ci documenté et les solutions implémentées, est cruciale. Elle permet de :
- S’assurer du bon fonctionnement des procédures de basculement et de reprise ;
- Vérifier que les objectifs de RTO et RPO sont bien tenus ;
- Maintenir à jour les compétences des équipes impliquées ;
- Identifier les points d’amélioration du dispositif.
Tenir le PRA à jour
Enfin, la dernière étape indispensable est la mise à jour continue du PRA informatique. Elle doit en effet évoluer en même temps que les changements organisationnels, techniques et métiers de l’entreprise. Car un plan de reprise d’activité informatique n’est efficace que s’il reflète parfaitement l’état réel du système d’information à un instant T.
Vous avez un besoin spécifique ?
Je contacte un expert NaitwaysAvantages et inconvénients du PRA informatique
Comme pour tout investissement stratégique, la mise en œuvre d’un plan de reprise d’activité présente à la fois des avantages et des inconvénients qu’il est important de conserver à l’esprit.
Du côté des avantages, un PRA informatique efficace permet avant tout de :
- Limiter au maximum les pertes de données grâce aux mécanismes de réplication ;
- Réduire le temps d’indisponibilité global du SI en automatisant la reprise et la reconstruction des systèmes ;
- Rassurer les parties prenantes internes et externes sur la capacité à surmonter un sinistre ;
- Et bien sûr, assurer la continuité d’activité des processus vitaux en cas de sinistre.
Cependant, la mise en place d’un plan de reprise d’activité présente également certains inconvénients ou freins qu’il convient d’anticiper, notamment :
- Un investissement financier parfois conséquent ;
- La complexité de mise en œuvre des procédures ;
- Un risque d’obsolescence des plans si ceux-ci ne sont pas mis à jour régulièrement ;
- La difficulté de tester le dispositif dans des conditions réelles.
L’enjeu est donc de trouver le juste équilibre entre le niveau d’investissement, la simplicité d’utilisation et l’efficacité recherchée pour bâtir un PRA informatique solide et adapté au contexte de chaque entreprise.
La définition du PRA (plan de reprise d’activité) en informatique est l’ensemble des procédures techniques et organisationnelles visant à rétablir le fonctionnement d’un système d’information suite à un sinistre majeur ayant provoqué sa paralysie.
Concrètement, le PRA informatique prévoit toutes les actions à mettre en œuvre en termes de reprise des applications vitales, reconstruction des serveurs et restauration des sauvegardes pour une reprise aussi rapide que possible en vue d’assurer la continuité de l’activité de l’entreprise.
Le PCA (plan de continuité d’activité) a un scope plus large. Il cherche à maintenir globalement l’activité de l’entreprise sans interruption, grâce à des mesures de prévention et de gestion des incidents. Le PRA peut être vu comme un sous-ensemble du PCA, intervenant spécifiquement après un sinistre causant l’arrêt total ou partiel des systèmes informatiques. Son objectif est alors de permettre une reprise la plus rapide et efficace possible grâce aux procédures prévues.
La rédaction d’un PRA passe avant tout par une analyse précise des risques encourus, puis par l’identification des processus métiers et des ressources SI critiques devant absolument être secourus. Sur cette base, il s’agit de définir la stratégie et les solutions techniques de reprise adaptées : réplication des données, basculement sur sites de secours, etc. Des procédures détaillées sont ensuite rédigées, ainsi qu’un planning de test régulier du dispositif. Le PRA informatique doit impérativement être maintenu à jour en permanence.
Un PRA informatique efficace permet de garantir le maintien des activités vitales de l’entreprise en cas de sinistre et donc de préserver la pérennité de l’organisation. Au-delà de cet aspect critique, il offre aussi des avantages importants : limitation des pertes financières et de données grâce aux mécanismes de réplication, réassurance des équipes et des partenaires économiques, conformité vis-à-vis des exigences légales de plus en plus fortes en matière de continuité d’activité, etc. Face à l’accroissement des cyber-risques, sa mise en place est plus que jamais indispensable.