Un Plan de Reprise d’Activité informatique désigne l’ensemble des procédures et des moyens matériels et humains permettant à une entreprise de reprendre son activité après un sinistre. Une stratégie qui dépend étroitement de son profil de risque. On vous explique tout.



Qu’est-ce qu’un PRA (Plan de Reprise d’Activité) ?


Cyberattaque, erreur humaine, panne matérielle ou logicielle, incendie, dégât des eaux, catastrophe naturelle, acte terroriste, crise géopolitique… Il existe une grande variété de sinistres qui peuvent endommager tout ou partie des ressources informatiques d'une entreprise, et mettre en péril son activité-même. Un Plan de Reprise d'Activité (PRA) désigne l’ensemble des procédures et des moyens matériels, technologiques et humains permettant à une organisation de reprendre son activité après la survenue d’un sinistre majeur. Dans le cas, par exemple, d'une attaque par ransomware, un PRA peut assurer la remise en route le plus rapidement possible des applications sensibles et de l'infrastructure informatique qui les héberge.



Comment fonctionne un PRA ?


Un PRA décrit, étape par étape, comment reconstruire un Système d'Information (SI) à partir de données répliquées, puis comment redémarrer les applications. Avec une approche par le risque, il s'agit de définir le seuil tolérable de perte de données et de délai d'interruption d'activité jusqu'à la remise en service du SI. Cela suppose de recenser l'ensemble des risques qui pèsent sur une entreprise, puis d'identifier les activités critiques qui pourraient y être exposées. Pour élaborer un PRA, il convient d’abord d'élaborer différents scénarios de reprise, puis de construire les solutions techniques à mettre en œuvre, ainsi que les procédures associées. Sur le volet humain, le PRA mentionne quelles sont les personnes engagées (collaborateurs, prestataires…), à quel moment et selon quelles modalités. Il prévoit également un plan de communication de crise à vocation interne comme externe.





pra




À qui s'adresse un PRA ?


Il y a encore quelques années, un PRA était accessible seulement aux grandes entreprises. Programme complexe, ce dispositif exigeait un investissement important puisqu'il consistait à dupliquer l'environnement IT existant sur un site distant. Cela supposait d'investir dans une infrastructure de secours, peu ou pas sollicitée - tout du moins on l'espère -, de la maintenir et de trouver un site sécurisé pour l'héberger. Le cloud a permis de démocratiser le recours à un PRA, en simplifiant sa mise à œuvre et en faisant baisser drastiquement son coût, le rendant plus accessible aux PME. Avec une solution dite DRaaS (Disaster Recovery as a Service), une organisation sauvegarde ses données dans le cloud puis, en cas de sinistre, utilise le dernier back-up en date pour restaurer son SI. Au-delà des frais de stockage, elle paie à l'usage en fonction des sinistres qu'elle subit, ou durant les tests de reprise d'activité. Avec le PRA dans le cloud, les équipes IT s'affranchissent des contraintes de maintien en condition opérationnelle de l'infrastructure "dormante", et peuvent disposer de solutions géo-redondées (c’est-à-dire dupliquées sur plusieurs sites et régions), maximisant encore plus la résilience. Le cabinet d'études Forrester estime que, à la suite de la pandémie, 20% d'entreprises supplémentaires ont transféré leur plan de PRA dans le cloud en 2021(1).



PRA/PCA : quelles différences ?


Alors que le PRA anticipe une interruption de l’activité et prévoit les conditions de sa reprise, un Plan de Continuité d’Activité (PCA) organise la poursuite des activités de l’entreprise en cas d’incident, en mettant tout en œuvre pour éviter tout arrêt de l’activité. Si les deux approches se complètent, un PCA, par sa dimension préventive, vise à anticiper autant que possible une situation critique. Un PRA est, lui, déclenché une fois que le sinistre a eu lieu. Il envisage, par ailleurs, une reprise de l’activité en mode dégradé ou partiel.



PRA/PCA : quelles différences ?

Durée critique


Deux indicateurs clés sont généralement retenus pour évaluer la durée critique d'une interruption de service :


- Le RTO (Recovery Time Objective) ou DMIA (Durée Maximale d’Interruption Admissible) détermine le temps de rétablissement optimal du Système d'Information. Au bout de combien de temps l’activité de l’entreprise devra avoir repris ?


- Le RPO (Recovery Point Objective) ou PDMA (Perte de Données Maximale Admissible) fixe le taux maximal de données perdues "acceptable". Ce dernier est généralement conditionné par la date et heure du dernier point de sauvegarde.


Risques et impacts


Les scénarios envisagés dans un PRA diffèrent en fonction des risques spécifiques à une entreprise et donc de sa taille, de son secteur d'activité et de la maturité de son organisation. Les impacts d'un sinistre majeur sont de nature diverse : ils peuvent être économiques (perte de chiffre d'affaires), concurrentiels (fuite de données), juridiques (sanction pour non-conformité réglementaire), ou réputationnels (atteintes à l’image de l’entreprise).



Mesures curatives


Les mesures curatives visent, comme leur nom l'indique, à réparer les dégâts causés par un sinistre. Une stratégie de reprise porte notamment sur la restauration des données depuis un système de sauvegarde et le redémarrage des applications. En fonction de la gravité de la situation, un PRA peut envisager le recours provisoire à un site de secours (copie conforme du site sinistré), ou au télétravail. Pour établir ces mesures curatives, une organisation peut s'appuyer sur la norme internationale ISO 22301. Dédiée au management de la continuité d'activité, elle fournit un ensemble de bonnes pratiques.





pra




Comment établir un plan de reprise d’activité ?


La construction d'un plan de reprise d'activité peut s'apparenter à la rédaction d'un contrat de cyber-assurance. Comme un assureur, il s'agit de prévoir le pire puis, en fonction des risques identifiés, de mettre en place les solutions techniques, les procédures et l'organisation adaptées. Voici quelques étapes clés à suivre :


  • checkRéaliser un audit du Système d'Information pour évaluer sa capacité de résilience et son niveau de protection (antivirus, pare-feu, redondance des accès réseaux et de l'alimentation électrique…)
  • checkRecenser tous les risques de panne et leurs causes probables : panne matérielle ou logicielle, cyberattaque, coupure électrique…
  • checkLister les activités les plus critiques de l’entreprise et les environnements applicatifs associés
  • checkFixer, à partir de ces éléments, les indicateurs de RTO et RPO
  • checkDéterminer le type de solution de sauvegarde et de reprise d'activité à mettre en œuvre : site de secours, en local ou distant, “chaud” (prêt à fonctionner) ou “froid” (autre utilité en temps normal)
  • checkEtablir la stratégie de sauvegarde : fréquence, type (sauvegarde déconnectée/externalisé)
  • checkEvaluer le budget correspondant
  • checkEnvisager le recours à un prestataire qui va gérer le PRA pour le compte de tiers (services managés)
  • checkDéfinir la stratégie de gestion de crise en attribuant des rôles et des tâches à des personnes clés de l'organigramme
  • checkDocumenter précisément le PRA sur les procédures à suivre


Bâtir un PRA exige beaucoup de formalisme pour documenter les procédures. Pour autant, ce plan ne servira à rien si le jour J, rien ne se passe comme prévu. Il convient donc de s’assurer régulièrement du bon fonctionnement du PRA, en procédant régulièrement à des tests de bon fonctionnement, couvrant les aspects techniques et humains. Enfin, un PRA doit évoluer en fonction des changements apportés au SI.



Découvrir nos offres et solutions Cloud


chevron_left Voir toutes les définitions
close

Vous souhaitez demander un devis

Les champs suivis d'un ( * ) sont obligatoires

Votre demande a bien été prise en compte !

Nos conseillers reviendront vers vous
dans les plus brefs délais.

Logo MMA

Assurance des véhicules, complémentaire santé ou
prévoyance pour vos salariés.


Découvrez notre offre partenaire MMA Enterprise pour protéger au mieux votre activité professionnelle.