Article réservé aux abonnés Archimag.com

Cybersécurité : mettre en place un plan de reprise d'activité (PRA) est essentiel

  • pra_plan_reprise_activite_cybersecurite.jpg

    PRA-plan-reprise-activite-informatique
    Le caractère facultatif du plan de reprise d’activité (PRA) explique en partie le fait que les organisations s’en désintéressent. Mais ce n’est pas la seule raison... (Freepik)
  • Face à la multiplication des cyber-risques, la plupart des organisations mettent en place des plans de sauvegarde informatique. Mais peu sont dotées d’un plan de reprise d’activité. S’il n’est pas obligatoire, le PRA s’impose pourtant de lui-même dans certains secteurs.

    Défaillances matérielles, erreurs humaines, pannes logicielles, corruption de données, cyberattaques, catastrophes naturelles, vols, incendies… Autant de fléaux qui menacent les entreprises et mettent en péril l’un de leurs actifs les plus vitaux : leur patrimoine documentaire.

    plan-reprise-activite-pra-barros

    Selon le cabinet britannique Continuity Central, 93 % des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant dix jours ou plus ont fait faillite dans l’année suivant le sinistre.

    enlightenedLire aussi : Municipales 2020 : la cybersécurité, grande absente des programmes des candidats

    Face à ces dangers, les organisations ont le choix. Elles peuvent jouer l’autruche et espérer qu’aucune catastrophe ne vienne perturber leur activité. Les plus avisées peuvent anticiper le désastre et mettre en place un plan de reprise d’activité (PRA).

    Car, comme le dit un adage bien connu des informaticiens : il ne s’agit pas de savoir si le système d’information d’une entreprise va ou non un jour rencontrer un sinistre, mais plutôt de savoir quand il surviendra !

    PRA et PCA, quelles différences ?

    Le plan de reprise d’activité (PRA) et le plan de continuation d’activité (PCA) ne recouvrent pas exactement le même périmètre. Le PRA met en œuvre l’ensemble des processus et des moyens humains, matériels et technologiques permettant à l’entreprise de faire face à un sinistre informatique majeur.

    Le PCA, quant à lui, désigne l’ensemble des études préparatoires, des stratégies, de l’organisation, des processus et des ressources, destinés à assurer les fonctions vitales de l’entreprise en cas de crises (risques naturels, sanitaires, énergétiques…).

    « Le plan de reprise d’activité informatique constitue l’une des composantes d’un plan de continuité d’activité global. Il peut aussi être établi en toute autonomie, en l’absence de plan plus large, par une nécessité plus “départementale”, sur demande de tiers partenaires ou sectoriels… », expliquent les auteurs du « Cahier des charges PRA/PCA, plan de reprise d’activité ».

    enlightenedLire aussi : Perte de données, harcèlement en ligne, vol d'identité... Vite, utilisez la trousse de premiers soins numériques !

    "Le plan de reprise d'activité s'impose de lui-même"

    À ce jour, il est bien difficile de connaître précisément le nombre d’organisations qui se sont dotées d’un PRA.

    « La plupart des entreprises ont mis en place une sauvegarde informatique. Mais peu ont déployé un plan de reprise d’activité car il n’existe pas d’obligation en la matière. Dans les PME et les collectivités, les PRA sont extrêmement rares », explique Rémi Grivel, directeur général de l’éditeur Ciril Group ; « certains secteurs sont plus avancés que d’autres notamment dans le secteur de la santé (cliniques, hôpitaux, laboratoires…). Cela s’explique aisément : en cas d’indisponibilité des données, l’impact sur leur activité est très important. À défaut d’être obligatoire, le PRA s’impose de lui-même ».

    virus-plan-reprise-activite-pra

    Le caractère facultatif du plan de reprise d’activité explique en partie le fait que les organisations s’en désintéressent. Mais ce n’est pas la seule raison. Les hébergeurs — y compris les plus gros acteurs du marché — ne proposent pas tous un PRA à leurs clients.

    Ces derniers doivent alors faire appel à un fournisseur spécialisé. De multiples prestataires proposent des solutions : Mismo, Nuabee, Quantic Support, Orange, DC for Data…

    enlightenedLire aussi : Internautes, voici les meilleurs outils et astuces pour sécuriser vos mots de passe !

    Un PRA non testé est un PRA potentiellement plus long à démarrer

    Le déploiement d’un PRA ne s’improvise pas. Le spécialiste Cyrès énonce une série de onze étapes incontournables : faire un audit de tous les risques de pannes possibles, détecter et évaluer chaque risque pour identifier les applications métier qui ne pourront pas fonctionner en mode dégradé, prévoir des sauvegardes automatiques, documenter précisément le PRA en encourageant les retours d’expérience…

    « Sans oublier la phase de test du PRA », insiste Rémi Grivel ; « il est essentiel de procéder à des tests réguliers car il existe toujours des écarts entre le scénario de départ et ce qui se passe dans la réalité. Un PRA non testé est un PRA potentiellement plus long à démarrer. Par ailleurs, les différents métiers concernés doivent être impliqués dans la réflexion qui précède la mise en place d’un plan de reprise d’activité ».

    enlightenedLire aussi : Cybersécurité : les entreprises asphyxiées par les mots de passe

    Le plan de reprise d’activité est communément perçu comme une procédure informatique. « Pourtant le PRA ne porte pas uniquement sur la dimension informatique, même si celle-ci est très importante. Un PRA n’est rien sans l’organisation qui l’accompagne. Cela peut passer par la mise à disposition d’espaces de bureaux qui permettent de relocaliser les collaborateurs. Souvent appelé PRA humain, ce volet vient en complément de la brique informatique ».

    Le chef de projet doit disposer d’une autorité reconnue

    Du côté de l’État, le sujet a été jugé suffisamment important pour faire l’objet d’un guide réalisé par le Secrétariat général de la défense et de la sécurité nationale (en 2013).

    Les préconisations de ce document rappellent celles qui sont faites par les sociétés spécialisées : analyse et appréciation du risque, formulation de propositions de stratégie de continuité et de reprise, capacité à vérifier la bonne prise en compte du besoin de disponibilité des ressources prescrites par le plan et approuvées par la direction, etc.

    « Idéalement, le chef de projet est rattaché au directeur des risques. Il doit connaître le métier et disposer d’une autorité reconnue », expliquent les auteurs de ce guide.

    enlightenedLire aussi : Cloud & sécurité, des concepts antagonistes mais complémentaires

    Documentation du PRA

    La question de la documentation nécessaire à la reprise d’activité est également abordée de façon très pratique :

    « La documentation doit être facilement accessible en cas de besoin, être aisément comprise même par des personnes récemment affectées et qui n’ont pas encore été formées. (…) Il est possible de rédiger le plan de continuité d’activité qui va décrire la démarche logique ayant conduit au choix de la stratégie de continuité et de la réponse aux différents scénarios de crise retenus. Cette réponse consiste à préciser les moyens et à documenter les procédures qu’il convient de mettre en œuvre en fonction des dispositifs du plan de continuité d’activité activés par la cellule de crise ».

    enlightenedLire aussi : La plateforme d'assistance pour les PME victimes de cyberattaques est lancée

    Combien coûte un plan de reprise d'activité ?

    Reste la question du coût d’un plan de reprise d’activité. Les prestataires en PRA n’avancent pas de chiffres. Ce coût est totalement variable d’une entreprise à l’autre. Il dépend des ressources informatiques nécessaires à la bonne marche de l’organisation.

    Sur ce point, une PME n’a pas les mêmes besoins qu’une grande entreprise dont les sites de production sont dispersés aux quatre coins de la France, voire à l’étranger. De façon très concrète, le site marchand d’un géant de la vente en ligne réclame un PRA autrement plus exigeant que celui d’une entreprise dont le chiffre d’affaires ne dépend pas directement de l’activité en ligne.

    Pour convaincre leurs (futurs) clients, les prestataires en RPA leur demandent d’effectuer un calcul comparatif entre le coût du déploiement d’un PRA et le coût estimé d’un arrêt d’activité. Le résultat donne souvent le vertige aux entreprises !

    Ce sujet vous intéresse? Retrouvez-en davantage dans les Guides Pratiques Archimag !
    securite-archivage-electronique

    Offre couplée Guides pratiques n°57 + n°58 !

    Aujourd’hui, pour sécuriser son information, il faut certes raisonner en cycle de vie de l’information, document vital et preuve, mais aussi en métadonnées ou journal transactionnel. Records management et archives ont pris acte de l’entrée de l’information dans l’ère de la trace. Il s’agit d’appréhender de nouveaux développements (blockchain, cryptographie) et défis (lutte contre la fraude documentaire, anonymisation des données personnelles, archivage dans le cloud). L’archivage électronique, pour le privé comme pour le public, doit pouvoir évoluer sans risque.

    Ces deux guides pratiques (n°57 + n°58) vous permettent de disposer d'un état de l'art, de méthodes, de solutions et de toutes les durées de conservation pour chaque type de direction d’entreprises, services concernés, fonctions concernées et par type de dossiers. L’une des plus-values de ce guide réside dans ses nombreux tableaux de gestion qui recensent les durées de conservation de plus de 12 domaines (Guide n°58). A la fois sur des fonctions transversales (Ressources Humaines, Direction Générale…) mais aussi sur des métiers (Bancassurance, Santé…), c’est un outil indispensable pour tout gestionnaire de l’information. Ces informations existent également au format numérique – et sont mises à jour régulièrement – dans la Base de données des durées de conservation Archimag.

    Acheter ce guide  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    dont 290 numéros en accès libre, soit 20 000 pages d'articles... Archimag met à jour sa collection en ligne ! Le magazine de référence des professionnels du management de l'information complète la numérisation de ses anciens numéros jusqu'en décembre 2020 et permet désormais aux internautes de consulter gratuitement ceux couvrant la période de sa création, en juin 1985, jusqu'en décembre 2015.
    Publicité

    Couv demat 2020.png