Article réservé aux abonnés Archimag.com

Cybersécurité : mettre en place un plan de reprise d'activité (PRA) est essentiel

  • pra_plan_reprise_activite_cybersecurite.jpg

    PRA-plan-reprise-activite-informatique
    Le caractère facultatif du plan de reprise d’activité (PRA) explique en partie le fait que les organisations s’en désintéressent. Mais ce n’est pas la seule raison... (Freepik)
  • Face à la multiplication des cyber-risques, la plupart des organisations mettent en place des plans de sauvegarde informatique. Mais peu sont dotées d’un plan de reprise d’activité. S’il n’est pas obligatoire, le PRA s’impose pourtant de lui-même dans certains secteurs.

    Défaillances matérielles, erreurs humaines, pannes logicielles, corruption de données, cyberattaques, catastrophes naturelles, vols, incendies… Autant de fléaux qui menacent les entreprises et mettent en péril l’un de leurs actifs les plus vitaux : leur patrimoine documentaire.

    plan-reprise-activite-pra-barros

    Selon le cabinet britannique Continuity Central, 93 % des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant dix jours ou plus ont fait faillite dans l’année suivant le sinistre.

    enlightenedLire aussi : Municipales 2020 : la cybersécurité, grande absente des programmes des candidats

    Face à ces dangers, les organisations ont le choix. Elles peuvent jouer l’autruche et espérer qu’aucune catastrophe ne vienne perturber leur activité. Les plus avisées peuvent anticiper le désastre et mettre en place un plan de reprise d’activité (PRA).

    Car, comme le dit un adage bien connu des informaticiens : il ne s’agit pas de savoir si le système d’information d’une entreprise va ou non un jour rencontrer un sinistre, mais plutôt de savoir quand il surviendra !

    PRA et PCA, quelles différences ?

    Le plan de reprise d’activité (PRA) et le plan de continuation d’activité (PCA) ne recouvrent pas exactement le même périmètre. Le PRA met en œuvre l’ensemble des processus et des moyens humains, matériels et technologiques permettant à l’entreprise de faire face à un sinistre informatique majeur.

    Le PCA, quant à lui, désigne l’ensemble des études préparatoires, des stratégies, de l’organisation, des processus et des ressources, destinés à assurer les fonctions vitales de l’entreprise en cas de crises (risques naturels, sanitaires, énergétiques…).

    « Le plan de reprise d’activité informatique constitue l’une des composantes d’un plan de continuité d’activité global. Il peut aussi être établi en toute autonomie, en l’absence de plan plus large, par une nécessité plus “départementale”, sur demande de tiers partenaires ou sectoriels… », expliquent les auteurs du « Cahier des charges PRA/PCA, plan de reprise d’activité ».

    enlightenedLire aussi : Perte de données, harcèlement en ligne, vol d'identité... Vite, utilisez la trousse de premiers soins numériques !

    "Le plan de reprise d'activité s'impose de lui-même"

    À ce jour, il est bien difficile de connaître précisément le nombre d’organisations qui se sont dotées d’un PRA.

    « La plupart des entreprises ont mis en place une sauvegarde informatique. Mais peu ont déployé un plan de reprise d’activité car il n’existe pas d’obligation en la matière. Dans les PME et les collectivités, les PRA sont extrêmement rares », explique Rémi Grivel, directeur général de l’éditeur Ciril Group ; « certains secteurs sont plus avancés que d’autres notamment dans le secteur de la santé (cliniques, hôpitaux, laboratoires…). Cela s’explique aisément : en cas d’indisponibilité des données, l’impact sur leur activité est très important. À défaut d’être obligatoire, le PRA s’impose de lui-même ».

    virus-plan-reprise-activite-pra

    Le caractère facultatif du plan de reprise d’activité explique en partie le fait que les organisations s’en désintéressent. Mais ce n’est pas la seule raison. Les hébergeurs — y compris les plus gros acteurs du marché — ne proposent pas tous un PRA à leurs clients.

    Ces derniers doivent alors faire appel à un fournisseur spécialisé. De multiples prestataires proposent des solutions : Mismo, Nuabee, Quantic Support, Orange, DC for Data…

    enlightenedLire aussi : Internautes, voici les meilleurs outils et astuces pour sécuriser vos mots de passe !

    Un PRA non testé est un PRA potentiellement plus long à démarrer

    Le déploiement d’un PRA ne s’improvise pas. Le spécialiste Cyrès énonce une série de onze étapes incontournables : faire un audit de tous les risques de pannes possibles, détecter et évaluer chaque risque pour identifier les applications métier qui ne pourront pas fonctionner en mode dégradé, prévoir des sauvegardes automatiques, documenter précisément le PRA en encourageant les retours d’expérience…

    « Sans oublier la phase de test du PRA », insiste Rémi Grivel ; « il est essentiel de procéder à des tests réguliers car il existe toujours des écarts entre le scénario de départ et ce qui se passe dans la réalité. Un PRA non testé est un PRA potentiellement plus long à démarrer. Par ailleurs, les différents métiers concernés doivent être impliqués dans la réflexion qui précède la mise en place d’un plan de reprise d’activité ».

    enlightenedLire aussi : Cybersécurité : les entreprises asphyxiées par les mots de passe

    Le plan de reprise d’activité est communément perçu comme une procédure informatique. « Pourtant le PRA ne porte pas uniquement sur la dimension informatique, même si celle-ci est très importante. Un PRA n’est rien sans l’organisation qui l’accompagne. Cela peut passer par la mise à disposition d’espaces de bureaux qui permettent de relocaliser les collaborateurs. Souvent appelé PRA humain, ce volet vient en complément de la brique informatique ».

    Le chef de projet doit disposer d’une autorité reconnue

    Du côté de l’État, le sujet a été jugé suffisamment important pour faire l’objet d’un guide réalisé par le Secrétariat général de la défense et de la sécurité nationale (en 2013).

    Les préconisations de ce document rappellent celles qui sont faites par les sociétés spécialisées : analyse et appréciation du risque, formulation de propositions de stratégie de continuité et de reprise, capacité à vérifier la bonne prise en compte du besoin de disponibilité des ressources prescrites par le plan et approuvées par la direction, etc.

    « Idéalement, le chef de projet est rattaché au directeur des risques. Il doit connaître le métier et disposer d’une autorité reconnue », expliquent les auteurs de ce guide.

    enlightenedLire aussi : Cloud & sécurité, des concepts antagonistes mais complémentaires

    Documentation du PRA

    La question de la documentation nécessaire à la reprise d’activité est également abordée de façon très pratique :

    « La documentation doit être facilement accessible en cas de besoin, être aisément comprise même par des personnes récemment affectées et qui n’ont pas encore été formées. (…) Il est possible de rédiger le plan de continuité d’activité qui va décrire la démarche logique ayant conduit au choix de la stratégie de continuité et de la réponse aux différents scénarios de crise retenus. Cette réponse consiste à préciser les moyens et à documenter les procédures qu’il convient de mettre en œuvre en fonction des dispositifs du plan de continuité d’activité activés par la cellule de crise ».

    enlightenedLire aussi : La plateforme d'assistance pour les PME victimes de cyberattaques est lancée

    Combien coûte un plan de reprise d'activité ?

    Reste la question du coût d’un plan de reprise d’activité. Les prestataires en PRA n’avancent pas de chiffres. Ce coût est totalement variable d’une entreprise à l’autre. Il dépend des ressources informatiques nécessaires à la bonne marche de l’organisation.

    Sur ce point, une PME n’a pas les mêmes besoins qu’une grande entreprise dont les sites de production sont dispersés aux quatre coins de la France, voire à l’étranger. De façon très concrète, le site marchand d’un géant de la vente en ligne réclame un PRA autrement plus exigeant que celui d’une entreprise dont le chiffre d’affaires ne dépend pas directement de l’activité en ligne.

    Pour convaincre leurs (futurs) clients, les prestataires en RPA leur demandent d’effectuer un calcul comparatif entre le coût du déploiement d’un PRA et le coût estimé d’un arrêt d’activité. Le résultat donne souvent le vertige aux entreprises !

    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.

    supplement-confiance-numerique-270500.png