Qu'est-ce qu'un Plan de Reprise d'Activité en cas de catastrophe et pourquoi en ai-je besoin ?

JULY 16TH, 2020

Pour emprunter un sketch classique des Monty Python, "Personne ne s'attend à l'Inquisition espagnole". Tout comme personne ne se rend au travail en pensant : "Aujourd'hui, c'est le jour où un désastre va frapper notre réseau, et je vais passer les 48 heures suivantes à faire des pieds et des mains pour remettre l'entreprise en marche avant que nous perdions des millions d'euros de revenus et la moitié de nos plus gros clients". Les catastrophes ne sont pas planifiées, mais vous pouvez les prévoir. C'est pourquoi un plan de reprise d'activité (PRA) complet, à jour et opérationnel doit être inclus dans tout plan de continuité d'activité (PCA) de l'entreprise.

Qu'est-ce qu'un Plan de Reprise d'Activité ?

Un plan de reprise d'activité est un guide étape par étape qui vous permet de remettre votre entreprise et vos systèmes d'exploitation en état de marche rapidement après une panne majeure causée par une catastrophe naturelle, une cyberattaque, un incendie ou une défaillance technique. Alors que votre Plan de Continuité des Activités se concentre sur la manière dont l'organisation poursuivra ses activités quotidiennes normales pendant et après un sinistre, votre plan de reprise après sinistre est axé sur la restauration des fonctions du système et la préservation des données dans le cadre d'une stratégie de continuité plus large.

Pourquoi ai-je besoin d'un Plan de Reprise d'Activité ?

Les entreprises ayant leur siège en Outre Mer par exemple- des régions sujettes aux catastrophes naturelles telles que les cyclones ou ouragans - comprennent l'importance de se préparer au pire des scénarios. Mais même si votre entreprise se trouve dans une zone à faible risque, vous ne pouvez pas vous permettre de vous reposer sur vos lauriers en matière de planification et de préparation de la reprise. Les cybermenaces augmentent de manière exponentielle, les conditions météorologiques deviennent plus imprévisibles et vous ne savez jamais quand Paul de la comptabilité oubliera d'éteindre la cafetière un vendredi après-midi et réduira l'endroit en cendres. C'est pourquoi toute entreprise a besoin d'un Plan de Reprise d'Activités qui maintiendra une haute disponibilité pour les utilisateurs, atténuera les perturbations des opérations, protégera contre la perte de données et fournira une certaine assurance contre une attaque de ransomwares.

Que dois-je inclure dans mon plan de reprise d'activités (PRA) ?

Chaque Plan de Reprise d'Activité est unique en fonction des systèmes de l'entreprise, des exigences réglementaires, des accords de niveau de service et des priorités de l'organisation. Toutefois, pour que votre plan de reprise d'activité fonctionne efficacement, assurez-vous qu'il répond à ces quatre compétences.

Analyse de l'impact sur l'entreprise

Effectuer une analyse de l'impact sur les entreprises bien avant une crise vous aidera à comprendre les enjeux dans le cas où vos systèmes technologiques seraient désactivés pendant une longue période. Il est important d'impliquer toutes les parties prenantes dans ce processus pour s'assurer que l'analyse reflète avec précision l'impact sur toutes les unités commerciales internes ainsi que les facteurs externes tels que les dépendances de la chaîne d'approvisionnement. Votre analyse de l'impact sur l'entreprise doit identifier les applications essentielles à l'entreprise, puis mettre en correspondance ces applications avec l'infrastructure requise pour les prendre en charge. Une fois que vous savez quels systèmes et applications sont essentiels à l'entreprise, vous pouvez établir un ordre de priorité pour la reprise. Veillez à inclure dans votre analyse une estimation du coût des temps d'arrêt et de votre temps d'arrêt maximal tolérable, ainsi que des objectifs de temps de récupération (RTO) et des objectifs de points de récupération (RPO). Vous devrez également documenter toutes les exigences de conformité légales et réglementaires de votre organisation, car elles seront prises en compte dans vos priorités de récupération.

Évaluation des risques

Connaître votre niveau de risque en cas de catastrophe vous aidera à planifier l'atténuation de ces risques. Commencez par dresser une carte de votre infrastructure informatique, qu'elle soit interne ou basée sur le cloud/web, et recherchez les faiblesses et les dépendances de ces infrastructures. Identifiez les types de catastrophes possibles et évaluez votre niveau de risque de probable à improbable. Documentez une réponse de récupération spécifique pour chaque type de sinistre. Par exemple, nous faisons X si une tornade détruit le bâtiment ; nous faisons X si nous sommes frappés par une attaque de ransomware.

Gestion des risques

Grâce à votre analyse d'impact sur les entreprises, vous savez ce qui est en jeu. Il vous faut maintenant un plan pour protéger vos actifs. Constituez une équipe d'intervention en cas de sinistre pour rationaliser le processus de reprise. En plus des responsabilités qui lui sont assignées en matière de reprise, cette équipe sera chargée des communications tout au long de la crise et servira de point de contact pour les parties prenantes. L'équipe d'intervention en cas de catastrophe sera également chargée de la formation du personnel en matière d'intervention d'urgence afin que chacun soit au courant des politiques et des procédures de l'entreprise pendant une catastrophe. D'un point de vue technologique, votre Plan de Reprise d'Activités doit s'attacher à garantir la récupération des données et des applications. Une façon d'y parvenir est de s'assurer qu'il existe une redondance pour tous les systèmes critiques de l'entreprise. Par exemple, déplacez les serveurs vers le cloud afin qu'ils soient géo-indépendants. Assurez-vous également que vous sauvegardez fréquemment vos systèmes et que ces sauvegardes sont stockées dans un endroit hors site mais facilement accessible. Gardez à l'esprit que certaines souches de ransomware peuvent accéder à vos sauvegardes et les crypter, alors gardez-les inaccessibless au réseau. Une bonne pratique de gestion importante, mais souvent négligée, consiste à rédiger votre plan de reprise d'activité en langage clair. Vous ne savez pas qui sera là pour prendre la direction des opérations après un sinistre, alors évitez le jargon informatique au cas où une personne non technique devrait lancer l'effort de récupération.

 Test

Comme mentionné ci-dessus, des sauvegardes fréquentes sont essentielles, mais la qualité de votre effort de récupération dépendra de la qualité des données que vous restaurez, aussi assurez-vous de tester vos sauvegardes régulièrement. Une règle empirique généralement reconnue consiste à tester une restauration partielle deux fois par an et une restauration complète une fois par an, bien que ces tests doivent être considérés comme des exigences minimales. Une fois que vous avez finalisé votre PRA envisagez d'investir dans un audit par un tiers pour rechercher les lacunes de votre plan. L'argent que vous dépensez maintenant pourrait vous permettre d'économiser beaucoup plus par la suite. Le monde est suffisamment incertain en ce moment. Assurez-vous que votre organisation est prête à rebondir rapidement face à l'imprévu. Téléchargez >Comment élaborer un plan de reprise d'activité pour en savoir plus sur les meilleures pratiques pour créer un plan de reprise d'activité complet.