Cyberattaque, vol, défaillance du réseau, incident électrique… De nombreux évènements peuvent affecter le système d’information des organisations. Pourtant, peu d’entre elles investissent dans une stratégie efficace pour garantir la continuité de leurs activités. Démarche stratégique indispensable, le plan de reprise d’activité (ou PRA) informatique permet de relancer les activités d’un organisme en cas d’incident survenant sur son système d’information. Voici comment le mettre en place en 7 étapes !
Plan de reprise d’activité informatique : une démarche cruciale
PRA informatique : définition
Le PRA informatique est un chapitre du Plan de Continuité d’Activité dédié aux systèmes d’information (ou SI).
Pour rappel, un PCA recense les techniques, l’organisation et les mesures à mettre en place pour rétablir les activités d’une organisation en cas d’incident. Cette démarche anticipe donc tous les risques auxquels une entité peut être confrontée : catastrophe naturelle, crise sanitaire, incendie…
Lire aussi : PRA et PCA : quelles différences ?
Ainsi, un plan de reprise d’activité informatique regroupe toutes les mesures qui devront être appliquées afin de retrouver l’accès rapide aux données, aux applications, au réseau de l’entité et à internet en cas d’incident sur le SI.
Pourquoi réaliser un plan de reprise d’activité informatique ?
En plus de faciliter le rétablissement des activités informatiques de l’organisation, une telle démarche permet également de :
- Limiter les pertes financières ;
- Protéger la réputation de l’entité ;
- Réduire les risques ;
- Améliorer la sécurité globale de l’organisme.
Réaliser un Plan de Reprise d’Activité informatique en 7 étapes
Pour être effectif, un PRA informatique doit être réalisé avec méthode, étape par étape.
#1 Effectuer une analyse des risques
La première étape pour élaborer un plan de reprise d’activité informatique consiste à répertorier exhaustivement les risques pouvant causer des dommages aux activités informatiques de l’organisation. Il peut donc autant s’agir de risques d’origine humaine (cybercriminalité, erreur de sauvegarde…) que naturelle (incendie, inondation…).
Ensuite, il s’agit d’analyser les impacts de chaque risque identifié afin de déterminer les plus critiques pour les activités de l’organisme. Pour prioriser les risques, il est possible de s’appuyer sur les éléments suivants :
- La fréquence : quelle est la probabilité que cet incident se produise ?
- Les conséquences : quelles seraient les répercussions sur l’organisme si un tel incident se produisait ?
- La durée : combien de temps faudrait-il à l’organisation pour se remettre de cet incident ?
Répondre à ces questions permet d’obtenir une vue d’ensemble des menaces auxquelles l’entité est confrontée et aide à prioriser la gestion des risques.
Lire aussi : Audit de sécurité : comment auditer mon système d’information ?
#2 Définir ses objectifs
Pour mettre en place un PRA informatique efficace, l’organisation doit déterminer ce qu’elle accepte de perdre en cas d’incident sur son SI. Pour cela, elle peut s’appuyer sur deux indicateurs :
- Le RTO/DMIA (ou recovery point objective / Durée maximale d’interruption admissible) : il définit le temps d’arrêt maximum acceptable du système d’information de l’entité. Selon les secteurs, cette donnée peut varier de quelques minutes à plusieurs heures.
- Le RPO/PDMA (ou recovery point objective / Perte de données maximale admissible) : il fixe la quantité de données qu’un organisme accepte de perdre. Il permet donc de déterminer la fréquence minimale des sauvegardes de données.
#3 Déterminer des solutions de récupération des données
Anticiper la récupération des données en cas d’incident est essentiel pour garantir le rétablissement des activités informatiques de l’organisation. Dans cette optique il s’agit d’assurer :
- La continuité des applications : les applications essentielles au bon fonctionnement de l’organisation doivent pouvoir fonctionner de manière ininterrompue ou être rétablies très rapidement.
- La sauvegarde des données : celle-ci doit s’effectuer de manière régulière et sur différents supports.
- L’accès aux installations : il est recommandé de miser sur une solution cloud pour accéder à ces sauvegardes. Cela permet de réduire les risques de perte des données en cas de sinistre touchant matériellement les locaux principaux.
#4 Mettre en œuvre le plan de reprise d’activité
Ici, il s’agit de déployer toutes les procédures et systèmes permettant une récupération rapide des données et des équipements en cas de sinistre.
Dans cette optique, il est par exemple opportun de :
- Définir les équipements de reprise d’activité : ordinateurs, services hébergés, batterie sans secteur… Il est important de prévoir du matériel de secours en fonction des potentiels incidents.
- Former les équipes : pour le bon déroulement du PRA informatique, il est crucial que tous les employés sachent ce qu’ils ont à faire en cas d’incident. Par exemple, ils doivent connaître l’emplacement du matériel, ou encore, l’accès à la documentation dont ils ont besoin.
#5 Documenter le PRA informatique
Lors de l’élaboration d’un plan de continuité d’activité informatique il est impératif de consigner par écrit la procédure à suivre en cas d’incident. Cette documentation doit être soigneusement stockée dans un lieu sécurisé mais aussi facilement accessible à tous les employés.
Cette documentation doit inclure :
- Le rôle et les responsabilités de chacun selon les incidents ;
- Une liste exhaustive de tous les équipements nécessaires pour la reprise des activités ;
- Les différentes étapes à suivre pour rétablir le fonctionnement normal ;
- Les coordonnées de toutes les personnes impliquées dans le plan de reprise informatique.Haut du formulaire
#6 Tester le PRA informatique et l’exercice de crise
Les tests et exercices de crise jouent un rôle fondamental dans un plan de reprise d’activité informatique, car ce sont eux qui attestent (ou non !) de son efficacité. Il est ainsi conseillé de soumettre le PRA informatique à des essais au moins une fois par an, soit en interne, soit en externe via un prestataire spécialisé. Quelle que soit l’approche choisie, il est essentiel de tester tous les aspects du plan afin de s’assurer de sa pleine efficacité.
#7 Mettre à jour le PRA informatique
Ce dernier point est crucial pour garantir la fiabilité du dispositif sur le long terme. En pleine évolution, le secteur informatique est en effet particulièrement soumis à de nouveaux risques, notamment en matière de cybersécurité. C’est pourquoi, il est important d’actualiser son PRA informatique afin qu’il soit continuellement efficace contre les nouvelles menaces. Pour cela, s’appuyer sur un partenaire de confiance spécialiste en sécurité des systèmes d’information est vivement conseillé.
Et si vous faisiez confiance à Netsystem ?
Société de conseil en Systèmes d’Information et en transformation digitale, Netsystem aide les organisation à garantir la sécurité de leur SI grâce à la mise en place d’un PRA informatique… Mais pas seulement ! Audit de sécurité, formation sur-mesure des équipes, accompagnement du RSSI ou RSSI externalisé… Notre équipe s’adapte à vos besoins, votre budget et votre fonctionnement pour assurer la sécurité optimale et continue de votre système d’information.
Dans une démarche d’anticipation de ces risques et de prévention, nous proposons une démarche packagée pour la réalisation d’un exercice de crise en conditions réelles.
Plusieurs objectifs sont visés par cet exercice :
• La découverte de la gestion de crise cybersécurité
• La compréhension de l’écosystème cybersécurité de votre structure
• L’acquisition des premiers bons réflexes en situation de crise cybersécurité
Selon votre secteur d’activité, vous pouvez disposer d’un dispositif financier d’accompagnement à la réalisation des exercices de crise. Contactez-nous !