PCA ou PRA ? La parade indispensable en cas d’interruption d’activité !
Qu’adviendrait-il de votre entreprise si l’ensemble de ses données disparaissait ? Ou si ses outils métiers devenaient inaccessibles ? Nous sommes tous dépendants de nos informations et systèmes informatiques. Pour cela, il est nécessaire d’adopter les meilleures pratiques de sauvegarde afin de prévenir la moindre interruption de l’activité d’une entreprise, qu’elle soit due à une défaillance sur les supports et matériels ou à un sinistre.
Comment évaluer le risque ? Comment s’en prémunir ? C’est là qu’interviennent le Plan de continuité d’activité et le Plan de reprise d’activité. Le PCA et le PRA sont des documents qui rassemblent toutes les mesures permettant de limiter les conséquences d’incidents, en apportant une réponse spécifique, selon la gravité de la perturbation. Découvrez dès à présent comment protéger votre infrastructure informatique et les meilleurs outils pour vous aider dans votre démarche.
[Définitions] PCA et PRA : les différences
Les significations des termes PCA et PRA sont tantôt confondues tantôt distinguées. Au fond, l’idée reste la même : comment poursuivre son activité sans interruption ou comment la remettre en route le plus rapidement possible après une interruption impromptue ? L’une apporte une réponse à court terme, l’autre à plus long terme.
Qu’est-ce que le Plan de Continuité d’Activité ?
Un PCA (plan de continuité d’activité) est un dispositif visant à éviter toute interruption de fonctionnement de votre activité ; peu importe les problèmes survenant, les informations doivent être accessibles (mise en place d’un mode dégradé, réseau de secours, etc.).
Le PCA se présente sous la forme d’un plan d’action, mis en place par votre DSI ou avec l’aide d’un prestataire externe. Les mesures qu’il prévoit vont assurer la continuité des activités et des processus métiers critiques d’une entreprise, sans perte de données ni rupture d’exploitation. Il englobe un ensemble de réponses relatives :
- à la sauvegarde : incrémentielle ou différentielle, locale ou cloud (cloud privé, cloud public ou cloud hybride) ;
- au bouclier formé par vos antivirus, antispams et pare-feu pour protéger les logiciels métiers et les données de l’entreprise ;
- à vos fournisseurs : prestataires, hébergeurs... En cas de défaillance, quelles garanties avez-vous ? En termes d’assurance ? D’accessibilité ? S’engagent-ils sur une haute disponibilité de vos données ? Proposent-ils leurs services en infogérance ou une IaaS (Infrastructure as a Service) ? ;
- à la norme ISO 22301 qui dresse un cadre servant de base aux bonnes pratiques en la matière.
Trois étapes sont nécessaires pour mettre en œuvre un plan de continuité d’activité :
- identifier les besoins de continuité ;
- établir la base documentaire définissant toutes les procédures de continuité ;
- tester régulièrement votre PCA pour corriger ses manques et ses incohérences.
Un PCA vous permet d’anticiper et de minimiser les impacts légaux, financiers et en termes d’image d’un sinistre affectant votre entreprise.
Qu’est-ce que le Plan de Reprise d’Activité ?
Le PRA (plan de reprise d’activité) (ou Disaster Recovery Plan [DRP] en anglais) peut être mis en place dans le cadre d’un PCA ou de façon indépendante. Dans tous les cas, il dresse la marche à suivre en cas d’incident afin de reprendre les activités informatiques le plus vite possible, de façon dégradée ou en mode plein régime.
Lorsqu’une courte panne est envisageable, le PRA est adapté. Il implique de définir le délai maximal d’interruption admissible et la perte maximale de données tolérable. Il permet notamment de basculer le SI de l’entreprise sur un système de relève.
L’objectif du PRA est de répondre à un risque avec des répercussions sur le long terme. Il précise les modalités selon lesquelles l’entreprise pourra reprendre son fonctionnement normal, en assurant un redémarrage aussi ordonné et rapide que possible.
Une simple sauvegarde ne fait pas un bon PRA ! On peut y prévoir :
- la présence de sites secours ;
- la redondance de données entre datacenters ;
- les paramètres de redémarrage des applications ou des machines.
[Objectifs] Pourquoi mettre en place un PCA ou un PRA ?
Votre entreprise est-elle concernée par le PCA et le PRA ?
Les enjeux de cybersécurité
À l’ère de la virtualisation du cloud computing, on connaît les proportions que peut prendre une cyberattaque.
93 % des entreprises ont été victimes de tentatives de fraude en 2016.
Ce chiffre montre l’intensité de la menace. Le hacking est protéiforme : virus, logiciels espions, cheval de Troie… Quel que soit le système d’exploitation utilisé, personne n’est à l’abri.
La partie émergée de l’iceberg
Le piratage informatique peut servir à une usurpation d’identité, à une réclamation de rançon, à un vol par transfert de fonds ou à de l’espionnage industriel. Ces pratiques nuisent à l’entreprise en termes d’image, de compétitivité ou d’un point de vue financier, de façon directe.
Des impacts plus profonds
Un dommage collatéral moins quantifiable, et cependant tout autant dommageable, est la cessation de service pour votre d’activité. Lors d’un plantage de l’infrastructure informatique, les collaborateurs n’ont plus accès à leurs outils de travail. Pour autant, le compteur tourne : une perte sèche pour l’entreprise.
Quels types de risques pour votre entreprise ?
Plus généralement, différentes sortes de crises graves peuvent affecter le système d’information d’une entreprise et nuire à la continuité de ses activités :
- des menaces informatiques externes telles qu’une cyberattaque, un virus, un vol de serveur, etc. ;
- une erreur de manipulation ;
- une défaillance matérielle ou informatique ;
- un problème de réseau ou d’infrastructure ;
- une coupure prolongée d’électricité ;
- des désastres naturels, tels qu’une inondation, un incendie, une tempête, etc.
Quelle que soit la taille de votre entreprise, elle est sans doute exposée à certains de ces risques.
L’infographie ci-dessous révèle les risques de fraude et d’intrusions dans les systèmes informatiques des entreprises en France. Ces chiffres sont issus des résultats d’une enquête auprès de 150 directions financières, conjointement menée par Euler Hermes (assurance-crédit) et la DFCG (association nationale des directeurs financiers et de contrôle de gestion).
Des effets en cascade
Le scénario catastrophe
Imaginez que votre ERP (Enterprise Resource Planning), votre CRM (Customer Relationship Management), votre GED (gestion électronique des documents) ou même votre BDD (base de données) deviennent inaccessibles. Qu’arriverait-il ? La DSI (direction des systèmes informatiques) serait sur les charbons ardents, cherchant une solution, opérant un dépannage express.
Des séquelles à long terme
La panne finirait par se résoudre. Cependant, certaines informations pourraient être définitivement perdues — mails, données clients ou bons de commande par exemple.
Les conséquences se feraient sentir sur la durée. Ces types de dommages collatéraux sont si divers et si étendus qu’ils sont difficiles à évaluer dans leur globalité. Ils peuvent inclure :
- des retombées financières (si des activités clés de l’entreprise sont forcées à l’arrêt),
- des conséquences sur l’image de marque et la satisfaction des clients,
- des impacts sur le fonctionnement interne de l’entreprise,
- des conséquences juridiques, etc.
L’organisation doit affronter des difficultés opérationnelles en plus de ses défis quotidiens : 80 % des entreprises ayant subi un sinistre informatique majeur ferment d’ailleurs dans les deux ans qui suivent.
L’objectif essentiel de la mise en place d’un PCA ou d’un PRA est de limiter les dégâts pouvant être causés par une interruption d’activité et d’assurer la continuité ou la reprise de l’activité de l’entreprise.
Nous allons voir plus bas comment protéger votre entreprise et comment s’armer pour sauvegarder votre activité grâce au PRA et au PCA.
[En pratique] Comment mettre en place un PCA ou un PRA ?
Les prérequis
Le plan doit décrire les moyens à mettre en œuvre et les procédures à suivre en cas d’incident, de la même façon qu’une cellule de crise.
L’entreprise doit veiller à ce que les processus de mise en place d’un PCA ou d’un PRA soient confiés à des personnes ou entités pourvues d’une maîtrise technique et d’une réelle expertise en la matière. Pour cela, la démarche peut être entreprise en interne si les compétences requises existent au sein des équipes ou par un prestataire spécialisé.
Les étapes
Une démarche de mise en place d’un PCA ou PRA commence avant tout par un état des lieux. Des interrogations soulevées en amont vont permettre d’identifier quelle est la vulnérabilité de l’entreprise, à quel type de situation elle peut être confrontée et la réponse à apporter (continuer l’activité, avoir recours à un support externe, etc.). Les étapes suivantes peuvent être suivies :
- analyser les besoins en matière de disponibilité des données et de processus critiques ;
- élaborer une classification des informations et des actifs de l’entreprise ;
- étudier les risques auxquels est exposé le système d’information ;
- établir le Plan de continuité ou le Plan de reprise d’activité ;
- définir les processus de pilotage et de gestion de la crise potentielle ;
- organiser des phases de test et leur suivi.
Les bonnes pratiques
Évaluer le risque
Prendre la mesure du risque associé à une perte de votre patrimoine informationnel, c’est chercher à en calculer le coût. Il dépend de l’étendue de votre parc informatique d’une part, et des pratiques qui l’environnent d’autre part.
Faire une analyse exhaustive et sensibiliser
Vos collaborateurs consultent-ils des données professionnelles sur leurs terminaux informatiques personnels : smartphone, tablette, ordinateur ? On parle de BYOD (Bring Your Own Device), pratique de plus en plus courante.
Or si elle l’est dans votre entreprise, il vous faut étendre vos dispositifs de sécurité en ce sens. Les habitudes sont également à considérer de près. L’utilisation de clés USB par exemple, ou l’aptitude à reconnaître un risque de phishing.
C’est aussi en ce sens qu’il faut œuvrer : former l’humain de manière à ce que la structure se protège à l’échelle individuelle comme collective.
Prévenir ET guérir
Prendre ses dispositions, c’est chercher à empêcher l’incident. Et cela consiste aussi à savoir quoi faire si jamais le pire arrive. Il vous faut prévoir les différentes typologies d’incidents.
Ils peuvent être informatiques ou matériels : un incendie qui ferait fondre vos serveurs informatiques ; une inondation rendant vos circuits informatiques hors d’usage ; etc.
[Outils] Des solutions fiables pour sécuriser vos données !
Pour mettre en place un plan de continuité complet, votre entreprise doit pouvoir se reposer sur une solution de sauvegarde fiable. Différents logiciels existent, comme Trust2Cloud ou Beemo Data Safe Restore. Ces deux solutions mettent à disposition de votre entreprise un boîtier de stockage en réseau, appelé NAS (Network Attached Storage), pour une relance du système plus rapide en cas d’incident.
D’autres outils peuvent vous assister dans la mise en œuvre d’un PCA ou d’un PRA, en voici une sélection.
BeBackup, une solution à portée de tous
Le logiciel BeBackup s’adresse aux prestataires informatiques et leur permet de gérer un service de sauvegarde Cloud pour leurs clients. Quel que soit le type d’hébergement choisi (chez le prestataire, et/ou en datacenter, et/ou chez le client en local), la solution offre un très haut degré de sécurité. Elle vous permet de choisir tout type d’infrastructure de sauvegarde en fonction du niveau de sécurisation adapté à votre clientèle.
Les points forts de BeBackup :
- Une solution ultra sécurisée grâce au cryptage à la source (côté agent) des données sauvegardées ;
- Une sauvegarde optimisée avec des tâches intelligentes côté serveur (contrôle des données, déduplication, réplication, etc.) ;
- Une console web pour une gestion centralisée de tout votre parc ;
- Des tarifs attractifs.
BeBackup
UCover by Nuabee, le plan de reprise d’activité dans le Cloud
UCover by Nuabee est une solution de Plan de Reprise d’Activité entièrement managée qui automatise les processus de PRA. Plus qu’une simple solution de sauvegarde, UCover by Nuabee assure la reprise des activités informatiques des PME et ETI en cas d’incident ou de sinistre, avec la possibilité de redémarrer les applications critiques en quelques heures.
Leur infrastructure informatique est modélisée dans leurs bases de données, et lorsqu’un PRA est exécuté, l’infrastructure est automatiquement reconstruite et récupérée. La solution permet de tester régulièrement de façon monitorée la restauration des environnements informatiques dans le Cloud public. Un avantage majeur : les ressources informatiques internes ne sont pas impactées lors des phases de test.
Les points forts de UCover by Nuabee :
- Une solution fiable grâce à son modèle 100 % industrialisé, qui permet d’exécuter des tests très régulièrement ;
- Pas d’impact sur l’infrastructure IT d’origine et donc pas d’interruption du travail des utilisateurs lors de l’exécution des tests ;
- Le choix de la méthode de sauvegarde utilisée : en mode agent ou sans agent (via hyperviseur), selon l’application la plus pertinente pour vos serveurs, avec une approche hybride possible.
UCover by Nuabee
vSphere, la virtualisation pour Cloud hybride
vSphere est une plateforme de virtualisation des serveurs et le cœur d’un centre de données défini par logiciel (SDDC ou Software Defined Datacenter en anglais), également appelé « datacenter virtuel ». Il s’agit d’une infrastructure informatique reconstituée sur le web et qui peut être gérée virtuellement et automatiquement avec un logiciel. vSphere a été conçue pour les entreprises voulant maximiser leurs ressources informatiques en consolidant et en optimisant leurs applications.
Dans le cadre d’un PCA ou d’un PRA, la solution permet de réduire les coûts et la complexité des opérations de reprise et continuité d’activité, grâce à des fonctionnalités informatiques toujours disponibles et à une mise en œuvre agile.
Les points forts de vSphere :
- Leader sur le marché dans le domaine de la virtualisation ;
- Réduction des coûts informatiques et de matériel ;
- Protection multiniveau contre les interruptions de service et la perte de données.
vSphere
Protégez votre entreprise, faites appel à des experts !
Tout faire pour que votre entreprise fonctionne, c’est le but d’un plan de continuité de l’activité. En évaluant les risques d’une perte de données ou d’une interruption de services, vous êtes à même de déployer les dispositifs susceptibles de protéger votre activité.
Grâce à la mise en œuvre d’un PCA ou d’un PRA, vous vous donnez les moyens de limiter les dégâts éventuels sur votre système d’information grâce à une organisation précise et des procédures permettant de réduire les impacts. Le choix de votre plan de secours dépend de la criticité de vos capacités informatiques : vous opterez pour un PCA si leur maintien continu est indispensable à la survie de votre organisation ou, si une reprise progressive de vos activités est envisageable après une coupure de service, vous mettrez en place une stratégie de PRA.
Dans tous les cas, la démarche de mise en œuvre de la continuité ou de la reprise d’activité est complexe et pointue. Elle devra être confiée à des ressources compétentes en interne ou externalisée à des prestataires possédant l’expertise requise.
Et vous, vos systèmes d’information sont-ils parés contre les conséquences d’un événement potentiellement dommageable pour votre entreprise ? Qu’avez-vous mis en place ou projetez-vous de mettre en œuvre en matière de continuité ou de reprise d’activité ?
Article mis à jour, initialement publié en mai 2017.
Diplômée de l'ISIT, grande école de management et de communication interculturels, Samantha a d'abord exercé son métier de "passeuse" de sens et de connaissances dans le monde de la traduction et à l'international. Comptant désormais plus de 5 ans d'expérience dans le marketing digital et la rédaction web SEO, elle se donne pour mission d'aider les entreprises BtoB engagées à faire rayonner leur cœur de métier. Avec son clavier pour allié et une bonne dose d'enthousiasme, elle leur propose du contenu impactant adressé à leur audience cible : articles de blog, sites internet, newsletters, e-books, pages de vente… Toujours curieuse, elle reste en veille sur les bonnes pratiques et les tendances SEO pour proposer aux clients un accompagnement éclairé et des stratégies pertinentes.
Un trait caractéristique ? Le goût de la punchline (humour soumis à la validation de ses collègues) !