Qu’est-ce que le Plan de Reprise d’Activité ?
Le Plan de Reprise d’Activité, ou PRA, permet la relance du fonctionnement de l'entreprise après un sinistre. Dans le cadre de la sécurité informatique, ce sinistre consiste en général en une brèche de cybersécurité : perte, vol ou disparition de données sensibles, virus, cyberattaque, cybercrime.
Définition du Plan de Reprise d’Activité
En informatique, le PRA qualifie le Plan de Reprise d’Activité informatique, ou disaster recovery plan en anglais. Il a plusieurs objectifs sous-jacents à un but principal, qui est de garantir la pérennité des activités de l’entreprise :
- anticiper et atténuer les impacts des cybercrises ;
- garantir la protection des données numériques sensibles en cas de sinistre ;
- assurer la continuité des activités de la structure, malgré la crise informatique ;
- déployer un système de secours pour reprendre les applications informatiques vitales.
Le PRA prend en outre la forme d’un document, qui recense l’ensemble des process à mettre en place pour maintenir ou reconstruire le système informatique (SI) en cas de crise cyber :
- Il indique comment et quand se reporter sur le système informatique de secours prévu par le plan de gestion de crise ;
- Le Plan de Reprise d’Activité précise quel système de sauvegarde enclencher pour garantir la sécurité des données confidentielles ;
- Il détaille les durées maximales d’interruption admissibles pour chaque département, soit le RTO, Recovery Time Objective ;
- C’est aussi ce document qui décline la perte de données maximale admissible, ou RPO (Recovery Point Objective).
Différence entre PRA et PCA
La signification du PCA et du PRA a évolué dans le temps. À l’origine, le PCA, ou plan de continuité d’activité, devait anticiper les impacts d’un sinistre sur l’entreprise. Il prévoyait aussi des mesures pour limiter les conséquences néfastes des crises. Le PRA fonctionnait comme le PCA, mais en ne traitant que des problématiques informatiques.
Avec le temps, le Plan de Continuité d’Activité et le Plan de Reprise d’Activité ont tous deux pris des significations plus précises. Chacun tient désormais un rôle spécifique vis-à-vis du système informatique de l’entreprise.
Comment se définit le PCA aujourd’hui ?
Le PCA consiste dorénavant en un portefeuille de procédures et de moyens qui servent à garantir la continuité des activités de l'organisation en cas de problème. Son objectif est donc avant tout d'éviter l’interruption des systèmes d’information et les ruptures d'exploitation. Il doit par conséquent être construit de telle façon qu’il assure la disponibilité de toutes les structures informatiques de l'entreprise : réseaux, serveurs et datacenters.
D’un point de vue strictement informatique, on distingue le plan de continuité opérationnel de tous les métiers de l'entreprise du “PCI”. Le PCI, ou Plan de Continuité Informatique, cible précisément les procédures et moyens à mettre en place pour assurer le fonctionnement continu du système d'information.
Rôle contemporain du PRA informatique
Le Plan de Reprise d’Activité, quant à lui, consiste à garantir la remise en route de l’activité de l’entreprise. Les informaticiens parlent dans ce cas de “backuper” une infrastructure. Ce plan se déploie donc à la suite d’une interruption manifeste des systèmes d’information. Il doit assurer la reconstruction post-sinistre du SI et la relance de ses applications les plus stratégiques pour le fonctionnement de l’entreprise.
Son objectif consiste à garantir une reprise d'activité satisfaisante dans les meilleurs délais, pour réduire les conséquences financières de la crise cyber. Il s’appuie donc sur une cartographie des risques mûrement réfléchie pour prévoir des systèmes informatiques de secours adéquats et assurer la redondance des données. La redondance des données critiques, ou data redundancy, désigne le fait d’enregistrer les mêmes données sur différents supports informatiques.
Le Plan de Reprise Informatique dans la terminologie des DSI
Pour résumer le propos, les Directions des Systèmes d'Information (DSI) estiment donc que le PCA décrit les mesures pour assurer la continuité de l'activité, quand le PRA détaille celles qui garantissent leur reprise après un arrêt du SI. Le Plan de Reprise de l’Activité se déploie donc quand l'infrastructure est indisponible.
En cas de cyberattaque, il existe généralement deux configurations d’application du PRA :
- Soit l’entreprise était préparée aux crises informatiques, et disposait d’un PCA qui l’a aidée à réduire l’impact du sinistre. Elle peut dans ce cas réduire le RTO et le RPO à leur minimum et appliquer un “redémarrage à chaud” des applications. Il s’agit d’une relance rapide des activités sur un ou plusieurs serveurs de secours, le tout basé sur des copies des données avant sinistre.
- Soit la structure n’avait pas de PCA, ou pas les moyens techniques de déployer un plan de gestion de crise performant. Son redémarrage après cyberattaque se fait alors “à froid”, c’est-à-dire plusieurs heures ou jours après le sinistre informatique. On parle dans ce cas d’une reprise basée sur les dernières sauvegardes de l'entreprise. Ce déploiement de PRA à froid disparaît cependant de plus en plus avec la généralisation du stockage de données en cloud.
Quand mettre en place sa reprise d'activité informatique ?
Par définition, le PRA se déploie uniquement quand l’entreprise accuse un réel arrêt de ses activités informatiques. Pour que ce plan de relance du SI performe et vous permette une reprise rapide de vos activités, il faut néanmoins le penser bien en amont de l’avènement effectif d’une crise cyber. Prévoyez en moyenne 3 mois pour le conceptualiser. Il s’agit cependant là d’une durée indicative, plus ou moins variable selon la taille de votre structure.
Une fois la cyberattaque, la panne informatique ou l’erreur humaine actée aux dépens de votre infrastructure, l’objectif de la mise en place du PRA consiste à minimiser votre temps d'arrêt opérationnel. Plus le “recovery time” est long, plus l’entreprise met en péril ses résultats financiers.
Renforcez la cyber-résilience de votre organisation grâce à la quantification des cyber-risques
Contactez C-Risk pour plus d'informations sur nos solutions de quantification du risque cyber.
Avantages et inconvénients du PRA
Le Plan de Reprise d’Activité a pour principale mission de garantir une relance rapide de votre fonctionnement. Une interruption trop longue a effectivement des impacts sur votre réputation, et donc sur votre valeur financière. Si par ailleurs cet arrêt ponctuel menace l’accomplissement de vos obligations réglementaires et contractuelles, vous encourez des conséquences juridiques dommageables.
La mise en place d’un PRA représente cependant un coût. Celui-ci se rentabilise néanmoins au vu des conséquences néfastes qu’il évite à l’entreprise en cas de cyberattaque ou de faille informatique :
- altération ou disparition d’une partie des données sensibles ;
- perte de chiffre d’affaires due à l’arrêt du système informatique ;
- mauvaise réputation auprès des clients, des partenaires et des investisseurs ;
- risques juridiques.
Le PRA s’appuie ainsi sur un réseau informatique tiers et sur des sauvegardes de données pour assurer un fonctionnement informatique satisfaisant. Comme le PCA, les avantages du Plan de Reprise d’Activité ne s’apprécient cependant que dans le respect des bonnes pratiques. Il s’agit d’un plan qui doit être réfléchi et testé régulièrement. Son élaboration prend du temps et d’importants budgets pour être efficace.
Comment élaborer un PRA ?
La réalisation du Plan de Reprise d’Activité informatique se décline en différentes étapes. Dans les grandes lignes, il s’agit dans un premier temps de construire un cahier des charges qui précise les applications informatiques critiques pour votre structure. Celles-ci nécessitent un “backup” d’urgence en cas d’arrêt du système informatique.
Il s’agit aussi d’identifier le système de secours à mettre en place, et le modèle de sauvegarde des données pour lequel vous optez. Votre PRA doit par ailleurs prévoir des mesures de mise à jour régulières.
1 / Vérifier les recommandations officielles en matière de reprise d’activité
Selon le secteur d'activité dans lequel vous évoluez, il existe probablement des réglementations et des normes qui régissent la reprise d’activité, et donc aussi les modalités de réalisation du PRA. La norme ISO 22301 organise ainsi la gestion de la continuité d’activité pour un certain nombre de domaines.
Le secteur de la banque et de la finance est particulièrement concerné par ce type d’obligations réglementaires. L’Autorité des Marchés Financiers (AMF) exige par exemple que ses entreprises agréées spécialisées dans la gestion de portefeuilles disposent d’un PRA.
2 / Définir les responsabilités dans la réalisation du plan
Le Plan de Reprise d’Activité informatique va bien sûr mobiliser les compétences de votre DSI et de votre direction générale. De façon plus globale, chaque département va devoir participer à son élaboration pour déterminer les applications informatiques indispensables au bon fonctionnement de l’entreprise.
Pour que l'élaboration de ce PRA soit fluide et cohérente, il peut d’ailleurs être utile de nommer un ou une responsable de sa réalisation. Celui-ci est généralement issu de la DSI. Il se charge de déterminer les infrastructures à backuper en priorité en cas d'arrêt du SI en concertation avec les autres corps de métier.
3 / Auditer le système informatique avant toute crise cyber
L’inventaire des outils informatiques indispensables à une reprise d’activité efficace porte sur plusieurs éléments :
- besoins en termes de réseau, et notamment de débit ;
- serveurs existants ;
- applications logicielles utilisées quotidiennement ;
- sauvegardes automatiques, surtout leur périodicité et leur volume.
4 / Classer les activités informatiques critiques
L’étape suivante consiste à organiser les applicatifs selon leur degré de criticité pour le bon fonctionnement de la société. Dans le quotidien de votre organisation, certaines activités supportent moins bien l’arrêt inopiné du SI que d’autres.
Vous devez classer ces activités et les applicatifs informatiques correspondants du plus au moins critique pour définir le périmètre effectif de votre Plan de Reprise d’Activité. Vous devez aussi comparer cette criticité à la probabilité des risques envisagés. Il s’agit là d’une démarche classique de gestion des risques et d’anticipation des failles de cybersécurité.
Cette étape implique également de définir les RTO et RPO acceptables pour votre entreprise. Autrement dit, il va falloir détailler le délai maximal de remise en service que votre structure peut tolérer, ainsi que celui de non-enregistrement des données. Se jouent ici des questions connues des DSI, liées à la périodicité de la sauvegarde des données.
5 / Prévoir un budget pour le Plan de Reprise d’Activité
La conceptualisation et le déploiement du PRA représentent un centre de coût, bien qu’ils préviennent aussi les pertes financières. La question du budget dédié à ce Plan de prise d’Activité s’avère cependant d’autant plus centrale qu’elle détermine le type de solution de backup à privilégier en cas d’arrêt de l’activité informatique.
Pour un budget raisonnable, comparer les dépenses dues au PRA à celles qu’implique une rupture dans le fonctionnement informatique de l’entreprise.
6 / Préciser les contours de la solution informatique de secours
Une fois ces données préalables compilées, reste à définir l’infrastructure informatique qui va héberger vos applications de secours. Beaucoup d'entreprises prévoient pour cela un deuxième site appelé “site de secours”, doté des infrastructures IT nécessaires et d’un système de réplication des données. Cette solution est intéressante parce qu'elle fonctionne selon un principe de réciprocité : un site protège l’autre.
Il s’agit cependant d’une piste onéreuse, qui pousse de nombreuses organisations à plutôt recourir à un prestataire pour disposer d’une infrastructure à distance. Le PRA sur Cloud est par conséquent une piste qui gagne du terrain, notamment en mode DRaaS, Disaster Recovery As A Service.
7 / Tester régulièrement son PRA
Prévoir un Plan de Reprise d’Activité n’a de sens que si celui-ci tient compte des nouveaux logiciels acquis par l'entreprise en cours de route, mais aussi de leurs mises à jour. Les applicatifs de secours et procédures de réplication des données doivent également être régulièrement testés pour vérifier leur adéquation à l’évolution du système informatique.
Il faut aussi s’assurer que votre Plan de Reprise s’adapte aux habitudes logistiques de vos ressources humaines. Il faut qu’il soit déployé conformément à la démarche prévue en cas de crise cyber. Cet impératif peut s’inscrire dans les exercices de simulation prévus par votre stratégie de gestion de crise cyber.
3 questions sur le Plan de Reprise d'Activité (PRA)
Quelle est la définition d’un “PRA” informatique ?
Le PRA, ou Plan de Reprise d’Activité, incarne un ensemble de documents détaillant les démarches à réaliser pour mettre en place une infrastructure informatique de secours. Celle-ci doit assurer le déroulement habituel des activités de l’entreprise, suite à un arrêt ponctuel du système d'information. Cet arrêt peut être dû à une cyberattaque, une faille informatique, une négligence humaine, une perte ou un vol de données.
Comment appelle-t-on le PRA en anglais ?
En anglais, le PRA se dit “disaster recovery plan” ou "disaster recovery planning”. Il se distingue ainsi du PCA, ou “business continuity plan” (BCP).
Le PRA va-t-il forcément avec le PCA ?
Il existe des secteurs pour lesquels une interruption d’activité, même d’une minute, représente une réelle perte financière ou un vrai danger pour la sauvegarde des données. Pour ces secteurs, le PCA s’impose. Les entreprises dont les activités représentent un niveau de criticité moindre et qui peuvent se permettre des temps d’interruption du système informatique plus longs peuvent se contenter d’un PRA.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.