Les cyberattaques nécessitent la mise en place d’un PRA / PCA
Avec la forte menace que présente la cybercriminalité de nos jours, et pour tous types d’enseignes, pouvoir continuer et reprendre son activité est essentiel. Il est donc important d’intégrer cette logique dans la gestion de votre entreprise afin d’éviter les risques d’interruption.
Un PRA (Plan de Reprise d’Activité) et un PCA (Plan de Continuité d’Activité) sont des procédures d’entreprise visant à mettre en œuvre l’ensemble des processus, des moyens humains, matériels et technologiques pour permettre à ladite entreprise de faire face à un sinistre – de pouvoir continuer et/ou reprendre son activité.
Distinction entre PRA et PCA
Un plan de Reprise d’Activités est une procédure (un ensemble de procédures) permettant aux entreprises de reprendre, relativement « vite (meilleurs délais) » leurs activités après avoir vécu un sinistre (attaque informatique, inondation, incendie, perte de données …). Il s’agit généralement d’un document qui décrit les démarches à suivre afin de reconstruire le système informatique et de minimiser les effets négatifs de la crise survenue.
Le plan de continuité d’activités quant à lui doit permettre d’assurer la continuité des activités et services de l’entreprise en cas de pannes, d‘accidents ou d’incidents majeurs. L’objectif est de virer automatiquement vers un réseau ou un site secondaire lorsque le réseau primaire rencontre des problèmes. La mise à jour des données doit donc être effectuée en simultanée sur les deux sites en permanence. Ainsi, le but du PCA est de diminuer (d’empêcher même) les interruptions et donc d’éviter.
Un arrêt prolongé des activités de certains départements, a un impact direct sur les clients. Leur mécontentement et leur insatisfaction pourraient les conduire à se tourner vers les concurrents. Dans ce cas, la perte est parfois conséquente et entraîne même la faillite. Cela nuit par ailleurs à la réputation de l’entreprise et influe considérablement sur la situation économique de celle-ci sur le long terme. Les collaborateurs et les partenaires peuvent aussi rompre leur contrat lorsque les conditions ne leur sont plus favorables. Enfin, la société peut avoir des problèmes juridiques si elle n’est plus en mesure d’assumer ses engagements envers les employés, les clients ou les utilisateurs. Le PRA et le PCA assurent l’avenir de la société en cas de sinistre.
Différence entre PRA et PCA
La différence entre PRA et PCA se situe principalement sur le temps acceptable, pour une entreprise, d’arrêt de production ou d’activité. Plus précisément, deux notions marquent cette différence :
- Le RTO (le Recovery Time Objective), qui représente la durée maximale d’interruption admissible de vos services à la suite d’une panne ou d’un sinistre. (1 seconde, 1 minute, 1 heure, 1 jours etc…)
- Le RPO (le Recovery Point Objective), qui désigne le nombre maximum d’enregistrement/ de sauvegarde des données qu’il est acceptable de perdre lors d’une panne
En synthèse, un Plan de Reprise d’activité informatique aura toujours un RTO supérieur à zéro et un RPO supérieur ou égal à zéro et un Plan de Continuité d’activité informatique aura toujours un RTO égal à zéro et un RPO égal à zéro.
Zoom sur le PCA
Le PCA ne concerne pas « uniquement » l’infrastructure informatique, mais s’occupe plus globalement de la « bonne santé » de toute l’entreprise, de toute l’entité professionnelle.
Les retours d’expérience des grandes crises récentes montrent que les organisations ayant entrepris une démarche préalable visant à garantir la continuité de leur activité sont les plus résilientes face aux événements déstabilisants.
Un plan de continuité d’activité (PCA) a par conséquent pour objet de décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image…) et de tenir ses objectifs. Le règlement n° 97-02 du Comité de la réglementation bancaire et financière du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement donne la définition suivante: « Le PCA représente l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités. »
L’importance de la sauvegarde des données
La mise en œuvre de PRA / PCA passe nécessairement par un audit approfondi des procédures de l’entreprise et, par conséquent, l’élaboration d’un cahier des charges fonctionnels. Dans ces deux cas, il faut impérativement mettre en place un système de sauvegarde complémentaire, et à l’abri des risques. Plusieurs raisons viennent confirmer l’importance d’une bonne gestion des sauvegardes :
- 40% de pannes de système et des pertes d’informations dues aux erreurs de manipulation
- 85% des piratages informatiques commencent à l’intérieur même des entreprises (comportements inadéquats des collaborateurs en matière de sécurité informatique)
- 80% des entreprises ayant perdu leurs données informatiques font faillite dans les 12 mois qui suivent. (Lire article)
Pour exemple à plus petite échelle, il n’est pas rare d’avoir perdu des heures de travail à cause d’un simple crash et d’un oubli de sauvegarde régulière. Dans le cas présent, il peut arriver le même problème mais sur tous les dossiers de l’entreprise. Il est aussi important de vérifier régulièrement l’intégrité des sauvegardes.
Cas concret chez les clients d’OVH en défaut de sauvegarde
Petits ou grands, les clients touchés de plein fouet par l’incendie du datacenter d’OVH à Strasbourg ont connu des conséquences notables sur leurs activités en particulier ceux dont le web est un point d’entrée commercial ou de services. La nécessité d’avoir un back-up et un PRA fonctionnel n’a jamais été aussi forte.
Et vous, combien de temps est-il acceptable que votre activité s’arrête ?
15 minutes ? 2 heures ? 7 jours ?
Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.
