Aucune structure n'est à l'abri d'un sinistre susceptible d'impacter gravement ses activités informatiques. Pour se protéger de ces risques, l'entreprise doit développer une culture de résilience. Le PCA (Plan de Continuité d'Activité) informatique fait partie des outils qui permettent de protéger les données sensibles en amont d'une crise majeure.
Qu'est-ce qu'un PCA ? Quelles sont ses finalités et les grandes étapes de sa mise en place ?
Le PCA informatique, ou PCI (Plan de Continuité Informatique), s'inscrit dans le cadre du PCA général d'une entreprise. Il se présente sous la forme d'un document répertoriant les différents risques, les mesures préventives et les procédures d'urgence permettant d'anticiper les risques d’interruption du système informatique.
Le plan de continuité implique la mise en place d'équipements de secours (réseau, serveurs, stockage de données, etc.) susceptibles de prendre le relais en cas de mise hors service de l'un des éléments du réseau informatique.
L'objectif d'un Plan de Continuité d'Activité est de garantir une disponibilité optimale des applications, de minimiser les conséquences d'un incident et de permettre la poursuite des activités de l'entreprise en cas de crise majeure. De façon générale, il ne concerne que les applications et les données critiques d'une organisation.
“PCA/PRA, même combat !" : ce slogan pourrait résumer le lien étroit, et parfois confus, entre les deux processus. Mais, s'ils sont complémentaires, leur finalité est différente. Le premier se situe dans la prévention, le second dans la restauration.
Le PCA vise à empêcher l'arrêt de l'activité de l'entreprise, tandis que le PRA (ou DRP, Disaster Recovery Plan, en anglais) a pour objectif de remettre en route un système à l'arrêt suite à une panne informatique majeure. Le PCA a donc une visée plus large que le PRA.
Mettre en place un PCA informatique est une solution coûteuse et, faute de moyens, certaines structures préfèrent se limiter à un PRA, plan de secours opérationnel centré sur la restauration des systèmes informatiques suite à un sinistre. En cas de mise en danger du système d'information, le PRA se contentera de définir la nature et l'ordre des procédures nécessaires à la réactivation du système. La solution optimale est donc de mettre en place un PCA, qui inclut un PRA.
Parallèlement à ces plans stratégiques centraux, d'autres plans sont dédiés aux systèmes d'information, tels que le PRI (Plan de Reprise Informatique). Constitué de l'ensemble des procédures qui permettent de redémarrer l'activité aussi vite que possible, c'est un élément essentiel du PCA ou du PRA.
L'interruption du système informatique et la perte des données font partie des risques quotidiens de toute entreprise, quelles que soient sa taille et son activité. Ces menaces peuvent prendre différentes formes : cyberattaques (piratage informatique, usurpation d'identité ou espionnage industriel), pannes, vandalisme, erreurs humaines, risques naturels, actes de terrorisme, etc.
En France, plus de 1 000 cyberattaques par jour ont été recensées en 2022. Environ 7 sociétés sur 10 affirment ne pas avoir prévu de plan d'urgence en cas de cyberattaque et près de 60 % des PME doivent déposer le bilan après une paralysie prolongée de leur SI (Système d’Information).
Dans ce contexte de grande vulnérabilité des entreprises, la mise en place d'un PCA est devenue une condition de survie à long terme d'une structure digitalisée. En cas de crise, le PCA minimise différents risques :
Le BIA, ou Bilan d'Impact sur l'Activité (Business Impact Analysis en anglais), est une phase essentielle du Plan de Continuité d'Activité. Cette étape a deux objectifs : identifier les menaces et déterminer l'impact d'une crise informatique sur l'activité. Le BIA, différent selon chaque type d’entreprise, permet d'évaluer la capacité d'une organisation à poursuivre un service acceptable suite à un problème.
L’établissement d'un Plan de Continuité d'Activité passe par la définition et le chiffrage des objectifs de sécurité. Deux indicateurs de référence sont utilisés :
Après l'identification des risques et la définition des objectifs, le PCA peut se mettre en place. Ce document formalisé décrit l'ensemble des procédures qui garantissent la continuité des activités informatiques d'une organisation en cas de crise informatique majeure.
Il prend en compte l'ensemble des menaces potentielles susceptibles d'affecter tous les composants du système d'information (infrastructures, applications, données, etc.). Le PCA est chargé de protéger les systèmes critiques qui constituent la clé de voûte d'une entreprise, dont :
La liste d'équipements vulnérables comporte d'autres logiciels, tels que le GPAO (Gestion de Production Assistée par Ordinateur), chargé des processus de production, le PIM (Product Information Management) et le PDM (Product Data Management), qui assurent le traitement des informations et données relatives aux produits.
Un PCA doit être régulièrement testé, mis à jour et validé pour évaluer sa pertinence et son adéquation aux besoins. L'objectif des tests est également de réactualiser et d’améliorer le PCA au fur et à mesure des évolutions de l'entreprise (fusion, déménagement, changements technologiques ou humains, etc.).
Les procédures de vérification prennent la forme de tests (restauration des données, bascule des serveurs ou du réseau, etc.) ou d'exercices de simulation à destination des équipes. Cette mise en situation des utilisateurs, préparée ou inopinée, doit se rapprocher au maximum des crises potentielles engendrées par un événement réel. Le retour d'expérience de chacun, lors d’une réunion de débriefing, permet de mener les plans d'action pour mettre à niveau et faire avancer le protocole.
La majorité des pays, dont la France, n'ont pas de réglementation précise sur la fréquence des tests techniques. Dans la pratique, les entreprises les réalisent souvent une fois par an, ce qui n'est pas toujours suffisant pour garantir un bon niveau de sécurité.
La communication avec l'ensemble des interlocuteurs, internes et externes, doit être au centre d'une gestion de crise. Il convient d’établir un plan de communication en amont, afin de préparer les équipes à réagir le plus rapidement possible et avec un maximum d'efficacité face à un sinistre grave. Le but premier de ces échanges est, là encore, de minimiser l'impact sur l'activité de l'entreprise.
Ce plan stratégique détermine qui doit être informé, par quel moyen et à quel rythme pendant une situation de crise. Il précise les consignes et directives à respecter pour assurer une gestion optimale de l'information tant que la situation n'est pas revenue à la normale.
La sensibilisation et la formation sont les deux autres volets à déployer en matière de management du risque informatique, pour que le PCA soit appliqué avec efficacité. L'objectif d'une sensibilisation aux principes de la continuité d'activité est de faire évoluer les habitudes de fonctionnement et de développer une culture de résilience au sein de l'entreprise. Au travers de cette action de sensibilisation, chaque acteur du système doit prendre conscience de son rôle et de son implication en cas de sinistre.
Par ailleurs, la formation du personnel permet d'optimiser le savoir-faire et le savoir-être de chacun en situation de crise majeure. Les personnes à former sont prioritairement celles qui interviennent sur des postes clés, à savoir le responsable du PCA et ses proches collaborateurs. Ceci dit, toutes les parties prenantes dans le processus devraient bénéficier de cette formation, dont les bases reposent sur la certification à la norme ISO 22301 et sur un vocabulaire commun.
La certification ISO 22301 est la norme internationale qui s'applique pour les PCA des organisations. Cette norme, qui vise à développer une culture de résilience dans le monde de l'entreprise, précise les exigences relatives aux SMCA (Systèmes de Management de la Continuité d'Activité).
L'ISO 22301 propose un cadre de référence incluant une méthodologie et un référentiel très précis pour anticiper les perturbations et en minimiser le risque. Le SMCA englobe le PCA et le PRA.
De façon générale, un Plan de Continuité des Activités est constitué de trois volets :
Différents acteurs interviennent dans la création d'un Plan de Continuité d'Activité. Outre la Direction Générale et la DSI (Direction des Systèmes d'Information), qui s’impliquent pleinement dans le déploiement du projet, les responsables métiers doivent également participer au listage des activités critiques.
Dans le cadre d’une infogérance, des prestataires externes peuvent prendre part à l’élaboration d'un PRA/PCA. Il s’agit le plus souvent d’ESN (Entreprises de Services du Numérique), qui ont remplacé les anciennes SSII (Sociétés de Services en Ingénierie Informatique). Ces structures spécialisées font intervenir des professionnels du conseil et de la conception pour proposer une aide et un accompagnement des entreprises dans leur projets informatiques et leur transformation digitale.