Les problématiques de cybersécurité constituent aujourd'hui un véritable défi pour les entreprises. Mettre en place un PRA (Plan de Reprise d'Activité) informatique permet d'anticiper le risque afin d'assurer la continuité des activités essentielles au fonctionnement de l'entreprise et de protéger les données en cas de panne.
Quels sont les enjeux des risques informatiques pour une entreprise ? En quoi consiste le PRA ? Quelles sont les étapes de sa mise en élaboration ?
Toutes les sociétés, quels que soient leur taille et leur secteur d'intervention, doivent faire face à de multiples menaces informatiques susceptibles d'impacter plus ou moins gravement leurs activités. Les conséquences d'une crise informatique peuvent mettre en péril leur fonctionnement et leur crédibilité.
Ainsi, la perte des données essentielles peut engendrer un préjudice sur l'activité commerciale, qui aura inévitablement une incidence financière et un impact sur la relation client. Les répercussions peuvent aller jusqu'aux poursuites judiciaires pour manquement aux obligations de l'entreprise.
Depuis quelques années, les systèmes antivirus ne suffisent plus pour protéger les entreprises d'un sinistre informatique potentiel. Le PRA (ou disaster recovery plan en anglais) permet de déployer des procédures visant à minimiser l'impact d'une panne majeure sur les activités informatiques d'une entreprise.
Le concept du plan de reprise d'activité repose sur un ensemble de procédures, de stratégies et de moyens technologiques permettant de pallier les risques et d'assurer une reprise rapide des activités après un sinistre. Le PRA se présente sous la forme de plans d'action adaptés aux besoins de chaque entreprise.
Il n'existe donc pas un PRA, mais de multiples modèles correspondant aux spécificités de chaque organisation. L'objectif reste cependant toujours le même : garantir la continuité de l'activité informatique de l'entreprise.
La maintenance informatique, étape préventive essentielle au maintien opérationnel d'un système informatique, fait partie intégrante de la démarche de PRA. Une bonne gestion du réseau informatique et des équipements (ordinateurs, serveurs, périphériques, etc.) permet de limiter le risque de panne et d'assurer la bonne santé du système.
Une maintenance efficace passe notamment par la surveillance, la mise à jour, la sauvegarde régulière des données, l'utilisation de sites de secours et la réparation des incidents mineurs sur les différents équipements.
La mise en œuvre d'un PRA suppose préalablement de réaliser un audit du système informatique, afin d'évaluer les points faibles des systèmes et leur niveau de protection. Cette étape repose sur un inventaire des outils informatiques et sous-entend une maîtrise des normes qui s'appliquent à une reprise d'activité après un incident. Cette réglementation varie selon le secteur de l'entreprise.
Un plan de reprise d'activité permet de repérer et de lister toutes les menaces concernant une entreprise donnée afin d'en avoir une vision complète. La cartographie précise des risques ainsi établie permet d’établir des systèmes informatiques de secours adaptés et performants.
Différents types de risques sont répertoriés :
Chaque risque est hiérarchisé en fonction de son niveau de gravité, spécifique à chaque entreprise. En effet, certaines activités supportent mieux que d'autres une interruption des services informatiques. L'expérience des incidents passés permet d'anticiper au mieux en affinant les pistes d'amélioration du système.
La charpente du système informatique de toute entreprise repose sur le cœur de réseau et l'infrastructure réseau. L'objectif premier du PRA sera donc d’établir une stratégie pour restaurer le plus rapidement possible les piliers de l'organisation informatique que constituent les routeurs, pare-feux, commutateurs, etc.
Le PRA doit viser avant tout la réduction maximale de la durée d'interruption, la priorisation de la restauration des applications les plus sensibles et la protection des données essentielles. Au-delà de ces objectifs généraux, les partenaires internes et externes impliqués dans la mise en place du PRA devront identifier les objectifs spécifiques de chaque entreprise. Les process instaurés devront être individualisés pour correspondre au mieux aux attentes et besoins de chacune.
Dans l'industrie, le PRA doit impérativement prioriser la restauration du protocole de communication Modbus TCP, afin de minimiser les interruptions d'activité. D'autres systèmes et logiciels, essentiels à la gestion des processus au sein de l'entreprise, doivent être pris en compte par le PRA :
Parallèlement aux objectifs, il convient également de définir un budget pour la mise en place d'un PRA. Ce coût est souvent important, mais il devra toujours être comparé avec celui d'un arrêt de l'activité informatique.
L'autre volet d'un PRA repose sur les mesures curatives, avec l'utilisation de systèmes de secours pour restaurer ou reprendre les données impactées par le sinistre. L'objectif est de relancer progressivement l'activité.
Le PRA se matérialise par un document qui résume, étape par étape, le process à suivre pour reconstruire le système d'information et pour remettre en route les applications nécessaires à l'entreprise. Il précise le système de sauvegarde à activer pour garantir la sécurité des données sensibles.
Il indique également les seuils de tolérance acceptables, notamment le seuil tolérable de la durée d'interruption avant que la situation ne devienne critique (RTO ou Recovery Time Objective) ainsi que le seuil tolérable de perte de données (RPO ou Recovery Point Objective).
Afin de parfaire le PRA, il est important de réaliser régulièrement des tests pour évaluer les points forts et les points faibles et procéder à des corrections et ajustements. Cette étape d'expérimentation peut se faire par différents exercices :
Ces différents tests permettront de mettre à jour régulièrement le PRA pour garantir son efficacité et sa pertinence. Le plan de reprise d'activité est un processus en constante évolution, qui doit s'adapter aux changements de l'entreprise et de son environnement. Le retour d'expérience des différents intervenants sera également riche d'enseignements : il servira à consolider le plan et à l'optimiser au fur et à mesure des feedbacks.
Le PRA doit également inclure un protocole de communication pour informer les équipes concernées en interne sur la stratégie utilisée pendant l'étape de reprise d'activité. Ces échanges passent par un message rassurant sur les mesures de sécurité permettant de faire face à la crise, ainsi que sur l'impact éventuel pour le travail de chaque interlocuteur.
Le plan de communication doit également s'adresser aux partenaires externes et clients qu'il convient d'informer sur la situation, la continuité des services, ainsi que l'impact éventuel sur les délais et sur la relation commerciale. L'information peut transiter par différents biais, tels que la visioconférence, le mail ou des supports visuels, ce dernier outil permettant une restitution claire et explicite.
Proposer des sessions de formation, en ligne ou en présentiel, est un autre outil efficace pour exposer les procédures du PRA. Les échanges interactifs, par exemple sous forme de questions-réponses, optimisent la compréhension des interlocuteurs. Il est également possible d'élaborer des supports de formation clairs pour décrire avec précision les process de reprise d'activité après un incident. Chaque salarié pourra s'y référer en cas de besoin, ce qui lui permettra de se familiariser aux procédures à son rythme et d'être responsabilisé dans sa fonction.
Dans les grandes entreprises, la responsabilité d'un PRA revient souvent au DSI (Directeur des Systèmes d'Information), au service de gestion des risques ou à l'équipe dédiée à la continuité des activités.
La gestion de l'infrastructure informatique peut également être déléguée à une entreprise spécialisée extérieure, telle qu'une ESN (Entreprise de Services du Numérique) ou une SSII (Société de Services en Ingénierie Informatique). C'est ce qu'on appelle l'infogérance. Ces consultants extérieurs travaillent avec les responsables et gestionnaires informatiques de l'entreprise, qu'ils impliquent dans la mise en place et la maintenance du plan de reprise d'activité. Cette étroite collaboration permet d'ajuster au mieux le PRA aux besoins spécifiques des équipes.
Dans les TPE-PME (Très Petites Entreprises et Petites et Moyennes Entreprises), les équipes spécialisées sont plus rares. C'est alors le chef d'entreprise ou un manager apte à gérer les questions informatiques qui endosse cette fonction.
Le temps nécessaire à la mise en place d'un PRA est variable en fonction de la taille de l'entreprise, de la complexité du système d'information et de la nature des menaces, mais elle demande le plus souvent entre quelques semaines et quelques mois.
Il convient de dissocier les concepts de PRA et de PCA (Plan de Continuité d'Activité), deux approches complémentaires mais différentes. Alors que le PRA vise à restaurer l'accès à l'infrastructure informatique après un arrêt des systèmes d'information, le PCA a pour objectif d'éviter l'interruption et de garantir la continuité de l'activité d'une entreprise en cas d'incident. En somme, le PCA a un rôle préventif, tandis que le PRA intervient quand le sinistre a déjà impacté l'infrastructure.
Le PCA est chargé d'identifier les risques et menaces potentiels encourus par l'entreprise. Il détermine comment ces dangers peuvent affecter les opérations fonctionnelles, définit des mesures de protection pour en minimiser l'impact et élabore des procédures de tests pour évaluer l'efficacité des mesures et veiller à la mise à jour du processus.