fr_FR
À propos de KnowesiaContact

Blog

4 étapes pour garantir un PRA (Plan de Reprise d’Activité) informatique infaillible

Vous n’y avez peut-être jamais été confronté, mais des menaces pèsent sur le système d’information car l’informatique implique toujours des risques. Les menaces peuvent interférer dans le travail des utilisateurs, en se manifestant par des pannes et des sinistres. Toutes les entreprises doivent évaluer les menaces liées aux divers dysfonctionnements qui peuvent perturber les activités.
Selon la taille et l’activité de l’entreprise les mesures à prendre et les scénarios à envisager sont différents. Néanmoins je pense que la question est fondamentale pour chacune d’entre elles.

1# Prévoir et préparer les scénarios catastrophes

La première étape d’un Plan de Reprise d’Activité  (PRA) est la conception des scénarios, la réalisation d’un audit, et/ou une cartographie des risques pour ensuite définir une stratégie pour chaque situation possible.

Tous les outils et programmes utilisés doivent être inventoriés, évalués puis classés avec pour chacun d’entre eux le risque critique qu’il représente en cas de dysfonctionnement.
Je pense par conséquent qu’il faut se préparer à tout mais surtout au pire : une panne électrique, un incendie mineur, une panne de réseau internet, etc…

Coûte que coûte, toutes les données doivent être conservées et les activités doivent, dans la mesure du possible, continuer en induisant le minimum de pertes possible. Voici des exemples de questions que je vous propose d’aborder pour commencer à travailler vos scénarios :

  • Quel est le niveau de sécurité de vos systèmes d’information ?
  • Quelles sont les ressources informatiques critiques utilisées par les processus vitaux de l’entreprise ?
  • Vos équipements sont-ils conformes aux règlements et normes de sécurité ?
  • Vos plans de sécurité actuels sont-ils adaptés aux besoins métiers ?
  • Avez-vous des indicateurs de suivi et de mesure d’efficacité de la sécurité interne ?
  • Les rôles de chacun sont-ils bien établit en cas de sinistre ?

En dialoguant avec votre équipe autour de ces questions vous pouvez en développer d’autres qui seront aussi importantes, voire complémentaires.

2# Établir un modèle de gouvernance

Lorsque les scénarios sont envisagés, je préconise alors de “distribuer les rôles” : chaque personne doit savoir ce qu’il a à faire en fonction de la situation.
En général, ce ne sont pas le DSI ou le PDG qui gèrent la crise mais des personnes désignées sur place qui piloteront la reprise d’activité.
Cette gouvernance des risques permet de gérer les processus de façon optimale.

3# Déployer un plan efficace pour gérer toutes les situations

En fonction de la stratégie que vous élaborez le plan de reprise d’activité, plusieurs actions peuvent être mise en place :

  • la répartition de charge,
  • la sauvegarde et restauration de données adaptées à vos contraintes et à vos activités,
  • la redondance ou réplication des données (en local ou sur site secondaire)
  • des systèmes de secours avec le redémarrage des applications en mode déconnecté,

Enfin lorsqu’un site de secours a été actionné dans le PRA, il faut également prévoir un processus de retour à la situation avant sinistre, avec un basculement vers le site principal lorsque le système est rétabli.

4# Effectuer un suivi et des contrôles réguliers

Je vous conseille en premier lieu de faire des tests réguliers du PRA mis en place pour valider sa fiabilité. Cela est nécessaire pour s’assurer qu’il répond toujours aux exigences après un certain temps.
Il est essentiel de bien documenter le PRA afin de le faire évoluer de la même manière que votre système d’information change.
Des procédures prenant en compte les évolutions postérieures peuvent être considérées dans le PRA. Néanmoins cela nécessite une mise en conformité des programmes et par conséquent une charge de travail supplémentaire à effectuer avec rigueur.

Enfin, un journal d’événement pour recueillir les retours sur expériences me semble très important.

Vos réactions