Plan de reprise informatique : êtes-vous au point ?

Votre activité n’a jamais été aussi dépendante du bon fonctionnement de votre système d’information. Avez-vous déjà réfléchi aux conséquences que pourrait avoir un incident majeur ou mineur impactant vos infrastructures ou votre système d’information ? Dans cet article, nous tentons de démystifier pour vous les bases d’un plan de reprise d’activité (PRA) et de son pendant informatique, le PRI (plan de reprise informatique).

Le plan de reprise d’activité (PRA), indispensable en cas de sinistre

Définissez votre PRA

Le Plan de Reprise d’Activité, c’est l’ensemble des documentations et procédures établies pour reprendre l’activité en cas d’incident (inondation, incendie, etc.).

Cela concerne la totalité des éléments nécessaires à la bonne conduite de votre travail, que ce soit vos équipements (machines de production, arrivées électriques …), mais aussi les moyens de transports pour vos salariés, vos matières premières, etc. Le PRA vous garantit une reprise d’activité, peu importe la manière dont votre environnement de travail est impacté.

La norme ISO 22301 définit les exigences du système de management pour protéger ou réduire la probabilité d’incident et garantir la récupération et la reprise de l’activité. Elle donne un cadre pour évaluer l’ensemble des éléments clés pour la bonne marche de votre activité.

Identifiez les facteurs de risque liés à votre activité

La mise en place d’un plan de reprise d’activité commence par une cartographie précise des facteurs de risques majeurs qui pourraient impacter votre entreprise. 

Pour chaque point de vigilance, il faut ensuite énumérer les processus métiers relatifs à vos activités et surtout, les moyens humains ou techniques indispensables à la remise en œuvre.

Sans viser nécessairement la certification ISO, cette démarche implique la mise en place de mesures préventives ou correctives, qui limiteront le risque de pertes financières en cas d’incident.

Bien sûr, chacune de ces mesures peut avoir un coût, il convient donc de trouver l’équilibre entre la charge financière acceptable et le risque réel des incidents.

Aujourd’hui, les attaques contre le système d’information sont considérées comme une menace majeure pour les entreprises.

Une étude récente du groupe BSI, organisme spécialisé dans le processus de normalisation ISO, souligne d’ailleurs que les plus grands risques pour l’année à venir concernent les cyberattaques, les failles de données et les pannes critiques du système informatique.

Tableau extrait de l’étude du groupe BSI


.TableParent {overflow-x: scroll;}.RisksTable {border-collapse: collapse;border: 1px solid #367591;}.RisksTable caption {margin-bottom: 1.5rem;font-size: 0.8em;}.RisksTable th,.RisksTable td {border: 1px solid #367591;padding: 0.75rem;text-align: left;vertical-align: top;}

Parmi les autres risques identifiés par cette étude
Les risques à fort impact, mais peu fréquents Les risques faiblements impactant mais plus fréquents Les risques à faible impact et peu fréquents
Catastrophes naturelles Événement climatique extrême Violence politique/mouvements sociaux
Changements de régulation Taux de change volatile Arrivée d’une nouvelle technologie
Application par le législateur Incident de sécurité Choc des prix de l’énergie
Changement politique Incident de santé Interruption de la chaîne d’approvisionnement
Défaillance critique de l’infrastructure Interruption des services publics Coût croissant des emprunts
Attaquant isolé Maladie non professionnelle

Empreinte Digitale intervient déjà en support d’entreprises telles que l’INSEE, dans le cadre de leurs plans de reprise informatique (PRI), c’est en lien avec ces expériences que nous allons détailler plus précisément ce volet du PRA.

Préservez votre activité avec le plan de reprise informatique

Le Plan de Reprise Informatique (PRI) est le volet du Plan de Reprise d’Activité (PRA) concernant les systèmes d’information. C’est le moyen de limiter l’impact des différents risques encourus par votre système d’information (catastrophes naturelles, vols et vandalisme, cybercriminalité).

Évitez la perte de données : redondez, sauvegardez, externalisez

Pour se prémunir face à d’éventuelles pertes de données, le PRI s’appuie sur différents leviers. Nous vous présentons ici les plus courants.

La redondance, pour assurer une continuité d’activité : il s’agit tout simplement de doubler toute ou partie de votre infrastructure, pour ne pas dépendre d’une installation unique.

Il y a plusieurs niveaux dans la redondance. Si par exemple, vous doublez les équipements les plus susceptibles de tomber en panne sur le même site, vous vous protégez des pannes matérielles. Par contre, vous ne vous protégez pas des incidents majeurs (incendies, inondations, pertes de l’alimentation électrique de façon durable) qui pourraient impacter votre site.

Le niveau de redondance doit donc être évalué en fonction du budget que vous pouvez y allouer, couplé à la criticité de vos applications.

Vous pouvez :

  • synchroniser une partie de vos applications chez un hébergeur tiers pour faire basculer vos utilisateurs sur cette infrastructure, en cas de panne sur vos serveurs principaux, moyennant une coupure plus ou moins courte en fonction des moyens mis en œuvre.
  • avoir une infrastructure conçue de façon à répartir de façon permanente la charge sur plusieurs sites, afin d’avoir une bascule transparente pour les utilisateurs, mais qui nécessite souvent des adaptations, des développements et la mise en place de technologies un peu plus coûteuses.

La sauvegarde, pour éviter de perdre des données : protégez vos données en les sauvegardant sur différentes instances :

  • Copiez et sauvegardez vos logiciels professionnels, faites des snapshots (ou instantanés de données) de vos serveurs, copiez le contenu de vos espaces d’échange et de vos bases de données pour faciliter la reprise en cas de panne. Il s’agit de la mesure la moins coûteuse et la plus simple à mettre en œuvre. Par contre, il faut s’assurer que les sauvegardes fonctionnent bien en prévoyant des exercices réguliers de restauration.
  • Certaines technologies permettent la sauvegarde incrémentale qui vous offre un historique de vos données sur plusieurs jours, mois ou années. Très utile en cas de suppression malveillante ou accidentelle.
  • De même, conserver une copie de sauvegarde « offline » et hors réseau d’exploitation peut vous sauver au cas où un virus de type “cryptolocker” viendrait corrompre vos données.

L’externalisation, pour sécuriser vos sauvegardes : comme pour la redondance, en externalisant en partie vos données, vous limitez le risque de les voir disparaître.

Pensez à conserver des copies de vos sauvegardes, soit en multi-sites quand votre entreprise le permet, ou en les externalisant chez un prestataire ou un centre serveur de confiance.

  • Attention, certaines données peuvent être soumises à des réglementations particulières. Il peut donc être judicieux soit de les chiffrer par des moyens techniques cryptographiques avant de les envoyer à l’extérieur de votre entreprise, soit de vérifier si le centre serveur possède les certifications nécessaires à la conservation de ce type de données (bancaire ou santé par exemple). 
  • Dans le cadre du  RGPD (Règlement Général de Protection des Données), vous devez également savoir si votre opérateur est bien situé en France et opéré par des entreprises françaises.

Facilitez la remise en marche de votre système informatique et limitez la perte de données en cas de sinistre

L’objectif du plan de reprise informatique est d’assurer une reprise rapide de votre système informatique, en dupliquant vos infrastructures et en sauvegardant vos applications. Le temps de remise en route maximale du système est d’ailleurs défini dans le PRI.

Un plan de reprise informatique vise à trouver l’équilibre entre l’impossibilité du risque 0 et une éventuelle perte de données acceptable ; on parle aussi de la perte de données maximale admissible.

Vérifiez la mise aux normes des infrastructures

Les récents événements qui ont touché OVH Cloud invitent à se renseigner sur le niveau de sécurité des datacenters hébergeant les serveurs qui stockent vos données.

Qu’en est-il des mesures de sécurité de votre opérateur de cloud ? Cela dépendra de la catégorie de bâtiment dans laquelle son datacenter est classé :

  • Un établissement recevant du public (ERP)
  • Un établissements recevant des travailleurs (ERT)
  • Un immeuble de grande hauteur (IGH)

Actuellement, le moyen le plus utilisé pour se prémunir des risques d’incendie est le système d’extinction par sprinklers, mais aussi par micro-gouttelettes ou brouillard d’eau dans certaines installations. L’utilisation de gaz inerte est aussi très efficace.

Il existe des certifications qui garantissent la sûreté du système anti-incendie d’un datacenter, la plus connue et reconnue reste la certification APSAD.

Aujourd’hui, la sécurité de votre système informatique n’est plus une option. Protéger votre entreprise commence par bien protéger vos données pour parer à toutes les éventualités et éviter une interruption d’activité coûteuse, voire fatale. C’est pourquoi il est impératif de définir un plan de reprise d’activité, ou, a minima, un plan de reprise informatique.