Suite à une perte accidentelle de données causée par un sinistre, de nombreuses entreprises se retrouvent démunies, sans aucune capacité de reprise. Face à ce constat, de plus en plus de sociétés s’en remettent à leur plan de reprise informatique (PRA) pour une reprise rapide en cas de catastrophe. Comment planifier cette reprise d’activité et quelles mesures prendre pour faciliter le retour à la normale ? Quelles sont les bonnes pratiques à adopter et les écueils à éviter pour une restauration des données en toute sécurité ? Découvrez les secrets d’un plan de reprise informatique efficace grâce à ces 7 étapes.
Votre société a-t-elle besoin d’un accès rapide à ses données pour assurer la continuité de son activité ? Ou peut-elle se permettre une interruption sans grandes conséquences de quelques heures ou jours ? Dans le premier cas de figure, votre PRA informatique doit garantir la sécurité et la disponibilité des données en continu. Y compris lors d’une éventuelle défaillance de votre matériel sur site (panne matérielle, incendie, inondation…) Pour y parvenir, il est possible de se tourner vers une solution de stockage hors site proposée par un prestataire de sauvegarde externalisée. Vos données restent ainsi accessibles quelle que soit la situation.
Votre entreprise a-t-elle déjà été la cible d’actes de cybercriminalité par le passé ? Est-elle implantée dans un secteur géographique comportant des risques naturels (inondations, zone sismique…) Vos employés sont-ils sensibilisés sur les sujets liés à la criminalité en ligne (ransomware, phishing…) Quelles sont les données les plus sensibles à protéger ? Qui parmi vos employés peut y avoir accès ? Vos outils de sauvegarde (disques durs, clés USB) sont-ils suffisamment fiables ou y a-t-il un risque de perte ? Votre plan de reprise d’activité après sinistre se doit de protéger vos actifs autant que possible. Il sera peut-être nécessaire d’établir des secteurs prioritaires nécessitant une attention particulière.
La troisième étape consiste à vous assurer que vous disposez d’une stratégie de récupération et restauration de données efficace. En effet, il ne suffit pas de sauvegarder puis d’attendre un éventuel sinistre. Encore faut-il être en mesure de restaurer rapidement ses données, afin de pouvoir redémarrer son activité dans un délai acceptable. Les notions de RPO et de RTO interviennent à ce moment de l’analyse. Le RTO (Recovery Time Objective) désigne la durée maximale d’interruption acceptable d’une ressource informatique. Plus le RTO est faible, plus l’interruption doit être brève. Le RPO (ou Recovery Point Objective) quant à lui permet de définir la fréquence des sauvegardes. Plus il est faible, plus les sauvegardes devront être rapprochées (ex : secteur bancaire, télécommunications…)
Votre PRA ne doit pas rester au stade de post-its disséminés aux quatre coins de votre service informatique. Il est nécessaire de rassembler toutes vos procédures dans un guide complet et compréhensible par les employés concernés. Ce guide doit être conservé dans un endroit accessible facilement, et de préférence en copie papier. En effet, il serait regrettable de subir une interruption de service informatique, tout en ayant votre plan de reprise stocké sur les postes de travail inaccessibles. Ce plan de reprise doit avoir été rédigé en collaboration avec votre équipe, afin de vous assurer qu’il soit suffisamment cohérent et proche de la réalité du terrain.
Afin de comprendre tout ce que comporte le plan de reprise après sinistre, vos employés devront bénéficier d’une formation qui permettra d’éclaircir l’ensemble des éléments clés. Comme évoqué dans le point précédent, la rédaction du plan de reprise d’activité aura été réalisée en collaboration avec les membres de votre équipe. Vous devrez vous assurer que chacun a bien assimilé les mesures à prendre en cas de sinistre. Un point de blocage pourrait compromettre l’ensemble de la procédure et mettre en danger votre société. Cette formation permettra également de mettre en évidence de nouvelles perspectives auxquelles vous n’aviez pas forcément pensé, grâce aux retours de vos employés.
Un monde sépare la théorie de la pratique. Définir et rassembler l’ensemble des mesures du PRA est une première étape essentielle, qu’il faut ensuite compléter par une mise en situation. Les procédures définies seront-elles suffisamment pertinentes pour réduire l’interruption de l’activité au minimum ? Parmi les différents tests à effectuer, les contrôles des sauvegardes permettent de s’assurer que les backups ne sont pas corrompus et utilisables pour une restauration des données rapide et complète. Le test de redémarrage de l’infrastructure vous assurera quant à lui que votre système complet (serveurs, réseaux, postes de travail…) est en capacité de reprise après un crash. Enfin, il est également possible d’envisager un test sur un site de repli, lorsque son infrastructure n’est plus accessible.
L’évolution technologique est constante, les logiciels nécessitent des mises à jour régulières et il est important de vous tenir informé. Votre plan de reprise d’activité devra également suivre cette logique, avec des révisions régulières si nécessaires. Vous pourrez y intégrer de nouvelles étapes, apporter des modifications à d’autres, simplifier certaines procédures. Gardez à l’esprit que ces modifications dans votre PRA devront être communiquées à votre personnel, et testées en situation réelle afin de pouvoir les valider. Des changements trop fréquents pourraient compromettre la fiabilité globale du plan. Tenez-vous-en donc aux modifications essentielles.
La principale différence réside dans le moment où chaque plan prend effet. Le PCA a pour objectif un maintien de votre organisation opérationnelle pendant et immédiatement après un sinistre. Le PRA se concentre lui essentiellement sur un retour à la normale progressif ou complet de votre organisation. Prenons l’exemple d’un incendie se déclarant au siège de votre entreprise. Le PCA suggèrera que l’ensemble des employés reprennent leur activité en télétravail. Il s’agira cependant d’une solution temporaire, le temps de pouvoir reprendre une activité en présentiel. Le PRA se concentrera lui sur cette manière de reprendre le service sur place, éventuellement dans une partie des locaux non atteinte, avec le remplacement des équipements ayant pu être endommagés.
Vous venez de le voir dans cet article, un PRA bien conçu, préalablement testé en situation réelle et bien documenté permet une reprise de l’activité beaucoup plus rapide en cas de sinistre. Il n’est cependant pas toujours facile de dresser un état des lieux exhaustif des points faibles de son infrastructure informatique. Ni même de mettre sur papier un ensemble de procédures permettant de s’assurer une sauvegarde et une restauration des données essentielles de son entreprise. SAVBOX, spécialiste de la sauvegarde informatique, vous accompagne et vous aide à définir les étapes essentielles pour une reprise sans difficultés de vos services, suite à un incident.