Vous êtes-vous déjà demandé ce qui se passerait si vos serveurs venaient à tomber en panne ? Quel serait l’impact pour vos affaires si vous n’aviez plus accès à vos fichiers clients pendant plusieurs jours ? De nombreux imprévus sont susceptibles de vous mettre à l’arrêt : une inondation, une coupure de courant prolongée, l’apparition d’un logiciel malveillant dans votre système… Il existe une mesure de prévention pour éviter que ces imprévus ne nuisent trop à votre business : la mise en place d’un PRA, un Plan de Reprise d’Activité. On vous explique tout.
Le PRA, une précaution devenue indispensable
Vous l’aurez certainement compris : le PRA est un plan de reprise qui concerne spécifiquement les systèmes et les activités de type informatique. Mais sous quelle forme se présente-t-il concrètement ? Dans quelle mesure est-il vraiment utile et pour qui ?
Qu’est-ce qu’un PRA ?
Un Plan de Reprise d’Activité, c’est un document stratégique qui pointe toutes les procédures à suivre pour restaurer votre système informatique et récupérer vos données en cas d’incident majeur. Cela comprend des mesures techniques, mais aussi des consignes organisationnelles. Le PRA est pensé pour limiter les dégâts – techniques et financiers – et vous aider à gérer cette situation exceptionnelle de manière plus sereine.
On le confond souvent avec le PCA, le Plan de Continuité d’Activité. En réalité, ce dernier est destiné à maintenir une activité minimale pendant la crise elle-même. Le PRA, lui, est déclenché après l’incident, pour relancer une activité proche de la normale dans les meilleurs délais.
Le PRA : Bouclier Protecteur de l'Entreprise 🛡️
Le PRA, pour qui ?
On pourrait être tenté de croire que le Plan de Reprise d’Activité est réservé aux plus grosses entreprises : celles qui ont un business très développé et qui ont des moyens à investir dans la sécurité informatique. Mais c’est une erreur ! La mise en place d’un PRA est une mesure de sécurité qui nécessite peu de moyens. C'est un pari gagnant pour tout type de structure, notamment à l’heure où les cyberattaques gagnent en intensité.
Les avantages du PRA
Il suffit de mener un petit audit ou de déployer un scénario test pour constater les impacts considérables que peut avoir un blocage des systèmes informatiques sur vos affaires.
Choisir de préparer un Plan de Reprise d’Activité, c’est
1. anticiper les incidents, qu’ils soient liés à un phénomène naturel, une simple panne technique ou une cyberattaque ;
2. réduire les conséquences financières, en protégeant les revenus et en réduisant le temps d’arrêt ;
3. tranquilliser l’ensemble des équipes, des dirigeants aux employés, et protéger la réputation de la structure auprès de ses clients et fournisseurs ;
4. s’aligner sur les obligations réglementaires. La mise en place d’un PRA est en effet obligatoire dans certains secteurs, comme ceux de la finance et de la santé.
Comment construire son PRA ?
Le PRA est tout nouveau pour vous et vous vous demandez par où commencer ? Voici tous les éléments à prendre en compte, étape par étape.
Les 5 étapes pour construire un Plan de Reprise d'Activité 🏗️
Un point de départ incontournable : conduire une analyse d’impact
Avant toute chose, vous devez vous poser plusieurs questions.
1. Quelles sont les activités critiques de mon entreprise ?
2. Quelles sont les ressources indispensables pour poursuivre mes activités, en matière de locaux, de personnel, d’outils ou encore de données ?
3. Quelles sont les conséquences potentielles d’une interruption prolongée de mon activité ?
4. Quel délai d’attente puis-je tolérer avant la reprise de mon activité ? Dans le jargon, on parle de RTO (Recovery Time Objective).
5. Enfin, quelle quantité de données suis-je éventuellement prêt(e) à perdre ? C’est le RPO (Recovery Point Objective).
Visualisation du RTO et du RPO 📊
Bien évaluer les risques
Une fois votre analyse d’impact réalisée, vous devrez vous pencher plus en détail sur les risques. En d’autres termes, demandez-vous :
1. Quelle est la probabilité que vos locaux subissent un incendie, une inondation ou une catastrophe naturelle ?
2. Quel est l’état de votre équipement technique, et donc quels sont les risques de panne technique ?
3. Quelle est la probabilité de subir une attaque informatique ? Cela revient à faire le point sur votre niveau de protection sur le plan technique, mais aussi sur la formation de vos équipes en matière de cybersécurité.
Tout cela va vous permettre d’identifier les scénarios les plus probables et les plus impactants pour votre activité.
Définir les stratégies de reprise
À présent que vous avez une vision plus claire de ce qui pourrait se passer, la question est : comment s’assurer que l’on disposera toujours des ressources nécessaires pour continuer à travailler, même en cas d’incident ? C’est le moment de définir des stratégies de reprise – en d’autres termes, des solutions de repli ou des filets de sécurité.
Soyons un peu plus concrets. Imaginons que vous faites tourner une petite affaire de commerce en ligne. Pour ne pas être complètement bloqué en cas d’incendie, de panne électrique ou d’attaque par ransomware, par exemple, vous pouvez instaurer les bons réflexes suivants :
1. faire une sauvegarde quotidienne sur le cloud pour préserver la ressource « Données » ;
2. avoir des ordinateurs portables de rechange dans le cas où vos postes de travail seraient rendus indisponibles ;
3. avoir un routeur 4G prêt à l’emploi pour faire face à une coupure de votre connexion Internet sur longue durée ;
4. prévoir en amont une organisation pour le télétravail si vos locaux sont indisponibles.
Chaque PRA se définit en fonction de la structure, des ressources qu’elle doit sécuriser et des risques auxquels elle est soumise !
Penser à communiquer sur la situation
Ce point est souvent oublié, mais il revêt une importance cruciale. En cas d’événement inattendu, il convient d’informer vos équipes et, dans la plupart des cas, vos clients et fournisseurs.
Dans le Plan de Reprise d’Activité, on décidera au préalable des moyens utilisés pour communiquer en interne, d’une part, et en externe, d’autre part.
L’envoi d’un e-mail type aux clients et fournisseurs est recommandé. On peut aussi imaginer la publication d’une information sur son site Internet.
En interne, on pourra s’appuyer sur les outils d’échange utilisés habituellement par les équipes : Microsoft Teams, un groupe WhatsApp pour les sujets urgents ou l’e-mail, tout simplement.
Définir les contacts et relais importants
Bien gérer l’étape de communication, cela suppose aussi de pointer des référents et des responsables dans le Plan de Reprise d’Activité. On conseille de désigner un coordinateur de crise, mais aussi de bien rappeler l’e-mail et le numéro de téléphone du Responsable IT et du Responsable Communication.
Une procédure en trois étapes
Il y a trois phases-clé dans l’utilisation du PRA :
1. Le déclenchement : un incident est constaté et le coordinateur active le PRA.
2. L’action : le plan de reprise est déployé en suivant ce qui a été décidé en amont.
3. Le retour à la normale : après avoir effectué des tests de vérification, on peut mettre en route un retour aux conditions de travail habituelles.
Vous connaissez à présent tous les principes de base d’un bon PRA. À vous de prendre la bonne initiative en préparant dès maintenant votre propre plan de reprise. Gardez toujours en tête qu’il s’agit d’un outil simple, peu coûteux à mettre en place et salvateur pour votre structure !
Et pour peaufiner vos connaissances en cybersécurité, n'hésitez pas à consulter les différents articles de cette section.
