Un plan de reprise d’activités pour gérer efficacement les conséquences d’un sinistre sur l’outil informatique de l’entreprise
QUI SOMMES NOUS ?
Nous sommes une société de serviceinformatique spécialisée dans lesinfrastructures systèmes et réseaux. Crééeen 2009, nous somme une équipe despécialistes passionnés par notre métier etnous proposons nos services au TPE/PME.Nous sommes présents sur la région PACAet sur la Vallée du Rhône.
Cette présentation est assurée par Christophe et Richard
MISE EN CONDITION
IMAGINEZ QUE VOUS ARRIVEZ UN MATIN AU BUREAU ET
VOUS TROUVEZ LA SALLE INFORMATIQUE COMME CECI:
QUE FAITES VOUS JUSTE APRES ?
QU’EST CE QUE LE PRA ?
Un PRA Plan de Reprise d’Activité est un dispositif organisationnelet technique qui vise à limiter l’impact potentiel d’un sinistre sur le
système d’information.
Le PRA d’une entreprise n’a pas vocation à répondre à des incidents
d’exploitation ou de fonctionnements isolés, le PRA est la solution
de la dernière chance, lorsque toutes les protections, les mesures de
prévention ont faillies et qu’un sinistre a touché le cœur du système
informatique.
Ce plan doit permettre de minimiser l’impact d’un sinistre surl’activité de l’entreprise, assurer le fonctionnement des activités
critiques pendant la crise et enfin permettre un retour maîtrisé àune situation d’avant crise.
LE CONTEXTE
De nombreuses études montrent qu’actuellement les entreprises ne sontpas suffisamment préparées au sinistre informatique et que l’impact d’un telévènement peut être désastreux.
"Selon l'étude MIPS 2010 du CLUSIF, 33 % des entreprises ne disposenttoujours pas d'un plan de reprise d'activité pour traiter les crisesmajeures." (Source CLUSIF, Club de la sécurité des systèmesd'information français).
"Suite à la destruction de ses moyens informatiques et télécoms, uneentreprise disparaîtra au-delà d'un arrêt de 72 heures dans 40 % descas." (Source : Eaglerock AContingency Planning Research).
"43% des entreprises ayant fait l'expérience de la perte de donnéesmais n'ayant pas prévu leur restauration ont fermé" (sourceCLUSIFClub de la sécurité des systèmes d'information français).
COMMENT PROCÉDER ?
L’élaboration d’un PRA comporte plusieurs étapes:
1. Analyse et cartographie de l’outil informatique
2. Identification des risques
3. Analyse des contraintes de continuité
4. Elaboration du plan
5. Mises en places des solutions fonctionnelles ettechniques
6. Maintien et améliorations
ANALYSE ET CARTHOGRAPHIE
Dans cette phase, il convient de collecter tous les éléments nécessairesà l'analyse du projet, en réalisant l’inventaire des processus métiers,puis de les détailler, et de réaliser un relevé des actifs (outils, logiciels,matériels, infrastructures, sites d’établissement …). Une cartographiedes processus métiers et du système d’information peut êtreentreprise.
IDENTIFICATION DES RISQUES ?
Chaque entreprise est différente et il conviendra d’analyser précisémentles risques spécifiques encourus, mais on peut quand même établir uneliste significative:
Vol
Sabotage
Incendie
Inondation
Incident électrique
Panne matérielle
Mauvaise manipulation
Attaque Virale
Intrusion
Salle informatique après un incendie
ANALYSE DES CONTRAINTES
L’objectif de cette étape est d’étudier l'ensemble des processus et leursbesoins en continuité et d’estimer les durées d'interruption maximalesadmissibles et raisonnables.
Les données de sortie sont les indicateurs de sécurité RTO et RPO. Ces deuxindicateurs contraignent fortement les moyens à mettre en œuvre pour tenirles objectifs. Il est CAPITAL de les définir de manière adaptée.
Le RTO pour « Recovery Point Objective », désigne la durée maximaled’interruption admissible vis-à-vis de l’utilisateur métier, c'est-à-dire letemps maximal acceptable, pendant lequel une ressource informatique n’estplus fonctionnelle.
Le RPO « Recovery Time Objective », est la durée maximaled’enregistrement des données qu’il est acceptable de perdre. Cet indicateurpermet de juger au mieux des sauvegardes à mettre en œuvre.
ELABORATION DU PLAN
Selon la taille, la typologie, les activités de l’entreprise et sa maturité vis-à-vis de la reprise d’activité, le contenu du PRA sera plus ou moins important.On pourra retrouver les plans suivants :
Plan de gestion de crise : ce document décrit l’ensemble des acteurs et décritleurs responsabilités. Il décrit la mise en œuvre de la cellule de crise et la gestionopérationnelle de la crise.
Plan de reprise informatique : Ce document décrit l’architecture informatique,et les mesures techniques de secours mises en œuvre pour assurer la repriseinformatique des applications métiers. Ce plan contient en annexe, lesprocédures de reprise informatique.
Plan de sauvegarde : Ce document décrit les processus de sauvegarde mis enœuvre pour assurer les sauvegardes des données. Il contient également lesprocédures de restauration de chaque type de donnée sauvegardée.
Plan de test : des tests de continuité sont régulièrement effectués et le plan estrévisé en fonction des écarts constatés.
MISE EN PLACE DES SOLUTIONS
Les spécifications des solutions techniques sont fortement conditionnéespar les contraintes de continuité. Il s’agit maintenant de déployer cesdispositifs technologiques en mode projet.
Il conviendra d’analyser le marché et de sélectionner les solutionsprésentant toutes les garanties de pérennité, fiabilité, d’interopérabilité etfinancièrement adaptés à la taille de l’entreprise.
Des tests de validation fonctionnels et techniques doivent être réalisésaprès l’installation d’un élément majeur dans l’infrastructure.
La solution de sauvegarde fera l'objet d’une attention toute particulière carc’est la clef de voute du dispositif. Il faut veiller notamment à ce quellepermette une externalisation du jeu de sauvegarde.
Il est essentiel de réussir cette phase car les investissements sont consentispour une période d’au moins 3 ans voire 5 ans.
MAINTIEN ET AMELIORATIONS
Le plan est désormais fonctionnel et il est adossé à une infrastructurefonctionnelle. Il faut désormais maintenir cet ensemble et s’assurer qu’il resteefficient dans le temps.
Pour ce faire, il faut s’assurer que le plan reste connu de l’ensemble desintervenants en organisant régulièrement des tests « à blanc » peu couteux etsans impact sur la production.
Mais il faut également veiller à le faire évoluer en même temps quel’infrastructure évolue pour accompagner les nouveaux besoins de l’entreprise(changement de matériel, modification de configuration, changement delogiciel,…).
Le test en condition réelle sera mené au moins annuellement de manière àimmerger les intervenants dans l’environnement de crise que représente cetype d’incident et aussi pour tester précisément la réponse de l’infrastructure.
QUELLE TECHNOLOGIE ?
Aujourd’hui pour élaborer un PRA on peut faireappel à une technologie nommée Virtualisationqui consiste à faire fonctionner en même temps, surun seul ordinateur, plusieurs systèmes d'exploitation(dits virtuels) comme s'ils fonctionnaient sur desordinateurs distincts.
C’est un atout majeur dans un PRA. Par exemple, celapermet de « migrer » votre système de Devis/factured’un serveur à un autre par une simple copie de fichier(en cas de panne du serveur principal par exemple).
Cette technologie a beaucoup d’autres atouts commede réduire les coûts de possession ou bien de réduirela facture énergétique (Green IT). C’est un outilincontournable pour élaborer une infrastructurecapable de supporter un PRA.
SYNTHESE ET PERSPECTIVE
Avec un climat mondial plombé par l’augmentation des sinistres majeurs (en fréquence eten gravité) : tempête dévastatrice de décembre 1999, les attentats du World TradeCenter, l’explosion de l’usine AZF de Toulouse en 2001, les inondations du Gard enseptembre 2002, les attentats de Madrid en 2004, le tsunami du Sud-Est asiatique endécembre 2004, les attentats de Londres en 2005, le tremblement de terre du Sichuan en2008, la neige à Marseille et en Provence en janvier 2009, le tremblement de terre del’Aquila en Italie, le tsunami au Japon en mars 2011, les dirigeants d’entreprises et leurspartenaires sont de plus en plus sensibles aux menaces potentielles qui pèsent sur leurentreprise.
Si l’on ajoute à cela, un contexte de crise, une complexité croissante des organisations (ladéfaillance d’une entreprise à des effets de bords sur d’autres entreprises ex : la crise desurprime), une dépendance toujours plus forte des entreprises vis-à-vis de leur SI, undurcissement des réglementations concernant la continuité d’activité, une augmentationsensible des exigences clients, les chefs d’entreprises prennent de plus en plus consciencede la nécessité d’un plan de reprise.
Il est important de noter que le PRA n’est qu’une pièce d’un plan plus global appelé le PCA(Plan de Continuité d’Activité) qui concerne, lui, le cœur de métier de l’entreprise.
QUESTIONS/REPONSES
MERCI DE VOTRE ATTENTION ET DE VOTRE PARTICIPATION A CETTE PREMIERE JOURNEE DU
NUMERIQUE EN VAUCLUSE.
Contact:
Geco-IT 13, Rue Pasteur
84 800 L’isle sur la sorgue
04 90 38 20 50
Contacts:
Christophe Baudrier
06 45 73 57 87
Cyril Duchenoy
06 25 22 94 43
Recommended
