Plan de reprise d’activité et plan de continuité d’activité
Le plan de reprise d’activité doit permettre, en cas de sinistre, de basculer sur un système de secours capable de prendre en charge les besoins informatiques nécessaires à la survie de l’entreprise. Il existe plusieurs niveaux de capacité de reprise, et le choix doit dépendre des besoins exprimés par l’entreprise. La dépendance des entreprises de leur système d’information est chaque jour plus importante. Aujourd’hui, la simple sauvegarde, composante du PRA, ne suffit plus.
Le Plan de reprise d’activité (PRA) est à distinguer du Plan de continuité d’activité (PCA) : ce dernier a pour objectif de poursuivre l’activité sans interruption du service et d’assurer la disponibilité des informations quels que soient les problèmes rencontrés.
Voici les phases nécessaires à mener une réflexion adaptée :
Imaginer la catastrophe
C’est la première étape de la mise en place d’un Plan de Reprise d’Activité (PRA). Il faut arriver à imaginer l’inimaginable, comme un incendie par exemple, pour pouvoir penser un scénario de reprise. On pense que ça ne peut pas arriver et pourtant, c’est dans ces moments-là qu’il faudrait avoir un plan de reprise d’activité…
Prévoir la gestion du risque par le personnel
Qui fait quoi en cas de problème ? Quelle est la responsabilité définie de chacun ? Souvent, ce ne sera ni le PDG ni le DSI qui vont devoir intervenir dans l’urgence et gérer la crise. Les personnes seront sélectionnées dans l’entreprise au préalable et cela permettra généralement un gain de temps appréciable en cas de problème.
Procéder à l’inventaire applicatif
Chaque application doit être évaluée pour en déterminer sa criticité en cas de crise et le traitement dont il doit faire l’objet pour le préparer aux incidents. Cette étape nous permet simplement de connaître le besoin de sauvegarde et de restauration de certaines données et serveurs.
NOTA : Il faut bien prendre en compte que tout sauvegarder n’est pas concevable.
Définir des priorités, des techniques et un prix
Il est bien clair que l’on ne souhaite perdre aucune donnée en cas de crash… Mais il faut se rendre à l’évidence : ne tolérer aucun arrêt de production et aucune perte de données engendre un coût d’infrastructure souvent incompatible avec les budgets des PME. Il faudra donc prioriser…
Choisir le matériel de crise adapté
Certains PRA prévoient l’utilisation de matériel de secours ou d’un site distant, qui va prendre le relais en cas de catastrophe sur le site principal. Dans ce cas, la matériel de remplacement devra d’une part être constamment prêt à l’emploi, mais aussi être adapté à cette situation de crise, qui dans une majorité de cas, ne durera que quelques temps. Les performances du système d’information seront dégradées, mais devront permettre d’assurer la poursuite de l’activité le temps que tout rentre dans l’ordre.
Tester régulièrement le PRA
Une fois que le PRA est en place, l’importance de faire des tests de manière régulière pour évaluer sa fiabilité est une étape importante. Il ne faut pas se dire simplement que l’on dispose d’une solution de sécurité et considérer acquise la reprise d’activité en cas de sinistre.
Faire évoluer le PRA en fonction des changements apportés au système d’information
Il est primordial que les changements du système d’information soient immédiatement intégré au schéma du PRA / PCA. Il est d’ailleurs déterminant de les intégrer immédiatement à la sauvegarde, composante de base de la reprise d’activité.
Le PRA est réalisé à un moment précis pour répondre aux contraintes actuelles du parc informatique. Il faut donc que les procédures rédigées permettent d’inclure au Plan de Reprise d’Activité les évolutions postérieures du système d’information.