À l’ère de la convergence des usages, les outils numériques sont au cœur de l’activité de l’entreprise et conditionnent son organisation, son fonctionnement et sa pérennité. Préserver le système d’information devient un sujet stratégique ; force est de constater que la notion de Plan de Reprise d’Activité (PRA) connaît un essor croissant au sein des entreprises et organismes publics, de toutes tailles.
Avant de mettre en avant un certain nombre de bonnes pratiques pour lancer son projet, abordons une courte définition de ce que représente un PRA : le Plan de Reprise d’Activité (en anglais « Disaster Recovery Plan ») vise à établir un plan d’action pour assurer la continuité des activités de l’entreprise en cas de crise majeure ; l’objectif étant de reprendre les activités critiques, dans un délai imparti et suivant un scénario déterminé à l’avance.
S’agissant de risques informatiques, ce plan d’action vise à reconstruire une infrastructure et un socle applicatif en mesure de supporter les processus métiers indispensables à la reprise de l’activité.
Au regard de cette définition, le PRA est, bien avant d’être un sujet technique, un enjeu d’organisation en cas de crise majeure.
En effet, le PRA intègre les prérequis métiers propres à chaque entreprise ; de là découlent des mesures organisationnelles ou techniques adaptées aux enjeux identifiés.
Ce point mérite une attention particulière : nombre d’entreprises se contentent d’aborder la notion de PRA sur un aspect purement informatique. Conduit dans une seule optique « infrastructure » ou de maîtrise d’œuvre, il ne peut aboutir que sur un plan de secours informatique, qui seul, ne saurait répondre à la véritable reprise des activités de l’entreprise.
Aussi avant d’évaluer l’infrastructure nécessaire au PRA, il est indispensable d’impliquer les différentes directions métiers afin de qualifier leurs besoins. Ces besoins seront ensuite traduits par une maîtrise d’œuvre, laquelle en intégrant les contraintes techniques, en déduira des besoins d’infrastructure. Tout restaurer n’est pas nécessairement pertinent : seules les ressources essentielles au support des métiers les plus critiques doivent faire l’objet du plan de gestion de crise.
Il est par conséquent primordial d’interroger les métiers et la direction générale sur différents points comme les temps d’indisponibilité acceptables des services, ou la perte de données admissible. La collecte de ces variables assure la construction raisonnée d’un plan de gestion du sinistre en quatre étapes :
– Décrire une stratégie de reprise des activités critiques en fonction des types de sinistre,
– Déployer et mettre en œuvre les mesures du PRA,
– Évaluer périodiquement l’efficacité du PRA : intégrité et résilience des mesures,
– Vérifier régulièrement la bonne adéquation entre le plan et les évolutions métiers de l’entreprise.
Mettre en place un PRA repose donc sur une analyse rationnelle des besoins de l’entreprise visant à gérer sereinement une situation de crise. L’objectif de la démarche vise à libérer 100 % des ressources afin de permettre la prise en charge des problèmes résiduels qu’implique systématiquement un sinistre.
Aurélien LEICKNAM
RSSI Jaguar Network – Vice-président CLUSIR PACA