Un Plan de Reprise d’Activité Informatique met en œuvre les procédures et les moyens matériels, technologiques et humains nécessaires à l’entreprise pour faire face à un sinistre. Le PRA permet de maintenir les fonctions stratégiques du SI.
Incendie, inondation, panne électrique, virus, avarie ou perte d’un serveur. Aucune entreprise n’est à l’abri de dommages susceptibles de dégrader ou de paralyser son système d’information.
Or, aujourd’hui, plus aucune entreprise ne peut fonctionner sans son informatique. C’est pourquoi les sociétés se doivent d’anticiper d’éventuels sinistres en déployant, dans des lieux distants ou dans le Cloud, l’infrastructure matérielle et logicielle, les processus de transfert de données, et les procédures d’intervention, pour être en mesure de reprendre leur activité le plus rapidement possible.
Baptisées PRA, ou Plan de Reprise d’Activité, ces solutions de secours nécessitent quelques bonnes pratiques de déploiement pour assurer une reprise dans les meilleurs délais et conditions. Mise en place d’un PRA efficient en sept points.
- Nommer un responsable
Si le PRA est un projet d’entreprise qui nécessite l’implication du comité de direction, il est impératif de confier cette activité à un chef de projet lié à la DSI.
En concertation avec les autres directions métiers et la direction générale, il aura pour mission de réaliser des audits et des analyses technologiques et organisationnelles du système d’information afin de définir le périmètre du PRA et son fonctionnement.
Par ailleurs, il est pertinent de s’appuyer sur un prestataire de services spécialisé qui offre des garanties de moyens technologiques et humains et de résultats, tout en diminuant les coûts grâce à la mutualisation de ses prestations avec d’autres clients.
- Faire l’inventaire de l’existant
Le c
hef de projet doit, pour mettre en œuvre un PRA efficient, avoir une connaissance exhaustive et à jour de l’existant informatique et télécom de l’entreprise. « Ainsi, il doit dresser un inventaire des applicatifs (identification de toutes les solutions logicielles et leurs process), du réseau (débit, type de lien) et de l’infrastructure (serveurs physiques et virtuels) présents sur tous les sites de l’entreprise », explique Christian Laporte chef de produit Storage Division chez HPE.
Il doit notamment réaliser une classification des différentes activités par niveau de criticité, tout en précisant les différents liens entre ces activités. Enfin, il doit faire un état des lieux de tous les types de sauvegardes mis en œuvre dans l’entreprise : périodicité, délai de sauvegarde, volumétrie.
- Définir le périmètre du PRA
La mise en place d’un PRA nécessite de définir une priorité dans la remise en service des applications. « Quelles sont les activités les plus stratégiques pour l’entreprise ? Quelles sont celles qui peuvent souffrir d’un arrêt temporaire de fonctionnement ? Dans une entreprise d’e-commerce, par exemple, il est crucial de faire repartir au plus vite le système de commandes, pour éviter un impact préjudiciable à l’activité et à l’image de l’entreprise. Citons les milliers de coordonnées d’abonnés de plusieurs grands titres nationaux qui auraient été perdus par un prestataire de services et qui auraient donc bloqué la facturation de leurs abonnements » illustre Christian Laporte. Un PRA nécessite donc de bien identifier le degré de criticité des applicatifs.
Autres points importants : le RTO (Recovery Time Objective) c’est-à-dire la durée maximale d’interruption admissible de l’activité et le RPO (Recovery Point Objective), correspondant à la durée maximale d’enregistrement des données qu’il est acceptable de perdre. « Généralement le RPO exprime l’âge des données qui pourront être utilisées en remplacement lors de leur restauration. Les entreprises doivent donc se poser la question du niveau de pertes de données acceptable pour définir la périodicité de la réplication et de la sauvegarde des données, et le délai maximal acceptable de remise en service des applications, » explique Christian Laporte.
- Définir l’infrastructure
L’idéal pour une entreprise est de disposer de deux sites dotés d’une infrastructure IT pouvant se protéger mutuellement tout en hébergeant leurs propres applications.
Dans cette configuration, un processus de réplication assure la duplication des données critiques d’un site à l’autre permettant ainsi, en cas d’incident majeur sur l’un des sites, de redémarrer les applications critiques à partir du second site.
Toutefois, pour des questions de coûts, il n’est pas nécessaire de disposer d’une infrastructure strictement identique sur chacun des sites. « En revanche, insiste notre interlocuteur, si la réplication est assurée par des baies de stockage, celles-ci doivent provenir du même constructeur et être issues de la même gamme. Cette option est la plus onéreuse. »
Dans le cas où l’entreprise ne dispose que d’un site, souscrire un contrat auprès d’un prestataire informatique permet de disposer à distance d’une infrastructure partagée ou dédiée en fonction du budget de l’entreprise. « Toutefois, il faudra s’assurer de son expertise en matière de PRA/PCA et vérifier les niveaux de service et les engagements inclus dans le contrat », prévient Christian Laporte.
- Mise à jour et tests récurrents du PRA
Pour être performant, un PRA doit suivre toutes les évolutions d’infrastructure et de logiciels (nouveaux applicatifs, nouvelles mises à jour) de l’entreprise ainsi que les changements de ses process. « Il faut tester la plate-forme pour vérifier que les process de réplication et de protection des données sur les baies de stockage fonctionnent bien », insiste notre interlocuteur.
Il est également important d’évaluer régulièrement le PRA afin d’étudier les difficultés techniques, logistiques ou humaines qui pourraient intervenir en cas de basculement de l’informatique.
- Définir les procédures d’intervention
Différents standards, recommandations et normes de type ISO, BSI ou ITIL existent en matière de PRA, dont les niveaux de précision sont variables. Certains secteurs d’activité, comme les banques notamment, ont des obligations en matière de reprise d’activité. L’Autorité des Marchés Financiers (AMF) demande ainsi à ce que toutes les sociétés de gestion de portefeuilles agréées par l’AMF disposent d’un PRA.
Par ailleurs « toutes les actions à effectuer en cas d’incidents doivent être documentées et les personnes en charge du rétablissement doivent être formées aux procédures », souligne Christian Laporte.
- Définir le budget
Bien qu’essentiel dans la continuité de l’activité de l’entreprise, le PRA est généralement perçu comme un centre de coût. Or, en cas de sinistre, ce plan limite les lourdes pertes financières infligées par l’arrêt de l’activité.
Mettre en place un PRA nécessite donc d’effectuer un calcul comparatif entre son coût et le coût des temps d’immobilisation. C’est au responsable de projet que revient la délicate mission d’évaluer la probabilité des risques, leur impact sur l’activité de l’entreprise, le budget du PRA, et la pertinence de la solution technique envisagée.
