PRA informatique : anticiper la reprise d’activité après une crise cyber

Qu’est-ce que le Plan de Reprise d’Activité ?

Le Plan de Reprise d’Activité, ou PRA, permet la relance du fonctionnement de l'entreprise après un sinistre. Dans le cadre de la sécurité informatique, ce sinistre consiste en général en une brèche de cybersécurité : perte, vol ou disparition de données sensibles, virus, cyberattaque, cybercrime.

‍

Définition du Plan de Reprise d’Activité

En informatique, le PRA qualifie le Plan de Reprise d’Activité informatique, ou disaster recovery plan en anglais. Il a plusieurs objectifs sous-jacents à un but principal, qui est de garantir la pérennité des activités de l’entreprise :

• anticiper et atténuer les impacts des cybercrises ;
• garantir la protection des données numériques sensibles en cas de sinistre ;
• assurer la continuité des activités de la structure, malgré la crise informatique ;
• déployer un système de secours pour reprendre les applications informatiques vitales.

‍

Le PRA prend en outre la forme d’un document, qui recense l’ensemble des processus à mettre en place pour maintenir ou reconstruire le système informatique (SI) en cas de crise cyber :

• Il indique comment et quand se reporter sur le système informatique de secours prévu par le plan de gestion de crise ;
• Le Plan de Reprise d’Activité précise quel système de sauvegarde enclencher pour garantir la sécurité des données confidentielles ;
• Il détaille les durées maximales d’interruption admissibles pour chaque département, soit le RTO, Recovery Time Objective ;
• C’est aussi ce document qui décline la perte de données maximale admissible, ou RPO (Recovery Point Objective).

‍

Différence entre PRA et PCA

La signification du PCA et du PRA a évolué dans le temps. À l’origine, le PCA, ou plan de continuité d’activité, devait anticiper les impacts d’un sinistre sur l’entreprise. Il prévoyait aussi des mesures pour limiter les conséquences néfastes des crises. Le PRA fonctionnait comme le PCA, mais en ne traitant que des problématiques informatiques.

Avec le temps, le Plan de Continuité d’Activité et le Plan de Reprise d’Activité ont tous deux pris des significations plus précises. Chacun tient désormais un rôle spécifique vis-à-vis du système informatique de l’entreprise.

‍

Comment se définit le PCA aujourd’hui ?

Le PCA consiste dorénavant en un portefeuille de procédures et de moyens qui servent à garantir la continuité des activités de l'organisation en cas de problème. Son objectif est donc avant tout d'éviter l’interruption des systèmes d’information et les ruptures d'exploitation. Il doit par conséquent être construit de telle façon qu’il assure la disponibilité de toutes les structures informatiques de l'entreprise : réseaux, serveurs et datacenters.

‍

D’un point de vue strictement informatique, on distingue le plan de continuité opérationnel de tous les métiers de l'entreprise du “PCI”. Le PCI, ou Plan de Continuité Informatique, cible précisément les procédures et moyens à mettre en place pour assurer le fonctionnement continu du système d'information.

‍

Rôle contemporain du PRA informatique

Le Plan de Reprise d’Activité, quant à lui, consiste à garantir la remise en route de l’activité de l’entreprise. Les informaticiens parlent dans ce cas de “backuper” une infrastructure. Ce plan se déploie donc à la suite d’une interruption manifeste des systèmes d’information. Il doit assurer la reconstruction post-sinistre du SI et la relance de ses applications les plus stratégiques pour le fonctionnement de l’entreprise.

‍

Son objectif consiste à garantir une reprise d'activité satisfaisante dans les meilleurs délais, pour réduire les conséquences financières de la crise cyber. Il s’appuie donc sur une cartographie des risques mûrement réfléchie pour prévoir des systèmes informatiques de secours adéquats et assurer la redondance des données. La redondance des données critiques, ou data redundancy, désigne le fait d’enregistrer les mêmes données sur différents supports informatiques.

‍

Le Plan de Reprise Informatique dans la terminologie des DSI

Pour résumer le propos, les Directions des Systèmes d'Information (DSI) estiment donc que le PCA décrit les mesures pour assurer la continuité de l'activité, quand le PRA détaille celles qui garantissent leur reprise après un arrêt du SI. Le Plan de Reprise de l’Activité se déploie donc quand l'infrastructure est indisponible.

‍

En cas de cyberattaque, il existe généralement deux configurations d’application du PRA :

• Soit l’entreprise était préparée aux crises informatiques, et disposait d’un PCA qui l’a aidée à réduire l’impact du sinistre. Elle peut dans ce cas réduire le RTO et le RPO à leur minimum et appliquer un “redémarrage à chaud” des applications. Il s’agit d’une relance rapide des activités sur un ou plusieurs serveurs de secours, le tout basé sur des copies des données avant sinistre.
• Soit la structure n’avait pas de PCA, ou pas les moyens techniques de déployer un plan de gestion de crise performant. Son redémarrage après cyberattaque se fait alors “à froid”, c’est-à-dire plusieurs heures ou jours après le sinistre informatique. On parle dans ce cas d’une reprise basée sur les dernières sauvegardes de l'entreprise. Ce déploiement de PRA à froid disparaît cependant de plus en plus avec la généralisation du stockage de données en cloud.

‍

Quand mettre en place sa reprise d'activité informatique ?

Par définition, le PRA se déploie uniquement quand l’entreprise accuse un réel arrêt de ses activités informatiques. Pour que ce plan de relance du SI performe et vous permette une reprise rapide de vos activités, il faut néanmoins le penser bien en amont de l’avènement effectif d’une crise cyber. Prévoyez en moyenne 3 mois pour le conceptualiser. Il s’agit cependant là d’une durée indicative, plus ou moins variable selon la taille de votre structure.

Une fois la cyberattaque, la panne informatique ou l’erreur humaine actée aux dépens de votre infrastructure, l’objectif de la mise en place du PRA consiste à minimiser votre temps d'arrêt opérationnel. Plus le “recovery time” est long, plus l’entreprise met en péril ses résultats financiers.

‍

‍