Le système d’information est un enjeu stratégique au sein des entreprises et des organismes publics, de toutes tailles.
Le préserver est un sujet majeur pour assurer le bon fonctionnement des activités critiques et vitales de l’entreprise, notamment en cas de sinistre.
Mais, qu’est-ce qu’un Plan de Reprise et Continuité d’Activité (PRA-PCA) ? Comment le mettre en place et pourquoi ?
Connu des grandes entreprises, il est souvent sous-estimé et même ignoré par les PME…
Sommaire
Qu'est-ce qu'un PRA ?
Un Plan de Reprise d’Activité (PRA) est une procédure qui permet d’assurer la reprise des activités, en mode dégradé ou à plein régime, de votre entreprise en cas de sinistre (inondation, coupure électrique, incendie, destruction de données vitales…)
L’objectif principal est d’anticiper et d’atténuer les effets dévastateurs d’une crise ou catastrophe naturelle sur la pérennité de vos activités. C’est un document qui répertorie les démarches à entreprendre pour reconstruire son système informatique en cas de crise importante et la remise en route des applications nécessaires aux activités d’une entreprise.
Qu'est-ce qu'un PCA ?
Un Plan de Continuité d’Activité (PCA) est une procédure qui permet d’assurer la continuité des activités d’une entreprise, sans perte de données et qui offrira un accès au SI sans rupture d’exploitation. Si la sécurité est souvent abordée avec une approche orientée logiciel (anti-spam, anti-virus…), elle doit être encadrée par des dispositifs plus structurants que sont le PRA et le PCA.
Avis d'expert
Pour aller plus loin, dans la compréhension des deux procédures, nous avons demandé à Radjabe YOUSSOUFA, Ingénieur Commercial chez Foliateam, spécialisé dans les services de solutions cloud et d’hébergement, de répondre à quelques questions.
Quels sont les étapes et les prérequis pour mettre en oeuvre un PRA et/ou un PCA ?
« Tout d’abord, il faut identifier les ressources critiques que l’on souhaite ‘backuper’ car elles sont indispensables au bon fonctionnement de l’entreprise. Ensuite, il faut identifier le lieu où l’on souhaite mettre en place le plan de reprise ou de continuité d’activité avec 2 solutions : soit sur un des sites de l’entreprise soit sur un site externe de type data center.
Par exemple, chez Foliateam nous proposons d’effectuer les PRA/PCA depuis notre Datacenter situé à Paris Nation ou depuis celui situé à Lyon. »
Combien de temps prend la mise en œuvre d'un PRA et/ou d'un PCA ?
« Tout dépend de la taille de l’infrastructure à ‘backuper’ mais dans tous les cas une telle procédure se prépare longtemps en avance. Le temps de la réflexion est très important pour identifier les différents éléments. Je dirais que pour monter un PRA cohérent il faut s’y prendre au minimum 3 mois à l’avance. »
Selon vous, quelles sont les bonnes pratiques ?
« Aucun PRA / PCA n’est identique. En fonction du domaine d’activité d’une entreprise, les enjeux ne seront pas les mêmes. Si vous prenez une banque en ligne, en cas de coupure de son activité internet ou téléphonique, les pertes en terme de chiffre d’affaires s’effondreraient de manière exponentielle. Si vous prenez un hôpital, une coupure téléphonique ou réseau engendrerait une crise majeure notamment pour retrouver les dossiers des patients ou gérer les urgences…
Radjabe Youssoufa Suivre
Avez-vous des conseils à donner ?
Mon premier conseil :
C’est qu’il faut le penser et réaliser un cahier des charges précis répertoriant les applications critiques liées à l’activité de l’entreprise.
Mon second conseil :
Une procédure de PRA/ PCA évolue. Il faut constamment la tenir à jour et le notifier aux prestataires qui vous accompagnent dans votre projet pour être toujours prêt.
Mon troisième conseil :
Compte tenu de l’importance des outils de collaboration dans un contexte de travail hybride (alternance entre travail en présentiel et à distance), faites attention à intégrer la redondance de votre téléphonie et de vos outils de collaboration à vos PRA/PCA.
Vous disiez tout à l’heure que les entreprises ont le choix entre mettre en place un plan de reprise sur un de leurs sites ou l’externaliser. Quelle solution recommanderiez-vous et pourquoi ?
« Je recommanderais l’externalisation car l’objectif d’un PRA, quel que soit sa nature, est d’envisager tous les scénarios de catastrophes possibles et celui qui ressort inévitablement est : Que se passe-t-il en cas de sinistre dans mes locaux (incendie, inondation, coupure réseau etc.) ?"
Radjabe Youssoufa Suivre
Dans ce cas-là, si la sauvegarde de l’infrastructure est réalisée sur le site qui héberge les applications initiales, vous comprenez bien que le PRA/PCA ne sert quasiment à rien alors que si celui-ci est externalisé sur un de vos sites distants ou encore mieux dans un datacenter, il y a alors un réel intérêt car vous ne dépendez pas de vos propres infrastructures.
Si vous établissez votre PRA sur un de vos sites distants, vous restez dépendants de vos infrastructures et vos moyens de communication. On peut aussi imaginer dans l’un des scénarios de catastrophes que ça soit l’ensemble de vos infrastructures informatiques ou liens d’interconnexion qui seront impactés et dans ce cas-là vous n’aurez plus accès à votre PRA. Dans un Datacenter vous disposez de toute la sécurité nécessaire que ça soit en terme d’électricité, de climatisation ou d’équipements et vous minimisez ainsi les risques.
Mon premier conseil :
C’est qu’il faut le penser et réaliser un cahier des charges précis répertoriant les applications critiques liées à l’activité de l’entreprise.
Mon second conseil :
Une procédure de PRA/ PCA évolue. Il faut constamment la tenir à jour et le notifier aux prestataires qui vous accompagnent dans votre projet pour être toujours prêt. »
Quand on met en place un PRA, faut-il également mettre en œuvre un PCA ?
« Tout dépend de la criticité et de l’activité de l’entreprise. Une entreprise peut considérer que son activité est mise en péril si elle ne peut plus exercer son activité dès la première seconde. Certaines vont estimer qu’une heure est le grand maximum, pour d’autres plus… C’est en fonction de cela, qu’une société décidera ou pas de s’orienter vers un plan de continuité d’activité. »
« Le PRA et le PCA sont comme une assurance automobile, si vous n’avez pas d’accident, vous n’en mesurez pas l’intérêt. »Radjabe Youssoufa Suivre
Quels sont les avantages des Plans de Reprise d’Activité ?
« Les avantages de la mise en place d’un PRA se mesurent par rapport aux risques de perte de chiffre d’affaires, de mauvaise image vis-à-vis de vos clients et partenaires ou encore de sanctions disciplinaires ou pénales en cas de non-respect d’obligations réglementaires encourues en cas de panne ou de coupure. Le PRA va vous permettre d’éviter cette perte de chiffre d’affaires. Sa mise en place à un certain coût, et ce coût-là sera amorti en fonction de la perte de chiffre d’affaires estimée.
Le PRA et le PCA sont comme une assurance automobile, si vous n’avez pas d’accident, vous n’en mesurez pas l’intérêt. Par contre en cas de sinistre, c’est la garantie pour l’entreprise de maintenir son activité et de conserver ses données critiques sans risque d’indisponibilité et donc sans perte de revenu.
Enfin, le PRA et le PCA ont aussi des avantages en terme de ressources et de fonctionnement opérationnel. S’ils sont externalisés, les entreprises ont accès en cas de problème à un réseau indépendant du leur et n’ont plus besoin d’assurer la maintenance de leurs équipements. Elles bénéficient également d’une supervision 24/7 par des experts qui veillent au bon fonctionnement du réseau. »
« Par contre en cas de sinistre, c’est la garantie pour l’entreprise de maintenir son activité et de conserver ses données critiques sans risque d’indisponibilité et donc sans perte de revenu. »
Radjabe Youssoufa Suivre
L’hybride est-il l’avenir incontournable de l’infrastructure IT de demain ?
« C’est une question philosophique (sic).
Si on revient sur la notion même de cloud hybride, c’est quand une entreprise dispose d’une partie de ses infrastructures en interne et une autre dans un Datacenter.
Je pense effectivement, que le modèle hybride est le modèle d’aujourd’hui et sera également celui de demain parce qu’une société aura toujours besoin d’avoir tout ou partie de son infrastructure en interne.
Avec le temps, les entreprises ont gagné en maturité dans leur utilisation du cloud et reconnaissent l’importance de ne pas dépendre que d’elle-même. »