Menaces informatiques, problèmes de réseau, d’infrastructure, pannes électriques, pannes matérielles ou encore catastrophes naturelles, les incidents qui peuvent affecter le système d’information sont nombreux.
Selon une enquête réalisée auprès de plus de 1500 décideurs en entreprise et dans l’IT, le rapport Veeam Data Protection 2020, 51% des répondants ont subi une perte de confiance de clients à la suite d’interruptions de leur système.
Comment traiter un risque d’indisponibilité
Il existe plusieurs démarches ou mécanismes possibles pour réduire les risques d’indisponibilité :
- Accepter : Accepter la menace et ses impacts potentiels pour l’entreprise
- Éviter : Ne pas lancer ou arrêter une activité à cause des risques encourus
- Transférer : Déporter le risque sur un tiers (prise d’une assurance, transfert d’une activité à un prestataire, …)
- Réduire la probabilité : Traiter le risque en amont, en réduisant sa probabilité d’occurrence
- Limiter les impacts : en mettant en place un PCA (Plan de Continuité d’Activité) ou PRA (Plan de Retour à l’Activité).
Pourquoi mettre en place un PCA / PRA
Mettre en place un PCA (Plan de continuité d’activité) ou PRA (Plan de retour à l’activité) permet de limiter l’ensemble des impacts liés à une interruption d’activité. Et comme nous allons le voir ci-dessous, les conséquences d’une interruption d’activité sont à la fois variés et lourdes pour l’entreprise, du fait que les systèmes informatiques ont pris le pas sur la majorité des processus des entreprises.
Les conséquences d’une interruption d’activité peuvent ainsi être :
- Conséquences financières : La suspension de certaines activités critiques de l’entreprise (production, support etc) peuvent rapidement se chiffrer en plusieurs milliers d’euros.
- Conséquences concernant la satisfaction des clients : la réputation de l’entreprise, son image de marque.
- Conséquences internes, avec des problèmes de fonctionnement de l’entreprise et de satisfaction des employés, ou des partenaires.
- Conséquences juridiques, avec éventuellement des poursuites en cas de manquement à ses obligations.
Comment mettre en place un PCA / PRA
Mettre en place un PCA ou un PRA, c’est mettre en place une cellule de crise, des moyens et des procédures permettant de gérer l’incident et d’assurer la continuité ou la reprise de l’activité.
Cette organisation doit comprendre l’ensemble des éléments suivants :
- Les fournisseurs : il s’agit de vérifier l’engagement contractuel avec les fournisseurs clés, de mettre en place une stratégie d’achat multi-fournisseurs, et de contrôler sa capacité à ré-internaliser…
- Les sites : bien souvent, une stratégie de continuité ou de reprise d’activité implique de pouvoir disposer de sites de substitution en cas de problème sur le site de l’entreprise. Cela implique notamment une sauvegarde des données sur un ou plusieurs hébergements distants et redondants.
- Les ressources informatiques et telecom : Il s’agit de mettre en place des procédures, des stratégies de secours, et de manager efficacement les ressources humaines ou techniques en cas de nécessité.
- L’organisation et le personnel : Il s’agit de disposer de procédures RH exceptionnelles permettant d’assurer l’acheminement, la suppléance du personnel, le travail à distance ou le travail via d’autres supports / matériels.
- La documentation des procédures : Il est nécessaire de disposer d’un référentiel documentaire explicitant les mesures d’anticipation, de contournement, les formulaires métiers…
PCA / PRA : en interne ou accompagné
La reprise ou la continuité d’activité étant des enjeux stratégiques importants, l’entreprise doit s’assurer que ces démarches sont traitées avec professionnalisme :
– Il est possible d’élaborer son PRA ou son PCA en interne, si l’on dispose des compétences nécessaires au sein de son personnel.
– Dans le cas contraire, il sera recommandé de confier cette démarque à une entreprise spécialisée, disposant d’une maîtrise technique et d’une expertise reconnue.
PCA / PRA : la démarche
Une fois la décision de traiter en interne ou d’externaliser prise, il reste à mettre en place le PCA ou le PRA en question.
Une démarche de PCA/PRA comporte généralement les étapes suivantes :
- en matière de disponibilité des données et de processus critiques
- Classification des informations et des actifs de l’entreprise
- Analyse des risques du système d’information
- Définition du PCA ou du PRA
- Définition des processus de gouvernance et de gestion de la crise
- Accompagnement lors des phases de tests
Ainsi, nous venons de mettre en évidence les différents enjeux liés à la continuité ou à la reprise d’activité. Lors d’une panne ou d’un incident, les conséquences pour l’entreprise peuvent être importantes. Mettre en place un PCA ou un PRA c’est établir une organisation et des procédures permettant de limiter ou de supprimer les impacts subis par le système d’information.
Cette démarche étant relativement technique et pointue, il est important de la confier à un ou plusieurs collaborateurs compétents, ou encore de l’externaliser en faisant appel à un prestataire spécialisé expert.
Déessi vous accompagne dans la mise en place de votre plan de continuité ou de retour à l’activité :
– Pour découvrir nos offres PCA / PRA, cliquez ici,
– Pouren savoir plus ou nous poser une question ou exprimer votre besoin, contactez nous !