Plan de Reprise d’Activité (PRA), comment et pourquoi ?

Qu’est-ce qu’un Plan de Reprise d’Activité (PRA) ? Pourquoi le mettre en place et surtout comment ?  Connu des grandes entreprises, il est souvent sous-estimé et même ignoré par les PME.

Plan de Reprise d’Activité

Un Plan de Reprise d’Activité (PRA) est une démarche mise en place par une entreprise en cas d’une crise importante. Elle consiste à la reconstruction de l’infrastructure informatique et la remise en route des applications nécessaires à son activité. Il existe plusieurs niveaux de capacité de reprise qui sont à définir en accord avec les besoins de l’entreprise et ses moyens financiers. Il est différent du plan de continuité d’activité (PCA), qui permet plutôt de continuer l’activité sans l’arrêt du service.

Plan-reprise-activite

Le plan de reprise d’activité permet de conserver les ressources informatiques nécessaires au bon fonctionnement d’une entreprise lors d’un sinistre. L’entreprise dispose de plusieurs choix de capacité de reprise selon ses besoins.

bouclier-dossier-securiteIl maintient l’activité par un plan de sauvegarde et de remise en service et réduit les conséquences financières. Ce plan intervient dans le but d’atténuer l’impact des catastrophes pour sauver l’activité, mais aussi pour conforter l’image de fiabilité auprès des partenaires et clients. L’objectif est de pallier aux menaces éventuelles en trouvant des solutions de prévention adéquate.

Les enjeux

Toute entreprise doit évaluer les menaces liées à son activité, et même si selon la taille et l’activité les mesures à prendre et les scénarii à envisager sont différents. La question est fondamentale pour chacune d’entre elles. Malheureusement, de nombreuses PME  l’ignorent et jugent la mise en place d’un plan de secours trop couteux et complexe.

Ces incidents majeurs engendrent de multiples impacts sur l’entreprise :

  • Commerciaux (perte de clients et de parts de marché) ;
  • Financiers (perte de revenus, coûts de reprise d’activité) ;
  • Juridiques (sanctions disciplinaires, financières ou pénales pour non-respect d’obligations réglementaires) ;
  • D’image (conséquences négatives sur l’image et la réputation de l’entreprise).

parapluie-usine-herbe

 

Voici quelques chiffres qui illustrent les enjeux : « 80% des entreprises ayant subi une perte significative de données déposent  le bilan dans les 2 ans qui suivent. »
Source : « Politique de sécurité des systèmes information et sinistralité en France »,  Bilan 2002-2003 par le CLUSIF.

« Suite à la destruction de ses moyens informatiques et télécoms, une entreprise disparaîtra au-delà d’un arrêt de 72 heures dans 40% des cas. »

Lorsqu’elles n’y sont pas préparées, 43 % des entreprises ferment au moment d’un sinistre, et 29 % de celles qui survivent disparaissent dans les 2 ans qui suivent.

Les impacts financiers

La reprise d’activité d’une entreprise induit des investissements et des coûts de fonctionnement. C’est pour cette raison qu’il est nécessaire de calibrer ces aspects financiers au mieux pour éviter de :

  • Surdimensionner les moyens de reprise ce qui engendre une charge financière inutile ;
  • Sous-dimensionner les moyens de reprise et d’augmenter l’impact du sinistre. Cela ne garantit pas la pérennité de l’entreprise.

balance-cout-delai

Les impacts financiers sont plus ou moins grands selon le type de conséquence qui est engendré par le sinistre. On peut identifier 2 types de conséquences qui sont :

  • Une perte de données ;
  • Une indisponibilité prolongée des ressources.

Ces impacts financiers peuvent être de différentes natures :

  • Pertes de revenus : chiffre d’affaires, contrat annulé.
  • Pertes de marges et perte de trésorerie: pénalité en termes de contrat, intérêts pour cause de retard.
  • Perte de contrôle : absence de visibilité et mauvaise évaluation des risques.
  • Dépenses pour le plan de reprise d’activité.

Ces impacts peuvent être :

  • Direct : l’impact n’est significatif que pendant la période d’indisponibilité de l’activité. Par exemple, en cas de perte de production pendant 2 heures, cela correspond à 2 heures de travail perdu pour les employés qui utilisent l’outil informatique.
  • Indirect : l’impact est significatif au-delà de la période d’indisponibilité et après la restauration du service informatique. C’est surtout le cas de la perte de clients. Ces impacts sont donc plus importants.

En évaluant les impacts du sinistre, l’entreprise peut définir pour chaque activité : la perte maximale de données admissible et le temps maximum d’indisponibilité admissible pour ne pas engendrer un impact trop important. Cela passera donc par la rédaction d’un document de base du plan de reprise.

Pour illustrer les coûts d’un PRA, voici un exemple des services d’une entreprise qui propose de mettre en place des plans de reprise d’activité. Le prix total d’un PRA varie selon ces critères :

Services proposés

Description

Prix

Machine virtuelle et stockage Mise en place d’une VM
Type de stockage
0,025€/h à 0,199€/h
0€ à 0,26/Go/mois
OS/Piles logicielles Système d’exploitation et logicielles utilisés 0€ à 788€/VM/mois
Bande passante Débit de 10 Mbps à 1Gbps 0€ à 3000€/mois
Load balancing Répartie la charge entre 2 à 5 VM 40€/load balancer/mois
Service Firewalling Politique d’exposition sur internet 3€/activation de flux
Service Sauvegarde VM et données Sauvegarde journalière ou manuelle et restauration des données 0 à 0,64€/Go/mois
Service réversibilité Exportation des données en cloud privé et public 60€/acte
Monitoring Supervision des ressources, paramétrages et suivi de consommation 0€

 

Élaboration du plan

Le contenu d’un plan de reprise d’activité peut varier selon plusieurs critères de l’entreprise. Son importance se définit en fonction de :sauvegarde

  • Sa taille,
  • Son type,
  • Son secteur d’activité,
  • Sa maturité.

Le plan de reprise peut donc être effectué de différente manière selon les critères de l’entreprise :

  • Plan de gestion de crise : Il consiste à rédiger un document qui décrit l’ensemble des acteurs de l’activité et leurs responsabilités. Ce document comprend aussi la mise en œuvre de la cellule de crise et sa gestion opérationnelle
  • Plan de reprise informatique : Ce dernier consiste à rédiger un document qui décrit l’architecture informatique, les mesures techniques à prendre et les procédures à suivre pour assurer la reprise informatique des applications métier.
  • Plan de sauvegarde : Celui-ci consiste à rédiger un document qui décrit les processus de sauvegarde des données et de leurs restaurations selon leur type.
  • Plan de test : Il consiste à élaborer des tests de continuité du service de façon régulière. Ce plan comporte plusieurs tests qui sont appliqués en fonction des écarts constatés.

Les conditions de tests

Un PRA est efficace s’il a été testé au préalable. Comme vu précédemment, il est important de réaliser des tests de tous les systèmes afin de garantir leur fonctionnement lors d’une perte de service. Pour cela, il faut se placer dans les mêmes circonstances lors des tests pour avoir des résultats grandeur nature.

L’écriture de la procédure du PRA doit être obligatoirement imprimée/écrite sur papier et gardée en lieu sûr lors du sinistre. Chaque détail est important (mot de passe administrateur, fichiers d’installations…) et doit être écrit pour permettre à la personne qui remettra les services en fonctionnement de ne pas perdre de temps. À savoir que cette personne n’est pas forcément le Responsable Informatique du site, d’où l’importance de telles précisions.

Tests des services

Dans l’idéal, il est préférable de réaliser des tests sur les services proposés par le système d’information tous les ans. Cela va du PC au parc de serveurs, en passant par la robotique de sauvegarde. Normalement, un système d’information robuste est branché sur onduleur (ou groupe électrogène) avec une bonne autonomie pour rester opérationnel en cas de panne d’électricité ou autre incident. Ainsi, chaque onduleur doit être testé tous les ans afin de vérifier l’état des batteries. En cas de faible autonomie, il faudra remplacer les batteries au plus vite !

Pendant ces tests il faut préciser chaque équipement de la manière suivante :

Caractéristiques du serveur 1 :

  • Marque : …
  • CPU : …
  • Mémoire : …
  • Système d’exploitation : …
  • Paramètres système, adresse IP, etc : …
  • Logiciels installés et versions : …

Les solutions

Gestion des sauvegardes

Pour mener à bien la restauration de l’ensemble des services et données de l’entreprise, il faut que cette dernière utilise une robotique de sauvegarde (pour les PME, un NAS peut être suffisant). La sauvegarde des données doit être programmée tous les jours (quand l’activité est minimale) afin de pourvoir restaurer le système des données, avec une date assez récente.

De plus, la robotique de sauvegarde (ou NAS) ne doit pas se trouver dans le local où se situe tout le cœur informatique. Elle doit être placée sur un autre site où dans un endroit assez éloigné du cœur système pour éviter d’être endommagé et que les cassettes de sauvegardes soient détruites également en cas de sinistre.

Il est également possible d’aller entreposer les cassettes de sauvegarde à la Banque dans un coffre.

Ces sauvegardes peuvent être réalisées de différentes façons :

  • Complète : l’ensemble des données sont sauvegardées ;
  • Incrémentale : sauvegarde la différence entre la sauvegarde précédente et celle actuelle ;
  • Différentielles : sauvegarde seulement les fichiers qui ont été modifiés depuis la dernière sauvegarde complète.

Dans la pratique une sauvegarde complète est réalisée chaque semaine, puis une incrémentale ou différentielle est créée chaque jour.

complete-differentielle

Réplications

Le but des réplications permet principalement d’éviter la perte de données (ce qui serait le pire pour une entreprise). Pour mettre en place cette procédure, une copie doit se faire entre deux ou plusieurs volumes disques.

La réplication peut se faire aussi bien par réseau local (LAN), par réseau étendu (WAN), que par environnement de stockage (SAN). L’idéal étant de la faire sur un site distant afin de garantir la sécurité des données en cas de sinistre.

replication

Concernant le mode de transfert, la fibre optique (FO) est largement privilégiée pour avoir un temps de latence très faible avec une bonne bande passante. Cela permet d’avoir des échanges de données en temps réel entre les différents sites.

Il existe deux types de transfert :

  • Synchrone : les données sont synchronisées en temps réel entre le serveur primaire et le serveur secondaire. Ce mode de transfert permet d’avoir une réplication immédiate et permettra de récupérer toutes les données en cas de sinistre.
  • Asynchrone : les données sont synchronisées du serveur primaire vers le serveur secondaire en décalé.

Le choix du type de transfert se fait en fonction du domaine de l’activité. Par exemple, une banque devra utiliser le mode synchrone pour garantir la sauvegarde de toutes les données en temps réel.

Conclusion

Nous pouvons en retenir qu’il ne faut pas négliger l’importance d’un Plan de Reprise d’Activité pour une entreprise, quelle que soit sa taille. Nous retenons que de nombreuses entreprises n’ont pas de PRA ou alors ne prennent pas le temps d’effectuer des tests, pourtant nécessaire afin d’éviter le pire.

Les différentes solutions retenues sont tout d’abord de posséder une robotique de sauvegarde (ou NAS), ce qui permet de sauvegarder facilement les systèmes d’une entreprise. Ensuite, d’utiliser la virtualisation afin d’optimiser les coûts et les temps de reprise d’activité. Nous pouvons noter que cette solution tend de plus en plus à se développer. Enfin, pour certaines entreprises, l’utilisation d’une baie SAN connectée en Fibre Optique permettra d’obtenir de meilleures performances.

Nous verrons dans un autre article comment tirer profit de vos NAS afin de sauvegarder vos données de façon automatique et périodique.