Retour au blog

Plan de reprise d’activité : comment l’évaluer ?

Le dans Innovative IT, Smart OFFICE, Smart SECURITY

Photographie d'un homme sur un bureau et des feuilles de graphiques

Le plan de reprise d’activité ou PRA a pour vocation de vous aider à redémarrer rapidement votre activité suite à un problème au niveau de votre système d’information. Avant d’imaginer la manière dont vous allez reprendre votre activité après une interruption plus ou moins longue, il est nécessaire d’évaluer votre PRA, c’est-à-dire envisager les risques, leur niveau et les conséquences. Naturellement, il sera aussi nécessaire d’évaluer les coûts afin de bien comprendre le bénéfice/risque. OTO Technology vous accompagne pour que votre plan de reprise d’activité soit pertinent et s’applique de la meilleure manière en cas de sinistre.

Rappel de ce qu’est le plan de reprise d’activité ?

Pour bien comprendre la nécessité de bien évaluer un PRA, encore faut-il bien comprendre l’intérêt de cette démarche.

Le plan de reprise d’activité a pour vocation d’anticiper un sinistre et d’améliorer la gestion de crise. Il doit évaluer les risques pour l’entreprise et trouver les solutions adéquates afin de reprendre l’activité dans les plus brefs délais après une interruption. Il se différencie du PCA qui a pour vocation d’assurer la continuité d’activité, même en mode dégradé.

Le PRA a un véritable rôle de prévention. Aujourd’hui, les risques sont multiples pour une entreprise, de la panne informatique au piratage en passant par le phishing ou simplement une mauvaise manipulation des salariés. Qui dit risque grandissant, dit plan d’action pour être prêt si le risque est avéré.

La crise sanitaire que nous vivons nous a appris qu’il fallait envisager tous les risques. Avec le Covid-19 et l’avènement du télétravail, de nouveaux risques apparaissent. Or, les entreprises qui ne s’étaient pas préparées à toutes les éventualités ont vu leur activité ralentir et les risques de cyberattaque se multiplier.

Comment évaluer un plan de reprise d’activité ?

Lorsque l’on évoque les risques liés au système d’information et l’interruption d’activité, on parle ici de conséquences financières, parfois judiciaires, mais aussi en termes d’image de marque. Il semble donc évident que le hasard n’a pas sa place dans la mise en place d’un PRA et dans la mise en œuvre des actions le jour J.

De ce fait, une évaluation préalable s’impose. Mais ce n’est en réalité que la seconde action à mettre en place.

Analyser les risques

Évaluer un plan de reprise d’activité consiste en premier lieu à déterminer le risque. Celui-ci est caractérisé par trois éléments :

  • La menace ;
  • La vulnérabilité ;
  • L’impact.

En étudiant la menace et la vulnérabilité, vous pouvez définir la probabilité d’occurrence, ce pourcentage de risque qu’un sinistre intervienne réellement. Cette probabilité peut être définie en fonction de différents facteurs :

  • Les moyens disponibles;
  • La vulnérabilité des installations;
  • Les mesures préventives;
  • Le niveau de formation au risque des salariés;
  • etc.

Lorsque l’on évoque la vulnérabilité, il s’agit ici de faire un état des lieux du système d’information et de son environnement. Une protection virale performante est-elle installée ? Les logiciels et systèmes d’exploitation sont-ils à jour ? Les connexions à distance sont-elles véritablement sécurisées ? Les données sensibles sont-elles bien protégées ? Les partenaires sont-ils fiables ?

C’est la combinaison de tous ces éléments qui permet de caractériser le risque et son niveau.

Ensuite, il est nécessaire de mesurer l’impact. Vous devez être en mesure de savoir combien de temps une interruption d’activité est envisageable sans perte de chiffre d‘affaires. Vous devez déterminer également quel niveau de perte de données est acceptable pour la pérennité de votre entreprise.

Évaluer les risques

Dès lors que l’analyse des risques est achevée, il est nécessaire de hiérarchiser les risques. Nous avons évoqué les probabilités et les impacts. C’est cela qui permet de mettre en place cette hiérarchie pour assurer la continuité de votre activité, ou a minima une reprise rapide.

Un risque majeur est celui va combiner une probabilité haute et un impact sérieux. Ce sera donc le premier risque pour lequel il faudra définir les mesures préventives et curatives de votre plan de reprise d’activité. Nous avons également évoqué le bénéfice/risque. Il est avéré que certains risques sont acceptables et n’auront pas un impact majeur, un traitement peut ne pas être indispensable puisqu’il serait plus coûteux que l’impact du risque lui-même.

Pour matérialiser l’évaluation du risque, il est possible de mettre en place un tableau comme le suggère le guide du plan de reprise d’activité sur le site du gouvernement.

Plus un risque est élevé, plus il doit faire l’objet de mesures. Toutefois, toujours selon le guide du gouvernement sur le PRA et son évaluation, ce tableau peut être trompeur. En effet, on donne ici autant de poids à la probabilité et à l’impact. Or, si un risque est peu probable, mais qu’il stoppe votre activité durant des jours, voire des semaines, ou s’il vous fait perdre la totalité de vos données et celles de vos clients, votre entreprise peut tout simplement faire faillite. Il est ici estimé que :

  • Le risque extrême se situe de 9 à 10;
  • Le risque élevé se situe de 7 à 8;
  • Le risque moyen se situe de 5 à 6;
  • Le risque faible se situe de 1 à 4.

Ce tableau sera reproduit pour chaque risque évoqué pour l’entreprise (protection virale, protection au niveau des logiciels, comportement humain, maintenance du parc informatique, stockage des données, etc.).

C’est pourquoi d’autres spécialistes du PRA préfèrent s’appuyer principalement sur l’impact. Ici, il sera nécessaire d’évaluer le risque en termes de perte de chiffre d’affaires. Aussi, cette fois, nous préconisons de bien réfléchir aux pertes envisagées. Si votre activité s’interrompt durant une heure, une demi-journée, une journée, une semaine, quel est le montant de la perte ? Si vous perdez 50 % de vos données, pouvez-vous continuer à travailler et à générer du chiffre d’affaires ?

Cette fois, l’évaluation du PRA consiste à analyser votre activité et vos chiffres pour matérialiser les impacts.

Pourquoi évaluer un PRA ?

Rédiger un document de plan de reprise d’activité, c’est mettre noir sur blanc les risques et les mesures curatives nécessaires pour que l’interruption d’activité soit la plus courte possible. L’évaluation des risques et des impacts permet de déterminer les mesures nécessaires, qu’il s’agisse de trouver un site de repli pour être opérationnel rapidement ou/et de récupérer les données pour continuer à travailler.

C’est un premier point essentiel, et c’est bel et bien la finalité du PRA. Mais ce n’est pas tout. Anticiper une interruption d’activité, c’est mettre le doigt sur les failles de votre entreprise. Dès lors que celles-ci sont mises en lumière, pourquoi attendre un sinistre pour mettre en œuvre les mesures nécessaires ? Certes, définir les mesures curatives est indispensable en cas de crise. Mais la prévention est sans aucun doute le meilleur moyen de se protéger.

Aussi, l’évaluation du risque permet également de mettre en place mesures préventives. Vous avez pu déterminer que la protection virale de votre SI était faible ? Demandez à votre DSI de renforcer la sécurité afin d’éviter des cyberattaques. Il apparaît que vos logiciels ne sont pas à jour et offrent une porte d’entrée aux cybercriminels ? Là encore une action du directeur du système d’information est nécessaire pour mettre à jour logiciels et systèmes d’exploitation. Ce sont des mesures simples et de bon sens.

S’il apparaît que c’est au niveau humain que le bât blesse, une fois de plus réagissez. Si vous estimez que vos salariés ne sont pas assez sensibilisés au risque, des formations sont possibles. C’est une véritable action de prévention qui limitera le risque. La sécurité d’une entreprise est à la fois liée à l’aspect matériel et humain, c’est la combinaison de ces deux facteurs qui permettra la continuité de votre activité.

Quel est le coût d’un PRA ?

L’évaluation du coût d’un plan de reprise d’activité est complexe. Pourquoi ? Tout simplement parce que chaque entreprise est différente. Les risques sont liés au domaine d’activité, à la taille de l‘entreprise, à sa manière de fonctionner, etc. Cela est également lié à la nature des données traitées, à leur quantité et leur sensibilité. Chez OTO Technology, nous ne proposons que des solutions sur-mesure. Nous considérons qu’il ne peut exister de solution standard lorsque l’on évoque la sécurité et la mise en place de mesures fortes.

Bien sûr, le PRA a un coût qui peut paraître élevé pour une entreprise. Le respect du budget est une préoccupation majeure, c’est pourquoi nombre de structures n’ont pas envisagé de PRA. Pourtant, c’est une erreur. La santé financière d’une entreprise ne peut se limiter à une évaluation à court terme.

 

Si vous n’êtes pas capable de supporter une interruption d’activité, ne serait-ce que quelques heures, le coût sera alors bien plus élevé que l’évaluation et la mise en place d’un PRA performant. De plus, au-delà des mesures curatives, vous pourrez envisager des mesures préventives pour limiter toujours plus le risque et veiller à ce que votre activité ait le moins de risques possible d’être interrompue.

Article précédent

Cloud et sécurité informatique : les priorités des DSI

Article suivant

Le rôle de la DSI : de la gestion opérationnelle à la stratégie
Top