Avez-vous pensé à tester votre plan de reprise d’activité ?

Le plan de reprise d’activité est un ensemble de mesures qui permettent d’anticiper un risque et de limiter les conséquences d’un sinistre. Or, pour réduire le temps d’interruption de votre activité, il est plus que nécessaire de tester votre PRA pour vous assurer que les mesures privilégiées seront véritablement efficaces le jour J.

Rappel de ce qu’est le PRA?

Le plan de reprise d’activité a pour vocation de déterminer les risques liés à l’activité d’une entreprise. Ceux-ci sont aujourd’hui multiples et plus uniquement physiques. La digitalisation des entreprises a engendré de nouveaux risques liés notamment à la cybercriminalité. Outil informatique inutilisable, perte de données, les conséquences peuvent être très lourdes, tant sur le plan financier que juridique. De plus, l’image de votre entreprise peut en pâtir, mieux vaut donc être prévoyant.

Dès lors que les risques sont déterminés, il faut les analyser et les mesurer. L’objectif est ici de comprendre à la fois la probabilité qu’un sinistre intervienne et son impact sur votre activité.

In fine, le PRA permet à la foi de prendre des mesures préventives, mais aussi des mesures curatives pour réduire au maximum le temps d’interruption de l’activité.

Le plan de reprise d’activité fait l’objet d’une rédaction afin que chacun puisse prendre connaissance des mesures à mettre en place en cas de sinistre. Toutefois, si la théorie semble fiable, qu’en sera-t-il vraiment en cas de sinistre avéré ? Avez-vous testé les mesures définies ?

Pourquoi tester un plan de reprise d’activité ?

C’est simple : entre la théorie et la pratique, il y a un monde. Définir les mesures est une étape essentielle pour se préparer au pire. Or, seule la mise en situation permet de comprendre leur efficacité. Seront-elles assez pertinentes pour que l’interruption votre activité soit effectivement réduite au minimum ? Comment estimer le temps de redémarrage des infrastructures sans réaliser de test ?

Le test du PRA est sans aucun doute la seule solution pour vous assurer que vous avez fait les bons choix et que l’impact d’un sinistre sera modéré. Vous pouvez ainsi envisager toutes les possibilités pour déterminer les éventuelles limites de votre PRA et les mesures à optimiser, tant sur le plan préventif que curatif.

Les différents tests de PRA à réaliser

Plusieurs points sont à analyser si vous voulez être certain que votre système d’information sera à nouveau opérationnel dans les plus brefs délais et que votre activité pourra reprendre rapidement après un sinistre.

Tester les sauvegardes

La sauvegarde est une action essentielle pour ne perdre aucune donnée. Elle doit être réalisée sur des serveurs sécurisés et pas uniquement sur un poste de travail ou un disque dur, un incendie ou autre sinistre physique viendrait anéantir des années de travail.

Il est nécessaire de tester la sauvegarde des données de manière régulière dans des environnements protégés afin d’être certain de l’efficacité de la méthode. L’objectif est concrètement de tester la restauration des données et de vérifier si des anomalies se présentent. Si tel est le cas, des optimisations seront réalisées afin d’être prêts le jour J.

Tester le redémarrage de l’infrastructure

En cas de crash, c’est un redémarrage complet qui sera nécessaire. Or, si celui-ci n’est pas testé, êtes-vous certain que vous pourrez utiliser tous vos outils dans les meilleurs délais ? Rien n’est moins sûr.

Il est ici nécessaire de tester le redémarrage des serveurs, des réseaux et des différentes machines, certes. Mais ce test doit aller plus loin en s’assurant que toutes les connexions à distance sont à nouveau permises et sécurisées.

Tester le site de repli

Dans le cadre d’un plan de reprise d’activité, envisager un site de repli s’impose. Mais, là encore, des questions se posent. Ce site de repli sera-t-il opérationnel de suite ? Une fois de plus, seuls des tests permettent de s’en assurer.

Ici, il s’agit de reconnecter votre infrastructure dans le cloud avec un réseau internet et de vérifier que toutes les connexions se font. Ce test permet aussi et surtout de s’assurer que cette nouvelle connexion sur un site de repli est parfaitement sécurisée.

Les autres tests à réaliser

S’il semble parfaitement essentiel de tester son plan de reprise d’activité, il est de coutume de dire qu’il vaut mieux prévenir que guérir. Cela signifie qu’envisager le pire est utile, certes, mais que des mesures préventives s’imposent pour limiter le risque.

Aussi, dans le cadre de la protection d’un système d‘information, nous avons évoqué l’importance de déterminer le risque et son niveau. Pour cela, les tests s’imposent une fois de plus.

L’objectif est ici de tester votre infrastructure afin de comprendre ses failles.

On peut envisager un test de charge des utilisateurs et un test de stress. Il s’agit ici de comprendre comment votre serveur se comporte en cas de forte affluence. Cela permet d’anticiper différentes situations. Par exemple, si vous choisissez de faire une publicité dans les médias, cela représente une lourde dépense. Êtes-vous prêt à prendre le risque d’impacter votre image de marque et de perdre des utilisateurs difficilement gagnés avec un serveur qui ne supporte pas une charge importante ? Il est question ici de tester à la fois la stabilité des serveurs, le temps de réponse et la scalabilité, à savoir la capacité à monter et baisser en charge dans un délai donné.

Dans une architecture en load balancing, testez l’arrêt d’un serveur pour vérifier le comportement de votre infrastructure en mode dégradé.

Tester les performances de votre système d’information est un prérequis pour définir les axes d’amélioration. S’il est important de se préparer à tout sinistre, l’objectif premier reste bien évidemment de limiter le risque. Le plan de reprise d’activité s’inscrit dans une démarche globale.