Plan de reprise d’activité : la stratégie qui protège votre entreprise en cas de sinistre

Le dans Autres

Tandis que le plan de continuité d’activité (PCA) a pour vocation d’empêcher l’arrêt de votre activité, le plan de reprise d’activité (PRA) intervient après une interruption du travail. Pour une reprise d’activité rapide et dans les meilleures conditions, il est nécessaire en amont de définir un PRA performant qui permet d’envisager toutes les situations et de proposer une solution pour chaque risque.

Qu’est-ce que le plan de reprise d’activité ?

Le plan de reprise d’activité est un ensemble de procédures qui doivent être mises en place par une entreprise en cas d’interruption partielle ou totale de l’activité. L’objectif est clair : limiter la durée de l’interruption en mettant en place un protocole spécifique qui permet de travailler, même en mode dégradé. Cette mesure de prévention doit pouvoir envisager et pallier tous les risques liés à votre système d’information.

À l’heure de la digitalisation, combien d’entreprises peuvent se passer de leur installation informatique ? Combien peuvent prendre le risque de perdre des données importantes ? Le PRA permet de trouver des solutions personnalisées pour reprendre le travail après un sinistre.

Les dangers sont aujourd’hui nombreux pour une entreprise. Pour autant, beaucoup ne mesurent pas le risque encouru. Aussi, combien souscrivent une assurance professionnelle pour se protéger contre l’incendie et le dégât des eaux ? Quasiment toutes. Combien ont anticipé un risque informatique alors que le système d’information est souvent la pièce maîtresse de leur activité ? Très peu.

La cybercriminalité augmente en permanence, le risque de piratage est accru et la sécurité de vos données est mise à mal. Le phishing est devenu une pratique commune et les virus circulent aisément. De plus, il est avéré que les équipes ne sont pas toujours assez formées et n’appliquent pas nécessairement les bonnes pratiques, augmentant le risque de piratage. Au-delà de la cybercriminalité, le risque est aussi physique. La mise en place d’un plan de reprise d’activité s’impose également pour toutes les entreprises qui peuvent être victime d’un problème d’informatique physique.

L’évaluation des risques professionnels liés au système d’information et la détermination des mesures nécessaires en cas de sinistre sont les conditions sine qua non de la survie de nombreuses entreprises.

Quelle différence entre PRA et PCA ?

PRA et PCA sont deux plans souvent confondus et pourtant, ils ne s’appliquent pas dans les mêmes conditions. Certes, les deux peuvent s’avérer indispensables pour pérenniser une structure, mais ils n’interviennent pas au même moment.

Le plan de continuité d’activité, la PCA, propose particulièrement bien son nom. Il a vocation de faire en sorte que les données de l’entreprise restent accessibles, même en cas de panne informatique. Le plan de reprise d’activité, quant à lui, ne peut permettre la continuité de l’activité. Il intervient en aval et consiste à mettre en place une stratégie de reprise d’activité dans les plus brefs délais, en conditions normales ou dégradées.

En résumé, la différence entre PCA et Pra est claire : le premier empêche l’interruption d’activité, le deuxième en limite la durée.

Comment élaborer un plan de reprise d’activité ?

Pour un PRA réussi, il est nécessaire de prendre le temps de la réflexion et de s’adresser à des experts capables de définir des mesures personnalisées. Chaque entreprise a une configuration spécifique, un système d’information adapté à son activité et des risques plus ou moins importants. Le plan de reprise d’activité doit s’adapter à ces différents facteurs pour être pertinent en situation de crise majeure. Faisons un point sur les étapes à suivre pour définir les mesures nécessaires et mettre en place un plan de reprise d’activité efficace.

Identification et évaluation des risques

Chaque entreprise est unique, il est nécessaire d’identifier au cas par cas les risques. Niveau de confidentialité des données, développement du télétravail avec le COVID, collaborateurs amenés à se connecter au réseau de l’entreprise partout dans le monde, le risque est plus ou moins élevé selon les entreprises. L’objectif est ici de bien définir tous les sinistres dont vous pourriez être victime au niveau de votre système d’information pour envisager toutes les solutions à votre disposition. 

Prioriser les sinistres

La mise en œuvre d‘un PRA repose également sur l’étude des différents sinistres et de leur impact sur votre activité. Par exemple, le plan de reprise d’activité sera adapté à la durée maximale d’interruption d’activité supportable pour la survie de votre entreprise. Mais il est possible d’imaginer un PRA qui prend également en compte le volume de données que vous pouvez perdre sans risquer de mettre votre structure en péril. De même, vous devez envisager de quelle manière une activité partielle sera viable ou non. Il s‘agit ici de véritables mesures de prévention du risque pour mieux intervenir rapidement en cas de sinistre.

Définir la stratégie du PRA

Il s’agit ici d’envisager à la fois les mesures préventives et curatives. On aborde la mise en œuvre concrète du plan de reprise d’activité.

Votre PRA doit définir en premier lieu les mesures préventives pour limiter le risque à savoir :
– la sauvegarde de données sur un serveur sécurisé ;
– la réplication des données pour maximiser la sécurité de votre système d’information en cas de défaillance physique ou de cyberattaque ;
– la définition de sites de repli pour reprendre rapidement l’activité et limiter le temps d’interruption ;
– la mise en place de solutions de sécurisation (firewall, antivirus, VPN, VPN SSL, etc.) ;
– la formation des équipes aux risques liés à la cybercriminalité.

Ensuite, définissez les mesures curatives, celles qui s’appliquent si le risque se transforme malheureusement en sinistre :
– installation dans un site de repli ;
– redémarrage des applications ;
– récupération des données ;
– redémarrage des machines.

Effectuer des tests

Pour une action plus concrète, le test est bien évidemment une solution à envisager, cela permet non seulement d’anticiper un éventuel sinistre et de savoir comment agir rapidement, mais c’est aussi un moyen de renforcer les mesures préventives. Il est ainsi possible d’imaginer une montée en charge du serveur informatique pour savoir s’il est à même de supporter un afflux de visiteurs. Cela peut s’imaginer si, par exemple, vous envisagez de faire une publicité à l’échelle nationale. Il peut aussi s’agir de tests d’intrusion qui permettent d’envisager une sécurité optimale pour limiter le risque.

Ces tests peuvent modifier votre PRA et vous permettre d’envisager d’autres risques et ainsi, d’autres solutions plus adaptées à votre situation spécifique.

Rédiger le PRA

Dès lors que vous avez évalué les risques et défini la stratégie à mettre en place en cas de sinistre informatique, rédigez votre plan de reprise d’activité afin d’acter les différentes préconisations et les étapes à suivre si vous devez le mettre en œuvre. Ainsi, chaque acteur de votre entreprise aura connaissance de la procédure à suivre. 

Que contient le plan de reprise d’activité ?

La rédaction du plan de reprise d’activité se base sur les différents points évoqués précédemment. Aussi, votre PRA doit-il contenir les éléments suivants :
– les risques potentiels de votre entreprise ;
– les conséquences d’une interruption d’activité ;
– les mesures préventives à privilégier ;
– les solutions envisagées en cas d’interruption d’activité.

Qui doit mettre en place un PRA ?

Nous estimons que chaque entreprise doit pouvoir mettre en place un PRA dès lors que son activité lui impose d’utiliser l’informatique et qu’une défaillance physique ou une perte de données serait préjudiciable pour la pérennité de son activité. 

Quels risques si vous ne mettez pas en place de PRA ?

Vous l’aurez compris, ne pas envisager les risques et les solutions est particulièrement hasardeux. En effet, les risques sont divers et chaque entreprise est susceptible d’être confrontée, un jour ou un autre à un problème lié à son système d’information.

Dès lors que vous utilisez des ordinateurs et que vous vous connectez, vous gérez nécessairement des données qui pourraient être effacées ou volées. Avez-vous imaginé un instant le risque d’un système dont la sécurité n’est pas optimale. D’une part, la perte de données peut engendrer l’interruption de votre activité et avoir des conséquences financières lourdes. Mais ce n’est pas tout. Si les données que vous stockées sont sensibles, vos utilisateurs pourraient tout simplement se retourner contre vous. Là encore, la sanction financière pourrait être lourde à terme. Enfin, la perte de données est particulièrement mauvaise pour votre image.

Que penseront des clients ou partenaires d’un acteur qui n’est pas à même de sécuriser leurs données ? Ne pas anticiper les risques et la mise en œuvre d’un plan performant peut avoir des conséquences à court et long terme.

L’autre risque est matériel. Avez-vous envisagé une journée de travail sans votre matériel informatique. Panne de serveur, ordinateurs inutilisables, combien de temps être-vous capable de continuer votre activité sans site de repli avec du matériel performant ?

Selon Microsoft, 4 entreprises sur 10 ne survivent pas à un sinistre majeur. En moyenne, l’interruption des services d’une entreprise coûte 1,5 million de dollars par heure et la durée d’interruption de service supportable pour une entreprise est de 1 à 9 heures.

Quand le COVID apprend aux entreprises l’anticipation

La mise en place d’un plan de reprise d’activité est essentielle pour la pérennité de l’entreprise. La crise sanitaire que nous vivons est l’exemple même de l’importance d’anticiper les risques, même les plus improbables. Avec le COVID, de nombreuses entreprises ont dû interrompre leur activité.

Pourtant, nombre d’entre elles auraient pu, en anticipant le risque, définir des solutions à mettre en œuvre. Le télétravail en est l’exemple typique. Les entreprises qui ont mieux vécu la période de confinement et qui ont limité les pertes sont celles qui avaient déjà anticipé la digitalisation massive de l’économie. Elles avaient d’ores et déjà développé le télétravail ou, a minima, défini la manière de l’organiser en cas de nécessité.

 

Dès lors qu’un risque existe, si minime semble-t-il être, il est essentiel de réfléchir à ses conséquences et à la manière de limiter au maximum une interruption d’activité qui pourrait être fatale à votre entreprise. OTO Technology vous accompagne dans la mise en place de votre PRA et vous aide à mieux anticiper les événements via une solution entièrement sur-mesure.