| Plan de Continuité d’Activité
PCA et PRA : les piliers de votre continuité d'activité
Les plans de continuité d’Activité (PCA) ou de reprise d’activité (PRA) sont des composantes essentielles de la stratégie d’une entreprise afin qu’elle puisse rester fonctionnelle en cas d’incident impactant son action. Le Plan de Continuité d’Activité vise à maintenir les fonctions essentielles en mode dégradé malgré les perturbations, et ainsi éviter toute interruption. Le Plan de Reprise d’Activité (PRA) quant à lui découle du PCA et se concentre sur une restauration optimisée des systèmes et des opérations après une interruption.
Résilience et gestion des risques : l'importance capitale des PCA et PRA
Ces plans servent à assurer la capacité de résilience d’une entreprise, c’est-à-dire sa préparation et sa capacité à réagir face à un imprévu afin de minimiser les coûts financiers, opérationnels, réputationnels ou juridiques engendrés par une perturbation ou une perte d’activité.
La première étape permettant d’aboutir à la rédaction d’un PCA et d’un PRA consiste à définir l’ensemble des applications et ressources critiques des différentes actions essentielles de l’entreprise, et d’en évaluer l’impact que pourrait causer une perte de disponibilité de ces dernières, ou un déficit de données associées. Ce processus s’appelle le Business Impact Analysis (BIA).
La diminution de disponibilité permettra de préciser les objectifs de reprise d’activité ou objectif de restauration (RTO). La perte de données détermine quant à elle l’objectif de fraîcheur (RPO), c’est-à-dire à quelle fréquence la donnée doit être sauvegardée pour pouvoir être réutilisée en cas de pertes.
Ces ambitions devront être définis avec la partie métier, puis arbitrés et validés par la partie DSI/RSSI.
Les RTO et RPO permettront de déterminer l’ensemble des mesures organisationnelles et informatiques nécessaires pour assurer la continuité et/ou une reprise optimale de l’activité en cas de perte des applications critiques associées, sur la base de scénarios de reprise.
Structure et composantes des plans : l'organisation au service de la continuité
Le PCA est constitué de 2 parties :
Une partie organisationnelle : Elle détermine la stratégie de gouvernance et l’ensemble des mesures organisationnelles à mettre en place pour assurer la continuité de l’activité. On y retrouve le télétravail, une adaptation spécifique dans l’organisation du travail des équipes métiers, l’organisation de gestion de crise, ….
Une partie technique : Appelé PCI (plan de continuité informatique), il constitue l’ensemble des mesures informatiques de secours à mettre œuvre.
Le PRA se base sur des scénarios de reprise et est aussi composé de 2 parties :
La partie organisationnelle : Elle définit l’organisation à adopter et les rôles responsables d’une reprise optimale de l’activité.
La partie informatique : Appelé PRI (plan de reprise informatique), il détermine l’ensemble des mesures informatiques à mettre en oeuvre afin de restaurer les applications et ressources associées dans le but de reprendre l’activité selon les objectifs de reprise définis. Une revue de contrat et l’intégration de clauses spécifiques est nécessaire lorsqu’il s’agit d’une action ou des ressources externalisées.
Créer un PCA et un PRA permet de spécifier les moyens techniques et organisationnels pour garantir la continuité et la reprise de l’activité. Cependant, on ne peut maintenir leur bon fonctionnement qu’en les testant. Il est impératif de mettre en œuvre des tests de restauration annuels (test de sauvegarde, reconstruction d’infrastructure, exercice de gestion de crise; test de bascule) pour s’assurer du bon fonctionnement des mesures mises en œuvre.
Maintenir la continuité de son activité n’est pas qu’une question de protection. Cet aspect devient un incontournable sur le marché des fournisseurs. Une garantie de service est de plus en plus exigée par les clients. Elle devient aussi une obligation légale dans le cadre de certaines normes ou réglementation tels que NIS 2 et DORA.
N’hésitez pas à nous contacter, si vous souhaitez réaliser votre PCA.
Practice CERT et GRC
