Face au risque de sinistre dans l’entreprise, la protection du système d’information impliquant diverses solutions techniques n’est pas la seule planification devant être prise en compte. Que faire s’il s’agit d’une dégradation des données ? Comment réagir en cas de vol de données ? Chacun des employés connaît-il son rôle ? Quels gestes devraient être posés en premier en cas de sinistre ? L’ensemble des éventualités devraient être anticipées, et les directives devraient être décrites avec précision dans un plan de continuité des activités. Ce processus favorise habituellement un redémarrage plus efficace et rapide de l’activité, sans que personne n’ait cédé à la panique.
En cas de sinistre dans l’entreprise : quel laps de temps avant la reprise d’activité ?
Un sondage réalisé par Statista révèle dans quels laps de temps (à compter de 2016) les entreprises américaines sont parvenues à remettre leurs applications en ligne, redémarrer les activités, et retrouver le même niveau de service qu’avant que ne survienne une panne d’application critique :
- Moins de 15 minutes : 11% des entreprises
- 15 minutes à une heure : 35%
- De une à 5 heures : 34%
- De 5 à 10 heures : 9%
- De 10 à 24 heures : 5%
- De 24 à 48 heures : 3%
- Plus de 48 heures : 3%
Le temps de remise en route dépend d’une foule de facteurs, entre autres le degré de préparation de l’entreprise pour faire face à un sinistre, l’endommagement occasionné, la complexité de la structure du réseau, etc. Il peut parfois même être nécessaire de renouveler du matériel.
Quel plan de secours en cas de sinistre dans l’entreprise ?
En cas de sinistre dans l’entreprise la désorganisation est générale. Il est alors indispensable de se référer à un document de référence pour remettre le système d’information en route : le plan de reprise d’activité.
Un plan de reprise d’activité est un document qui regroupe toutes les démarches à entreprendre pour reconstruire et remettre en route un système informatique en cas de sinistre important du centre informatique. Cela peut aller jusqu’à la mise en place d’un site de repli pour assurer une partie des services.
Mais cela couvre généralement un champs plus large que la continuité du système d’information, comme des risques sanitaires (pandémie), une catastrophe naturelle, le repli des utilisateurs, un incendie, la cellule de crise lors d’une gestion de crise, une violation des données, etc.
Le PRA est généralement désigné sous le nom de plan de reprise d’activité. Cet important document de référence se construit habituellement trois étapes.
L’analyse préalable de l’impact et du risque
Les menaces qui peuvent éventuellement peser sur le système informatique de l’entreprise sont identifiées et analysées. Il peut s’agir de pannes physiques, de défaillances de logiciels, d’attaques malveillantes et d’intrusions, ou encore d’erreurs humaines. La probabilité de chaque menace est estimée.
La conception d’un plan de secours
Les mesures préventives et curatives, à la hauteur de l’intensité des menaces, sont ensuite mises en place. Alors que certaines s’appuient sur des outils, d’autres font davantage appel au comportement des membres des équipes.
Les mesures préventives abordent
- Le plan de sauvegarde des données
- Les outils de protection de sécurité (comme antivirus, antispam, firewall, etc.)
- Les mesures de sécurité physique concernant les locaux et le personnel
- Le facteur humain, notamment les protocoles de travail et les responsabilités en ce qui a trait à la diffusion des informations.
Quant aux mesures curatives, elles sont mises en œuvre en cas de sinistre dans l’entreprise. Elles concernent la restauration et sauvegarde des données, le redémarrage des applications (fournisseurs de services), de même que le redémarrage des machines (serveurs, data centers).
Les professionnels de l’informatiques comme Advancia IT System peuvent vous aider à mettre en place un tel plan.
Ce qu’il faut pour maintenir un plan de secours
Ce document doit être actualisé en continu afin de demeurer constamment en phase avec l’évolution de l’entreprise. Qu’il s’agisse de la mise en œuvre de nouveaux services ou d’une nouvelle infrastructure, d’un recrutement récemment complété, ou d’une croissance externe, il y a toujours matière à cogiter un PCA.
Ces efforts permettent de s’assurer que le tout soit réalisable et surtout que le laps de temps nécessaire au redémarrage et à la reprise des activités tente vers le plus possible vers le « zéro défaut » ou le moins de minutes.
A lire dans notre dossier PRA :