Penser en quoi pourrait consister la catastrophe
La première étape de conception d’un PRA consiste à se pencher sur des scénarii de catastrophes. Personne ne souhaite qu’elles se produisent, mais il arrive néanmoins que des sinistres surviennent. Un PRA permet de se préparer à y faire face. Il s’agit de parvenir à imaginer l’inimaginable pour prévoir un plan pour ces moments-là.
Ces imprévus sont souvent déclenchés à la suite d’incidents mineurs: comme une surchauffe d’un système, une panne de courant électrique. Autant d’imprévus qui sont décortiqués afin de détecter leur incidence en amont et savoir comment agir en s’appuyant sur des mesures élaborées dans le PRA.
Plan de Reprise d’Activité : prévoir qui fait quoi
La gouvernance du risque constitue un élément capital dans la mise en place d’un plan de reprise d’activité. En définissant à l’avance la responsabilité de chaque collaborateur, cela permet de gagner du temps. En plus, de connaître exactement quelles sont les infrastructures prioritaires à réactiver. Un PRA, c’est prévoir quoi faire côté technique et côté humain, en clarifiant les procédures et l’ensemble des facteurs devant être pris en considération.
Plan de Reprise d’Activité : définir des priorités
Le degré de criticité des données techniques et métiers permet de considérer quelles sont les infrastructures et éléments de l’entreprise dont l’indisponibilité ne peut être autorisée. Le mode dégradé peut convenir à certaines composantes de l’entreprise. Toutefois cela devrait être désigné au moment de la conception du plan.
Ces réflexions feront découler des choix d’équipement de sauvegarde, en plus de déterminer le budget à y consacrer. Par exemple, si le laps de temps acceptable d’une indisponibilité est fixé à moins d’une minute, alors il importe de rechercher une infrastructure d’environnements synchrones et de sélectionner du matériel adapté en fonction de cette exigence de reprise d’activité.
Tester le Plan de Reprise d’Activité
Ce dispositif n’est pas fait pour accumuler de la poussière, mais devrait plutôt faire régulièrement l’objet de tests, afin de détecter les failles, s’adapter à l’évolution de l’entreprise et évaluer sa fiabilité.
Même si cette étape implique des coûts, ces sommes s’avèrent négligeables à comparer des pertes encourues en cas de sinistre. Les experts recommandent de mettre en œuvre deux tests par année.
Prendre en compte les contraintes règlementaires
De plus en plus d’institutions de secteurs (comme les banques, les assurances et les secteurs financiers) exigent un plan de reprise d’activité. Ces interlocuteurs désirent s’assurer que leur clientèle ont mis en place les précautions appropriées en cas de catastrophe.
La présence d’un PRA s’impose en tant qu’exigence contenue dans plusieurs règlementations. Les acteurs sont contraints de fournir un plan de continuité d’activité et un plan de reprise d’activité pour assurer le fonctionnement optimal de leurs systèmes d’information en cas de sinistre.
Susciter le retour d’expérience
Les incidents de défaillance du système d’information au quotidien sont généralement très peu documentés. Pourtant, des carences dans le partage de la connaissance concernant les infrastructures impactent directement sur les performances des équipes en cas de réel sinistre.
En encourageant le retour d’expérience, il se crée au sein de l’entreprise une culture propice à la continuité d’activité. Il importe de se départir de la mentalité que les échecs relèvent du tabou. Car cela évite de les considérer comme des sources d’enseignements.
A lire dans notre dossier PRA :
