Le blog Exodata

Comprendre la différence entre un PRA et PCA

Rédigé par Leslie d'Exodata | Jun 16, 2020 8:00:00 PM

Temps de lecture estimé : 16 minutes

Si ces acronymes sont généralement connus, leur signification exacte est parfois un peu confuse. Pourtant, ils désignent des plans réellement distincts qu'il est important de différencier. Alors que la cybercriminalité devient une menace importante pour les entreprises de toutes tailles, la question de la reprise et de la continuité de l'activité est cruciale.

Vu les multiples conséquences négatives d'une interruption d'activité pour toute société, il est important de définir quel type de plan correspond à vos besoins et de connaître les principaux critères de choix pour trouver un prestataire de confiance, qui répondra à vos enjeux de disponibilité.

01. Plusieurs plans de continuité avec des objectifs distincts
02. Le PCC, Plan de Communication de Crise, un plan global fondamental et méconnu
03. L'importance des plans pour la reprise ou la continuité des systèmes d'information
04. Les questions à se poser pour choisir le meilleur plan
05. Des pistes pour préciser vos attentes
06. Comment sélectionner un prestataire pour garantir la continuité de votre activité informatique

PRA : Plan de Reprise d'Activité

Le PRA est considéré comme un complément du PCA ou comme un palliatif en cas d'absence du PCA. Il se compose de processus à mettre en œuvre après la survenue d'un incident pour permettre à l'entreprise de reprendre son activité normale directement ou progressivement.

PRI & PCI, les pendants informatiques de ces plans

En plus de ces plans dédiés à la production, les DSI ont également des plans dédiés aux systèmes d'information :

  • PCI (Plan de Continuité Informatique) ;
  • PRI (Plan de Reprise Informatique).

Il existe aussi des indicateurs de temps spécifiques au domaine des systèmes d’information en cas d'incident :

  • RTO (Recovery Time Objective) : durée nécessaire pour pouvoir remettre la production en route ou plus précisément l'intervalle de temps maximum pouvant être supporté entre le moment de la notification du sinistre et la reprise de l'activité. Il peut exister des RTO différents selon les équipements concernés.
  • RPO (Recovery Point Objective) : période des données non récupérables, c'est-à-dire la quantité maximale de données que la société peut accepter de perdre ou la « fraîcheur » des données.

02. Le PCC, Plan de Communication de Crise, un plan global fondamental et méconnu

Il existe un plan parfois oublié et pourtant crucial : le PCC ayant trois fonctions principales :

  • décider quels sont les facteurs déclencheurs respectifs des différents plans ;
  • s'assurer que les collaborateurs et les éventuels sous-traitants sont informés des procédures à suivre en cas d'incident ;
  • gérer la communication de crise si nécessaire concernant les relations publiques et la presse.

Quand une société a établi un PCC, le risque de confusion entre les différents types de plans disparaît. Cela permet de confier chacun des plans aux responsables adéquats. Au contraire, une mauvaise définition des plans amène parfois à donner la mise en œuvre des plans relatifs à la production à la DSI alors que celle-ci va se concentrer sur la partie systèmes d'information.

03. L'importance des plans pour la reprise ou la continuité des systèmes d'information

Une interruption des systèmes d'information a plusieurs conséquences négatives :

  • perte de chiffre d'affaires ;
  • dégradation de l'image de marque ;
  • impact juridique si l'incident empêche la société de remplir des obligations contractuelles et/ou légales ;
  • éventuel ressenti négatif au niveau des collaborateurs, partenaires, fournisseurs et clients.

Le PCI est instauré pour garantir un accès aux applications vitales pour le fonctionnement d'une entreprise. Cela demande notamment d'installer des équipements de secours capables de prendre le relais si un des éléments clés subit un dysfonctionnement majeur, une panne, une attaque virale, etc. Selon l'architecture existante, il est alors nécessaire de prévoir un système de secours comprenant un réseau, des serveurs, des data centers, des systèmes de stockage des données, etc.

Une fois ce système redondant installé, il doit être mis à jour avec la même fréquence que le système principal. Ainsi, un éventuel passage d'un système à l'autre reste transparent pour les utilisateurs. Cependant, certaines entreprises n'ont parfois pas les moyens de mettre en œuvre un PCI et elles optent alors uniquement pour un PRI.

Le PRI vise à réduire au maximum les effets négatifs d'un incident sur l'activité d'une entreprise. Il couvre la gestion de crise en cas d'arrêt des systèmes d'information, quelle qu'en soit la cause. Afin de minimiser l'impact d'un sinistre, différents modes de redémarrage sont définis :

  • « à chaud » : redémarrage rapide des serveurs de secours se basant sur une copie (synchrone ou asynchrone) des données provenant du site principal. Le RTO et le RPO sont alors minimisés.
  • « à froid » : reprise d'activité avec activation du système de secours en utilisant les données provenant de la dernière sauvegarde. Le RTO est plus important (plusieurs heures voire jours) et le RPO varie généralement d'un à plusieurs jours.

04. Les questions à se poser pour choisir le meilleur plan

Avant de débuter votre démarche concernant la mise en place de mesures préventives pour la continuité et la reprise de l'activité des systèmes d'information, il est recommandé de se poser plusieurs questions :

  • Quel budget pouvez-vous consacrer au projet ? La réponse réside dans l'impact économique que pourrait avoir un arrêt de votre système d'information durant une heure.
  • Un arrêt total de votre système d'information pendant une heure est-il envisageable ou impensable ? Si une telle interruption est possible et que votre budget est restreint, vous pourriez vous orienter vers un plan de reprise seul. Si un tel arrêt est extrêmement préjudiciable, il serait préférable de vous diriger vers une planification à la fois de la continuité et de la reprise des activités des systèmes d'information.

05. Des pistes pour préciser vos attentes

Afin de mieux exprimer vos besoins et choisir le prestataire le plus adapté, plusieurs points sont à définir parmi lesquels :

  • quelle stratégie de repli et/ou de redondance est envisagée : dans le cloud, au sein de votre entreprise, dans les locaux où sont déjà vos serveurs, etc.
  • quelles sont les applications que vous jugez stratégiques ;
  • à qui souhaitez-vous confier la tâche de rédaction de procédures à implémenter suite à un incident : en interne, en externe, une équipe mixte ;
  • quelles clauses voulez-vous faire figurer dans le contrat de SLA (Service Level Agreement) entre votre prestataire et votre société ;
  • etc.

 

06. Comment sélectionner un prestataire pour garantir la continuité de votre activité informatique

Une fois vos besoins clarifiés, vous pouvez passer à la sélection de votre prestataire. Vu la diversité et la multiplicité des offres, vous pouvez vous aider de ces critères pour effectuer une première sélection :

  • s'assurer de la réputation du prestataire : n'hésitez pas à demander des références et… vérifiez-les ;
  • privilégier une structure locale : même si certaines opérations peuvent être réalisées à distance, quand un incident survient, rien ne vaut la proximité pour vous assurer une bonne réactivité ;
  • vérifier que vos besoins majeurs et les indicateurs que vous avez définis sont inclus dans le projet de contrat ;
  • rechercher de préférence une proposition incluant un accès illimité au service de support ;
  • demander un cadre juridique précis : le contrat doit être extrêmement détaillé afin de prévenir de possibles litiges ;
  • penser à vérifier que le prestataire est correctement assuré pour les risques professionnels.

On espère maintenant que vous y voyez plus clair. 

 

 
Voir l'article complet