PRA et PCA: deux solutions différentes pour gérer les incidents majeurs
Article écrit par
Leslie d'ExodataTemps de lecture estimé : 17 minutes
Aujourd'hui, très peu sont les sociétés qui peuvent se passer de leur SI que dans certains cas, leur incapacité à faire face à un incident peut leur être fatale. Suite à une étude d'Eagle Rock, cabinet de conseil américain, près de 40 % des sociétés ayant enduré un arrêt de 72 h de leurs télécoms et SI ne survivent pas à une catastrophe. Voilà pourquoi de plus en plus d'entreprises de toutes tailles décident de mettre en place un plan de reprise ou de continuité d'activité.
En quoi ces plans de secours consistent-ils réellement et pourquoi les mettre en place ? À quoi servent-ils et en quoi sont-ils différents ? Deux questions auxquelles nous répondons dans cet article.
01. PRA et PCA : deux solutions différentes pour bien gérer les incidents majeurs
02. Pourquoi insister sur leur mise en place ?
03. Comment mettre en place un PRA ou un PCA ?
04. Quels sont les critères pour choisir un bon prestataire ?
01. PRA et PCA : deux solutions différentes pour bien gérer les incidents majeurs
Au fil des années, la signification de ces termes a quelque peu évolué. Historiquement, si le PCA permettait d'analyser l'impact d'une défaillance ou d'un incident sur le métier de l'entreprise, ainsi que de déterminer les procédures et moyens à mettre en œuvre afin d'en réduire les conséquences, l'autre plan quant à lui s'intéressait aux aspects informatiques de celui-ci.
Pour les informaticiens, la terminologie a également subi une modification : de plus en plus de plans de continuation décrivent l'ensemble des moyens destinés à garantir la continuation d'activité des applications. En d'autres termes, à assurer la haute disponibilité de ces dernières, impliquant donc l'impossibilité d'un arrêt de ces applications même en cas d'incident.
Le plan de reprise d'activité décrit en revanche l'ensemble des procédures et moyens destiné à garantir une continuation ordonnée et rapide de la production suite à un arrêt imprévu (incident naturel, défaillance technique…). La différence entre ces deux approches tend donc à se limiter à une différence en termes des applications et de temps d'indisponibilité de l'infrastructure en cas de sinistre.
Le PCA : pour garantir la disponibilité des applications
Dans le cadre d'un plan de continuité, la société tend à déterminer les moyens, les architectures et les procédures indispensables afin de garantir une haute disponibilité des infrastructures (serveurs Cloud ou On-Premise, réseau,…) et des applications. L'objectif est de garantir que, peu importe la circonstance, les infrastructures mises en œuvre assurent un service continu aux utilisateurs.
Il est alors rédigé en tenant en considération tous facteurs susceptibles d'engendrer un incident majeur sur l'infrastructure du SI : inondation, panne matérielle ou logicielle, perte de donnée, souci de backup, cyberattaques, erreur humaine…
En général, la mise en œuvre du plan nécessite la mise en place d'équipements de redondances entre de nombreux data centers et fonctionnant de manière conjointe de sorte qu'en cas de défaillance sur le site primaire, le relais est automatiquement pris par le site secondaire.
Une telle architecture exige une surveillance et une mise à jour permanentes des données sur le réseau principal et secondaire, ainsi qu'une mise en place d'un dispositif assurant la cohérence des données sur les baies de stockage. Une réplication automatique doit aussi être réalisée entre les réseaux, et ce, de manière transparente.
Le PRA : pour garantir le redémarrage ordonné des applications
Si le PCA, qui garantit la disponibilité permanente de l'infrastructure est de fait plutôt onéreux, le PRA représente une bonne alternative pour les entreprises qui disposent de moyens financiers plus limités, et surtout pour lesquelles un arrêt limité du système d'information n'a pas une incidence dramatique. Le plan de reprise d'activité regroupe les procédures (organisationnelles, techniques…) qui permettent d'anticiper, de reconstruire et remettre en route le SI dans un délai acceptable. Le redémarrage sûr et rapide se déroule généralement sur un site de secours la plupart du temps proposé par un prestataire. Il est établi pour la bonne gestion d'un risque, tandis que le plan de continuité est mis en place afin d'éviter l'arrêt de l'activité.
Il détermine également les procédures, les moyens et les architectures indispensables à mettre en œuvre afin de garantir la protection des applications couvertes. L'objectif étant de réduire l'impact d'un incident sur l'activité de la société. En cas d'indisponibilité du système, ce plan fournit un ensemble de processus qui permettent de récupérer rapidement le système.
Des réponses à court et à long terme
L'objectif du PCA est de fournir des procédures indispensables pour le maintien des activités essentielles après un incident majeur. Vous devez donc comprendre que son objectif est de répondre à un risque avec impact à court terme. Le Service d'information doit alors réagir en mettant en place un PCI. Ce dernier consiste à placer des procédures et une architecture qui permettent de garantir la reconstruction d'une partie ou la totalité d'un système en cas de destruction ou de crash critique. Le PCI est essentiel pour ce qui est de la disponibilité du système.
Le PRA fournit une solution afin de garantir un redémarrage rapide et logique des activités. Cela dit, il répond à un risque majeur, avec impact à long terme. Un PRI doit donc être appliqué en réponse à ce type de plan. Si jamais les infrastructures subissent des bouleversements majeurs, le redémarrage s'effectue sur un autre site prévu à cet effet. Constituant une brique fondamentale du plan, le PRI permet de définir le processus de restauration de votre sauvegarde, ainsi que de mise en production de toutes vos données après un incident
Les indicateurs de temps
Deux notions importantes pour évaluer et dimensionner votre PRA ou votre PCA :
- Le RTO (Recovery Time Objective), qui représente la durée d'interruption admissible maximale des Services après un incident.
- Le RPO (Recovery Point Objective), qui désigne le temps d'enregistrement des données maximales qu'il est acceptable de perdre au cours d'une panne.
02. Pourquoi insister sur leur mise en place ?
Toute interruption d'activité peut avoir de nombreux impacts sur une entreprise : financiers, juridiques (dans le cas où vous ne respectez pas vos obligations contractuelles) et négatifs (sur la réputation de votre société).
Tous ces problèmes peuvent aussi provoquer des réactions internes et réduire considérablement la satisfaction des salariés et celles des collaborateurs.
03. Comment mettre en place un PRA ou un PCA ?
Leur mise en place exige en amont une surveillance et une organisation qui détermine les seuils critiques à ne pas dépasser en cas de panne ou de sinistre.
Rédiger des cahiers de charges bien détaillés permet donc au prestataire de mieux appréhender les nombreux enjeux typiques à votre métier. L'identification des ressources critiques essentielles au bon fonctionnement de la société aide le prestataire à déterminer la priorité de ses tâches.
Lorsque vos besoins sont enfin définis, vous décidez alors où le plan sera mis en place : sur un data center externe ou bien sur un de vos sites. Une fois la planification de la gestion de crise et de gouvernance établie, elle est ensuite testée par le prestataire, en étroite collaboration avec vous.
04. Quels sont les critères pour choisir un bon prestataire ?
- Se poser des questions pour mieux comprendre tout ce qui sera couvert par votre budget
- Définir tous ses objectifs afin de gérer de manière correcte son parc informatique
- Faire appel à un prestataire apte à fournir des références, des études de cas tangibles et des mesures préventives
- Étudier le contrat afin de s'assurer de la solidité du sous-traitant informatique
- Rationaliser les ressources d'information afin de mieux appréhender la sous-traitance
- Déterminer le périmètre d'externalisation du SI désiré.
Vous vous posez des questions sur la sécurité de votre S.I. ? Vous prévoyez de déployer un SOC pour votre entreprise ? Pensez à consulter notre page dédiée ou à télécharger notre livre blanc : "Le SOC, nécessaire, utile ou sans intérêt ?"
Articles à la une
Ces articles pourraient vous intéresser
20/04/2021
[Replay] SOC (Security Operation Center), Tour de contrôle de votre SI
Découvrir
10/02/2019
SECaaS (sécurité en tant que service) la solution à la sérénité ?
Découvrir