En termes de technologies de l’information, une catastrophe est un événement qui perturbe le réseau, met les données en danger ou entraîne un ralentissement ou un arrêt des opérations effectuées en temps normal Un plan de reprise d’activité (PRA) est créé pour faire face aux risques et aux possibilités de ces types d’événements et minimiser les dommages qu’ils causent.
Les incidents fréquemment inclus dans un PRA
Activités malveillantes/cyberattaques
Les acteurs malveillants, les logiciels malveillants, les virus et les menaces internes peuvent facilement provoquer des temps d’arrêt coûteux et des pertes de données. Les cyberattaques devenant de plus en plus fréquentes d’un mois à l’autre, les PRA ont tendance à accorder une grande attention à ce type de risque.
Coupures de courant
Les opérations doivent pouvoir se poursuivre malgré les coupures de courant, surtout si elles sont prolongées et chaotiques, comme c’est le cas à la suite de nombreux types de catastrophes naturelles.
Défaillances de l’équipement
Bien que l’équipe informatique travaille durement afin que tout fonctionne, il est important de mettre en place des plans de reprise d’activité en cas de problème.
États d’urgence
Avant 2021, de nombreuses organisations n’avaient rien prévu au sein de leur plan d’urgence pour faire face à une pandémie mondiale, ce qui montre bien qu’il est judicieux de prévoir d’autres scénarios, et pas seulement les plus évidents.
En fait, votre plan de reprise d’activité après incident doit être assez complet et ne doit pas se limiter à des scénarios que vous jugez très probables.
Dans cet article, nous allons examiner ce point et d’autres faits importants concernant la planification de la reprise d’activité après incident.
Les points abordés dans cet article :
- Qu’est-ce qu’un plan de reprise d’activité après incident ?
- Quatre types de reprise d’activité après incident informatique
- Les éléments clés d’un PRA
- Étapes de la création d’un plan de reprise d’activité
Qu’est-ce qu’un plan de reprise d’activité après incident ?
Un plan de reprise d’activité (PRA) est un document formel qu’une organisation crée pour codifier les politiques et procédures en réponse à un incident. Il se concentre sur les secteurs pertinents pour l’informatique, comme le maintien en ligne du réseau et des systèmes de téléphonie VoIP ou la protection des données sensibles par des politiques de sauvegarde. Le PRA est une composante du plan de continuité des activités (PCA) de l’organisation. Il doit également être testé et mis à jour régulièrement afin de garantir que l’équipe informatique puisse mener à bien ses efforts de reprise d’activité, quel que soit le type de catastrophe.
Les PRA sont considérés comme essentiels car ils minimisent l’exposition aux risques, réduisent les perturbations et assurent la stabilité économique. Un plan bien conçu et solide peut également réduire les coûts d’assurance et la responsabilité potentielle, et garantir que votre organisation se conforme aux exigences réglementaires. Les économies potentielles peuvent être choquantes une fois que l’on a déterminé le risque financier auquel on est réellement confronté sans plan de reprise d’activité après incident.
Pour déterminer combien une catastrophe peut coûter à votre organisation, il suffit de considérer le coût de l’interruption du système et de la perte de données. Combien de ventes seraient perdues si le site web ou le système téléphonique étaient en panne pendant plusieurs jours ? Combien d’heures seraient perdues si l’équivalent d’une semaine de documents était accidentellement supprimé ? Pour toute entreprise de plus de quelques personnes, ces chiffres peuvent croître de façon exponentielle très rapidement.
Quatre types de reprise d’activité après incident
Le partage de fichiers est un excellent outil de productivité, mais ce que nous voulons vraiment savoir, c’est la sécurité et la sûreté. C’est le domaine de la sauvegarde des données et de la récupération des fichiers.
1) Reprise d’activité des centres de données
Ce type de reprise d’activité après incident prend en compte l’ensemble du bâtiment dans lequel le système informatique est hébergé : le centre de données. Il comprend toutes les caractéristiques et tous les outils du bâtiment, tels que la sécurité physique, le personnel de maintenance, l’alimentation de secours, le système de chauffage, de ventilation et de climatisation, les services publics et l’extinction des incendies qui doivent être fiables et en état de marche. Il peut également inclure des redondances qui permettent à ces systèmes de fonctionner en cas de pannes isolées. La planification de ce type de PRA peut s’avérer très coûteuse, car elle implique de nombreux coûts physiques et de maintenance du site.
2) Reprise d’activité basée sur le cloud
Cela permet de transférer toute la charge de l’installation et de la maintenance du site au fournisseur du cloud, en utilisant son centre de données par le biais d’un accord ou d’un contrat de licence. Si cette solution réduit considérablement la complexité et les coûts pour l’utilisateur final, elle est plus limitée que si vous possédiez un centre de données. Dans la majorité des cas, les économies réalisées sur les coûts de sauvegarde et de restauration via le cloud dépassent de loin les libertés sacrifiées en ne disposant pas de son propre centre de données.
3) Reprise d’activité de la virtualisation
La virtualisation est extrêmement populaire, surtout à une époque où les machines virtuelles sont plus courantes en raison des changements dans le monde du travail. Cette approche élimine la nécessité de reconstruire un serveur physique en cas d’incident. Il est donc beaucoup plus facile d’atteindre les objectifs de temps de reprise (RTO) ou de DIMA souhaités en plaçant un serveur virtuel en réserve de capacité ou sur le cloud.
4) La reprise d’activité en tant que service
La reprise d’activité après incident en tant que service (DRaaS) est un moyen externalisé de garantir la reprise après un incident informatique en utilisant une variété d’approches différentes. Le DRaaS peut être fourni via le cloud ou en tant que service de site à site. Les fournisseurs peuvent reconstruire et expédier des serveurs sur le site d’un client dans le cadre d’un service de remplacement de serveurs, ou ils peuvent utiliser le cloud pour faire basculer des applications, orchestrer le retour à la normale sur des serveurs reconstruits et reconnecter les utilisateurs par le biais d’un VPN ou du RDP.
Éléments clés d’un plan de reprise d’activité après incident
Voici quelques éléments importants à inclure dans la planification de la reprise d’activité.
-
Évaluation de l’impact sur les entreprises
Une évaluation de l’impact sur les activités (BIA) doit être réalisée avant la création du PRA. Cette évaluation complète permet d’évaluer les systèmes critiques d’une entreprise et de déterminer les priorités en matière de restauration de ces systèmes.
-
Recovery Point Objective (RTO) et Recovery Time Objective (RTO)
Un RPO détermine la quantité acceptable de données qu’une entreprise peut risquer de perdre et est utilisé pour définir les fréquences de sauvegarde. Le RTO implique le calcul et la fixation d’objectifs concernant le temps nécessaire à la restauration d’un système après un incident majeur. En savoir plus sur la différence entre RPO et RTO
-
Lieu de stockage hors site
Les serveurs de sauvegarde, le matériel et les autres éléments nécessaires au processus de reprise d’activité après incident doivent être stockés dans un lieu éloigné du bureau principal. La distance ou le nombre de lieux dépendront des scénarios de catastrophe auxquels vous vous préparez. Par exemple, si le site principal se trouve dans une zone sujette aux inondations, il se peut que l’emplacement hors site doive se trouver à des centaines de kilomètres.
Lisez notre Guide des Solutions de Sauvegarde pour en savoir plus sur l’utilisation des solutions de sauvegarde et de récupération des données sur le cloud pour répondre à ce besoin.
-
Plan de communication
Un PRA doit permettre une communications rapide et facile entre tous les employés et les prestataires de services nécessaires au processus de rétablissement. Il doit également établir et définir les rôles et les responsabilités de chacun lors d’une catastrophe.
-
Des instructions claires et directes
Les meilleurs PRA sont décomposés en check-lists de sorte que les utilisateurs n’ont pas besoin de lire des centaines de pages pour faire face à un danger immédiat.
Neuf étapes pour créer un plan de reprise d’activité après incident
Chaque entreprise a besoin d’un plan de reprise d’activité après incident qui soit correspondent à ses besoins en matière de données. Pour définir la meilleure approche pour votre entreprise, vous devez évaluer la valeur de vos données, systèmes et applications par rapport au risque que votre entreprise peut se permettre d’assumer. Lorsque vous créez un plan de reprise d’activité après incident, veillez à inclure les étapes suivantes :
1) Obtenez l’engagement de toute l’entreprise
Tous les membres de l’organisation doivent connaître le plan de reprise d’activité et être en mesure de le soutenir et de l’exécuter. Une planification adéquate commence au sommet, car les dirigeants doivent eux-mêmes soutenir et participer à l’élaboration du processus de planification de la reprise d’activité après incident en veillant à ce que des ressources adéquates soient affectées à cette tâche.
2) Établissez un comité de planification
Un groupe de parties prenantes doit être organisé pour superviser l’élaboration et la mise en place du plan de reprise après incident. Le comité de planification doit comprendre des représentants de tous les secteurs fonctionnels de l’organisation, ainsi que des membres clés de secteurs pertinents comme l’informatique et la gestion des opérations.
3) Effectuez une analyse des risques et une analyse de l’impact sur les affaires
Le comité de PRA devrait préparer une analyse des risques et une analyse de l’impact sur l’entreprise afin de définir les bases de sa planification. Ces évaluations doivent porter sur une série de catastrophes, y compris les menaces naturelles, techniques et humaines. Chaque secteur de l’organisation doit être analysé pour déterminer la menace potentielle et l’impact des scénarios de catastrophe probables.
Le problème que pose cette fonctionnalité est que les attaques courantes de ransomware et de cryptage renomment et cryptent généralement les fichiers sur les disques de la victime. Ceci est fait intentionnellement pour contourner l’historique des versions et la corbeille afin qu’il ne soit pas facile de récupérer les fichiers.
4) Définissez la priorité des opérations
Les besoins critiques de chaque département doivent être évalués dans des domaines tels que le personnel, les données/documentation, les politiques, le service et les systèmes de traitement.
Il est important de déterminer la durée maximale pendant laquelle un département peut fonctionner sans chacun des systèmes essentiels. Le comité de planification doit également déterminer les besoins critiques de chaque département afin de mieux prioriser le rétablissement et l’allocation des ressources d’urgence. Toutes les opérations doivent être classées comme essentielles, importantes ou non essentielles en fonction de leur priorité.
5) Codifiez les stratégies de récupération
Il convient de rechercher et d’évaluer des solutions pratiques pour remplacer les ressources informatiques perdues ou en panne en cas de catastrophe. Il est important de prendre en compte tous les aspects normaux de l’opération lors du choix de ces basculements ou redondances.
Cette partie du plan comprendra généralement des informations détaillées sur l’achat et la maintenance des outils et des ressources qui seront utilisés en cas d’urgence, c’est-à-dire les solutions de sauvegarde et de récupération des données, ainsi que sur la main-d’œuvre et les autres considérations nécessaires pour qu’ils soient prêts à être utilisés.
6) Effectuez la collecte des données
Les données importantes doivent être collectées et stockées. La collecte de données recommandée doit inclure :
Documentation sur la sauvegarde et la récupération
- Numéros de téléphone essentiels
- Inventaire du matériel de communication
- Documentation interne
- Historique sur la gestion des actifs
- Polices d’assurance
- Inventaire du matériel réseau
- Liste principale des contacts des fournisseurs
- Check-list des notifications
- Inventaire des lieux de stockage hors site
7) Organisez et documentez un plan écrit
Le plan doit comprendre toutes les procédures détaillées à utiliser avant, pendant et après une catastrophe. Cela inclut une politique de maintien et de mise à jour du plan pour refléter tout changement significatif au sein de l’organisation, ainsi qu’un processus de révision régulier.
Pour faciliter le déploiement, les PRA sont généralement structurés en équipes et leurs responsabilités sont réparties. L’équipe de gestion est particulièrement importante car elle coordonne le processus de récupération.
Il devrait y avoir des équipes responsables des principales fonctions, notamment :
- Fonctions administratives
- Équipements et opérations
- Chaîne d’approvisionnement et logistique
- Assistance aux utilisateurs/Service client
- Sauvegarde des ordinateurs et des TI
- Rétablissement des services
8) Testez le plan
Tous les plans d’urgence doivent être testés et évalués régulièrement. Les procédures pour passer ces tests doivent être rigoureusement documentées. Sans tests, il est impossible de savoir si toutes les facettes d’un scénario d’urgence ont été prises en compte par le PRA avant qu’il ne soit trop tard.
Un test initial fournira un retour d’information concernant les étapes supplémentaires à inclure, les modifications des procédures qui ne sont pas efficaces, et d’autres ajustements pour améliorer l’efficacité. Ces tests peuvent prendre la forme de check-lists, de simulations ou de véritables pannes forcées. Bien entendu, il est préférable d’effectuer ces tests en dehors des heures de travail afin de minimiser les perturbations pour l’entreprise.
9) Approbation et mise en place
Une fois le plan de reprise d’activité après incident rédigé et testé en profondeur, il doit être approuvé par la direction.
La direction est responsable de :
- Établir les politiques, les procédures et les responsabilités en matière de planification des catastrophes ainsi que la formation du comité
- Examiner et approuver le plan d’urgence annuellement, et conserver la documentation des examens et des tests pour des raisons de responsabilité et de conformité
- S’assurer que le PRA est compatible avec les vendeurs ou les fournisseurs de services
Conclusion
La création d’un plan de reprise d’activité après incident est essentielle pour assurer la survie de toute organisation qui dépend de la technologie. Une planification réussie implique de trouver des solutions de reprise d’activité après incident qui répondent à vos besoins informatiques particuliers et qui sont pratiques à gérer et à tester.
De nombreuses PME choisissent de travailler avec des fournisseurs de services gérés (MSP) pour compenser la charge que représente une expertise spécifique, tandis que d’autres se tournent directement vers des outils tels que NinjaOne, qui leur permettent de tirer parti d’une technologie spécialement conçue pour simplifier la reprise d’activité informatique après un incident. Ces outils rendent extrêmement faciles des étapes telles que la mise en place de sauvegardes, les tests de basculement et le redémarrage de nouveaux systèmes après un incident majeur.
Que votre entreprise souhaite conserver l’administration informatique en interne ou l’externaliser, NinjaOne vous permet de garantir la continuité des activités grâce à un basculement rapide des activités essentielles vers nos centres de données distants et sécurisés. En cas de catastrophe, vous pouvez compter sur une disponibilité instantanée des données et des systèmes, grâce à une infrastructure basée sur le cloud suffisamment fiable pour avoir la confiance de milliers d’utilisateurs et de fournisseurs informatiques de NinjaOne.
Quelle que soit l’incertitude que vous puissiez rencontrer, NinjaOne sera un élément précieux de votre planification des catastrophes. Si vous êtes prêt à voir les avantages par vous-même, nous vous invitons à profiter d’un essai gratuit dès maintenant.