PRA et PCA, une définition

Spread the love

Le “plan de reprise d’activité” (PRA) et le “plan de continuité d’activité” (PCA) sont deux notions proches et complémentaires.

PRA et PCA, une définition

Toute organisation doit anticiper des risques de sinistres sérieux, bloquant tout ou partie du système d’information (SI) : cyberattaques par rançongiciel (ou “ransomware” : les données, chiffrées par un logiciel pirate, deviennent illisibles), effacement volontaire ou accidentel de données, blocage des accès réseaux, ou encore épisodes accidentels ou catastrophiques (foudre, incendie, inondation, effondrement d’un immeuble, etc.) entraînant la destruction partielle ou totale d’unités informatiques (serveurs, disques durs, baies de stockage réseau, etc.).

Dans de telles circonstances, tout responsable informatique doit disposer de moyens permettant de redémarrer le système informatique dans des délais a priori prévisibles, les plus courts possibles, le plus souvent en rechargeant les données sauvegardées. Au préalable, il doit avoir institué un PRA (plan de reprise d’activité) ou, en anglais, DRP (disaster recovery plan).

En fonction des priorités stratégiques établies avec la direction générale, et des moyens alloués, le responsable du SI estime les délais de remise en route (ou RTO, recovery time objective) et la période acceptable durant laquelle les données pourront être perdues (RPO, recovery point objective).

publicité

PRA : récupérer l’accès au système

Un PRA, initié par le service informatique, regroupe donc toutes les mesures qui devront être appliquées, étape par étape, pour permettre aux utilisateurs du SI de retrouver l’accès aux données, aux applications, au réseau de l’entreprise et à internet.

Un PRA doit établir une liste de scénarios, allant d’un incident mineur à l’arrêt total de tout le système informatique. Il existe des référentiels de bonnes pratiques, qui permettent d’établir cette liste et de graduer les incidents possibles ; un ensemble d’actions sont recommandées portant sur toutes les mesures à prendre de façon séquentielle. L’une d’elle consiste à tester régulièrement le processus de récupération de données sauvegardées.

Une action préventive ne doit pas être oubliée : conserver à l’abri (coffre-fort ou autre), hors du site ou en sous-sol (sauf risque d’inondation par exemple) une liste, sur papier ou sur un système autonome non connecté, de toutes les mesures à prendre, ainsi que les codes qui seront indispensables pour relancer les serveurs et le réseau.

PCA : une dimension plus stratégique et préventive

Le plan de continuité d’activité (PCA ou, en anglais, Business continuity planning) présente un périmètre plus global (le PRA étant un sous-ensemble du PCA). Il vise à protéger l’ensemble des services de l’organisation et intervient, en principe, en amont pour prévenir les incidents et en diminuer l’impact et la gravité. Il peut s’agir, là encore, d’un événement gravissime pouvant paralyser le fonctionnement des services : la chaîne de production, la distribution, les ventes, etc.

Cela suppose un relevé des processus critiques pour l’organisation, et un recensement des risques pouvant conduire à une paralysie partielle ou totale de l’activité. Le PCA conduit également à une classification des actifs et des données les plus critiques pour l’entreprise. Comme le PRA, mais de façon plus large, on liste l’ensemble des procédures, moyens, équipements qui vont éviter que certains incidents s’enchaînent en cascade, donc limiter les dégâts et permettre de maintenir une partie de l’activité en mode dégradé ou non.

Le PCA inclut souvent un plan de communication de crise, qui comporte un volet interne (procédure à adopter par tous les collaborateurs) et un volet externe (communication aux administrations, aux médias).

Leave a Reply