Un plan de reprise après sinistre : mieux vaut prévenir que guérir

Toute organisation est vulnérable aux menaces. Tant de l’intérieur de l’organisation que de l’extérieur. Ces menaces existent à différents niveaux :

  • catastrophes naturelles
  • cyber-attaques
  • défaillance des serveurs
  • erreurs humaines

Pour garantir la reprise rapide et efficace de votre entreprise après une telle menace, un plan de continuité d’activité est nécessaire. Ce plan décrit les mesures à prendre (avant et après) pour qu’une organisation redevienne opérationnelle le plus rapidement possible.

Un plan de continuité d’activité se concentre sur tous les éléments d’une organisation, et un plan de reprise après sinistre en fait partie. Un plan de reprise après sinistre se concentre spécifiquement sur votre infrastructure et vos données.

A l’heure actuelle, de nombreuses entreprises, grandes et petites, dépendent de leur infrastructure ICT. Une menace pour (l’un de) ces systèmes peut avoir de grandes conséquences. Pensez simplement aux pertes que vous subissez :

  • si votre SAV n’est pas disponible pendant une demi-journée en raison d’une panne d’électricité ;
  • ou vous ne pouvez pas accéder à des données client importantes parce qu’un serveur ne fonctionne pas ;
  • vos employés ne peuvent pas travailler (ensemble) à cause d’une panne Internet ;
  • les mots de passe de votre entreprise sont piratés.

De tels ‘désastres’ causent d’importantes pertes et peuvent également nuire gravement à la réputation de votre organisation. Chaque organisation doit donc se préparer en élaborant un plan de reprise après sinistre. Ce plan vous permet non seulement d’être opérationnel plus rapidement après une menace, mais il vous oblige également à mieux réfléchir à l’avance aux menaces possibles et à vous armer contre elles.

Surtout pour les PME.

Un plan de reprise après sinistre ne s’adresse pas qu’aux grandes entreprises qui utilisent de nombreuses applications technologiques importantes. Ces applications sont désormais également très abordables pour les PME. Pensez à une double ligne Internet sur deux supports différents, une sauvegarde ou le travail en temps réel dans le Cloud, etc.

En tant que PME, il est donc préférable de se prémunir également contre les menaces extérieures en élaborant un plan de reprise après sinistre. L’élaboration d’un tel plan n’est pas nécessairement coûteuse. Il vous faut surtout du temps pour examiner de près votre PME. Les étapes suivantes vous aideront à élaborer un plan.

Identifiez vos menaces

Un plan de reprise après sinistre commence par l’identification des menaces possibles. Lorsque nous parlons d’infrastructure et de données, nous pouvons distinguer trois menaces principales :

  • perte de données ;
  • indisponibilité de systèmes et de fonctionnalités ;
  • dommages au matériel.

Ces trois menaces concernent toujours le logiciel ou le matériel de votre organisation. C’est pourquoi il est important d’avoir une vue d’ensemble complète de tous les logiciels et matériels de votre organisation.

Déterminez l’impact de chaque menace

Si vous avez une vue d’ensemble des différents types de logiciels et de matériel, vous pouvez ensuite les combiner avec vos processus d’entreprise. Quel logiciel et/ou matériel est utilisé dans quel processus d’entreprise ? Si vous le savez, vous pouvez analyser l’impact d’une menace sur les différents processus d’entreprise et savoir où se situent les pertes les plus importantes. Les menaces qui entraînent les plus grandes pertes sont bien entendu prioritaires. Pour déterminer l’impact, vous pouvez vous concentrer sur deux paramètres.

Recovery Time Objective (RTO)

Le RTO correspond au délai dans lequel il est souhaitable qu’un certain processus puisse reprendre, de sorte que les dommages causés à l’organisation restent limités. Si certains processus d’affaires ont un RTO de 3 heures, alors que d’autres ont un RTO de 2 jours, alors il est préférable de se concentrer sur le processus ayant le RTO de 3 heures. Avec cette première catégorie, vous devez vous assurer que le processus est à nouveau opérationnel dans les 3 heures.

Recovery Point Objective (RPO)

Le RPO est le temps qui peut s’écouler entre deux sauvegardes. Habituellement, une sauvegarde des données se fait le soir. Mais supposons qu’il y ait un dysfonctionnement juste avant le soir et qu’il n’y ait donc pas encore de sauvegarde de la veille. Trop de données seront-elles perdues dans ce cas ?

Dans l’affirmative, vous devez raccourcir la période de sauvegarde. Il est même possible de faire des sauvegardes en temps réel, de sorte que vous disposez toujours des données les plus récentes. En outre, dans la présente ‘analyse d’impact’, il convient de tenir compte des éléments suivants :

  • Quels systèmes/processus ‘souffriront’ également de la défaillance de ce système ?
  • Des mesures ont-elles déjà été prises ?
  • Quels sont les SLA pour ce système en particulier ?
  • Une protection suffisante est-elle déjà prévue pour le système?

Formulez des objectifs pour chaque menace

Une fois que vous avez déterminé l’impact qui peut survenir sur les différents processus et logiciels, vous pouvez commencer à établir des priorités. L’étape suivante consiste à fixer des objectifs concrets pour chaque composante : « Le temps d’arrêt du SAV est de 0,5 heure ». « Nos données clients doivent être disponibles à tout moment. Le système doit donc avoir un RPO très court ».

Qui fait quoi ?

Vous indiquez ensuite ces objectifs concrets dans un plan d’action clair :

  • Qui sont les points de contact en cas de ‘désastre’ ?
  • Qui est responsable de quel logiciel et de quel processus ?
  • Selon quelles règles ces personnes peuvent-elles opérer ?
  • Quelles mesures spécifiques doivent être prises pour restaurer le processus ou le logiciel le plus rapidement possible ?

Après l’élaboration d’un tel plan de reprise après sinistre, il est important de le tester et de l’ajuster régulièrement : les actions définies donnent-elles les bons RTO et RPO ? Si de nouveaux systèmes sont ajoutés à votre infrastructure, vous devez également les intégrer à votre plan de reprise après sinistre.

Bien que l’élaboration d’un tel plan ne doive pas nécessairement être très compliquée, nous constatons qu’il s’agit souvent d’une tâche qui n’est pas effectuée ou qui ne l’est pas assez en profondeur. Et cela peut avoir de graves conséquences. Vous pouvez également compter sur Nextel pour un audit complet de votre organisation. Nous examinerons ensemble les solutions Cloud qui existent déjà et discuterons de votre risque et des solutions Cloud que nous pouvons encore intégrer.

Optimiser la sécurité de votre entreprise?

Recent Posts
Contactez-nous

Vous souhaitez plus d'informations ? Vous avez une question ou un commentaire ?

Start typing and press Enter to search