Académique Documents
Professionnel Documents
Culture Documents
1. Introduction
Un Plan de Reprise d'Activité (PRA) est un ensemble de procédures (techniques,
organisationnelles, sécurité) qui permet à une entreprise de prévoir par anticipation, les
mécanismes pour reconstruire et remettre en route un système d'information en cas de sinistre
important ou d'incident critique.
En cas de sinistre, Le PRA permet de reconstruire les serveurs en leur affectant les données
répliquées et ainsi de redémarrer les applications sous quelques minutes ou quelques heures,
suivant les solutions retenues. Il existe plusieurs niveaux de capacité de reprise, et le choix
doit dépendre des besoins exprimés par l'entreprise.
Les entreprises actuelles dépendant de plus en plus de leur informatique, elles ne peuvent
donc plus se permettre de ne pas avoir une solution face à un incident informatique, qui
pourrait leur être fatal ou entraîner une paralysie de l’activité professionnelle. Le Plan de
Reprise d’Activité a alors un rôle majeur pour assurer le redémarrage structuré des Systèmes
d’Information. Ce plan peut être détenu par l’entreprise ou confié à un prestataire.
Le PRA est comme une assurance, tant qu'il n'y a pas d’accident, on ne voit pas l’intérêt.
Aujourd’hui, la simple sauvegarde ne suffit plus. Voici quelques chiffres clés pour
comprendre la mise en place du plan :
76 % des entreprises déclarent la perte de données informatiques sur les deux dernières
années.
82 % des PME non préparées à un sinistre ne survivent pas à un important crash informatique.
Le plan de reprise d’activité (PRA) est à distinguer du plan de continuité d'activité (PCA) : ce
dernier a pour objectif de poursuivre l'activité sans interruption du service et d’assurer la
disponibilité des informations quels que soient les problèmes rencontrés. Le PRA en est un
sous-ensemble, qui décrit hiérarchiquement l’ensemble des mesures qui doivent être mise en
place lors de la survenue d'un sinistre ou d’un incident majeur ayant entraîné une interruption
de l'activité. Le PRA définit les architectures, les moyens et les procédures nécessaires à
mettre en œuvre pour assurer la protection des applications qu’il couvre
1
WADOUFEY
Introduction à la Maintenance 1
Un système de reprise peut être extrêmement coûteux à mettre en place et à maintenir au sein
de l’organisation. Il est donc essentiel de définir convenablement les attentes du système de
reprise. Les besoins de l’organisation sont mesurés à l’aide de deux concepts :
Durée maximale d'interruption admissible (Recovery Time Objective : RTO3) :
C’est le délai de rétablissement d’un processus, à la suite d'un incident majeur, pour
éviter des conséquences importantes associées à une rupture de la continuité d'activité.
Il définit le temps alloué pour faire le basculement vers le nouveau système.
Perte de données maximale admissibles (Recovery Point Objective : RPO) : Le
RPO commence à s’exprimer à l'instant où l’incident majeur arrive et peut être
exprimé en secondes, minutes, heures ou jours. Il s’agit donc de la quantité maximale
acceptable de perte de données. C'est la durée des fichiers ou des données dans le
stockage de secours exigé par l’organisation pour reprendre des opérations normales
après l’incident. Ce critère définit l'état dans lequel doit se trouver le nouveau système
après basculement.
Par exemple, dans le secteur bancaire, et plus particulièrement dans le cadre d'un système de
gestion de trading, on peut définir un RTO d'une heure avec un RPO de 0 secondes, sans
mode dégradé. Aucune transaction ne sera ainsi perdue, et le service pourra être disponible
sous une heure.
Les Etats-Unis depuis plusieurs années ont déjà imposé des contraintes aux entreprise quant à
leurs sauvegardes de données (HIPAA, pour les caisses d’assurances maladie et PCI-DSS
pour le milieu bancaire)
La France y arrive peu à peu, en imposant de plus en plus le PCA, notamment grâce aux
nouvelles législations qui imposent à certains types d’entreprise la maîtrise de leurs activités
essentielles et des risques attachés. Le CRBF (Comité de la réglementation bancaire et
financière) par exemple pour le secteur bancaire.
2
WADOUFEY
Introduction à la Maintenance 1
Cybercriminalité et malveillance
3. Types de mesures
Le Plan de Reprise d’Activité idéal n’existe pas. Il faut qu’il soit adapté à chaque
organisation. Néanmoins, il y a trois de base qui figurent dans tous les plans de reprise :
Mesures préventives
Les mesures préventives vont tenter de prévoir l’occurrence d’incidents. Ces mesures
cherchent à identifier et réduire les risques. Elles sont créées pour atténuer ou prévenir la
fréquence des sinistres ou des désastres.
Les mesures préventives peuvent inclure:
Mesures détectives
Les mesures détectives sont prises pour détecter la présence d’éléments indésirables dans le
système d’information de l’organisation. Leur but est de découvrir de nouvelles menaces
potentielles. Elles peuvent mettre en avant des événements non-désirés. Ainsi, l’organisation
doit mettre en œuvre différentes mesures :
Mesures correctives
Les mesures correctives visent à restaurer un système après un événement indésirable
(sinistre, désastre). Ces mesures portent sur la fixation ou la restauration des systèmes
d’information après l’incident.
Elles peuvent inclure la tenue de documents critiques dans le plan de reprise d’activité ou la
souscription à des polices d'assurance adaptées à l’organisation. Dans toutes les organisations,
un Plan de Reprise d’Activité doit permettre de répondre aux interrogations suivantes :
3
WADOUFEY
Introduction à la Maintenance 1
Avantages
Comme chaque plan d’assurance, il y a des avantages qui peuvent être obtenus par
l’élaboration d’un PRA. Parmi ces avantages, il y a :
Inconvénients
Voici les inconvénients et les erreurs courantes, liées au PRA que les organisations font :
Coût pouvant être élevé, si investissement dans les infrastructures. Ici les nouvelles
solutions de PRAaaS (as a Service) dans le Cloud Public Cloud computing6 permettre de
faire disparaître cet inconvénient
Manque d’appropriation : les dirigeants ont tendance à voir le PRA comme un simple
exercice, et n’en font donc pas une priorité, ce qui est source d’échec du plan.
La durée maximale d'interruption admissible et la perte de données maximale
admissible ne sont pas toujours définies : Chaque article d’un PRA exige de fixer la
durée maximale d'interruption admissible, c'est-à-dire qu'il faut définir le temps mort de
processus maximal, ou la perte de données maximale admissible, c'est-à-dire le choix d'un
point acceptable de reconstitution/reprise. C’est le minimum sinon on risque d'augmenter
l'impact du désastre.
Myopie de système : Une autre source d'échec est de se concentrer seulement sur le PRA
sans considérer les plus grands besoins de continuité d'activité (les processus et services
de l’entreprise auront besoin du support informatique et donc d’une planification et des
ressources).
Sécurité insuffisante : Quand il y a un incident, les données de l’organisation et les
processus deviennent vulnérables. De ce fait, la sécurité peut devenir plus importante que
la vitesse impliquée dans l’Objectif de Temps de Récupération du PRA.
Plans obsolètes : Un autre aspect souvent oublié est la fréquence avec laquelle le PRA
doit être mis à jour. On recommande au moins une mise à jour par an, et après chaque
acquisition ou changement majeur de l’entreprise
4
WADOUFEY