Introduction à la Maintenance 1

Chapitre 3 : Plan de reprise d'activité (PRA)

Table des matières

1. Introduction................................................................................................... 1
2. Objectifs et détermination des besoins...............................................................2
3. Les 3 types de sinistres informatiques et leurs conséquences.........................................3
4. Types de mesures................................................................................................. 3
4. Avantages et inconvénients du PRA.........................................................................4

1. Introduction
Un Plan de Reprise d'Activité (PRA) est un ensemble de procédures (techniques,
organisationnelles, sécurité) qui permet à une entreprise de prévoir par anticipation, les
mécanismes pour reconstruire et remettre en route un système d'information en cas de sinistre
important ou d'incident critique.

En cas de sinistre, Le PRA permet de reconstruire les serveurs en leur affectant les données
répliquées et ainsi de redémarrer les applications sous quelques minutes ou quelques heures,
suivant les solutions retenues. Il existe plusieurs niveaux de capacité de reprise, et le choix
doit dépendre des besoins exprimés par l'entreprise.

Les entreprises actuelles dépendant de plus en plus de leur informatique, elles ne peuvent
donc plus se permettre de ne pas avoir une solution face à un incident informatique, qui
pourrait leur être fatal ou entraîner une paralysie de l’activité professionnelle. Le Plan de
Reprise d’Activité a alors un rôle majeur pour assurer le redémarrage structuré des Systèmes
d’Information. Ce plan peut être détenu par l’entreprise ou confié à un prestataire.

Le PRA est comme une assurance, tant qu'il n'y a pas d’accident, on ne voit pas l’intérêt.
Aujourd’hui, la simple sauvegarde ne suffit plus. Voici quelques chiffres clés pour
comprendre la mise en place du plan :
76 % des entreprises déclarent la perte de données informatiques sur les deux dernières
années.
82 % des PME non préparées à un sinistre ne survivent pas à un important crash informatique.
Le plan de reprise d’activité (PRA) est à distinguer du plan de continuité d'activité (PCA) : ce
dernier a pour objectif de poursuivre l'activité sans interruption du service et d’assurer la
disponibilité des informations quels que soient les problèmes rencontrés. Le PRA en est un
sous-ensemble, qui décrit hiérarchiquement l’ensemble des mesures qui doivent être mise en
place lors de la survenue d'un sinistre ou d’un incident majeur ayant entraîné une interruption
de l'activité. Le PRA définit les architectures, les moyens et les procédures nécessaires à
mettre en œuvre pour assurer la protection des applications qu’il couvre

1
WADOUFEY
 Introduction à la Maintenance 1

1. Objectifs et détermination des besoins

Les entreprises ne peuvent pas toujours détourner les catastrophes, mais avec une prévision
prudente, les effets d’un sinistre ou d’un désastre peuvent être atténués. L’objectif d’un PRA
est de minimiser les temps morts et la perte de données. L’objectif premier est de protéger
l’organisation dans l’éventualité qu’une partie ou la totalité de ses opérations et services
informatiques soit inutilisables. Le PRA minimise la perturbation des opérations et assure un
certain niveau de stabilité organisationnelle et le rétablissement de ces données sera prioritaire
après le désastre.

Un système de reprise peut être extrêmement coûteux à mettre en place et à maintenir au sein
de l’organisation. Il est donc essentiel de définir convenablement les attentes du système de
reprise. Les besoins de l’organisation sont mesurés à l’aide de deux concepts :
 Durée maximale d'interruption admissible (Recovery Time Objective : RTO3) :
C’est le délai de rétablissement d’un processus, à la suite d'un incident majeur, pour
éviter des conséquences importantes associées à une rupture de la continuité d'activité.
Il définit le temps alloué pour faire le basculement vers le nouveau système.
 Perte de données maximale admissibles (Recovery Point Objective : RPO) : Le
RPO commence à s’exprimer à l'instant où l’incident majeur arrive et peut être
exprimé en secondes, minutes, heures ou jours. Il s’agit donc de la quantité maximale
acceptable de perte de données. C'est la durée des fichiers ou des données dans le
stockage de secours exigé par l’organisation pour reprendre des opérations normales
après l’incident. Ce critère définit l'état dans lequel doit se trouver le nouveau système
après basculement.
Par exemple, dans le secteur bancaire, et plus particulièrement dans le cadre d'un système de
gestion de trading, on peut définir un RTO d'une heure avec un RPO de 0 secondes, sans
mode dégradé. Aucune transaction ne sera ainsi perdue, et le service pourra être disponible
sous une heure.
Les Etats-Unis depuis plusieurs années ont déjà imposé des contraintes aux entreprise quant à
leurs sauvegardes de données (HIPAA, pour les caisses d’assurances maladie et PCI-DSS
pour le milieu bancaire)
La France y arrive peu à peu, en imposant de plus en plus le PCA, notamment grâce aux
nouvelles législations qui imposent à certains types d’entreprise la maîtrise de leurs activités
essentielles et des risques attachés. Le CRBF (Comité de la réglementation bancaire et
financière) par exemple pour le secteur bancaire.

2. Les 3 types de sinistres informatiques et leurs conséquences

Il y a 3 grandes catégories de sinistres pouvant causer la perte totale ou partielle de votre
système d’information. Certains d’entre eux impliquent une perte de données ne pouvant être
récupérées que par une sauvegarde externalisée.
 Catastrophes naturelles
 Sinistres sur les installations

2
WADOUFEY
 Introduction à la Maintenance 1

 Cybercriminalité et malveillance

3. Types de mesures

Le Plan de Reprise d’Activité idéal n’existe pas. Il faut qu’il soit adapté à chaque
organisation. Néanmoins, il y a trois de base qui figurent dans tous les plans de reprise :

 Mesures préventives

Les mesures préventives vont tenter de prévoir l’occurrence d’incidents. Ces mesures
cherchent à identifier et réduire les risques. Elles sont créées pour atténuer ou prévenir la
fréquence des sinistres ou des désastres.
Les mesures préventives peuvent inclure:

 des sauvegardes de données très régulières,

 de prévoir un plan de reprise d'activité précis et testé régulièrement.
 d’installer des générateurs et de conduire des inspections du quotidien.

 Mesures détectives
Les mesures détectives sont prises pour détecter la présence d’éléments indésirables dans le
système d’information de l’organisation. Leur but est de découvrir de nouvelles menaces
potentielles. Elles peuvent mettre en avant des événements non-désirés. Ainsi, l’organisation
doit mettre en œuvre différentes mesures :

 Installer des logiciels anti-virus à jour et les renouveler,

 Mettre en place des sessions de formation des salariés pour diminuer le phénomène
de shadow IT,
 Installer des logiciels de contrôle/surveillance des serveurs et des réseaux,

 Mesures correctives
Les mesures correctives visent à restaurer un système après un événement indésirable
(sinistre, désastre). Ces mesures portent sur la fixation ou la restauration des systèmes
d’information après l’incident.
Elles peuvent inclure la tenue de documents critiques dans le plan de reprise d’activité ou la
souscription à des polices d'assurance adaptées à l’organisation. Dans toutes les organisations,
un Plan de Reprise d’Activité doit permettre de répondre aux interrogations suivantes :

1. Quel est son objectif et son but ?

2. Quelles sont les personnes ou équipes responsables si des perturbations surviennent?
3. Que feront ces personnes quand l’incident surviendra ?

3
WADOUFEY
 Introduction à la Maintenance 1

4. Avantages et inconvénients du PRA

Avantages

Comme chaque plan d’assurance, il y a des avantages qui peuvent être obtenus par
l’élaboration d’un PRA. Parmi ces avantages, il y a :

4. Assurer la continuité de l’entreprise en cas de catastrophe,

5. Apporter un sentiment de sécurité : un plan de reprise est très bien perçu par les
actionnaires et par le marché,
6. Minimiser le risque de retard dans les activités de l’entreprise,
7. Garantir la fiabilité des systèmes,
8. Fournir une norme pour tester le plan : Possibilité de tester les procédures de
sauvegarde,
9. Minimiser la prise de décision pendant l’incident,
10. Les paramètres SLA (Service Level Agreement) garantissent une haute qualité de
services.

Inconvénients
Voici les inconvénients et les erreurs courantes, liées au PRA que les organisations font :

 Coût pouvant être élevé, si investissement dans les infrastructures. Ici les nouvelles
solutions de PRAaaS (as a Service) dans le Cloud Public Cloud computing6 permettre de
faire disparaître cet inconvénient
 Manque d’appropriation : les dirigeants ont tendance à voir le PRA comme un simple
exercice, et n’en font donc pas une priorité, ce qui est source d’échec du plan.
 La durée maximale d'interruption admissible et la perte de données maximale
admissible ne sont pas toujours définies : Chaque article d’un PRA exige de fixer la
durée maximale d'interruption admissible, c'est-à-dire qu'il faut définir le temps mort de
processus maximal, ou la perte de données maximale admissible, c'est-à-dire le choix d'un
point acceptable de reconstitution/reprise. C’est le minimum sinon on risque d'augmenter
l'impact du désastre.
 Myopie de système : Une autre source d'échec est de se concentrer seulement sur le PRA
sans considérer les plus grands besoins de continuité d'activité (les processus et services
de l’entreprise auront besoin du support informatique et donc d’une planification et des
ressources).
 Sécurité insuffisante : Quand il y a un incident, les données de l’organisation et les
processus deviennent vulnérables. De ce fait, la sécurité peut devenir plus importante que
la vitesse impliquée dans l’Objectif de Temps de Récupération du PRA.
 Plans obsolètes : Un autre aspect souvent oublié est la fréquence avec laquelle le PRA
doit être mis à jour. On recommande au moins une mise à jour par an, et après chaque
acquisition ou changement majeur de l’entreprise

4
WADOUFEY