Actualités
|
 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | ||||||||||||||||||||||||
Un état d'alerte conçu en sept étapes
par mail
l'article
Ne laissez pas mourir votre PRA ! “ Un plan de reprise d'activité doit être vivant. Sinon, il ne sert à rien, prévient Philippe Letreulle, directeur technique chez Orbytes. Jusqu'à peu, seules quelques entreprises étaient conscientes de ce besoin de maintenance. Les autres laissaient leur site distant inactif. ” Posséder un site de secours ne suffit pas. Si personne ne vérifie qu'il fonctionne, l'échec est quasi assuré le jour où on le sollicite. “ A l'avenir, la plupart des PRA seront moins dormants. Le site principal et le site de secours seront tous deux actifs ”, ajoute Philippe Letreulle. Même si les sites sont dupliqués, les PRA se fondent sur la même méthode. “ Le tout est de savoir combien de données et de temps on accepte de perdre en cas de sinistre, explique Lionel Cavallière, directeur marketing chez EMC. On choisit le procédé en fonction de ces éléments. ” La réflexion technologique ne reflète cependant qu'un aspect de la démarche. “ Le PRA, c'est un peu de technologie et beaucoup de méthode ”, résume Eric Debray, responsable du marché centre informatique chez Cisco.
En pratique, sept étapes sont nécessaires à l'élaboration d'un PRA. A la phase de lancement, succède celle des études fonctionnelles (inventaire, recensement des activités métier de l'entreprise, et évaluation de leur criticité), qui définit également la cartographie des processus. Suit la phase des études de vulnérabilité, qui détermine où se situent les points faibles de l'entreprise et de son système d'information. Arrive une période d'analyse des risques (probabilité des menaces et probabilité qu'elles se concrétisent) avec des coefficients. Enfin, la phase de rédaction des documents peut demander entre un mois et douze mois. Une fois tous ces points traités, commence l'étape de mise en œuvre, comprenant le choix des technologies adéquates : fibre, IP, réplication, sauvegarde, virtualisation… La phase incontournable de tests et simulation de sinistres en grandeur nature intervient bien sûr en bout de course et implique tous les salariés. Et c'est toujours à ce stade qu'apparaissent les défauts de conception.
Une dimension humaine incontournable
Déclencher et maintenir un PRA coûte cher. Pour l'entreprise, c'est avant tout une histoire d'hommes. Tous les échelons de l'entreprise sont sollicités, de la direction générale à l'ensemble des employés dans chaque département métier. Raison pour laquelle le procédé est long. “ L'implication est telle que l'entreprise doit dispenser des formations, souligne Jérôme Derouvroy, responsable réseaux chez MIBS. Les RSSI et les techniciens doivent se former au PRA, et les employés comprendre de quoi il s'agit. ” Aujourd'hui, la continuité d'activité est souvent gérée par la DSI. Ce qui est insuffisant. Désormais, SSII et entreprises collaborent pour établir une stratégie commune à toute l'entreprise. “ Laquelle doit avant tout désigner le responsable du PRA, souligne Philippe Malard, responsable des offres risques chez Aedian Consulting. Celui-ci doit savoir gérer autre chose que les infrastructures. Il est donc plus qu'un informaticien. ” La mise en place du processus s'en trouve facilitée, puisque ce responsable fait le lien entre la technique et le personnel. Bien sûr, l'entreprise doit s'accorder des délais suffisants, et bien élaborer son plan en amont. “ L'idéal, c'est d'intégrer le PRA et la continuité dès la phase de réflexion du cahier des charges de l'infrastructure, conclut Pierre-Emmanuel André, manager du département continuité d'activité de Devoteam Consulting. Aujourd'hui, c'est un peu comme si l'on concevait une voiture en ne se posant qu'à la fin la question de la roue de secours. On a beaucoup à gagner en y pensant dès le départ. ”
Avis d'expert : Pascale Hardivillez, responsable de la gestion de risques chez EDS
“ Couvrir un périmètre déterminé ”
“ L'entreprise doit d'abord établir si le PRA s'applique à une partie ou à la totalité du périmètre sécurisé, puis déterminer ses exigences en termes de sauvegarde de données, si elle doit s'effectuer en mode synchrone, ou si un délai - de 24 heures, par exemple - est possible. Idem pour le redémarrage à la suite d'un sinistre : doit-il être rapide ou non ? Il s'agit ensuite de choisir les technologies, et de sécuriser les locaux. Il faut aussi que l'entreprise détermine si elle est prête à apporter des modifications à son existant. ”
“ “ Penser PRA ” au quotidien ”
“ Il ne faut pas oublier de sécuriser le savoir-faire humain : former des personnes de remplacement en cas de sinistre, et prévoir des tests et exercices en grandeur nature. L'idéal est d'intégrer le PRA dans la vie de l'entreprise. Chacun doit l'avoir constamment en tête. La production doit, lorsqu'elle fonctionne, posséder une double approche : à la fois production et PRA. Et pour renforcer les chances de succès du PRA, un document recensant les tâches à exécuter doit être établi. ”
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM