PCA et PRA, un plan pour l’activité
Si les concepts de PCA et de PRA peuvent se ressembler, ils n’en demeurent pas moins différents. Le PCA vise à maintenir l’activité d’une entreprise dans son ensemble pendant, et après, un accident. Le PRA se concentre sur les conditions de reprise de l’activité suite à un arrêt.
Qu’est-ce qu’un Plan de Continuité des Activités ?
Le Plan de Continuité des Activités (PCA) se réfère aux mesures à prendre pour maintenir et poursuivre les activités d’une organisation face aux menaces potentielles. Le plan garantit que les opérations de l’entreprise, dans son ensemble, sont capables de fonctionner en cas d’incident.
Pour cela, le PCA doit identifier tous les risques pouvant affecter les opérations de l’entreprise. Les risques peuvent inclure des catastrophes naturelles (incendies, inondations ou événements météorologiques), des cyberattaques ou des fraudes. Une fois les risques identifiés, le plan doit :
- Déterminer comment ces risques affecteront les opérations
- Mettre en œuvre des solutions de protection et des moyens pour atténuer les risques
- Déterminer des procédures de test pour s’assurer que ces mesures fonctionnent
- Revoir le processus pour s’assurer qu’il est à jour
De nombreuses entreprises doivent suivre plusieurs étapes pour développer un PCA solide. Ces étapes comprennent:
- Identifier : l’entreprise identifiera les fonctions et les ressources associées qui sont urgentes.
- Lister : l’entreprise doit identifier ses actifs les plus critiques afin de les maintenir en activité. Même en mode dégradé, l’activité doit être maintenue.
- Organiser : une équipe doit être constituée afin de maintenir la continuité de l’activité. Cette équipe élaborera un plan pour gérer l’interruption de service.
- Former : L’équipe de continuité doit être formée. Ses membres de l’équipe doivent également effectuer des exercices afin de tester le PCA.
Qu’est-ce qu’un Plan de Reprise des Activités (PRA) ?
Un Plan de Reprise d’Activité, PRA, vise à rétablir le système d’information de l’entreprise au plus vite en cas de sinistre.
Le PRA vise à minimiser les temps d’arrêt de l’entreprise en maintenant l’accès aux infrastructure informatiques et aux applications critiques (par exemple s’assurer de la mise à niveau du datacenter). Celles-ci comprennent les données, le matériel, les logiciels, l’équipement réseau, l’alimentation et la connectivité. Par exemple le service de téléphonie.
Pour cela, le PRA va inclure deux éléments très importants : le RPO et le RTO.
- Le point de récupération (RPO) : le RPO indique la quantité de données qu’une organisation accepte de perdre. Si un accident survient entre deux sauvegardes, quel historique de travail êtes-vous prêt à perdre ? 10 min? 10 heures? La réponse à cette question déterminera indirectement la fréquence nécessaire de vos sauvegardes. Ces sauvegardes peuvent être des répliques d’environnements virtualisés par exemple. Ces sauvegardes constituent donc un pilier fondamental d’une stratégie PRA efficace, en complément d’autres mécanismes tels que la réplication et la virtualisation. Pour cette raison, il est nécessaire de souscrire à une solution de sauvegarde pour entreprise.
- L’objectif de temps de récupération (RTO) : le RTO définit le temps d’arrêt tolérable pour une entreprise. Selon le secteur d’activité, quelques secondes d’interruptions peuvent représenter des pertes financières considérables (ex : le trading haute fréquence). D’autres systèmes (tels que les bases de données RH) peuvent être indisponibles pendant des heures sans nuire à l’entreprise. Le RTO répond donc à la question : « Combien de temps peut prendre le système d’information pourêtre à nouveau accessible suite à interruption d’activité ? »
4 Différences entre le PCA et le PRA
Plusieurs caractéristiques vont distinguer le Plan de Continuité des Activités du Plan de Reprise des Activités.
- Le PCA vise le maintien de l’activité de l’entreprise pendant un sinistre. Le PRA se concentre sur la restauration de l’accès à l’infrastructure informatique après un sinistre. En d’autres termes, le premier est soucieux de maintenir l’activité, même dans des circonstances inhabituelles ou défavorables. Le second s’attache à la ramener à la normale le plus rapidement possible.
- Contrairement au PRA, centré sur l’infrastructure informatique, le PCA intègre tous les éléments nécessaires à la prévention. Par exemple la pose d’alarmes incendies, la formation des salariés à la sécurité informatique font partie du PCA.
- PCA et PRA ont des objectifs différents. Les plans de continuité efficaces luttent contre les arrêts opérationnels. Les plans de reprise après sinistre préparent une remise en service la plus rapide possible après une interruption.
- Certaines entreprises peuvent intégrer des stratégies de reprise après sinistre dans le cadre de leurs PCA. La reprise après sinistre est une étape dans l’ensemble plus large de protection d’une entreprise contre toutes les éventualités.
En conséquences, les entreprises doivent se doter de ces deux types de plan afin de faire face à une catastrophe. A ce titre, assurez la continuité d’activité grâce à la cybersécurité.