Partenaire OVHcloud, LecPac-Consulting vous accompagne pour mettre en place un plan de reprise de votre activité.
L’incendie qui a touché les bâtiments SBG2 et une partie de SBG1 chez OVH à Strasbourg en mars 2021 a entraîné la fermeture de l’ensemble du site.
Le fondateur d’OVH, Octave Klaba, a alors recommandé à ses clients d’activer leurs plans de reprise d’activité. Cet incident souligne l’importance de se préparer aux éventuels sinistres qui peuvent survenir dans votre entreprise.
Il est crucial de vérifier l’état de préparation et d’apporter les changements nécessaires pour garantir la disponibilité, le bon fonctionnement et la continuité des activités.
Il est donc crucial de disposer d’un plan de reprise après sinistre solide qui couvre toutes les situations possibles, comme les tremblements de terre, les inondations, les incendies, les pannes de courant, les dysfonctionnements de basculement, les cyberattaques, les attaques de ransomware et de logiciels malveillants, les erreurs humaines et même les menaces géopolitiques dans la région.
Votre entreprise doit avoir un plan en place pour faire face aux situations les plus graves, et il est important de tester régulièrement ce plan pour s’assurer qu’il est efficace et prêt à être activé en cas de besoin.
Qu’est ce qu’un plan de reprise d’activité ou PRA ?
Un plan de reprise d’activité, c’est comme un plan de secours pour votre entreprise. Il vous permet de vous préparer à tous les scénarios d’urgence qui pourraient survenir. Le PRA vous permet de savoir exactement comment réagir rapidement pour minimiser les dommages. Il vous assure une reprise d’activité rapide pour revenir à une situation normale.
En tant qu’entreprise, il est important de prendre le temps de réfléchir aux risques potentiels et de mettre en place des procédures pour y faire face. Cela peut inclure des choses comme des protocoles de sauvegarde de données régulières, des procédures de basculement en cas de panne de courant, ou des protocoles de récupération après une cyberattaque.
En ayant un plan de reprise d’activité en place, vous pouvez être sûr que votre personnel sait quoi faire en cas d’urgence et que vous êtes prêt à réagir rapidement pour minimiser les dommages et vous remettre sur pied le plus rapidement possible. C’est un investissement qui peut vous faire économiser beaucoup de temps, d’argent et de stress à long terme.
En mettant en place un plan de reprise d’activité, vous vous assurez de pouvoir continuer à faire tourner votre entreprise même dans les moments les plus difficiles. Non seulement cela vous permet de maintenir votre rentabilité, mais cela vous aide également à respecter les réglementations en vigueur, comme le RGPD.
De plus en mettant en place des protocoles de récupération efficaces, vous pouvez minimiser les temps d’arrêt et éviter de payer une rançon pour récupérer vos données. Vous pouvez également vous assurer que les données de vos clients restent sécurisées. Et enfin, vous pouvez maintenir une communication ouverte et efficace avec vos clients, employés et fournisseurs.
Notre démarche pour définir un plan de reprise d’activité efficace.
Zero Trust , est une approche générique de la sécurité informatique .
Nous pouvons considérer que quel que soit le prestataire, il peut disparaitre ou un incident peut intervenir et provoquer la perte d’accès aux données.
Des objectifs clairs.
Quel est votre objectif principal ? Qu’espérez-vous accomplir avec votre PRA (plan de reprise d’activité) ?
Les objectifs pour un Plan de Reprise d’Activité (PRA) sont les buts à atteindre pour garantir la continuité des activités commerciales en cas de sinistre ou de panne majeure. Ils comprennent généralement :
- Assurer la protection des données critiques pour l’entreprise
- Minimiser les temps d’arrêt et la durée de la perturbation pour les clients et les employés
- Rétablir les systèmes et les processus clés le plus rapidement possible
- S’assurer que les employés comprennent leur rôle et les procédures en cas d’urgence
- Veiller à ce que les ressources nécessaires pour la reprise soient disponibles et prêtes à être utilisées
- Maintenir la communication transparente avec les clients, les employés et les partenaires commerciaux.
Cartographie des actifs
Il est crucial de comprendre les actifs informatiques de votre entreprise. Ceci même avant de mettre en place le plan de reprise après sinistre dans le cloud. Cela implique de faire l’inventaire de tous les éléments : des serveurs physiques aux applications basées sur le cloud. Vous devez déterminer quels actifs sont essentiels à la continuité de vos activités. Une fois que vous avez inventorié vos actifs, vous pouvez commencer à élaborer des mesures pour les protéger efficacement. Bien que cela puisse prendre un certain temps, c’est une étape cruciale pour assurer la sécurité de vos données.
Plan de sauvegarde.
Comment allez-vous accéder à la sauvegarde des données et les restaurer ? Qui sera responsable de ce processus ? Votre site de sauvegarde et de réplication et votre site de stockage des données resteront-ils sur place ? Ou allez-vous utiliser des sauvegardes dans le cloud ?
Il est crucial de mettre en place un plan de sauvegarde efficace dans le cadre d’un plan de reprise après sinistre (PRA). En cas de sinistre, les données et les actifs de l’entreprise sont mis en danger. Il est donc essentiel de disposer d’une sauvegarde des données pour pouvoir les restaurer rapidement.
La première étape dans l’élaboration d’un plan de sauvegarde est de déterminer qui sera responsable de ce processus. Vous devez désigner une personne ou une équipe chargée de la sauvegarde des données. Elle sera aussi en charge de les vérifier régulièrement et de les restaurer en cas de besoin.
C’est également essentiel de déterminer où seront stockées les sauvegardes. Il existe plusieurs options, comme le stockage local ou la sauvegarde dans le cloud. La méthode retenue doit correspondre aux moyens de votre entreprise, notamment en termes de coûts et de sécurité. Mais aussi de facilité d’utilisation.
L’incident qui a eu lieu chez OVH nous l’aura prouvé ! Pour sauvegarder des données , il faut penser règle des 3-2-1 ! Je vous invite à lire notre article que la sauvegarde externalisée pour en savoir plus. Cela permettra de minimiser les risques de perte de données en cas de sinistre.
Il est également important de tester régulièrement les sauvegardes. Cette pratique permet de s’assurer qu’elles sont valides et qu’elles peuvent être restaurées en cas de besoin. Cela permettra également de détecter et de corriger tout problème éventuel avec les sauvegardes avant qu’il ne soit trop tard.
En résumé, le plan de sauvegarde est un élément crucial d’un PRA. Il est important de :
- désigner une personne ou une équipe responsable de la sauvegarde des données
- choisir une méthode de stockage adaptée à l’entreprise
- suivre la règle des 3-2-1
- tester régulièrement les sauvegardes pour s’assurer qu’elles sont valides et qu’elles peuvent être restaurées en cas de besoin.
Sites de secours
Où et comment allez-vous sauvegarder et restaurer vos données en toute sécurité ? Il est crucial de fournir des instructions claires sur l’emplacement.
Pour un Plan de Reprise d’Activité (PRA), les sites de restauration dans le public cloud sont une option importante à considérer. Ils permettent de relancer rapidement les activités commerciales en cas de sinistre ou de panne majeure.
L’utilisation du public cloud pour les sites de restauration offre de nombreux avantages. Vous retrouver par exemple la mise en œuvre plus rapide et une scalabilité accrue. Il est cependant important de vérifier les politiques de sécurité et de disponibilité du fournisseur de cloud public. Ceci vous permettra de vous assurer de la disponibilité des ressources nécessaires en cas de besoin.
Pour plus de sécurité, je vous recommande de stocker vos données chez un autre hébergeur pour limiter le risque de perte définitive de données. Vous pouvez ainsi utiliser des services de stockage cloud, chez des tiers, comme scaleway qui propose du stockage compatible S3 à 0,002 €HT/Go/mois.
Procédure de restauration
Comment votre organisation va-t-elle réagir à une catastrophe ? Comment l’organisation limitera-t-elle les dommages et exécutera-t-elle les procédures de sauvegarde d’urgence ?
Pour assurer une reprise rapide et efficace des activités commerciales en cas de sinistre ou de défaillance majeure, les procédures de restauration sont un élément clé. Celles-ci doivent être détaillées dans votre Plan de Reprise d’Activité (PRA). Elles doivent également être clairement définies pour une mise en œuvre efficace.
Un exemple de procédure de restauration pour un éditeur de logiciel SaaS pourrait inclure les étapes suivantes:
- Évaluation de la gravité de l’incident et identification des données affectées
- Mise en œuvre de la sauvegarde des données sur un stockage distant
- Vérification de la validité des données de sauvegarde
- Restauration des données sur les serveurs de production
- Vérification de la cohérence des données restaurées
- Mise en service des applications et vérification de leur fonctionnement
- Notification des utilisateurs finaux de la restauration et vérification de leur satisfaction.
Il est important de noter que les procédures de restauration doivent être testées régulièrement pour s’assurer de leur efficacité en cas d’incident réel. Les procédures doivent également être mises à jour en fonction de l’évolution de l’infrastructure et des besoins des utilisateurs finaux.
Objectif de point de récupération (RPO)
Combien de pertes de données pouvez-vous vous permettre pendant les efforts de récupération ? Il est important d’avoir une réponse précise à cette question pour déterminer la fréquence de vos sauvegardes de données.
Le RPO (Recovery Point Objective) est un indicateur clé qui détermine la durée maximale pendant laquelle vous pouvez supporter la perte de données de votre application en cas de crise majeure. Il est important de déterminer votre RPO pour éviter toute interruption de service et minimiser les pertes financières.
Pour déterminer votre RPO, voici quelques points à considérer :
- La perte de données possible au moment de la catastrophe : cela dépendra de la nature de votre activité et de la sensibilité des données que vous gérez.
- La perte de temps possible avant la compromission des données : cela dépendra de la fréquence à laquelle vous mettez à jour vos données et de la rapidité avec laquelle vous devez les récupérer.
Prenons l’exemple d’un éditeur de logiciel qui propose son application en mode SaaS. Si cette application est utilisée par des entreprises qui ont des besoins critiques et qui ne peuvent pas se permettre de temps d’arrêt, alors il est probable que l’éditeur de logiciel fixera son RPO à 5 minutes. Cela signifie qu’il ne peut pas se permettre de perdre plus de 5 minutes de données en cas de crise majeure. Il devra donc investir massivement dans des solutions de reprise après sinistre dans le cloud pour s’assurer de pouvoir récupérer rapidement ses données.
Par ailleurs, si l’application est utilisée par des entreprises avec des besoins moins critiques, l’éditeur de logiciel peut fixer son RPO à une journée. Cela signifie qu’il pourrait s’en remettre à des solutions de sauvegarde moins coûteuses et moins rapides, sans que cela n’affecte trop ses opérations commerciales.
Objectif de temps de récupération (RTO)
Le RTO, temps de reprise opérationnel, est le délai maximal pendant lequel votre application peut être hors ligne sans affecter significativement vos activités commerciales. Par exemple, si vous êtes un éditeur de logiciels proposant une application en mode SaaS et qu’elle rencontre un sinistre, vous devez alors pouvoir vous relever rapidement pour éviter des pertes importantes à vos clients. Si vous fixez votre RTO à quelques minutes, vous devrez investir dans des solutions de reprise après sinistre coûteuses. Avec un RTO d’une semaine, vous aurez plus de temps pour rassembler les ressources de sauvegarde et de cloud computing. Il est important de bien connaître votre RTO car cela détermine les ressources que vous devez investir dans votre plan de reprise après sinistre.
Responsabilités des employés
Lors d’une catastrophe, il est crucial de définir les responsabilités de chaque employé impliqué dans le PRA pour éviter les perturbations potentielles et assurer la continuité des activités.
Tout d’abord, il est crucial de nommer un responsable de la reprise d’activité qui sera responsable de la coordination de tous les efforts de reprise. Cette personne devra être en mesure de prendre des décisions rapidement et efficacement pour gérer les activités de reprise.
Ensuite, il est important de désigner des responsables de l’équipe de reprise d’activité pour chaque aspect de l’entreprise, tels que :
- le système d’information
- les opérations commerciales
- les ressources humaines
Ces responsables seront chargés de gérer les activités de reprise pour leur domaine respectif. Ils travailleront en étroite collaboration avec le responsable de la RAS pour assurer une reprise efficace.
Sensibiliser et former tout le personnel sur leur rôle et leur responsabilité en cas de sinistre est crucial. Vous pouvez effectuer des exercices de simulation de crise pour s’assurer que tout le monde est prêt à gérer l’urgence.
Il est également important de s’assurer que tous les employés accèdent aux informations nécessaires pour remplir leur rôle en cas de sinistre. Par exemple, consulter les procédures de reprise après sinistre, retrouver les contacts d’urgence, récupérer les informations de sauvegarde des données.
Une procédure standardisée et des instructions claires sont établies pour chaque membre de l’équipe impliqué dans la mise en œuvre du PRA. Chaucun doit être en mesure de savoir précisément ses responsabilités et ses actions en cas de crise.
Test
Après avoir mis en place votre plan de reprise d’activité, il est crucial de le tester régulièrement. Cela assurera son efficacité et qu’il n’y a pas de failles.
Les tests vous permettent de vérifier la crédibilité de votre plan et de détecter les éventuels problèmes. Il est recommandé de tester votre plan tous les semestres pour le maintenir à jour et s’assurer de son bon fonctionnement.
En parallèle, vous pouvez surveiller les performances de votre infrastructure de sauvegarde quotidiennement. Il est important de tester votre PRA régulièrement en raison des changements constants dans les personnes, les processus et les technologies dans votre organisation. Cela vous assure que votre entreprise est prête à faire face à une crise à tout moment.