93% des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant 10 jours ou plus ont fait faillite l’année suivant l’accident. Ce chiffre alarmant illustre parfaitement les conséquences que peut subir une entreprise en cas de rupture ou discontinuité des services imprévue. Pour éviter au maximum cette catastrophe , il est nécessaire de vous armer d’un PCA (plan de continuité d’activité) et d’un PRA (plan de reprise d’activité)

Source : Continuity Central 

Qu’est-ce qu’un PCA ?

Un PCA représente pour une entreprise, l’ensemble des dispositions et stratégies de protection qu’elle prévoit, afin d’assurer la continuité de ses services et de son activité suite à un accident perturbant son fonctionnement. Il doit notamment permettre à celle-ci de répondre à ses obligations législatives et réglementaires en vigueur du RGPD (Règlement sur le Protection des Données).

Qu’est-ce qu’un PRA ?

À ne pas confondre avec le PCA, il représente l’ensemble des mesures de prévention et processus mis en place en cas de situation critique imprévue, touchant le système d’information d’une entreprise (piratage, catastrophe naturelle). Les objectifs d’un PRA sont d’assurer la reprise d’activité la plus rapide possible, la sauvegarde les données (backup) et la protection de l’infrastructure informatique (serveurs, parc informatique).

Source : gouv.fr

L’intérêt de mettre en place un PCA / PRA

En cas d’accident qui engendrerait une perte d’activité partielle ou continue, les conséquences sont multiples et parfois, fatales :

• perte de signature de contrats et perte de clients (l’image, la réputation et la confiance des collaborateurs et des clients est influencée)
• perte de part de marché
• perte de chiffre d’affaires
• fuite de données sensibles (lourdement sanctionné par la CNIL (Commission Nationale de l’Informatique et des Libertés))

En effet, conformément au RGPD, il en relève de l’obligation légale pour une entreprise, de pouvoir justifier qu’elle possède les infrastructures nécessaires pour protéger les données personnelles confidentielles qu’elle détient en cas d’accident portant atteinte au système d’information de celle-ci.

Comment mettre en place un PCA / PRA ?

Son élaboration repose sur 5 étapes principales :

• La définition du contexte et des objectifs
  Conjecturer et vérifier le niveau de risque acceptable et viable pour l’entreprise mais également d’identifier les services essentiels au fonctionnement de l’entreprise et à l’atteinte de ses objectifs.
• L’identification des besoins
  Énoncer les niveaux de services minimums nécessaires et la durée d’indisponibilité maximale acceptable pour chaque activité Elle permet ainsi de quantifier les conséquences d’une interruption de l’activité (financières, humaines, environnementales).
• L’identification des risques
  Identifier les natures des risques, les analyser (fréquence, gravité) et les évaluer en fonction des enjeux et obligations de l’entreprise. Ainsi, l’entreprise peut prévoir et décider des actions à engager afin de limiter les effets de l’incertitude sur ses objectifs.
• La formalisation des mesures
  Prévoir à l’avance des mesures, et notamment d’autres ressources, qui favoriseront la reprise : disposer de dispositifs de secours informatique, de système de duplication obligatoire des données sensibles par exemple. Les moyens et procédures définis par l’entreprise en cas d’accident doivent donc être formaliser.
• La prévention de gestion de crise
  Mettre en œuvre les dispositifs et procédures nécessaires pour détecter, anticiper, et alerter les responsables, notamment par un système de veille détectant les signes précurseurs ou encore les fonctions d’aide à la décision, qui recommandent un plan d’action optimal dans des contextes précis.

Source : gouv.fr

Enfin, même s’il va très souvent de paire avec le PCA, il n’existe pas de PRA standard. En effet, il dépend des spécificités de chaque entreprise et du secteur d’activité de celle-ci.

Cependant, il est préconisé d’inclure et définir au sein de votre PRA, deux indicateurs : le RTO et le RPO.

Le RTO (Recovery Time Objective ou ‘objectif de temps de reprise’ en français) et le RPO (Recovery Point Objective ou ‘objectif de délai de restauration’ en français) sont des indicateurs de sécurité en cas de sinistre. Ils indiquent respectivement :

• le laps de temps maximum tolérable d’interruption du fonctionnement d’un élément votre système informatique
• la durée maximale d’enregistrement des données qu’il est supportable de perdre lors du sinistre : il détermine les objectifs de sauvegarde.

Identifier et quantifier ces indicateurs au sein de votre PRA vous permet de mieux planifier vos plans d’action et d’investissement informatique dans le cas d’une situation imprévue grave.

Or, selon le domaine d’activité dans lequel œuvre votre entreprise, il n’est pas obligatoire (voire parfois superflu) de mettre en relation le RTO et le RPO dans un PRA.

Ainsi, 29 % des entreprises survivantes d’un accident causant l’arrêt de leur activité font faillite dans les deux ans qui suivent, leurs plans n’étant pas assez bien élaborés. Ainsi, pour la mise en place d’un PRA spécifique, il faut généralement faire appel à un prestataire externe.

Source : chefdentreprise.com

Les experts Platinum vous fournissent des services sur-mesures de Plan de Continuité d’Activité et Plan de Reprise d’Activité.