Le plan de reprise d’activité (PRA), également connu sous le nom de Disaster Recovery Plan (DRP). Une approche systématique qui décrit de manière séquentielle les actions à entreprendre pour rétablir la fonctionnalité de l’infrastructure informatique d’une organisation en cas de situation d’urgence.

Quelle que soit la fiabilité de l’infrastructure informatique, il est impossible de se prémunir à 100 % contre les pannes de logiciels ou de matériel. C’est pourquoi chaque organisation doit disposer d’un plan d’action pour aider à rétablir au plus vite la continuité de ses ressources.

Pour élaborer un tel plan au sein d’une organisation, une analyse des processus métier est réalisée, et les objectifs de la reprise en cas de catastrophe sont formulés.

Types de situations d’urgence

Le plan de reprise d’activité doit prendre en compte trois types principaux d’événements susceptibles de conduire à des conséquences catastrophiques.

Catastrophes naturelles

• Incendies.
• Inondations.
• Tremblements de terre.
• Pandémies.

Catastrophes liées à l’infrastructure

• Pannes de courant.
• Incendies ou ruptures de canalisations d’eau.
• Effondrement de bâtiments.
• Intrusions malveillantes sur site et dommages physiques.

Incidents technologiques

• Panne de serveur.
• Défaillance du logiciel sur un serveur local.
• Panne d’une application SaaS dans le cloud.
• Perte de données due à une panne ou à un virus.
• Panne de l’infrastructure réseau.
• Perte de la connectivité avec le fournisseur de services Internet.

Stratégies de PRA (DRP)

Disaster Recovery Plan (DRP) ou stratégie de PRA correctement élaborée inclut une estimation du temps nécessaire pour rétablir les services clés. Cette stratégie permet à l’entreprise de faire face plus rapidement aux incidents, de réduire le temps d’arrêt et de limiter les dommages financiers et de réputation. Il existe quatre principales stratégies de PRA.

Reprise locale

Comme les applications, les systèmes et les données sont déployés sur site, la stratégie de reprise doit prévoir la perte d’un ou de plusieurs composants du système. Les grandes entreprises peuvent utiliser deux centres de données d’entreprise géographiquement distribués pour récupérer leurs données et leurs applications. Les petites organisations peuvent utiliser un serveur dédié pour les sauvegardes.

Reprise dans le cloud d’un fournisseur

Cette approche réduit les coûts pour l’organisation en éliminant la nécessité d’investir dans du matériel de secours. Il est important de noter que grâce à la forte concurrence sur le marché des services cloud, les utilisateurs peuvent obtenir des solutions abordables et fiables. De plus, les fournisseurs possèdent l’expertise pour mettre en œuvre la PRA et peuvent proposer des options de solution.

Reprise en tant que service (DRaaS)

Les fournisseurs de cloud proposent la reprise d’activité en tant que service (DRaaS). En substance, il s’agit d’une plateforme de secours chaude pour les ressources en cas de catastrophe. Le DRaaS utilise le cloud pour fournir aux utilisateurs des copies d’applications depuis le centre de données d’entreprise. Cela permet aux organisations de réagir rapidement et de restaurer les applications critiques.

Reprise par virtualisation des ressources

La virtualisation permet de déployer rapidement une copie d’une machine virtuelle à  partir du cloud ou d’un serveur de secours.

Ce qu’il faut inclure dans un Plan de Reprise d’Activité (PRA)

 

Un Plan de Reprise d’Activité (PRA) doit contenir plusieurs sections, notamment :

Description et objectifs du PRA :

• Une description détaillée de ce qu’est le PRA et de son objectif principal.
• Les raisons pour lesquelles le PRA est nécessaire pour l’organisation.

 

Fréquence des tests sur les ressources de secours :

• La périodicité à laquelle les tests de récupération doivent être effectués pour s’assurer de leur efficacité.
• Les procédures de test pour évaluer la capacité du PRA à fonctionner en situation réelle.

Procédures de récupération et liste du personnel responsable de la mise en œuvre du plan :

• Les étapes précises à suivre pour récupérer les systèmes, les données et les services essentiels.
• La liste des membres du personnel responsables de l’exécution du PRA et de la coordination pendant une situation d’urgence.
• Les mesures à prendre en cas d’indisponibilité de membres clés de l’équipe en cas d’urgence.

Objectifs et paramètres du Plan de Reprise d’Activité

Les objectifs du PRA sont les suivants :

• Minimiser l’impact négatif d’une catastrophe sur les opérations de l’organisation.
• Rétablir la fonctionnalité des systèmes et des services aussi rapidement que possible.

Avant de rédiger le plan, une évaluation de l’impact potentiel d’une catastrophe sur l’activité de l’entreprise est réalisée. En fonction de cette évaluation, des priorités sont définies, et des paramètres clés de récupération sont définis, notamment le RTO (Objectif de Temps de Récupération) et le RPO (Objectif de Point de Récupération).

• Le RTO (Objectif de Temps de Récupération) représente la période pendant laquelle un système est hors service après une catastrophe, exprimé en minutes, heures ou jours. Le RTO correspond au temps d’arrêt acceptable entre la panne et la reprise des opérations. Par exemple, une organisation peut viser à reprendre ses activités dans les 4 heures pour éviter des perturbations importantes.
• Le RPO (Objectif de Point de Récupération) détermine la quantité maximale de données qui peuvent être perdues en cas de catastrophe. Par exemple, un RPO d’une heure signifie que les données peuvent être perdues sur une période d’une heure. Pour atteindre cet objectif, les sauvegardes doivent être effectuées au moins toutes les heures.

Ensuite, des stratégies de récupération pour les applications et les données sont développées en fonction de ces paramètres.

Personnel

Le PRA doit indiquer clairement le personnel responsable de la mise en œuvre du PRA. Il doit également prévoir des mesures en cas d’absence de personnel clé en cas d’urgence. Une coordination efficace du personnel est essentielle pour assurer une récupération réussie.

Matériel informatique

Lors de l’élaboration du PRA, une organisation doit inventorier et répertorier ses actifs matériels et logiciels, ainsi que tous les services cloud nécessaires à son fonctionnement. L’importance de chaque actif pour l’entreprise est évaluée, qu’il soit détenu en propre, loué ou utilisé en tant que service SaaS.

De plus, toutes les catastrophes passées doivent être documentées et décrites, ainsi que les mesures prises pour les résoudre.

Procédures de sauvegarde et de récupération

Le PRA doit spécifier comment les sauvegardes de chaque ressource de données sont créées, y compris leur emplacement, les appareils utilisés et les dossiers concernés. Il doit également décrire comment le département informatique doit les restaurer à partir des sauvegardes.

Emplacement des ressources pour la reprise d’urgence

Un plan de reprise d’activité fiable doit prévoir une infrastructure de reprise d’urgence à chaud. En substance, il s’agit d’un centre de données de secours qui stocke des copies de tous les systèmes critiques. L’organisation bascule vers ce centre de données de secours en cas de défaillance du centre de données principal.

Tests du plan

Il est essentiel de tester régulièrement le Disaster Recovery Plan (DRP) pour garantir sa conformité aux paramètres RTO et RPO définis et pour identifier et corriger les éventuelles lacunes. Les tests peuvent prendre différentes formes, notamment des exercices en salle de classe, la vérification de la résilience des applications, la vérification de la résilience de l’infrastructure, la simulation de pannes dans un environnement de test, et la simulation de pannes dans l’environnement de production.

Il est important de comprendre que le PRA ne doit pas être élaboré une seule fois et oublié. Les technologies évoluent rapidement, il est donc nécessaire de réaliser des audits réguliers et d’ajuster le plan en fonction des besoins actuels de l’organisation.