N’avez-vous pas entendu parler de cyber-attaques et de perte de nombreuses données dans le monde des affaires ? Mais savez-vous ce que c’est et comment mettre en place un PCA ? On va vous le dire maintenant.

En général, peu d’entrepreneurs d’une PME pensent à ce qui se passerait s’ils subissaient une cyberattaque et qui engendrerait la perte de toutes leurs données d’entreprise. Ils pensent généralement qu’avec un bon système de cybersécurité, ils sont sauvés. Comme le disent de nombreuses entreprises de cybersécurité, personne n’est protégé à 100 % et quiconque le croit passe à côté de l’essentiel. Les cybercriminels d’aujourd’hui sont en constante évolution, ils développent chaque jour de nouveaux moyens d’interférer avec les systèmes d’information des entreprises. Si les grandes entreprises sont exposées à ces cybercriminels, à quoi les PME, les indépendants ou les micro-entreprises ne sont-elles pas exposées ? Alors, quelles sont les solutions possibles pour protéger et éviter la perte de toutes les données de votre entreprise ou de votre commerce ?

Qu’est-ce qu’un plan de continuité des activités (PCA) ?

On entend par plan de continuité ou PCA un ensemble de mesures qu’une entreprise adopte pour s’assurer que ses activités ne sont pas substantiellement affectées par des événements indépendants de sa volonté. La mise en place d’un PCA englobe tout ce qui a trait aux efforts déployés par une entreprise pour fonctionner sans heurts en toutes circonstances. Le système de récupération des données (DRS), qui est la manière dont les données sont récupérées en cas de catastrophe afin que l’entreprise puisse continuer à fonctionner, et la haute disponibilité des systèmes, sont deux des catégories qui sont incluses dans un PCA.

Le plan de continuité d’activité ou PCA est un plan logistique pour la pratique de la façon dont une organisation doit récupérer et restaurer ses ressources critiques, partiellement ou totalement perturbées, dans un délai prédéterminé après une perturbation ou une catastrophe non désirée.

Considérations relatives à un PCA

Lors de la mise en œuvre d’un PCA, deux considérations principales doivent être prises en compte : le RPO (Recovery Point Objective) et le RTO (Recovery Time Objective).

La première se réfère au volume de données à risque de perte que l’organisation considère comme tolérable. Autrement dit, elle détermine la perte cible maximale possible des données introduites depuis la dernière sauvegarde des données, jusqu’à ce que le système tombe en panne. Elle ne dépend pas du temps de récupération.

Quant au second, il exprime le temps pendant lequel une organisation peut tolérer l’arrêt de ses applications critiques et la baisse de niveau de service associée, sans affecter la continuité d’une quelconque activité de l’entreprise.

Le temps d’arrêt tolérable ne cesse de se réduire, en raison de l’intensité croissante des processus d’entreprise, de leur mondialisation et de la nécessité d’une coopération en temps réel entre de multiples unités internes et externes. En outre, un nombre croissant de transactions se font sans papier, ce qui rend la récupération pratiquement impossible en cas de perte de données.

Plans de récupération des données pour assurer la continuité d’activités

Le plan de reprise d’activité (PRA) est un processus de récupération qui couvre les données, le matériel et les logiciels essentiels. Il vise à permettre à une entreprise de reprendre ses activités en cas de perte importante de données. Il s’agit d’un processus ou d’un flux de travail qui permet de récupérer des données, qu’il s’agisse de solutions physiques ou logicielles. L’entreprise peut ainsi reprendre ses activités même en cas d’incident naturel, d’origine humaine, de ransomware ou d’autres cyberattaques sur les systèmes.

Un plan de reprise vise à fournir à l’entreprise des moyens alternatifs pour exécuter ses fonctions normales lorsque les moyens habituels sont indisponibles en raison d’un imprévu.

Le PRA se concentre sur les systèmes informatiques qui prennent en charge les fonctions essentielles de l’entreprise. Il diffère quelque peu de ce que l’on entend par PCA, qui consiste à maintenir les aspects essentiels d’une entreprise en activité malgré des événements perturbateurs importants. On peut dire que le PRA est un sous-ensemble du PCA.

L’importance d’avoir et de maintenir un PRA pour tout type d’entreprise est essentielle pour évaluer l’impact d’une situation de sinistre. Il permet également de se rétablir rapidement et de relancer l’activité en cas de perte. Cela permettra de minimiser le risque concernant la perte de capital et, surtout, d’éviter la perte de confiance dans l’entreprise ou chez les clients.

Quels sont les points à prendre en compte lors de la conception d’un PRA ?

Pour une bonne conception d’un PRA, la première chose à faire est d’établir ce que l’on veut protéger et combien de temps il faudra pour le récupérer. Par la suite, la rédaction du document doit inclure le reste des considérations à prendre en compte. Ces considérations seront :

  • Évaluer le temps d’arrêt toléré ;
  • Examiner le SLA pour comprendre les conséquences d’un sinistre ;
  • Établir des délais de récupération cibles pour chaque partie de l’entreprise et du service ;
  • Faire un inventaire du matériel et des logiciels, classés en fonction de leur importance pour l’entreprise ;
  • Avoir les coordonnées du ou des fournisseurs d’assistance technique pour chaque matériel ou application logicielle ;
  • Ordre de récupération pour chaque système ;
  • Spécifier les rôles et les responsabilités ;
  • Mettre en œuvre un plan de communication ;
  • Documentation supplémentaire.

Enfin, il faut garder à l’esprit que le PRA est un document en constante évolution. Il est inutile de concevoir et de mettre en place un plan de reprise juste pour le conserver. Vous devez familiariser votre personnel avec le PRA, veiller à ce qu’il sache quel est son rôle. Il faudra le tester, le réviser en permanence et faire en sorte qu’il soit facile à mettre à jour ou à étendre. Cela vous permettra de protéger l’essentiel de votre infrastructure informatique contre toute catastrophe imprévue avec la plus grande efficacité.