Pas de sécurité sans PRA et PCA

Si la sécurité est souvent abordée avec une approche orientée logiciel : anti spam, anti virus… Ces éléments doivent être complétés par des dispositifs plus structurants. avec notamment l'instauration de plans de reprise d’activité (PRA) et de plans de continuité d’activité (PCA).

Avant toute chose, nous allons donner une courte définition de ces éléments afin de mieux comprendre leurs champs d'application.

Le plan de reprise d'activité, ou PRA (en anglais Disaster Recovery Plan ou DRP), permet d'assurer, en cas de crise majeure ou importante d'un centre informatique, la reconstruction de son infrastructure et la remise en route des applications supportant l'activité d'une organisation. Le plan de reprise d'activité doit permettre, en cas de sinistre, de basculer sur un système de relève capable de prendre en charge les besoins informatiques nécessaires à la survie de l'entreprise. Il existe plusieurs niveaux de capacité de reprise ; le choix doit dépendre des besoins exprimés par l'entreprise. Un plan de reprise d'activité passe invariablement par une architecture multi sites, permettant au matériel sur le second site de ne pas être affecté par le sinistre.

Un plan de continuité d'activité, ou PCA, a pour but de garantir la survie de l'entreprise après un sinistre important touchant le système informatique. Il s'agit de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Ce plan est un des points essentiels de la politique de sécurité informatique d'une entreprise.

A travers ces définitions, l'on comprend bien que la préservation de l'actif IT est une priorité et qu'il est nécessaire de bien mesurer la valeur des ses assets et données. Ainsi, selon le cabinet d'analyse Markess, les domaines métiers les plus concernés par des enjeux de continuité d'activité sont la messagerie ou encore les applications de finance et de production pour l'industrie notamment. L'on remarque également une évolution vers les applications et infrastructures IP qui connaissent un bon développement dans les entreprises. Globalement, il faut donc arriver à évaluer « l'indisponibilité qui peut être autorisée » et à définir des priorités, des techniques et un budget de mise en œuvre et de fonctionnement.

Autre élément, les PRA et PCA ne sont pas des chantiers dormants, ils doivent évoluer de pair avec le système d'information et être toujours en conditions opérationnelles. Dans ce contexte, il est nécessaire de mettre en place une politique de tests réguliers et de faire évoluer son dispositif PCA-PRA. Traditionnellement déployé dans des activités imposant des contraintes règlementaires le PRA- PCA n'est pas pour autant réservé à ce type de sociétés.

Dans les faits, il s'adresse à toutes les entreprises souhaitant à la fois préserver leur patrimoine numérique et assurer une continuité de service. On notera également que la mise en œuvre de ce mode de traitement permet également de garantir une aide plus conséquente vis-à-vis des assurances.

Les PRA et PCA sont donc un dispositif clé de la sécurité informatique et doivent faire partie de la stratégie sécurité de l'entreprise dès le lancement du système d'information. Avec la complexification des architectures réseaux et applicatives, il est fort probable que le PRA et le PCA se développent à court terme.

Autour du même sujet