Evaluer régulièrement votre PRA pour faire face à l’imprévu

Face à l’accélération de l’évolution informatique et la généralisation des contraintes réglementaires, les DSI ont aujourd’hui l’obligation et surtout le devoir de tester deux à trois fois par an leur Plan de reprise d'activité.

Quand survient un incident important voire une catastrophe, le Plan de Reprise d’Activité (PRA) doit garantir de relancer rapidement le système d’information et les moyens informatiques nécessaires à l’activité de l’entreprise concernée. Il en va, de même, pour le Plan de Continuité de Services (PCS), qui doit, quant à lui, assurer la disponibilité des applications et des données de l’entreprise, quels que soient les dysfonctionnements ou problèmes rencontrés. Au delà du diagnostic et de la mise en place d’un PRA ou PCS, de l’organisation aux moyens adéquats, les DSI omettent, pour des raisons de temps ou de budget, de réaliser des tests de bascule « en situation réelle » pour évaluer concrètement la fiabilité de ces derniers, et cela en dépit des risques encourus. Des chiffres de Forrester/Disaster Recovery Journal l’illustrent : plus de 50 % des entreprises mènent un seul test de bascule par an voire moins, et 17% des entreprise n’en effectuent jamais.

Se mettre en situation « critique » au minimum deux à trois fois par an pour mettre à jour son PRA ! 
Lors de toute mise en place d’une infrastructure de haute disponibilité, associant serveur de production, serveur de secours (back up) et solution logicielle de haute disponibilité, un test de bascule « réel » s’avère une étape clé. Les ressources sont mobilisées, les experts présents, les procédures suivies et l’enveloppe budgétaire prévue. Sur le long terme, on constate cependant que le PRA se dégrade progressivement en raison des évolutions constantes du SI et de l’infrastructure informatique, de la non-transmission des méthodes voire du turn-over des collaborateurs informatiques. Quelques mois après, 60% des tests de PRA échouent.

Afin de contrer de manière efficace cette dégradation du PRA, les DSI doivent effectuer, deux à trois tests par an, des tests « réel » de bascule de la machine de production vers la machine de back-up afin de détecter les anomalies ou faiblesses, repenser le scénario et cela en vue de remplir leurs engagements de continuité de services. Ces tests de bascule, considérés à tort comme contraignants, sont souvent synonymes au sein des DSI de « tâches sensibles » qui mobilisent les ressources informatiques et représentent des coûts élevés. Halte aux idées reçues ! Avec une solution logicielle  de haute disponibilité adéquate, gage d’automatismes, un scénario éprouvé d’opérations manuelles avec l’ensemble des intervenants, des tests de PRA ne représentent que quelques heures par trimestre voire une demi-heure par mois pour les DSI particulièrement aguerries dans ce domaine.

Ce qui augure d’un temps de bascule négligeable en cas de sinistre effectif, et c’est tout le but recherché ! Plus que jamais les DSI doivent avoir conscience que des tests sont incontournables dans le cadre d’un PRA, en regard des risques encourus en cas de dégradation de ce dernier ! On comprend bien maintenant que le test « à blanc », ou virtuel, ou même un simple contrôle périodique de l’égalité des deux systèmes ne peut remplacer le test en « réel ».

Promouvoir le PRA et le traduire « en situation terrain » !
La régularité des tests se révèle également capitale pour évaluer « en situation réelle » l’ensemble des acteurs impliqués. Le dimension humaine, et en particulier les interlocuteurs clés qui interviennent dans le PRA, est souvent sous-estimée. En effet, un PRA dépasse le simple cadre de l’infrastructure informatique et nécessite de mobiliser et surtout d’entraîner « à la situation de crise » les collaborateurs concernés. A cela s’ajoute l’obligation, très souvent oubliée, de documenter les procédures de reprise en vue de partager les retours d’expérience et de lister les problèmes rencontrés afin d’en tirer les enseignements. Quel que soit le « turn-over des équipes », le PRA, avec des tests réguliers, vit et évolue selon une organisation bien définie, dans le respect des engagements de continuité de services de la DSI.  

Répondre aux contraintes réglementaires et se prémunir des risques opérationnels
Enfin, le Plan de Reprise d’Activité (PRA) s’impose de plus en plus comme une exigence dans de nombreuses réglementations (BâleIII, Solvency, SOX…), dans différents secteurs d’activités tels la Banque & l’Assurance, et un incontournable dans les meilleures pratiques comme ITIL (Information Technology Infrastructure Library). De nombreuses entreprises doivent aujourd’hui démontrer qu’elles ont pris toutes les précautions nécessaires pour assurer le bon fonctionnement et surtout la continuité de services de leur système d’information en cas de problèmes. Mieux vaut donc prévoir dans les conditions optimales, via des tests réguliers, la reprise d’activité de l’infrastructure informatique et du système d’information après incident pour se prémunir des risques opérationnels qui engagent la responsabilité de l’entreprise !

A nos yeux, les tests réguliers et en situation réelle, s’avèrent la dernière étape clé d’un Plan de Reprise d’Activité (PRA). Ces tests opérationnels, souvent négligés, sont primordiaux pour que l’entreprise soit véritablement prête à faire face à l’inattendu, et cela en pérennisant ses investissements dans la sécurité informatique. Qu’elle les réalise elle-même ou via un partenaire IT voire son hébergeur, l’entreprise ne peut aujourd’hui faire l’impasse des tests « grandeur nature » de haute disponibilité qui donnent du sens au PRA !