Qu’il s’agisse du ransomware Wannacry, qui a touché des entreprises telles que Renault, FedEx ou Telefonica, ou encore, du wiper Petya/notPetya, qui a toucché des multinationales telles que Saint-Gobain, La SNCF ou encore Merck… On peut avoir les plus gros moyens, ou la meilleure des sécurité informatiques, et pourtant succomber à des virus informatiques d’un genre nouveau.

Protéger son réseau, former ses employés reste indispensable, et permet d’éviter un grosse partie des menaces informatiques. Mais en matière de cybersécurité, rien n’est jamais garanti à 100%, et sous l’effet de nouvelles failles, ou de virus d’un nouveau genre, il est toujours possible d’être infecté. C’est pourquoi il est important d’envisager d’éventuelles situations de crise, et surtout, de mettre en place des moyens pour protéger ses données, et assurer la continuité ou la reprise de son activité, avec des données intactes.

Bien connu des grandes entreprises, ces pratiques sont moins utilisées par les TPE et les PME, mais elles le seront de plus en plus, avec la recrudescence des problèmes de cybersécurité. Dans cet article, nous allons traiter des procédures que ces entreprises doivent mettre en place en cas d’incident de sécurité informatique.

 

Comment organiser la reprise d’activité après un sinistre ?

Indispensable : disposer d’une sauvegarde répliquée

Classiquement, avant même d’envisager une quelconque continuité ou reprise d’activité, l’entreprise qui souhaite protéger ses données en cas de sinistre doit avant tout disposer d’une bonne sauvegarde.

En effet, la sauvegarde est le seul et le meilleur moyen de s’assurer de l’intégrité de ces données, quel que soit le type ou la virulence de l’attaque informatique subie.

L’idéal est de disposer d’une sauvegarde distante, c’est à dire, hébergée non localement, et cette sauvegarde doit être idéalement elle-même répliquée sur un autre site distant, de façon à éviter tout éventuel incident sur la sauvegarde elle-même.

 

Reprise de l’activité ou continuité de l’activité ?

En cas de sinistre informatique, vaut-il mieux prévoir une continuité de l’activité ou une reprise de l’activité ?
Selon une étude du cabinet de conseil américain Eagle Rock, 40% des entreprises ayant subi un arrêt de 72 heures de leurs moyens informatiques et télécoms ne survivent pas à un désastre informatique.

Pour définir si l’entreprise doit mettre en place une continuité de l’activité ou une reprise de l’activité, il est nécessaire de définir le temps d’arrêt qu’elle peut supporter en cas de panne ou d’incident.

  • Si l’entreprise ne peut supporter aucune interruption, on mettra en place un plan de continuité d’activité (ou PCA). Cette procédure aura pour objectif d’assurer une disponibilité en continu des activités les plus vitales de l’entreprise.
  • Si l’entreprise peut supporter une panne, ainsi que quelques heures d’inactivité, on choisira de mettre en place un PRA ou un plan de retour à l’activité, moins gourmand sur le plan des infrastructures et des ressources, mais tout autant exigeant avec les procédures et l’organisation.

PCA / PRA : comment les mettre en place ?

Typiquement, après avoir évalué tous les risques de panne possibles pour son système d’information, et défini le périmètre des processus, applications et ressources les plus critiques, il s’agira de mettre en place des mécanismes de redondance de façon alors ce que lorsqu’une ressource tombe en panne, une autre puisse prendre le relais.

Outre les aspects techniques de cette procédure, il est également important de mettre en place une organisation, de façon à connaître les différents acteurs concernés, la communication nécessaire, ainsi que toutes les étapes et démarches à suivre. Il est donc également important de mettre en forme une documentation qui permet de gérer la situation de crise de façon plus sereine.

 

PCA / PRA : bonnes pratiques

  • Votre plan de reprise ou de continuité d’activité doit être parfaitement à jour sur le plan matériel et infrastructure. En effet, sans connaître les dernières évolutions du système d’information de l’entreprise, le PRA ou le PCA sera voué à l’échec
  • Limiter les risques d’erreurs humaines avec une bonne formation des utilisateurs dans leur capacité à gérer toutes les étapes nécessaires au PRA / PCA ainsi que les différentes dépendances applicatives en cas de sinistre
  • S’assurer de la disponibilité des équipes en charge du PRA / PCA en toutes circonstances
  • des tests probants pour vérifier que le PRA / PCA fonctionne bien

 

Ainsi, nous venons de voir les enjeux de la mise en place d’une démarche de PCA / PRA. Il important de noter que ces démarches et bonnes pratiques sont applicables à tous les types d’entreprises, et compte tenu du contexte de cybersécurité actuel, les TPE et les PME ont tout intérêts à se prémunir des dangers que représente l’interruption d’activité pour une entreprise.

Ivision propose désormais des services de PRA / PCA : pour en savoir plus…