Avez-vous un Plan de Reprise d’Activité (PRA) pour limiter les dégâts en cas de cybercrise ?

Le 11 mars 2024, le gouvernement annonçait que 800 sites ministériels et étatiques avaient été touchés par « une cyberattaque d’une intensité inédite ».

Deux jours plus tard, France Travail rapportait que toutes les données des inscrits à Pôle Emploi sur les 20 dernières années avaient été visées par une cyberattaque. En février, les données de 33 millions d’assurés des mutuelles Viamedis et Almerys ont été visées[i]. Plus largement, plus d’une entreprise française sur deux a été touchée par au moins une cyberattaque en 2022.

Dans ce contexte, la résilience face aux imprévus devient un facteur de survie, et parfois un élément de différenciation sur le marché, dans la mesure où certaines cyberattaques ou pannes touchent plusieurs concurrents en même temps. Et c’est ici qu’intervient le Plan de Reprise d’Activité (PRA).

Qu’est-ce qu’un Plan de Reprise d’Activité (PRA) ?

Un Plan de Reprise d’Activité, ou PRA, est un ensemble structuré de procédures et de ressources préétablies qui permet à l’entreprise de restaurer ses opérations informatiques critiques après un incident majeur comme :

  • Une cyberattaque, notamment par ransomware, attaque de déni de service (DDoS) ou phishing, qui sont les types d’attaques les plus courantes contre les entreprises françaises selon une étude ;
  • Une panne matérielle, notamment le crash d’un serveur, la défaillance d’un disque dur ou d’un système RAID, un problème dans l’infrastructure réseau, etc.
  • Des incidents liés à l’énergie, par exemple une coupure de courant prolongée ou des surtensions électriques ;
  • Des erreurs humaines, comme la suppression accidentelle de données critiques ou la configuration erronée des systèmes ;
  • Des catastrophes naturelles qui endommagent physiquement les infrastructures informatiques.

La mise en œuvre d’un PRA implique une identification précise des systèmes critiques pour les opérations de l’entreprise et la détermination des objectifs sur deux KPIs :

  • Le temps de reprise (RTO), qui définit la durée maximale acceptable pour la restauration des fonctions après une perturbation. C’est le laps de temps pendant lequel vos systèmes et applications peuvent être inaccessibles avant que cela n’ait un impact significatif sur vos activités ;
  • Le point de reprise (RPO), qui fixe « la fraîcheur » minimale des données récupérées. Par exemple, si une entreprise estime que son RPO doit être de 24 heures, elle doit réaliser des sauvegardes quotidiennes de ses bases de données pour s’aligner sur cet objectif.

Comment se présente concrètement un Plan de Reprise d’Activité ?

Le Plan de Reprise d’Activité se présente généralement sous forme d’un document numérique (pour faciliter l’accès) mais aussi papier (pour l’accès en cas de panne).

Son volume dépend de la taille de l’entreprise, de la complexité de ses opérations et de sa maturité sur le volet IT. Typiquement, les PRA font entre une quinzaine et plusieurs centaines de pages. L’accès au plan est généralement réservé aux personnes suivantes :

  • Dans les PME : le CEO, le responsable informatique et le responsable administratif ;
  • Dans les grandes entreprises : les chefs de service, le DG, le DSI et le DRH. Les grandes structures peuvent même disposer d’un comité de continuité des affaires composé de membres de différents départements, notamment l’IT, les RH et les opérations.

Typiquement, le Plan de Reprise d’Activité va s’articuler autour de 7 parties :

  1. Les objectifs du plan en termes de RTO et RPO pour chaque fonction critique, et listing des priorités de restauration des services et des applications en fonction de leur importance pour l’entreprise.
  2. L’analyse de l’impact sur l’activité (BIA), qui évalue les dommages potentiels d’une interruption des opérations, et le classement des processus business par importance. On identifiera également à ce stade les dépendances entre les systèmes.
  3. Les stratégies de reprise, avec la description détaillée des méthodes et technologies utilisées pour la reprise des opérations après un sinistre, et le détail des solutions de sauvegarde et des infrastructures de récupération retenues.
  4. Les plans d’urgence et les procédures, avec des instructions détaillées sur les actions à entreprendre immédiatement après l’incident. On y trouve également les postes concernés et la distribution des rôles et des responsabilités.
  5. Les infrastructures de secours, avec le détail des sites de reprise alternatifs et des ressources informatiques disponibles en cas d’urgence.
  6. Le calendrier des tests et des mises à jour du PRA pour assurer son efficacité et sa pertinence sur la durée, et refléter les éventuels changements dans l’environnement opérationnel et technologique de l’entreprise.
  7. Le programme de formation et les actions de sensibilisation des collaborateurssur les procédures du PRA et les meilleures pratiques en cas de sinistre.

Quelle différence entre le Plan de Reprise d’Activité (PRA) et le Plan de Continuité d’Activité (PCA) ?

Le PRA et le PCA s’inscrivent tous les deux dans une perspective de résilience opérationnelle et de gestion proactive des risques, mais ils présentent des différences.

Le Plan de Reprise d’Activité (PRA) est pensé pour restaurer les fonctions essentielles de l’entreprise après une interruption majeure, avec un focus sur la récupération rapide des opérations critiques, des systèmes informatiques et des données. On vise ici la restauration de 100 % de la capacité opérationnelle de l’entreprise.

De son côté, le Plan de Continuité d’Activité (PCA) vise à prévenir les interruptions opérationnelles, mais aussi à minimiser l’impact de ces perturbations en permettant à l’entreprise de fonctionner sous une forme réduite ou modifiée pendant la durée de la crise.

En clair, le PCA prévient la crise et pilote l’organisation en cas de survenance, tandis que le PRA s’attache à restaurer toutes les capacités de l’entreprise au plus vite. Parfois, le PRA et le PCA figurent dans un même document.

L’intérêt du PRA dans un exemple concret

Une entreprise de services financiers est victime d’une attaque par ransomware qui crypte les données client et paralyse les transactions. Elle déclenche donc son PRA qui prévoit un protocole détaillé pour répondre à ce type de cyberattaque.

Conformément au plan, l’équipe IT isole rapidement les serveurs et les systèmes affectés pour prévenir la propagation du ransomware. L’intérêt du PRA ici a été de lister des procédures pré-testées contre ce type de cyberattaque et de hiérarchiser les systèmes critiques pour organiser la réponse.

L’équipe IT va ensuite lancer une procédure de restauration des données à partir de sauvegardes sécurisées, stockées dans un centre de données hors site, à 150 kilomètres du siège. Ici, le PRA est utile à plusieurs niveaux : il détaille le type de sauvegarde (complète, incrémentielle, différentielle), les responsabilités en cas de manquement, le dernier test effectué, la dernière simulation de restauration, les données à récupérer en priorité, etc.

Dans ce cas précis, le PRA prévoit le test des sauvegardes tous les trois mois par des simulations de restauration pour assurer leur intégrité et leur opérabilité. Lors de la dernière vérification, qui a eu lieu un mois avant l’attaque, la restauration complète des services avait été réussie en moins de quatre heures, conformément aux objectifs de temps de reprise (RTO) de l’entreprise. L’équipe IT tentera donc de répliquer cette performance.

Enfin, un collaborateur de l’équipe IT assure la coordination avec le prestataire externe de cybersécurité, conformément au PRA, pour neutraliser les effets du ransomware tout en investiguant l’origine de l’attaque pour renforcer les mesures préventives futures.

4 étapes pour construire son PRA dans les règles de l’art

1.    L’état des lieux et l’identification des vulnérabilités critiques

L’objectif ici est de cartographier avec précision les processus essentiels et leur interdépendance. Dans un premier temps, l’équipe (ou la personne) chargée de la continuité des affaires par la direction organise des entretiens avec les responsables de chaque département pour comprendre les fonctions critiques qui, en cas de défaillance, pourraient causer des dommages immédiats et significatifs à l’entreprise.

Ensuite, des analyses techniques sont menées pour déterminer les configurations des systèmes, comme l’architecture des serveurs et des réseaux, et évaluer les risques liés à chaque composant (site localisé dans une région sujette à des catastrophes naturelles ou à des interruptions d’énergie, par exemple).

2.    Définir les objectifs de reprise

Après avoir cartographié les processus critiques, l’étape suivante consiste à réaliser une Analyse d’Impact sur l’Activité (BIA) pour comprendre comment les interruptions affectent l’entreprise et identifier les processus qui nécessitent une récupération rapide pour minimiser les pertes.

L’équipe de continuité des affaires, en collaboration avec les responsables de chaque département, procède à l’évaluation des conséquences d’une interruption des activités sur les aspects financiers, légaux et opérationnels. Objectif : déterminer l’impact d’une défaillance sur des périodes différentes (24h, 48h, une semaine, etc.).

Les processus essentiels pour la continuité des opérations sont alors classés en fonction de leur importance et du temps maximal tolérable d’interruption (MTD, pour Maximum Tolerable Downtime).

C’est à partir de ce temps maximal que l’entreprise déterminera son RTO, qui est le temps visé pour la restauration (le RTO est logiquement inférieur au MTD).

3.    Sélection des solutions de reprise

L’équipe chargée du PRA passe en revue différentes technologies et services susceptibles de l’aider à atteindre les objectifs de reprise préalablement définis : logiciels de sauvegarde, infrastructures Cloud pour la réplication des données, systèmes de basculement automatique pour la continuité des opérations critiques, etc.

Pour les données essentielles, on envisagera la réplication en temps réel entre le site principal et un site distant ou un service Cloud pour une reprise quasi-instantanée. Les sauvegardes régulières, programmées selon le RPO, peuvent être effectuées sur des bandes, des disques durs externes et/ou dans le cloud.

Pour évaluer la pertinence de chaque solution, l’équipe doit se baser sur des critères objectifs :

  • La compatibilité, pour s’assurer que la solution s’intègre bien avec l’infrastructure technologique existante sans nécessiter de modifications majeures :
  • Le coût, que ce soit lesdépenses initiales ou récurrentes par rapport au budget disponible, en tenant compte de l’achat et de l’installation, mais aussi de la maintenance et des mises à jour futures ;
  • La fiabilité des solutions retenues à travers des tests de récupération pour s’assurer qu’elles fonctionnent sous pression et dans divers scénarios de sinistre ;
  • La scalabilité pour s’assurer que la solution peut s’adapter à l’évolution des besoins de l’entreprise en termes de volume de données et de complexité des opérations.

4.    Les tests pour valider les solutions retenues et peaufiner le PRA

Des simulations de récupération des données sont ensuite réalisées pour vérifier que les RTO et RPO sont respectés.

Ces tests doivent être réalisés dans des conditions réalistes pour s’assurer que le système peut gérer une reprise complète en cas de sinistre réel. Le retour d’expérience de ces tests permet de peaufiner la configuration et d’améliorer les procédures de reprise.

Une fois que les solutions ont été testées et validées, l’équipe documente la configuration finale, les procédures d’exploitation et les instructions de reprise, qui seront utilisées pour la formation du personnel et intégrées dans le manuel global du PRA.

DFM : un plan de reprise informatique sur mesure

Au terme d’un audit approfondi de vos process et de votre infrastructure, et d’une compréhension fine des contraintes et spécificités de votre activité, DFM coconstruit avec vous un Plan de Reprise d’Activité sur mesure.

Au programme :

  • Poursuite de votre activité en cas de sinistre (prêt de matériel) ;
  • Sauvegarde de vos serveurs (en physique et en virtuel) ;
  • Récupération de l’ensemble de vos données et applicatifs ;
  • Accompagnement d’experts pour favoriser la reprise rapide de vos opérations, conformément au RTO et RPO définis à l’avance.
Discutons de votre besoin

[i] https://www.publicsenat.fr/actualites/societe/cyberattaques-la-recrudescence-que-nous-voyons-aujourdhui-nest-que-la-partie-visible-de-liceberg