PCA/PRA : Bâtir un plan de Continuité d’Activité/Plan de Reprise d’Activité ou comment se préparer à l’imprévisible …

Publié le 17 janvier 2020
Sylvain GROSGEORGE
Consultant Cybersécurité, Metanext
scroll
pra_pca
N’oubliez pas
de partager
cet article

Comment la Continuité d’Activité est-elle gérée au sein des entreprises ?

En préambule, je souhaite vous présenter cette étude de Syncsort portant sur les réponses de plus de 1730 professionnels IT à propos de la Haute Disponibilité Applicative/Continuité d’Activité.

Plusieurs points sont à retenir de cette étude :

  • Très majoritairement la continuité d’activité est gérée en interne (82%), mais seulement 16% ont prévu un plan additionnel afin de former leur personnel interne aux spécificités de la continuité d’activité.

La continuité d’activité est un domaine à part entière nécessitant des connaissances spécifiques, il est important que les personnels soient formés à ce domaine spécifique.

Le plan de Continuité de Service est-il vraiment opérationnel ?

  • L’étude montre que dans 43% des cas (à gauche dans le tableau ci-dessus) le plan de continuité de service HA/DR n’était pas opérationnel !

Cela montre que les directions générales des entreprises ne prennent pas assez en compte l’importance d’un plan DR opérationnel, à jour et qui soit testé régulièrement !

Et que penser des 10% ne sachant pas si leur plan DR a rencontré un problème ? Si des responsables IT ne savent pas si leur plan DR s’est bien déroulé lors d’une reprise d’activité suite à sinistre, alors cela démontre une méconnaissance de leur propre continuité d’activité. Et le danger est grand pour l’entreprise !

Quelle est l’ampleur de la perte de données lors d’un sinistre ?

  • L’étude montre aussi qu’en cas de sinistre, dans l’immense majorité des situations il y a perte conséquente de données ! Seules 6% des entreprises perdent seulement quelques secondes.

En synthèse, pour un tiers des entreprises la perte se compte en minutes, pour un autre tiers en heures et pour le dernier tiers en jours !

Cette perte peut éventuellement être acceptée par les métiers mais cela reste tout de même une perte de données, de travail et donc une perte financière pour l’entreprise.

En combien de temps le service est-il rétabli ? dans le respect du RPO /RTO ?

  • Recovery Time Objective (RTO) : dans 45% des cas, la reprise d’activité a pris une heure ou moins, cela signifie que dans 55% des situations la reprise d’activité a pris plus d’une heure.

Même si ce RTO est en accord avec les SLA (Service Level Agreement), cela reste une perte d’exploitation pour l’entreprise.

  • Recovery Point Objective (RPO) : Dans seulement 25% des cas il n’y a pas eu de perte de données pour l’entreprise, cela signifie que dans 75% des situations il y a eu une perte de données.

Cependant le point rassurant est que dans 74% des cas, l’objectif RPO a été atteint voire dépassé. Cela signifie tout de même que dans 26% des situations, l’équipe informatique n’a pas été en mesure de respecter ses engagements en termes de RPO. Cela signifie que la perte de données acceptable par l’entreprise a été dépassée. C’est de mon point de vue une défaillance claire de préparation au DR : soit les tests n’ont pas été correctement organisés, soit les tests n’étaient pas conformes à la réalité.

De l’absolue nécessité de réaliser des tests DR réguliers et les plus proches possibles des conditions réelles.

Le sinistre majeur n’arrive pas qu’aux autres !

J’ai réalisé plusieurs missions PCA/PRA pour différentes entreprises et j’ai eu l’opportunité de travailler pour plusieurs clients OIV (Opérateur d’Importance Vitale) afin de créer, d’améliorer ou de tester leurs plans PCA/PRA.

Le principal obstacle que j’ai rencontré est un manque d’implication de la direction générale des entreprises dans la gestion de la continuité d’activité, c’est-à-dire croire que les crises n’arrivent jamais ou n’arrivent qu’aux autres entreprises et donc que cela ne les concerne pas.

Une implication de la direction générale des entreprises et des tests réguliers pour apprendre, corriger et réduire le risque

Parfois la seule raison pour laquelle les entreprises produisent des documents de continuité d’activité est pour être certifiée et/ou dans la légalité.

Il faut donc réussir à les convaincre que les crises arrivent, que ces documents de continuité d’activité vont servir qu’il est donc nécessaire de s’approprier ces documents, et surtout de les tester régulièrement au plus proche des conditions réelles afin de s’assurer de la véracité de leur continuité d’activité.

La continuité de service coûte trop chère ! Jusqu’au jour où …

Le second obstacle est une problématique financière à court-terme qui considère que la continuité coûte chère et qu’il y a d’autres tâches plus prioritaires. La continuité est alors repoussée aux calendes grecques. Les plans ne sont pas mis à jour (voire inexistants), les tests ne sont pas réalisés…

Toute la difficulté est de convaincre l’entreprise que sur le long terme, il est financièrement bénéfique de dédier régulièrement un budget à la gestion de la continuité d’activité afin de limiter les pertes financières quand il y aura un sinistre.

Être certain d’exister après un désastre majeur !

Le jour où la crise arrive, ces plans et ces exercices réguliers permettent à l’entreprise de limiter les impacts de celle-ci, voire tout simplement de survivre dans certains cas extrêmes !

J’ai eu l’occasion de participer à des déclenchements de PCA/PRA en conditions réelles chez un client : la préparation à ces évènements exceptionnels est la clé qui permet à l’entreprise de limiter les impacts sur son activité, quel que soit le désastre.

Quels enjeux pour la continuité d’activité ?

Face à un monde en constante évolution, les entreprises sont aujourd’hui confrontées à de nouvelles menaces, notamment liées à l’ère de la digitalisation, de la mobilité, de l’hyperconnexion, des cyberattaques.

Les évènements exceptionnels sont par nature peu probables mais sur le temps de vie d’une entreprise il y aura forcément des crises.

Il est donc vital pour les entreprises d’identifier les processus critiques utiles à son bon fonctionnement, afin de permettre une continuité de ces activités en cas de crise.

De nouvelles obligations légales et règlementaires : Bâle III, ACPR, LPM, NIS, …

  • Les accords de Bâle III, publiés en 2010, mais dont les derniers accords ont été adoptés le 7/12/2017, et dont la mise en conformité devait être effectuée avant 2019, qui visent le milieu bancaire et assurance.

Ces accords concernent la partie PCA/PRA car ils viennent renforcer l’encadrement du risque de crise généralisée comme en 2008. En clair, les banques doivent redéfinir leurs risques de crise généralisée et doivent mesurer et contrôler ce risque.

  • Les contrôles de l’ACPR (Autorité de contrôle prudentiel et de résolution), liés à la Banque de France, pour le milieu bancaire et assurance

L’ACPR demande notamment de lui fournir des plans de résolution établis à l’avance, qui leur permettent, en cas de difficulté, de se restructurer rapidement afin de préserver les activités critiques pour le financement de l’économie.

  • La LPM (Loi de Programmation Militaire) qui oblige les OIV à se conformer à un certain nombre de règles.

L’ANSSI (L’Agence nationale de la sécurité des systèmes d’information) se charge de vérifier la bonne mise en conformité des OIV par rapport à la LPM.

  • La directive européenne (UE) 2016/1148 Network and Information System Security (NIS), dont le dernier décret, publié le 29/09/2018, donne un certain nombre d’obligations de sécurité du SI concernant les OSE (Opérateurs de Services Essentiels) et les FSN (Fournisseurs de Services Numériques).

De nouvelles stratégies de continuité d’activité grâce au Cloud !

La continuité d’activité n’échappe pas au développement du Cloud ! De nouvelles solutions permettent aujourd’hui de déployer une stratégie de continuité dans le Cloud !

Avantages du PCA/PRA dans le Cloud

La continuité d’activité dans le Cloud possède de nombreux avantages, en termes de réduction des coûts, de flexibilité (notamment l’augmentation de serveurs à la demande), de rapidité et de simplification de déploiement.

Par ailleurs, le Cloud répond également nativement à la problématique de distance du datacenter principal, avec des possibilités de redondance sur plusieurs régions du monde.

La solution de continuité d’activité dans le Cloud permet de s’adapter à un grand nombre d’entreprises comme le montre le schéma ci-dessous :

VMware et AWS : VMware Cloud on AWS

La réunion de VMware et d’AWS propose un type de Cloud novateur avec des VMs reposant sur l’infrastructure AWS, permettant ainsi aux entreprises une continuité technologique entre leur datacenter et leur secours dans le Cloud !

Le grand avantage de cette solution de continuité d’activité dans le Cloud est qu’il n’y a pas de modification de stockage entre le datacenter physique et le Cloud : les deux sont hébergées sur VMware, exactement comme si le Cloud était simplement un autre datacenter !

Metanext en tant que spécialiste Cloud s’est évidement positionné sur cette solution novatrice, Metanext est certifiée sur la solution VMware Cloud on AWS, et compte parmi ses rangs de nombreux experts de cette solution, qui sont à même d’accompagner les entreprises sur l’étude et le déploiement de cette solution.

Sécurité et Cloud

Sécurité et Cloud sont deux mots qui font souvent peur. Mais des garanties peuvent être prises, notamment en termes de gestion des risques, de protection de la donnée, de gestion des accès.

Par ailleurs, les services des fournisseurs de Cloud Public sont souvent bien mieux protégés face à une cyberattaque que peuvent l’être les datacenters des entreprises.

La solution VMware Cloud on AWS bénéficie des avantages de tous les services AWS, notamment en termes de sécurité :

Conclusion

D’après mon expérience et comme le montre cette étude, la continuité d’activité est encore loin d’être un domaine maitrisé par toutes les entreprises. C’est un concept qui est encore à mon sens trop méconnu et/ou sous-estimé par les directions générales des entreprises. Attention au réveil brutal ! Il sera (peut-être) trop tard … De nouvelles solutions novatrices permettent aujourd’hui de simplifier la mise en place de la continuité d’activité en passant par le Cloud. Il y a fort à parier que ce genre de solutions va se répandre dans les entreprises !