Téléchargement

Les informations recueillies dans ce formulaire sont enregistrées dans un fichier informatisé et sont destinées à Metanext pour vous proposer leurs services et offres par téléphone ou courriel. Vos données sont conservées pendant 3 ans. Conformément au RGPD, vous pouvez exercer votre droit d'accès aux données vous concernant et les faire rectifier en contactant conformite@metanext.com. Voir notre Politique de Confidentialité.

Avis d'expert

Avis d'expert PCA/PRA : Bâtir un plan de Continuité d’Activité/Plan de Reprise d’Activité ou comment se préparer à l’imprévisible …

Par Sylvain Grosgeorge, Consultant CyberSécurité, Metanext

 

Comment la Continuité d’Activité est-elle gérée au sein des entreprises ?

En préambule, je souhaite vous présenter cette étude de Syncsort portant sur les réponses de plus de 1730 professionnels IT à propos de la Haute Disponibilité Applicative/Continuité d’Activité.

Bilan de la gestion HA / DR

Plusieurs points sont à retenir de cette étude :

  • Très majoritairement la continuité d’activité est gérée en interne (82%), mais seulement 16% ont prévu un plan additionnel afin de former leur personnel interne aux spécificités de la continuité d’activité.

La continuité d’activité est un domaine à part entière nécessitant des connaissances spécifiques, il est important que les personnels soient formés à ce domaine spécifique.

 

Le plan de Continuité de Service est-il vraiment opérationnel ?

Bilan de la continuité d’activité
  • L’étude montre que dans 43% des cas (à gauche dans le tableau ci-dessus) le plan de continuité de service HA/DR n’était pas opérationnel !

Cela montre que les directions générales des entreprises ne prennent pas assez en compte l’importance d’un plan DR opérationnel, à jour et qui soit testé régulièrement !

Et que penser des 10% ne sachant pas si leur plan DR a rencontré un problème ? Si des responsables IT ne savent pas si leur plan DR s’est bien déroulé lors d’une reprise d’activité suite à sinistre, alors cela démontre une méconnaissance de leur propre continuité d’activité. Et le danger est grand pour l’entreprise !

 

Quelle est l’ampleur de la perte de données lors d’un sinistre ?

  • L’étude montre aussi qu’en cas de sinistre, dans l’immense majorité des situations il y a perte conséquente de données ! Seules 6% des entreprises perdent seulement quelques secondes.

En synthèse, pour un tiers des entreprises la perte se compte en minutes, pour un autre tiers en heures et pour le dernier tiers en jours !

Cette perte peut éventuellement être acceptée par les métiers mais cela reste tout de même une perte de données, de travail et donc une perte financière pour l’entreprise.

 

En combien de temps le service est-il rétabli ? dans le respect du RPO /RTO ?

  • Recovery Time Objective (RTO) : dans 45% des cas, la reprise d’activité a pris une heure ou moins, cela signifie que dans 55% des situations la reprise d’activité a pris plus d’une heure.

Même si ce RTO est en accord avec les SLA (Service Level Agreement), cela reste une perte d’exploitation pour l’entreprise.

  • Recovery Point Objective (RPO) : Dans seulement 25% des cas il n’y a pas eu de perte de données pour l’entreprise, cela signifie que dans 75% des situations il y a eu une perte de données.

Cependant le point rassurant est que dans 74% des cas, l’objectif RPO a été atteint voire dépassé. Cela signifie tout de même que dans 26% des situations, l’équipe informatique n’a pas été en mesure de respecter ses engagements en termes de RPO. Cela signifie que la perte de données acceptable par l’entreprise a été dépassée. C’est de mon point de vue une défaillance claire de préparation au DR : soit les tests n’ont pas été correctement organisés, soit les tests n’étaient pas conformes à la réalité.

De l’absolue nécessité de réaliser des tests DR réguliers et les plus proches possibles des conditions réelles. 

 

Le sinistre majeur n’arrive pas qu’aux autres !

J’ai réalisé plusieurs missions PCA/PRA pour différentes entreprises et j’ai eu l’opportunité de travailler pour plusieurs clients OIV (Opérateur d’Importance Vitale) afin de créer, d’améliorer ou de tester leurs plans PCA/PRA.

Le principal obstacle que j’ai rencontré est un manque d’implication de la direction générale des entreprises dans la gestion de la continuité d’activité, c’est-à-dire croire que les crises n’arrivent jamais ou n’arrivent qu’aux autres entreprises et donc que cela ne les concerne pas.

 

Une implication de la direction générale des entreprises et des tests réguliers pour apprendre, corriger et réduire le risque

Parfois la seule raison pour laquelle les entreprises produisent des documents de continuité d’activité est pour être certifiée et/ou dans la légalité.

Il faut donc réussir à les convaincre que les crises arrivent, que ces documents de continuité d’activité vont servir qu’il est donc nécessaire de s’approprier ces documents, et surtout de les tester régulièrement au plus proche des conditions réelles afin de s’assurer de la véracité de leur continuité d’activité.

 

La continuité de service coûte trop cher ! Jusqu’au jour où …

Le second obstacle est une problématique financière à court-terme qui considère que la continuité coûte chère et qu’il y a d’autres tâches plus prioritaires. La continuité est alors repoussée aux calendes grecques. Les plans ne sont pas mis à jour (voire inexistants), les tests ne sont pas réalisés…

Toute la difficulté est de convaincre l’entreprise que sur le long terme, il est financièrement bénéfique de dédier régulièrement un budget à la gestion de la continuité d’activité afin de limiter les pertes financières quand il y aura un sinistre.

 

Être certain d’exister après un désastre majeur !

Le jour où la crise arrive, ces plans et ces exercices réguliers permettent à l’entreprise de limiter les impacts de celle-ci, voire tout simplement de survivre dans certains cas extrêmes !

J’ai eu l’occasion de participer à des déclenchements de PCA/PRA en conditions réelles chez un client : la préparation à ces évènements exceptionnels est la clé qui permet à l’entreprise de limiter les impacts sur son activité, quel que soit le désastre.

 

Quels enjeux pour la continuité d’activité ?

Face à un monde en constante évolution, les entreprises sont aujourd’hui confrontées à de nouvelles menaces, notamment liées à l’ère de la digitalisation, de la mobilité, de l’hyperconnexion, des cyberattaques.

Les évènements exceptionnels sont par nature peu probables mais sur le temps de vie d’une entreprise il y aura forcément des crises.

Il est donc vital pour les entreprises d’identifier les processus critiques utiles à son bon fonctionnement, afin de permettre une continuité de ces activités en cas de crise.

 

De nouvelles obligations légales et règlementaires : Bâle III, ACPR, LPM, NIS, …

  • Les accords de Bâle III, publiés en 2010, mais dont les derniers accords ont été adoptés le 7/12/2017, et dont la mise en conformité est prévue avant 2019, qui visent le milieu bancaire et assurance.

Ces accords concernent la partie PCA/PRA car ils viennent renforcer l’encadrement du risque de crise généralisée comme en 2008. En clair, les banques doivent redéfinir leurs risques de crise généralisée et doivent mesurer et contrôler ce risque.

  • Les contrôles de l’ACPR (Autorité de contrôle prudentiel et de résolution), liés à la Banque de France, pour le milieu bancaire et assurance

L’ACPR demande notamment de lui fournir des plans de résolution établis à l’avance, qui leur permettent, en cas de difficulté, de se restructurer rapidement afin de préserver les activités critiques pour le financement de l’économie.

  • La LPM (Loi de Programmation Militaire) qui oblige les OIV à se conformer à un certain nombre de règles.

L’ANSSI (L'Agence nationale de la sécurité des systèmes d'information) se charge de vérifier la bonne mise en conformité des OIV par rapport à la LPM.

  • La directive européenne (UE) 2016/1148 Network and Information System Security (NIS), dont le dernier décret, publié le 29/09/2018, donne un certain nombre d’obligations de sécurité du SI concernant les OSE (Opérateurs de Services Essentiels) et les FSN (Fournisseurs de Services Numériques).

 

Conclusion

D’après mon expérience et comme le montre cette étude, la continuité d’activité est encore loin d’être un domaine maitrisé par toutes les entreprises. C’est un concept qui est encore à mon sens trop méconnu et/ou sous-estimé par les directions générales des entreprises. Attention au réveil brutal ! Il sera (peut-être) trop tard …

Bâtir un PCA / PRA opérationnel ou comment se préparer à l’imprévisible …