Plan de reprise d'activité

Vitale en cas de sinistre pour reprendre et continuer votre activité.

Pourquoi mettre en place un PRA ?

Une entreprise sur trois a déjà subi un incident ou une panne qui a nécessité le déclenchement d’un plan de reprise d’activité après sinistre. Êtes-vous prêt à être la prochaine ?

Quelques statistiques sans appel

Les entreprises qui ont déclaré une perte de données informatiques sur les deux dernières années
76%
Pourcentage de PME non préparées à un sinistre et qui ne survivent pas à un important crash informatique
82%
Pourcentage des entreprises ayant perdu leurs données ou l’accès à celles-ci pendant 10 jours, ont fait faillite dans l’année suivant la catastrophe
93%

Un plan de reprise d'activité

Qu'est-ce que c'est ?

Un plan de reprise d’activité (PRA)* est un ensemble de procédures (techniques, organisationnelles, sécurité) qui permet à une entreprise de prévoir par anticipation, les mécanismes pour reconstruire et remettre en route un système d’information en cas de sinistre important ou d’incident critique. 

*Source : Wikipedia

Quand le mettre en place ?

Un PRA doit être mis en place sans attendre un sinistre. Sa construction se fait en amont, ainsi que des tests éprouvés avant toute mise en place.

Que doit'il contenir ?

L’objectif pour l’entreprise sera d’identifier ces activités considérées comme critiques. Il devra ainsi contenir des besoins humains et matériels qui seront mise en oeuvre lors d’une crise.

Qui est concerné ?

La mise en place doit être effectuer par un comité de planification soutenu par la direction. Il inclut les représentants de tous les services de l’organisation. Ensuite, le plan définira les acteurs clés pour chaque risque identifiés.

Par quoi débuter ?

Hormis le fait de nommer un comité. Il faut au préalable préparer une évaluation des risques. Cette étape est primordiale pour établir l’impact sur les activités de l’entreprise. Ceux-ci incluent une gamme d’incidents possibles, y compris des menaces naturelles, technologiques et humaines. L’important est que chaque services de l’organisation soient analysés pour déterminer les conséquences potentielles et les impacts associés à plusieurs scénarios de désastre.

Cette analyse peut être effectué par un audit interne ou externe.

Quelles étapes pour mettre en place un PRA ?

Il existe plusieurs méthodes et rapports qui décrivent comment mettre en place un PRA. Pour simplifier, j’ai sélectionné ici «  » étapes. Mais avant de commencer un PRA, l’aval et le soutien de la direction est primordiale. Sinon, il vous sera difficile d’obtenir le budget et le temps nécessaire à sa mise en place. La direction doit être impliqué dès le départ.

  1. Définir les rôles : une fois l’aval et le soutien de la direction, il faut nommer un comité ou responsable qui devra planifier et mettre en oeuvre le plan.
  2. Faire un audit de tous les risques : il devra inclure le maximum de scénario possible en lien avec votre infrastructure (erreur humain accidentelle ou volontaire, panne, coupure électrique, catastrophe naturelle, attentat…).
  3. Prioriser les besoins critiques pour l’entreprise : cette étape permet de définir les besoins et les priorités en termes de ressources pour la reprise d’activité. Ceci débute par les services, quels sont ceux essentiels à l’activité de l’entreprise, puis se termine par les besoins de ces services. Une fois que les fonctions principales ont été identifiées, les opérations et les processus sont alors classés par ordre de priorité.
  4. Choisir les équipements et services du PRA : cette étape, permet de rechercher des solutions de reprise des activités. Il s’agit de considérer tous les aspects organisationnel (installations physique, bureaux, lignes téléphoniques, matériels informatique, fichiers de données…). Ceci passe par des solutions interne (site de secours, backups…) ou des solutions fournies par des prestataires au même titre qu’une assurance.
  5. Définir les coûts de la reprise : Une fois le choix des solutions effectuées, un budget doit être alloué. Ce budget devra être calculé selon l’appétit au risque de l’entreprise. Combien est-elle prête à perdre si rien n’est fait ?
  6. Documenter : cette étape est essentielle à la réussite du plan. Sans documentation et procédure à jour un PRA deviendra obsolète. Pensez à sauvegarder ou mettre en lieu sur vos documents !
  7. Tester et ajuster le plan : une mise en place sans avoir testé celui-ci est caduc (ceci est vrai pour tout). Seul des tests annuels et réévalués pourront vérifier la viabilité de votre PRA. Ces tests devront être documentés selon les retours d’expériences et votre PRA mis à jour si besoin.
  8.  Faire valider le plan : la direction étant votre soutien dans cette tâche, il lui revient de valider celui-ci avant sa mise en place.

Vous souhaitez aller plus loin ? et mettre en place un PCA ?

Le secrétariat général de la défense et de la sécurité met à disposition un guide complet
Guide "Plan de continuité d'activité"