Retour sur le site entreprise
Un Plan de Continuité d’Activité, ou PCA, est un outil qui consigne l’ensemble des procédures et des moyens humains et techniques à mettre en œuvre pour assurer le maintien en conditions opérationnelles d’un Système d’Information.
Qu’est-ce qu’un PCA (Plan de Continuité d’Activité) ?
Confit géopolitique, crise sanitaire, séisme, incendie, inondation, cyberattaque… Une entreprise, quelle que soit sa taille ou son secteur d’activité, est exposée à un grand nombre de risques qui peuvent compromettre son organisation. En concevant un Plan de Continuité d’Activité (PCA), une entreprise se donne les moyens d’identifier ces risques en amont, pour mieux les maîtriser et minimiser leur impact sur leur Système d’Information.
Ce PCA va consigner l’ensemble des procédures ainsi que les ressources humaines et techniques à engager pour assurer la continuité des affaires. En se préparant au pire, une entreprise se donne les moyens de maintenir son activité en cas d’incident ou de sinistre majeur.
Un PCA permet aussi à une entreprise de faire face aux obligations légales ou à ses engagements vis-à-vis de ses clients et fournisseurs. Il répond, enfin, à des enjeux d’image, toute interruption d’activité pouvant nuire à sa réputation.
Selon le dernier baromètre dédié au sujet du cabinet Grant Thornton, plus de 60% des entreprises avaient un PCA formalisé ou étaient en train de le déployer fin 2019(1). Depuis, la pandémie de la Covid-19 a renforcé le besoin pour les organisations de gagner en résilience. Par ailleurs, la cybermenace s’est fortement accrue ces dernières années avec la multiplication des ransomwares ou rançongiciels : ce qui était autrefois seulement préconisé pour les entreprises est aujourd’hui fortement recommandé.
Comment mettre en place un PCA ?
Un Plan de Continuité d’Activité documente toutes les étapes et actions à envisager pour retrouver, à la suite d’un sinistre, un niveau de fonctionnement correct. Il recense les facteurs de risques majeurs auxquels une organisation pourrait être confrontée, désigne les ressources humaines, financières et matérielles dont l’entreprise a besoin pour poursuivre son activité, et détermine le rôle des personnes concernées dans la gestion de crise. Le PCA informatique est une sous-catégorie de PCA, qui se concentre sur la restauration du SI.
Pour produire un PCA informatique, tout commence par un audit du Système d’Information (SI) afin d’évaluer ses composantes les plus vulnérables. Il s’agit ensuite d’évaluer la criticité des risques et de quantifier leur impact potentiel en cas de sinistre : que se passerait-il en cas de blocage des accès réseaux ? Quel serait l’impact d’une destruction totale ou partielle des unités informatiques ? etc. Il s’agit ensuite de fixer le niveau de service minimal attendu. Par exemple : quel est le temps d’indisponibilité « acceptable » des services avant le redémarrage du SI ?
En fonction de la probabilité de survenance des risques et de leur gravité, l’entreprise ajuste le niveau de riposte à mettre en œuvre en termes de solutions de protection (antivirus, pare-feu…) et de sauvegarde des données critiques.
Un PCA commence par la documentation des procédures
Un PCA est un document opérationnel qui décrit très précisément les procédures à mettre en œuvre, de la détection et qualification d’un incident au plan de communication de crise, en passant par l’envoi d’alertes et l’activation de la cellule de crise. Encadrée par la norme ISO 22301 2019, l’élaboration d’un Plan de Continuité d’Activité suit un cadre méthodologique précis.
Sur le plan organisationnel, le PCA informatique indique la marche à suivre pour maintenir le Système d’Information en conditions opérationnelles. Elle définit le rôle des équipes informatiques en désignant nominativement les personnes concernées. Le PCA est un document flexible : il est appelé à évoluer au rythme des changements technologiques et des réorganisations de la direction informatique. Des tests réguliers permettent de s’assurer que le plan est en ordre en marche, et peut être déclenché à tout moment.
Quel site privilégier pour conserver mon PCA ?
Un PCA repose sur la création d’un système de secours qui prend le relais en cas de défaillance du Système d’Information principal. Par effet miroir, il reprend les mêmes caractéristiques que ce dernier en termes de ressources et de composants informatiques. Ce système de secours peut être déployé à proximité du site d’exploitation ou sur un site distant. Plus le site de secours est géographiquement éloigné, moins il présente de risques d’être à son tour concerné par le sinistre affectant le site d’exploitation.
Le cloud offre une autre alternative économique et technique : plus besoin d’acquérir et de maintenir sa propre infrastructure « dormante », l’entreprise sauvegarde ses données dans un cloud privé ou public, puis, en cas de sinistre majeur sur le site principal de l’entreprise, utilise le dernier back-up en date pour restaurer son SI. Un PCA informatique dans le cloud permet à l’entreprise de disposer hors de ses murs d’une copie actualisée des applications à sécuriser, de ses données, ainsi que ses sauvegardes. Une fois le sinistre terminé, l’entreprise peut redémarrer son activité depuis le Cloud sur son site principal.
En mutualisant les ressources informatiques, le cloud fait baisser les coûts et rend la mise en place d’un PCA accessible aux PME.
Les fournisseurs : quelle est leur place dans un PCA ?
Un PCA ne s’arrête pas aux portes de l’entreprise. Dans notre monde interconnecté, un Système d’Information s’étend aux clients et partenaires. Il est donc recommandé d’intégrer à la démarche les fournisseurs dits stratégiques. Un opérateur télécom doit notamment être associé à l’élaboration d’un Plan de Continuité de Service, l’accès à Internet et à la téléphonie d’entreprise étant un élément clé dans le maintien de l’activité.
Les ressources télécoms et informatiques : un point sensible
Les moyens télécoms et informatiques font partie des ressources qualifiées de « critiques » d’un PCA. Parmi eux, on trouve les serveurs de messagerie et de fichiers, le système de télécommunication, le réseau local ou l’accès Internet. Pour offrir la résilience nécessaire, le Système d’Information doit répondre aux impératifs de sécurité basiques pour une entreprise, avec notamment une redondance des accès réseaux et de l’alimentation électrique.
Dans son Guide pour réaliser un Plan de Continuité d’Activité, le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN) rappelle que « les moyens de télécommunication sont souvent un point de vulnérabilité majeur(2). Ce qui justifie la mise en place de dispositifs de secours comme un réseau radio privé ou un accès par satellite, comme alternative aux services proposés par les opérateurs.
Le personnel et l’organisation : qui fait quoi ?
Le PCA comprend des moyens techniques mais aussi humains. Il définit clairement les rôles et responsabilités des personnes appelées à être sur le pont en cas d’incident grave. Sur le plan informatique, les équipes Sécurité et Support sont particulièrement concernées pour évaluer l’ampleur des dégâts et procéder à la restauration dans les plus brefs délais du Système d’Information. Le PCA décrit qui fait quoi, dans quelles circonstances et selon quel schéma d’escalade.
PRA / PCA : quelles différences ?
PRA et PCA sont souvent confondus. Ils sont, en fait, complémentaires. Un Plan de Continuité d’Activité a une approche préventive. Par anticipation des risques, il a vocation à éviter au maximum tout arrêt de l’activité. Un PCA contient toutes les procédures à suivre pour empêcher ou réduire l’arrivée d’une situation critique et, à défaut, d’y répondre à court terme.
Un Plan de Reprise d’Activité a, lui, une dimension davantage curative. Il est déclenché quand le sinistre a lieu pour assurer une reprise de l’activité la plus rapide possible. En cela, un PRA peut s’intégrer à un Plan de Continuité d’Activité.
Infogérance et Plan de Continuité d’Activité
Nécessitant une expertise pointue et des moyens dédiés, un nombre croissant d’entreprises externalise la constitution de leur PCA à un prestataire spécialisé. À charge pour ce dernier de mettre les ressources techniques et humaines nécessaires au maintien en conditions opérationnelles du Système d’Information de ses clients. Le prestataire s’engage contractuellement sur des niveaux de sécurité et de disponibilité, avec une surveillance des infrastructures 24/7.
Le cloud a permis de démocratiser ce mode d’infogérance à travers les offres dites de Disaster Recovery as a Service (DRaaS). Avec un PCA « virtualisé », l’entreprise n’a plus à se préoccuper des problématiques de réseau, de stockage et de sauvegarde. Elle doit néanmoins être vigilante sur la localisation des données. Pour des raisons de conformité, les données doivent être hébergées sur le territoire national. La duplication des données sur plusieurs sites et régions, ce qu’on appelle géo-redondance, offre, par ailleurs, un surcroît de protection.
Les solutions de PRA / PCA de Bouygues Telecom Entreprises OnCloud
Filiale dédiée de l’opérateur, Bouygues Telecom Entreprises OnCloud bénéficie de quinze ans d’expérience dans l’externalisation de Systèmes d’Information vers des environnements de cloud privé ou public, et propose des solutions de Plan de reprise d’activité informatique standards ou sur mesure, infogérées sur le territoire français et réparties sur plusieurs datacenters certifiés ISO 27001. Les entreprises peuvent ainsi avoir une assurance face à tout un tas de risques ! (catastrophes naturelles (inondations, tempêtes…), incendies, actes de malveillances internes ou externes, erreurs ou accidents, risques technologiques et industriels).
En matière d’infogérance, elle propose toute une gamme de services managés dont la supervision proactive des infrastructures (renouvellement du matériel, mises à jour logicielles, application de correctifs…), la surveillance des baies de stockage et du transit Internet dans les datacenters, ou le suivi et le contrôle des unités de sauvegarde.
keyboard_arrow_down Mentions légales
(1) Source : https://www.grantthornton.fr/fr/insights/articles-et-publications/2020/barometre-plan-de-continuite-dactivite(2) Source : http://www.sgdsn.gouv.fr/uploads/2016/10/guide-pca-sgdsn-110613-normal.pdf