systeme-information-attaque-pra

Reprendre en 1 jour ? 1 semaine ? 1 mois ?

Ne vous demandez pas si votre système d’information fera un jour l’objet d’une défaillance. Ne vous demandez pas si vous subirez un jour une cyberattaque. La seule, l’unique, la reine de toutes les questions, c’est quand ! Alors préparez dès maintenant votre PRA (plan de reprise d’activité)!

Cyberattaques et reprise d’activité

La 8e édition du baromètre sur la cybersécurité des entreprises françaises, menée par le CESIN, révèle que 45 % de ses membres RSSI interrogés ont été impactés par une cyberattaque significative réussie. Bien que toujours conséquent, ce chiffre marque une diminution notable de 9 points par rapport à 2021 (54 %). 64 % des répondants estiment que la fréquence des attaques est restée constante, tandis que 24 % signalent une augmentation (27 % en 2021).

Aucun secteur d’activité n’est épargné, aucune direction générale, mais le CESIN révèle une prédominance des attaques dans les services (41 %), l’industrie et le BTP (20 %), les services publics (14 %) et le commerce (14 %). Puisqu’un jour ou l’autre vous vivrez une situation de crise nécessitant le redémarrage de vos serveurs, votre capacité à avoir des réactions rapides et efficaces devient déterminante !

La réponse réside dans la préparation et la mise en place d’un Plan de Reprise d’Activité (PRA). Réagir à une crise, cela s’anticipe. La principale erreur, c’est celle de l’impréparation !

Pour qu’un DSI puisse prendre des engagements de reprise d’activité auprès de sa direction, il doit d’abord avoir une vision précise de toutes les voies et moyens qui seront à sa disposition pour revenir à une situation nominale dans les meilleurs délais. Pour cela, une connaissance approfondie du système d’Information est essentielle.

Lorsque vous serez en mesure de connaître avec précision de quoi est composé votre système d’informations, vous connaîtrez la criticité des éléments qui le composent.

Pourquoi faire un PRA ?

Reprendre l’activité après une attaque ou une défaillance, cela suppose de concevoir une stratégie de protection des éléments critiques en amont, basée sur un audit préalable et un état des lieux exhaustif.

Si l’on décide de la mise en place d’un PRA, c’est que le choix de conserver une infrastructure informatique en interne a été fait. Le DSI doit évaluer avec précision la criticité des machines conservées, ce qui peut être réalisé à l’aide d’outils d’analyse permettant de scanner l’infrastructure virtuelle et d’obtenir une vision précise de l’existant. L’audit, qui pourra prendre jusqu’à 3 jours, sépare les usages de production des usages de hors-production, permettant également un re-engineering du système d’information et proposant des optimisations.

La logique du PRA consiste à définir le délai de redémarrage du service applicatif.

Et c’est là une partition complexe à jouer ! Entretenir un SI est déjà un exercice délicat, mais redémarrer un SI dans un contexte de crise, suite à un incident, est encore plus difficile. La pression liée à l’interruption de service génère une complexité phénoménale qui, une fois encore, ne tolère pas l’improvisation.

RTO et RPO : des étapes cruciales dans la définition de votre PRA

Après l’audit et la cartographie de l’ordre de redémarrage, il est essentiel d’auditer la partie réseau. C’est à ce moment-là que les bases du PRA sont posées, en s’appuyant sur deux critères majeurs : le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective).

Le RTO détermine la durée maximale acceptable pour le redémarrage d’une machine virtuelle, tandis que le RPO concerne l’âge maximum des données restaurées selon leur criticité.

Les notions de RTO et RPO sont cruciales pour déterminer la pertinence d’un Plan de Reprise d’Activité. Un RTO et un RPO mal définis peuvent entraîner des coûts excessifs ou une insuffisance de protection.

Plus les besoins spécifiques d’une entreprise sont compris, cernés et maîtrisés, plus le PRA sera en mesure d’assurer une reprise efficace et tout en minimisant les perturbations lors d’incidents majeurs. La phase de test du PRA ne peut évidemment pas être négligée.

Le conseil est clair : un bon PRA doit être dynamique et évolutif pour s’adapter en continu aux changements du SI.

Sauvegarde et back up, la clef d’un PRA efficace

Le PRA ne peut pas être uniquement une réponse aux cyberattaques. Face aux ransomwares et aux infections détectées tardivement, la qualité de la restauration devient aussi importante que la rapidité.

En plus du PRA, la logique de backups des données avec une certaine durée de conservation est nécessaire. L’externalisation de ces backups auprès d’un fournisseur de services garantit la restauration des données mises à l’abri, tout en assurant la non-corruption de ces données.

Il est essentiel de prendre en compte ces deux dimensions pour une reprise d’activité rapide et saine. L’externalisation d’un PRA offre un contrôle et une visibilité sur la réalité du système, même en période de crise. Cela permet de suivre le déclenchement du PRA et fournit des outils pour monitorer les machines comme si elles étaient dans l’entreprise.

pra-reprise-activite

Plan de reprise d’activité : exemple de scénarii

Avoir un plan de reprise des activités de l’entreprise, c’est bien. Savoir l’appliquer et le dérouler de façon adaptée à la crise que vous traversez, c’est mieux ! Pour votre direction générale, votre aspiration à reprendre au plus vite ne doit pas occulter le véritable enjeu : reprendre au mieux. En fonction de la criticité de l’incident, veillez à appliquer le meilleur scénario !

Scénario N°1 : remise en service en 1 jour

Le contexte : une défaillance mineure suite à une intrusion a touché une partie limitée de votre système d’information. Votre système de surveillance en temps réel vous a permis d’identifier rapidement la défaillance, déclenchant immédiatement les protocoles du PRA.

Les étapes de la reprise :

1. La source de la défaillance isolée, vous évitez ainsi sa propagation.

2. Vous pouvez alors restaurer vos données critiques à partir des backups les plus récents.

3. Des tests rapides sont effectués pour vérifier la stabilité du système.

4. Une communication proactive est établie avec les parties prenantes pour informer de la situation.

Scénario 2 : remise en service en 1 semaine

Le contexte : une défaillance majeure par phishing a affecté plusieurs composants de votre système d’information. Votre PRA détaillé et complexe est activé. Il définit des procédures qui ont fait l’objet de tests réguliers pour garantir son efficacité.

Les étapes de la reprise :

1. Une analyse approfondie de la défaillance est effectuée pour comprendre l’étendue des dommages.

2. Les composants défectueux sont réparés ou remplacés.

3. Toutes vos données sont restaurées à partir des backups, et des tests exhaustifs sont réalisés.

4. Une communication structurée est engagée, puis maintenue avec l’ensemble de vos parties prenantes tout au long du processus.

Scénario 3 : remise en service en 1 mois

Le contexte : un incident technique génère une panne électrique majeure sur un data center et conduit à une mise en service de l’infrastructure. Votre PRA avancé, comprenant un plan de gestion de crise, peut alors être activé. Il s’appuie notamment sur des équipes régulièrement formées aux procédures d’urgence.

Les étapes de la reprise :

1. Votre équipe d’experts met en œuvre l’ensemble des dispositions permettant de rediriger les flux réseaux vers le site de l’hébergeur du PRA et d’opérer la gestions de la bascule réseau.

2. Les machines virtuelles peuvent alors être redémarrées dans l’ordre optimal dans une optique de rétablissement rapides de l’activité pendant la remise en état de fonctionnement du data center.

3. Grâce au PRA et pendant tout le temps nécessaire au rétablissement de la situation nominale, tous les gestes d’exploitation habituels des machines virtuels sont effectués classiquement afin de minimiser au maximum l’impact de l’incident. .

4. Des tests rigoureux de sécurité et de performance sont effectués avant la remise en service complète et définitive.

3 questions que vous vous posez peut-être

Quelle est la différence entre PRA et PCA ?

Un PRA est un plan de reprise de l’activité. Un PCA est un plan de continuité d’activité. Vous en avez peut-être entendu parler. Dans un cas, le plan prévoit la reconduction des activités de l’entreprise après une coupure. Dans l’autre, le plan envisage comment éviter les risques de coupure de service.

C’est quoi un PRA en informatique ?

Un PRA en informatique est un ensemble de process qui permettent à la direction générale d’une entreprise de prévoir les mécanismes pour remettre en route un système d’information. Dans la pratique, il est élaboré par la direction des services d’information.

PRA : que faut-il retenir ?

Un PRA a vocation à prévenir les interruptions de service, à protéger les données sensibles et à maintenir la confiance des clients et des partenaires. Pour le réussir, respectez 6 points-clés :

1. Réalisez un audit détaillé des enjeux et des risques

2. Identifiez et hiérarchisez les processus critiques

3. Rédigez un plan d’action détaillé pour la remise en service

4. Assurez la disponibilité des ressources

5. Effectuez des tests et des exercices réguliers

6. Assurez la redondance et la sauvegarde des données.