La quantité sans cesse croissante de données est devenue ces dernières années un énorme défi pour les entreprises. De plus en plus de données sont maintenant collectées, traitées, transférées et stockées dans des centres de données internes ou externes. Le Big Data Analysis, autrement dit, l’analyse de toutes ces données, devient une tendance dominante au sein des entreprises, car les logiciels sophistiqués nécessaires pour accomplir une telle tâche deviennent abordables. Mais face à cette augmentation exponentielle des stocks de données, le risque d’en perdre augmente également.
Au fil des années, Ontrack a réalisé plusieurs enquêtes sur les pertes de données dans les entreprises et chez les particuliers. Les conclusions qui ressortent de ces enquêtes sont évidentes : en dépit de meilleures solutions logicielles, les pertes de données restent fréquentent et ce sont les utilisateurs qui en paient les conséquences.
Indépendamment de la raison (dysfonctionnement d’un disque dur, disque en fin de vie, mauvaise manipulation de l'utilisateur, catastrophes naturelles...) une perte de données peut avoir des effets graves pour une entreprise ou un particulier.
Pour une entreprise, une perte de données peut entraîner, dans le pire des cas, une faillite lorsque par exemple des délais ne peuvent pas être satisfaits sur un projet en cours ou que des bases de données ne sont plus disponibles. Les enquêtes Ontrack montrent également qu’avoir des sauvegardes ne garantis pas nécessairement leur fonctionnement lors d'une catastrophe. Par conséquent, constituer un solide plan de reprise d’activité après sinistre n’est pas seulement un élément rassurant, c'est une nécessité !
Ces directives vous aideront à mettre en place un plan en cas de catastrophe totale et de perte de données qui marchera toujours lorsque vous en avez besoin. Le plan devrait constituer le document de base qui garantit la sécurité de l'entreprise et la continuité de vos transactions.
Quelles différences entre un PRA et un PCA ?
Un Plan de Continuité d'Activité (PCA) est d’une grande utilité pour une entreprise dans le cas où son activité est interrompue, ce qui lui coûte généralement de l'argent. Pour réduire ces pertes au minimum, un document PCA se doit de couvrir toutes les étapes et respecter les agendas, afin que les ressources, processus et fonctions nécessaires soient capables de redémarrer au plus vite.
Un Plan de Reprise d'Activité (PRA) est un processus documenté afin de récupérer une infrastructure informatique et commerciale en cas de catastrophe. En effet un sinistre peut se produire pour tout un tas de raisons naturelles ou artificielles, comme par exemple une tempête de neige, des inondations ou encore des actes de terrorisme et de piratage comme c’était le cas récemment avec les ransomwares. Tous ces exemples peuvent être qualifiés de sinistre. Dans de nombreux cas où un environnement informatique connaît de graves problèmes suite à une catastrophe, la perte de données est probablement l'une des conséquences les plus courantes.
Bien évaluer tous les risques
Le concept complet du plan de reprise après sinistre est basé sur un calcul du risque lié à la perte de données avant qu'elle n'ait lieu. Ce calcul est basé sur l'hypothèse qu'une panne imprévue à laquelle il est impossible de remédier et difficile à évaluer peut se produire à tout moment, elle peut paralyser le fonctionnement de l'infrastructure informatique et, en conséquent, toute ou partie de votre entreprise. Grâce au plan, lorsqu'une panne de système a lieu, nous éviterons une opération de sauvetage effrénée et chaotique qui pourrait causer plus de mal que de bien. À cette fin, nous devons prendre en considération les deux indicateurs fondamentaux suivants :
- OPR (Objectif de point de reprise) : cet indicateur devrait constituer le calcul de la durée pendant laquelle l'entreprise peut fonctionner sans accès à ses données et à son infrastructure.Par exemple, dans le cas d'une boutique en ligne, il est important de prendre en considération une situation où toute ou une partie de l'infrastructure informatique cesse de fonctionner. Par exemple, peut-être qu'un client n'aura pas accès au site, que l'équipe ne pourra pas exécuter les commandes et que les transactions ne seront pas enregistrées et assurées. Quelle est la durée maximum d'une rupture de système que l'entreprise peut se permettre sur le plan financier ? À quelles pertes et coûts s'expose-t-elle ?
- OTR (Objectif de temps de reprise) : il s'agit de la durée maximum pendant laquelle les données doivent être récupérées et le système doit redevenir opérationnel. Afin d'estimer cette durée, il est nécessaire de prendre en compte le premier indicateur ainsi que les capacités de l'infrastructure, de l'équipe et les situations auxquelles vous pouvez faire face. Il est également utile de se souvenir que, selon une enquête, 93% des entreprises qui font face à une perte de données pendant plus de dix jours ont fait faillite à cause d'une panne dans l'année et 50% d'entre elles ont fait faillite immédiatement !
Lorsque vous estimez ces deux indicateurs, il est nécessaire de calculer correctement les coûts potentiels pour l'entreprise. Il est important de répondre à la question suivante : quand est-ce que les coûts d'une panne dans la prestation de services et/ou d'une perte de données deviennent fatals pour l'entreprise ?
Il y a très certainement de nombreux facteurs qui ont besoin d'être pris en compte dans ce cas : le développement d'une infrastructure de protection des données minimise le risque de pertes, mais augmente également les coûts de fonctionnement du système. En outre, cela vaut également le coup de réfléchir aux solutions qui seront appropriées pour un secteur en particulier de notre infrastructure.
Parfois, il est utile d'investir dans des systèmes de sauvegarde plus rapides et plus fiables qui protègent les processus qui sont essentiels pour les opérations de l'entreprise, dans d'autres cas, il peut être astucieux de renoncer complètement à restaurer les copies de sauvegarde et de sous-traiter la récupération des données à un prestataire de récupération de données professionnel.
L'art de choisir
Le calcul utilisé dans notre plan doit être principalement basé sur une matérialisation des coûts qu'une panne de système imprévue peut engendrer. Ils comprennent :
- les coûts financiers dus à la perte de clients qui n'ont pas pu utiliser nos services pendant la panne,
- les coûts liés aux retards dans l'exécution de la commande,
- les coûts des retards liés à la période d'indisponibilité, l'équipe étant dans l’incapacité d'effectuer son travail,
- les coûts liés à des réclamations de clients,
- les pertes liées à l’image et aux affaires.
D'un autre côté, il est nécessaire d'estimer les coûts des actions qui empêchent des pannes potentielles ou garantissent une réponse en cas de crise, y compris :
- les coûts liés au travail d'un employé ou d'une équipe responsable d'assurer la continuité des opérations de l'infrastructure ou les coûts liés à la sous-traitance de ces services,
- les coûts liés à l'infrastructure technique, y compris l'infrastructure de sauvegarde,
- les coûts liés à une récupération de données potentielle dans le cas d'une perte.
La fonction de ces facteurs devrait nous aider à mettre en place les éléments prioritaires de notre plan, nous devrions décider de la quantité de ressources que nous voulons consacrer à la protection contre les menaces. Il est également crucial de sélectionner les éléments qui sont fondamentaux pour nos opérations et qui seront protégés et sauvés en priorité.
Comment établir le plan ?
Les directives fournies jusqu'à maintenant devraient nous offrir une base pour établir une stratégie en cas de panne imprévue. Ainsi, nous créons une liste d'éléments d'infrastructure fondamentaux, assignons des priorités et préparons les modèles d'action en cas de panne. Les modèles doivent inclure les éléments suivants :
- Distribution des rôles et responsabilités : chaque employé doit connaître son champ d'action et savoir quoi faire s'il voit des signes de panne. Il s’agit d’un point important étant donné qu'une réaction rapide aidera à contenir la crise et réduire les pertes,
- Réaction à une crise : il est nécessaire de mettre en place une procédure d'action dans le cas d'une panne. Les pannes doivent être détectées, diagnostiquées et rapportées au supérieur aussi vite que possible,
- Plan de récupération : il peut y avoir de nombreux scénarios de panne mais il est possible d'établir certains plans de récupération généraux qui peuvent s'appliquer si nécessaire. Le plan approprié doit être mis en place aussi vite que possible,
- Procédures : chaque employé doit savoir que faire en cas de panne. Il est important de suivre les procédures de manière stricte – cela permettra d'éviter des actions chaotiques et inconsidérées,
- Documentation : les informations concernant la panne ainsi que toutes les actions entreprises ayant pour objectif de l’endiguer doivent être décrites en détails. Il s’agit d’un élément important car en cas de panne, si celle-ci s'avère plus sérieuse que prévu et qu'il est nécessaire d'utiliser les services d'une entreprise de récupération de données, la description de la situation peut raccourcir de manière considérable le processus de récupération,
- Détails du système : chaque plan de récupération doit également inclure des détails liés à l'infrastructure à laquelle il fait référence, ce qui signifie une description complète des stocks d'équipements utilisés, des détails concernant la configuration du système, des informations concernant les copies de sauvegarde (quand elles sont mises à jour, le lieu exact où elles sont stockées, sur quels transporteurs), etc.
Pour résumer : les 6 points à prendre en compte pour rédiger un PCA / PRA
- 1. Un bon plan plan ne doit pas seulement couvrir les raisons habituelles de perte de données (défaillance matérielle ou causes naturelles). Il devrait également couvrir des incidents moins courant comme par exemple une attaque de ransomware ou un sabotage. Chaque entreprise devrait s’adapter à ces situations mais également à de nouveaux dangers, peut-être actuellement inconnus mais potentiellement dangereux à court terme,
- 2. Un bon plan devrait toujours être créé avec la participation de tous ceux qui sont impliqués dans le processus. Il n'est tout simplement pas logique de créer un plan par l’intermédiaire d’une ou deux personnes puis de l'exécuter par ordre de gestion. Plus il y a de personnes impliquées dans la création d'un plan, plus les pièges possibles peuvent être découverts et évités, rendant le plan de défense le plus performant possible. De plus, les employés peuvent identifier les spécificités en matière de vulnérabilité à l'avance,
- 3. Les consultants informatiques déclarent souvent qu'une évaluation des risques est nécessaire pour la création d’un PCA / PRA puisque sont énumérées dans ce document toutes les menaces possibles pour l'entreprise afin de vérifier qu’elle soit en mesure de s’en protéger. Ce n'est pourtant qu’à moitié vrai car une évaluation des risques définit que ce qui peut causer une défaillance, et non ses effets.
Mieux identifier les risques susceptibles d'avoir une incidence sur le fonctionnement de l’entreprise
Cette étape permet de déterminer quels sont les risques et les menaces, en internes et en externes, qui risquent d'affecter le bon fonctionnement des opérations commerciales. Le Bilan d'Impact sur les Activité (BIA) peut être réalisé simplement à l’aide d’un questionnaire destiné aux employés concernés. Cependant, si vous disposez de suffisamment de temps, une analyse de l'évaluation des risques avec une véritable BIA est le meilleur moyen de procéder.
- 4. Des tests sont nécessaires pour que le plan fonctionne correctement lorsque survient une catastrophe. Par conséquent, lors de l'élaboration d’un plan, le test de celui-ci fait partie intégrante du processus. En essayant de réduire les coûts et de ne faire que des tests limités, la solidité d’un plan risque d’être insuffisante, ce qui en cas de défaillance engendrera sûrement des coûts beaucoup plus élevé. Il convient donc d’obtenir le budget nécessaire dès le début du plan,
- 5. De la même manière que vous mettez à vous à jour votre matériel, il est important de mettre à jour votre plan PCA / PRA. Il n'est pas rare qu'un plan comporte 100 pages ou plus, dans le but de couvrir chaque étape de manière détaillée. Comme les technologies changent souvent et afin de se tenir au courant des changements dans le plan, il est judicieux de le diviser en plusieurs étapes distinctes pour une meilleure vue d'ensemble et pour faciliter les modifications futures,
- 6. Une question importante souvent posée au sujet de l'utilisation des plans PCA / PRA : est-il vraiment nécessaire de développer un énorme plan avec des centaines de pages ? La réponse est : Non. Parfois, un simple document de 2 à 10 pages contenant les informations importantes peut suffire à couvrir toutes les étapes nécessaires pour réagir en cas de catastrophe ou de perte de données. Mais évidemment, cela dépend fortement de la structure des entreprises et de leur règlement. Dans tous les cas, il est judicieux de créer une version courte du document afin de rendre les démarches principales rapidement disponibles aux employés concernés.
Pour mieux vous aider, Ontrack mets à disposition un modèle gratuit de plan de reprise d'activité après sinistre. Veuillez noter que tous les plans de récupération ont besoin d'être régulièrement testés, mis à jour ou adaptés à l'évolution de l'infrastructure d'entreprise. Autrement, il devient un document insignifiant qui, en cas d'accident, entraînera confusion et désorganisation au lieu d'aider.