La pratique consistant à se préparer à un temps d’arrêt et à prendre les mesures pour garantir un retour rapide à la normale est appelée planification de reprise après sinistre. Hélas, créer un plan de reprise après sinistre efficace n’est pas toujours une balade de santé, en particulier lorsque vous êtes une petite entreprise. Cela demande du temps, des connaissances et une expertise, et l’évaluation du ROI peut s’avérer compliquée.
Heureusement, il existe des solutions pour faciliter cette démarche. Une recherche Google rapide permet d’obtenir un grand nombre de ressources gratuites destinées aux organisations et pouvant être utilisées dans le processus de planification de reprise après sinistre, dont un large éventail de modèles de plans de reprise après sinistre plus ou moins longs et complexes. Nous avons même créé le nôtre, intitulé Modèle de plan de reprise après sinistre Ontrack :
Téléchargez le modèle gratuit de plan de reprise d'activité Ontrack
Protéger votre entreprise
Quelle que soit la taille de votre entreprise, il est probablement juste de dire que celle-ci dépend de l’informatique pour fonctionner. Et tout service informatique, qu’il se présente sous la forme d’un appareil mobile, d’un serveur email ou d’une application basée sur le cloud, est susceptible de tomber en panne.
C’est un sujet de plus en plus préoccupant. D’après une étude publiée par Statista, les temps d’arrêt coûtent en moyenne 400 000 dollars par heure aux sociétés dans le monde. Par ailleurs, une étude de 2018 publiée par l’Institut Ponemon a démontré que le coût moyen des pertes de données à l’échelle mondiale atteignait le montant stupéfiant de 3,6 millions de dollars, c'est-à-dire environ 141 dollars par registre de données. Dans ce monde actuel qui repose en grande partie sur les données, l’incapacité de remédier à une panne informatique peut tout simplement signer l’arrêt de mort d’une entreprise.
Mais qu’est-ce qu’un plan de reprise après sinistre au juste ?
Un plan de reprise après sinistre regroupe les politiques et procédures qu’une entité donnée, votre entreprise dans ce cas précis, doit suivre lorsque les services informatiques subissent un contrecoup. Ceci peut se produire à cause d’une catastrophe naturelle, d’une défaillance technologique ou de facteurs humains tels qu’un sabotage ou une attaque terroriste. L’idée fondamentale est de rétablir les processus opérationnels touchés aussi rapidement que possible, que ce soit en reconnectant les services défaillants ou en ayant recours à un système d’urgence.
Votre plan de reprise après sinistre doit prendre en compte les éléments suivants :
- Les services informatiques : Quels processus opérationnels sont pris en charges par quels systèmes ? Quels sont les risques ?
- Les personnes : Qui sont les parties prenantes, tant sur le plan des activités que du département informatique, dans un processus de reprise après sinistre donné ?
- Les fournisseurs : Quels fournisseurs devrez-vous contacter en cas de panne informatique ? Votre prestataire de récupération de données, par exemple.
- Les lieux : Où travaillerez-vous si vos locaux habituels sont inaccessibles ?
- Les tests : De quelle façon testerez-vous le plan de reprise après sinistre ?
- La formation : Quelle formation et quelle documentation fournirez-vous aux utilisateurs finaux ?
Au centre de la plupart des plans de reprise après sinistre se trouvent deux KPI d’importance majeure que l’on applique individuellement aux différents services informatiques : la durée maximale d’interruption admissible (DMIA) et la perte de données maximale admissible (PDMA). Ne vous laissez pas impressionner par le jargon, ils sont en réalité très simples :
- DMIA : L’âge maximum d’une sauvegarde avant qu’elle cesse d’être utile. Si vous pouvez vous permettre de perdre l’équivalent d’un jour de données dans un système donné, vous pouvez définir une DMIA de 24 heures,
- PDMA : Le temps maximum qui peut s’écouler avant que la sauvegarde soit implémentée et que les services retournent à la normale.
Structurer le plan de reprise après sinistre parfait
Même un plan de reprise des activités de petite taille peut donner un document long et complexe. Toutefois, la plupart suivent une structure identique comprenant les définitions, les responsabilités, les procédures de réponse détaillées et les activités de maintenance. Dans notre modèle, nous utilisons le schéma suivant :
- Introduction : Un récapitulatif des objectifs et de la portée du plan comprenant les services informatiques et les lieux concernés, les DMIA et PDMA pour les différents services, ainsi que les tests et activités de maintenance. Elle inclut également un historique des révisions pour le suivi des modifications,
- Rôles et responsabilités : Une liste des parties prenantes internes et externes impliquées dans chaque processus de reprise après sinistre couvert, avec leurs informations de contact et une description de leurs responsabilités,
- Réponse en cas d’incident : Quand le plan de reprise après sinistre doit-il être déclenché, et quand et comment les employés, la direction, les partenaires et les clients doivent-ils être notifiés ?
- Procédures de reprise après sinistre : Une fois que le plan de reprise après sinistre est déclenché, les parties prenantes peuvent commencer à actionner un processus de reprise après sinistre pour chaque service informatique affecté. Dans cette section, ces procédures sont définies de façon détaillée,
- Appendices : Un ensemble des autres listes, formulaires et documents en relation avec le plan de reprise après sinistre, tels que les détails des lieux de travail de remplacement, les polices d’assurance, ainsi que le stockage et la distribution des ressources pour la reprise après sinistre.
Perpétuer votre plan de reprise après sinistre
De même que n’importe quel document de politique, un plan de reprise après sinistre est inutile si celui-ci passe l’essentiel de son temps quelque part au fond d’un tiroir. Créer le vôtre n’a aucun sens si vous n’allouez pas suffisamment de ressources à la formation du personnel quant à l’existence du plan et leurs rôles et responsabilités respectifs en cas de panne informatique.
L’actualiser régulièrement est essentiel. À mesure que le temps passe et que votre entreprise grandit, vous devrez intégrer de nouveaux systèmes et services informatiques à votre plan de reprise après sinistre. Assurez-vous également de notifier toute partie prenante concernée dans cette optique.
Et puis tester, tester, tester !
Pour finir, vous devez tester votre plan de reprise après sinistre et savoir si vos KPI DMIA et PDMA sont viables, ou même si vos procédures sont réellement adaptées. Vous pouvez être tenté de tester votre plan de reprise après sinistre par étape, mais ne négligez pas non plus de le tester dans son entièreté de temps à autre. Ceci vous permettra de déterminer si les différents processus risquent d’interférer les uns avec les autres lorsqu’ils sont exécutés simultanément, d’une part, et si vous avez omis de prendre en compte certains éléments, d’autre part.
Si vous souhaitez que Ontrack soit impliqué dans votre plan de reprise après sinistre, parlez-en avec l’un de nos experts dès aujourd’hui.