Pourquoi un PCA et un PRA?
En conduisant l’analyse de risques pour les activités clés de l’entreprise les solutions à la portée de l’entreprise peuvent s’avérer limitées ou non satisfaisantes pour répondre à la stratégie de l’entreprise. En cas de panne majeure, il est nécessaire d’avoir un plan de continuité d’activité (PCA) ou un plan de reprise d’activité (PRA) si l’entreprise veut avoir une chance de rester en vie.
En cas d’un tel incident majeur, avoir un PCA établi permet d’avoir un plan d’action technique et organisationnel permettant le retour à des conditions d’activité satisfaisante (même si éventuellement dégradée mais en tout cas non nulle) en un minimum de temps et avec, idéalement, aucun besoin de réflexion et prise de décision « à chaud ».
L’établissement de ces plans est un exercice critique car il en va de la continuité de l’activité, dans un premier temps, puis d’un retour à un fonctionnement normal dans un deuxième temps.
C’est aussi l’occasion pour savoir jusqu’à quel niveau l’entreprise peut tolérer une panne relativement aux cinq objectifs fondamentaux de la sécurité de l’information, à savoir :
- La Confidentialité (C) : assurer que seules les personnes autorisées aient accès à l’information ou la ressource
- L’Intégrité (I) : garantir que les données restent intactes au repos (fichier sur disque dur, données dans une base de données) comme en transit (données de formulaire en ligne, transfert de fichier…)
- La Disponibilité (D) : garantir l’accès à l’information ou à la ressource à la demande de l’utilisateur sans délai ;
- La non répudiation (appelée aussi Traçabilité) : garantir qu’une transaction ne peut être niée par l’entité qui l’a réalisée ; (nier d’avoir ouvert une session, d’avoir envoyé un email…)
- L’authentification : s’assurer de l’identité de l’entité qui accède à un système. Attention, à ne pas confondre avec autorisation, qui vient après l’authentification, et qui sert de vérifier est ce que l’entité qui veut réaliser l’accès à la ressource cible a le droit de le faire ou pas.
L’établissement des PCA et PRA est désormais nécessaire pour toute entreprise pour garantir la continuité des services qu’elle offre vu la grande dépendance de la partie « business » pure du Système d’Information et des données qu’il traite. Sans oublier que l’entreprise pourrait encourir des pénalités relatives au non-respect de clauses contractuelles, d’où l’impact financier, voire même juridique, qui pourrait coûter plus cher que la mise en place du PCA ou PRA. Enfin, l’impact sur l’image de marque n’est pas à négliger.
Démarche
La démarche proposée par PRO IT Consulting consiste tout d’abord à déterminer les activités et leurs actifs (données, matériel et logiciel) concernés par le PCA/PRA. Ensuite, la composante humaine est étudiée selon les niveaux de continuité d’activité voulus. Enfin, les critères d’activation de la procédure PCA sont déterminés.
Les critères d’un retour à la normale ainsi que la procédure de PRA seront établis en deuxième lieu.