Continuité d’activité: ne laissez pas la place au hasard

25 octobre 2021

C’est un fait indéniable, le bon fonctionnement de la majorité des entreprises repose sur l’état de santé de leur système informatique. Et de sa disponibilité. Il est donc vital pour celles-ci de créer et maintenir des infrastructures qui leur permettront de maintenir et développer leurs activités en toutes circonstances. Et la chose n’est pas aisée, car les motifs d’indisponibilité de ces services et ressources sont nombreux. En moyenne, les entreprises connaissent des interruptions de services dues à des « pannes informatiques » au moins 2 fois par an, pour des raisons parfois très éloignées des considérations techniques qui viennent spontanément à l’esprit. L’actualité fait penser évidemment aux risques liés à la cybercriminalité. En effet, selon l’Anssi, le nombre de cyberattaques a augmenté de 400% en France en 2020. Des stratégies de protection doivent être mises en place, mais aucune ne garantira une efficacité totale. De multiples évènements peuvent interrompre vos process, sans que vous puissiez les anticiper pour vous en prémunir. Les risques naturels (Inondations, incendies, séismes, etc…), les pannes d’électricité longues, et enfin le risque humain, volontaire ou involontaire. Le rôle du dirigeant et de ses équipes est donc d’identifier ces risques, de mettre en place les mesures de prévention adaptées, et d’anticiper les actions à mener si ces mesures s’avéraient inefficaces.

Les statistiques sont effrayantes : 8 PME sur 10 font faillite suite à une panne informatique majeure.

Quelques chiffres pour mesurer le niveau de risque pris par la majorité des entreprises, souvent par manque de conscience ou d’informations :

  • 82% des entreprises gèrent leur PRA/PCA (préciser ce que c’est : plan de reprise d’activité) en interne
  • 16% prévoient un plan de formation spécifique au PRA/PCA
  • 10% des entreprises ne savent pas si leur PRA fonctionne
  • La perte de données est supérieure à la prévision acceptable dans 26% des cas
  • 80 % des PME non préparées à un sinistre ne survivent pas à un important crash informatique

Or, une interruption des systèmes d’information provoque des conséquences très lourdes pour l’entreprise :

  • Arrêt de la production
  • Perte de chiffre d’affaires,
  • Dégradation de l’image de marque,
  • Impact juridique si l’incident empêche la société de remplir des obligations contractuelles et/ou légales ;
  • Eventuel ressenti négatif au niveau des collaborateurs, partenaires, fournisseurs et clients.

Il est donc vital pour les entreprises d’identifier les processus critiques utiles à son bon fonctionnement, afin d’anticiper les process et outils qui permettront une continuité de ces activités en cas de crise.

La sauvegarde du patrimoine numérique de votre entreprise est essentielle… mais insuffisante !

La majorité des entreprises est consciente de l’importance de la sauvegarde de ses données. Malheureusement, la stratégie appliquée ne permet pas de garantir une complète restauration en cas de sinistre. Par exemple, que devient une sauvegarde locale en cas d’incendie ? Le strict minimum est donc d’appliquer la règle 3-2-1 :

  • 3 copies de vos données
  • 2 types de supports différents
  • 1 sauvegarde hors site

Mais le fait de sauvegarder vos données ne suffit pas à garantir une restauration rapide. Prenons un exemple : Vous épargnez pour pouvoir faire face à vos charges si une éventuelle baisse d’activité et de revenus de votre entreprise survenait. Comment feriez-vous si votre banquier ne libérait cette épargne que 6 mois après votre expression de besoin ? Votre entreprise y survivrait-elle ? Il en est de même pour votre patrimoine numérique : la sauvegarde n’est efficace que si elle est disponible dans un délai acceptable pour votre activité. Les plans de continuité ou reprise d’activité consistent à mettre en place une stratégie de récupération des données et des applications permettant une reprise d’activité sans dégâts vitaux pour l’entreprise. Leurs mises en place nécessitent une étude préalable des ressources critiques.

Déterminer les éléments vitaux de votre entreprise pour construire un plan de résilience efficace.

Considérez un PRA (plan de reprise d’activité) ou un PCA (plan de continuité d’activité) comme une « Assurance Activité ». Vous définirez votre stratégie en fonction d’une évaluation de votre exposition au risque, du capital que vous souhaitez garantir (ou de ce que vous acceptez de perdre) et de votre capacité financière. La différence entre PRA et PCA se situe principalement sur le temps acceptable, pour une entreprise, d’arrêt de production ou d’activité, le PCA nécessitant des solutions plus lourdes et onéreuses que le PRA. Leur mise en place demande une organisation préalable qui définit les seuils critiques à ne pas dépasser en cas d’incident ou de panne.

Identifier les services et ressources critiques.

Il est tout d’abord essentiel de procéder à un inventaire et une cartographie des process de l’entreprise et des outils qu’elle utilise pour assurer son activité. Ces différents éléments sont ensuite classifiés suivant leur importance (vitaux, essentiels, importants, accessoires), ce qui permet enfin de définir les infrastructures et organisations à mettre en place pour assurer le maintien ou la reprise d’activité selon les objectifs définis.

Déterminer le délai maximum de rétablissement.

Il est primordial de connaître les 2 types de rétablissements à considérer :

  • Le RTO (Recovery Time Objective) représente le délai objectif de rétablissement d’un processus, à la suite d’un incident majeur. Il définit le temps alloué pour faire le basculement vers un nouveau système opérationnel. Il s’agit avant tout d’un objectif technique.
  • Le DMTP (Durée maximale Tolérable de Perturbation) est le temps maximum avant d’impacter gravement et de façon irréversible l’entreprise. C’est bien entendu celui qui déterminera la résilience de l’entreprise.

Déterminer le niveau de perte de données acceptable.

L’incident survient. La restauration sera réalisée sur la base de la dernière sauvegarde. De quand date t’elle ? 1 jour, 1 semaine, 1 mois ? Le RPO, acronyme de Recovery Point Objective, désigne la durée maximum d’enregistrement des données qu’il est acceptable de perdre sans dommages trop important pour l’entreprise

Quel serait l’impact d’une panne informatique sur votre entreprise ? Y survivrait-elle ?

Avec notre offre B’Mote Restart :

  • Reprenez l’activité en quelques minutes en cas d’attaque ou de sinistre
  • Protégez le capital numérique de votre entreprise
  • Sauvegardez vos comptes office 365 ou G-suite
  • Sauvegardez les fichiers des ordinateurs nomades