DRP/PRA, PRI, BCP/PCA, RTO, RPO sont des acronymes dont nous avons déjà entendu parler mais que nous ne comprenons pas toujours. Et pourtant, derrière ces quelques lettres se trouvent une certaine garantie de la survie de l’entreprise en cas de crise majeure.
Petite explication.
Le DRP ou PRA (Disaster Recovery Plan ou Plan de Reprise d’Activité) : permet de réagir de façon rapide et réfléchie en cas de crise majeure. Qu’elle soit informatique, sociale, … ou … sanitaire.
Le PRI (Plan de Reprise Informatique) : les systèmes informatiques de l’entreprise représentent souvent un élément clé pour son bon fonctionnement. Mais avec des différences parfois importantes en fonction du secteur. Il est donc nécessaire d’y apporter une réflexion spécifique.
Le BCP / PCA (Business Continuity Plan ou Plan de Continuité d’Activité) : permet à l’entreprise de continuer de fonctionner, même si cela doit se faire en « mode dégradé », avec moins de personnel et de matériel.
Le RTO (Recovery Time Objective) : il est important de déterminer en combien de temps un service dégradé et un retour à la normal seront effectifs.
Le RPO (Recovery Point Objective) : quelle est la perte de données maximale admissible ?
Tous ces aspects sont évidemment liés et ont chacun le même objectif : un retour à l’activité normale.
En pratique.
A quel moment faut-il réfléchir à un DRP ?
Il ne faut pas attendre. On a vu qu’une crise peut toucher tous les secteurs. De plus, une crise, par définition, est un incident majeur qui ne prévient pas (ex. : incendie, inondation, panne électrique, pandémie, avarie ou perte d’un serveur). Il est donc nécessaire de mettre un DRP en place et le tester avant d’être confronté aux problèmes. Il faut ANTICIPER.
Qui faut-il mettre autour de la table ?
Nous recommandons de désigner un gestionnaire de projet mais il est également nécessaire d’impliquer chaque personne dont la fonction est essentielle au bon fonctionnement des différents services : Direction Générale, Ressources Humaines, IT, Service Technique, DPO, …
Quel budget définir ?
La mise en place d’un DRP est évidemment un coût supplémentaire que l’on voudrait éviter. Cependant, en cas de sinistre, il limitera les pertes financières dues à l’arrêt de l’activité. Il est donc utile d’effectuer un comparatif entre le coût de mise en place de ce type de plan et les conséquences financières (ou autres) d’être à l’arrêt pour une temps indéterminé.
Avantages et limites d'un DRP.
Les avantages :
Rendre l’entreprise plus solide : une feuille de route précisant les actions à prendre en fonction de différents scénarios établis permet un retour à la normal plus rapide et de limiter les pertes de données, financières ou de crédibilité. Un DRP aura un impact positif sur la sérénité des dirigeants d’une entreprise.
Améliorer l’image de marque : avoir un DRP rassure les compagnies d’assurances, les clients, ainsi que les fournisseurs et autres partenaires. Disposer d’un plan de continuité est un élément clé dans la gestion d’un système de management de l’information ; il s’agit par ailleurs d’une obligation pour les organisations souhaitant se faire certifier ISO 27001.
Prendre du recul : les différents aspects nécessaires à la mise en place d’un DRP vous donneront une vision d’ensemble du système d’information de l’entreprise (les points forts et les vulnérabilités). Son élaboration amène donc à une réflexion sur des améliorations possibles afin de gagner en performance en temps normal.
Garder les objectifs fixés sur la sécurité de l’information :
- La sécurité de l’information doit faire partie intégrante de la continuité de l’activité, et cela ne s’improvise pas. Les exemples de décisions rapides ayant un impact sur la sécurité de l’information sont courants (ex. : solution de visio-conférence gratuites, utilisation de PC personnel pour du travail à domicile, déplacement de dossiers papier importants au domicile, etc.).
- En considérant la sécurité de l’information comme partie intégrante de votre DRP, vous évitez d’exposer inutilement votre organisation en période difficile. Si vous savez que vous faites des écarts aux bonnes pratiques en cette période compliquée, les pirates informatiques le savent aussi !
Les limites :
voir la mise en place d’un DRP comme un simple exercice est une erreur et donnerait une fausse impression de sécurité. Un DRP doit rester dans les priorités de l’entreprise, être mis à jour et testé à intervalles réguliers. C’est à ce prix qu’il sera votre meilleur allié. En cas de coup dur.
Soyez prêt à enclencher votre DRP !
Vous avez besoin d'une aide personnalisée ou souhaitez bénéficier d'un accompagnement dans votre projet de transformation digitale?
Faites appel à l'expertise de nos Data Privacy and Information Security Consultant de Bisoft. Tous les membres de l'équipe sont certifiés ISO 27001.
N’hésitez pas à prendre contact via le formulaire ci-dessous:
info@bde-group.be - 0032 2 880 12 00- www.bisoft.be
Bisoft S.A. fait partie de BDE-Group. Notre mission est de vous accompagner pour trouver la solution qui vous convienne, que ce soit pour l’achat de matériel, l’installation et la maintenance de votre système informatique ou encore la sécurisation et la continuité de votre activité. Nous faisons en sorte que chaque entreprise puisse se concentrer sur son activité première sans se soucier de son système informatique