Définir un plan de continuité et de reprise d'activité
Le plan de continuité et de reprise d’activité prévoit les actions nécessaires pour maintenir le système d’information en fonctionnement ou le rétablir en cas de sinistre.
- Être en mesure de rétablir le service le plus rapidement possible
- Assurer la continuité des activités de l’entreprise
- Réduire l’impact des sinistres.
- Partir de l’évaluation des risques pour élaborer le plan
- Combiner des mesures préventives et curatives
- Tester le plan de continuité
Une fois l’analyse des risques et des dommages potentiels effectuée, l’entreprise doit établir une stratégie pour limiter l’impact des sinistres éventuels. Le plan de continuité informatique est l’une des facettes du plan de continuité d’activité général. Il vise à rendre l’entreprise résiliente face aux incidents informatiques, à travers plusieurs objectifs :
- Il doit limiter au maximum l’interruption des services essentiels pour les activités de l’entreprise, en assurant leur continuité ;
- Si jamais le service doit malgré tout être interrompu, il doit permettre de le rétablir le plus rapidement possible.
- Il doit protéger les données.
Pour assurer la continuité du service, vous avez tout intérêt à combiner différentes approches d’ordre préventif.
Il faut tout d’abord prévoir des systèmes et des réseaux redondants. Vous pouvez ensuite installer des outils de répartition de charge (load-balancing) qui permettent de basculer automatiquement vers les systèmes de secours si un dysfonctionnement touche les équipements et réseaux principaux. Pour être efficace, ces outils doivent être capables de détecter une panne le plus tôt possible. Une telle infrastructure doit permettre à minima de conserver les services vitaux en état de fonctionner, même de manière dégradée.
Il faut également avoir prévu des systèmes de sauvegarde et d’archivage, pour pouvoir récupérer vos données en cas de besoin. Vérifiez aussi que vos applications critiques comportent des mécanismes de persistance des données. Cela évite que les transactions en cours au moment où l’incident survient ne soient perdues ou exécutées de manière erronée, menaçant l’intégrité de vos bases.
Le plan de continuité doit aussi prévoir des procédures curatives, pour remettre en route le plus rapidement possible les systèmes principaux. Soyez le plus précis possible dans la liste et l’ordre des actions à effectuer. Prévoyez également des étapes de diagnostic pour identifier les causes à l’origine de l’incident si celles-ci sont inconnues. Enfin, indiquez les personnes responsables de chaque étape.
Pour s’assurer que le plan pourra jouer son rôle en cas de besoin, il faut l’avoir testé au préalable. Simulez un incident avec vos équipes, afin de pouvoir exécuter les procédures d’urgence. Cela vous permettra également d’ajuster le plan si jamais vous vous apercevez que quelque chose manque ou ne fonctionne pas comme prévu.
Dans tous les cas, il faut avoir conscience qu’un plan de continuité, si complet soit-il, ne peut pas prévoir toutes les éventualités. Si vous souhaitez limiter au maximum l’impact d’incidents imprévus sur votre entreprise, vous avez également la possibilité de souscrire une assurance spécifique. Celle-ci vous permettra de réduire les dommages sur le plan financier, afin de pouvoir reprendre votre activité dans de meilleures conditions.