PRA, agrégation d’utilité vitale
L’édification d’un Plan de Reprise d’Activité est désormais un pilier de la stratégie de résilience en entreprise. Au vu de l’évolution, la diversification et l’augmentation du nombre de menaces ces dernières années, il est périlleux de ne pas anticiper d’éventuels dommages que vous pourriez subir. L’explosion des attaques informatiques, notamment les ransomwares tous plus efficaces les uns que les autres, nous en font la parfaite démonstration depuis quelques années désormais.
Commençons par dire qu’un PRA est avant tout un document. Un document regroupant un ensemble de procédures techniques et organisationnelles à adopter en cas de crise grave et permettant d’identifier les leviers à actionner pour reconstruire le système d’informations post-incident.
Aujourd’hui, trop d’entreprises se considèrent en mesure de jouer un PRA de par le fait qu’elles ont investi dans des moyens techniques (liens internet redondés, infrastructure de backups, immutabilité des backups…), cependant ces éléments ne sont suffisants et ne peuvent fonctionner qu’avec une organisation des ressources humaines anticipées en adéquation avec le sinistre vécu par l’entité. Il est donc important qu’aucun aspect ne soit oublié dans le Plan de Reprise d’Activité : la communication, le juridique, les aspects logistiques, moyens de communication, point de rassemblement, ravitaillement…
Pourquoi prendre en compte tous ces éléments si abstraits pour certains ? Car la création du plan de reprise d’activité dans les règles de l’art exige l’imagination et la rédaction de sinistres cohérents sous la forme de scénario, aussi faiblement probable soient-ils, impactant l’entreprise. Ces scénarios peuvent présenter des sinistres techniques, purement informatiques, matériels ou encore de toute autre nature comme nous allons le voir dans l’exemple suivant.
Votre entreprise est victime d’une catastrophe naturelle : vous êtes victime d’une inondation et l’intégralité de l’entreprise est sous les eaux, l’entièreté de votre salle serveur est détruite, vos moyens de productions ou de service sont à l’arrêt, vos locaux sont inaccessibles. Que faire ? Et bien le PRA aura pour but de répondre à cette question en s’appuyant sur la méthode QQOQCCP :
Quoi ?
Pourquoi ?
Quand ?
Comment ?
Qui ?
Où ?
L’objectif est, vous l’aurez compris, d’organiser la remise sur pied du système d’informations processus par processus, en les priorisant, afin d’arriver le plus rapidement possible à une reprise de l’activité de production (si faible soit elle) ou de service tout en prenant en compte le business, les besoins des assurances lors des sinistres*, la faisabilité technique, les ressources disponibles.
*Il s’agit peut-être là de quelque chose d’anodin mais lors d’un sinistre comme celui pris en exemple dans le scénario ci-dessus. En effet, pour une entreprise productive victime de destruction de stock, l’une des premières choses à penser est de sortir une photo des stocks pré-sinistre afin que l’assurance puisse en estimer une valeur dans le cadre du processus d’indemnisation.
Autres exemples de scénario :
-Un Ransomware chiffre l’intégralité des serveurs de l’entreprise et exfiltre des données à caractère personnel des employés.
-Une entreprise à son infrastructure IT externalisée dans un datacenter qui a complètement brûlé
-Une entreprise située sous un couloir aérien est victime d’un crash d’avion. (savez-vous si votre entreprise est sous un couloir aérien ?)
Nous observons bien que les scenarios sont relativement différents mais que globalement l’impact le plus important ici sont les impacts business puisque les dommages occasionneraient très probablement des arrêts de production, des pertes de données brut à la fois de l’entreprise mais aussi probablement également de ses partenaires (clients, prestataires, sous-traitants…) voire des pertes humaines dans le cas du scénario de crash d’avion. C’est pourquoi il est important de mobiliser toutes les ressources disponibles lors d’une phase de reprise d’activité.
L’équipe de communication en est le meilleur exemple :
-votre entreprise externalise son SI dans un datacenter privé (dont vous n’avez pas la responsabilité), celui-ci est totalement détruit par un incendie et votre activité s’arrête.
-votre entreprise est victime d’un ransomware propagé par mégarde paralyse l’activité, une rançon est demandée et les hackers font la promotion de cette attaque sur les réseaux.
Ces deux cas de figure n’auront pas les mêmes impacts sur l’image et la notoriété de votre entreprise et il est important de particulièrement bien maîtriser la communication autour de l’incident en interne comme en externe. Il en va de même pour le service juridique qui sera en capacité d’adapter ses actions en fonction du scénario auquel il est confronté. En synthèse, le PRA se coécrit, avec tous les acteurs. L’équipe chargée de l’écriture du PRA n’est pas en capacité à elle seule de connaître tous les processus de secours et besoins de chaque métier. Cependant il est de son devoir (voire responsabilité) de mobiliser toutes les bonnes personnes qui vont apporter leur pierre à l’édifice.
Du côté technique et plus spécifiquement IT, la réalisation d’une cartographie des risques, d’une cartographie applicative ainsi qu’une définition des RTO et RPO (Recovery Time Objective et Recovery Point Objective) de chaque application, technologie, services (au sens protocole du terme) devront être réalisés en amont afin de déterminer au mieux l’ordre de redémarrage de ces éléments. Toutes ces métriques sont à définir avec ou par les métiers. Qui mieux que les administrateurs réseaux pour définir le RTO/RPO de la solution DNS de l’entreprise ? Mais ce n’est pas tout, le PRA est un pilier du système d’information qui doit résister au temps, un peu comme les fondations d’une maison. En effet, les entreprises amorcent de nombreuses mutations techniques, technologiques, organisationnelles. Et ces mutations sont à prendre en compte, sous-entendu: le PRA doit être revu de manière régulière afin d’être maintenu à jour ! Également, comme un passé proche nous l’a montré, il est utile de ne rien laisser aux hasards et aucune hypothèse ne doit être exclue ou déconsidérée. Il y a encore quelques mois, qui aurait pensé prendre en paramètre de son PRA une pandémie planétaire rendant les employés malades, empêchant les gens de se déplacer ou encore rendant indisponible les prestataires de services… ?
Une autre des priorités qui doit être donnée dans la stratégie basée sur le PRA est d’inclure les partenaires dans les processus de réflexion. Prenons l’exemple d’une entreprise de commerce qui choisit une solution de paiement externe faite par un prestataire, il est extrêmement important pour elle de s’assurer des capacités de résilience de la solution choisie, des engagements pris par le prestataire sur les RTO et RPO en cas d’incident qui paralysent l’activité de paiement et de fait le commerce.
Enfin, le dernier chaînon et non des moindre, le PRA doit être testé régulièrement. Les procédures techniques doivent être mises à l’épreuve, la fonctionnalité des moyens de communications doit être vérifiée, la disponibilité des ressources (procédures) doit être assurée en cas d’incident, le but étant à la fois d’entraîner les équipes mais surtout de valider les faisabilités techniques. Comme nous l’avons souligné, les hommes changent et il est donc très important de s’assurer que n’importe qui soit en capacité d’utiliser les procédures de secours.
En conclusion, il est nécessaire de se questionner perpétuellement sur la résilience de son entreprise et particulièrement de son système d’information ayant désormais une place centrale dans le système productif ou de service. Le PRA n’a certes qu’une fonction d’agrégat d’éléments de nature différente mais il permet surtout une structuration et organisation rendant possible une exécution rapide et maîtrisée des tâches de chacun. Toute proportion gardée il s’agit, il est vrai, d’un travail de fourmis à réaliser (suivant la taille de l’entreprise) mais qui vous permettra de reprendre la route des sommets bien plus rapidement qu’en son absence.
Les articles qui pourraient également vous intéresser ..
Webinaire : Transformez vos collaborateurs en cyberhéros !
- Jean-Michel
- 19 novembre 2024
- blog
MFA : Multi Factor Authentication
- Jean-Michel
- 9 juillet 2024
- blog
Le gestionnaire de mots de passe
- Anthony SCANDELLA
- 15 juin 2024
- blog / sécurité opérationnelle
Protégez votre réseau informatique
- Jean-Michel
- 2 mai 2024
- blog / Gouvernance / sécurité opérationnelle
Comment sécuriser votre Active Directory
- Jean-Michel
- 25 avril 2024
- blog / sécurité opérationnelle
EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes
- Jean-Michel
- 7 février 2024
- blog