« Il est rare de trouver en 2023 des organisations qui n’utilisent pas très largement les outils IT dans leur activité. En cas de problème informatique important, la plupart verront leur activité passer en mode dégradé. »
Cyberattaque de type ransomware, départ de feu dans le datacenter d’un prestataire qui héberge vos données, inondation de votre sous-sol qui renferme du matériel réseau, propagation d’un virus informatique dans les ordinateurs contenant des informations sur vos clients… les risques qui pèsent sur votre système d’information sont nombreux et de nature très variée. Mais ils ont tous un risque commun : bloquer tout ou partie de votre système informatique, et par rebond tout ou partie de votre activité. Pour bien se préparer à faire face à de tels évènements, il faut préparer en amont une stratégie de continuité et de reprise de votre activité. Et pour cela, il y a les PRI, PCI, PRA et PCA.
Pour échanger sur ce vaste sujet, nous avons le plaisir d’inviter Laurent Galvani, consultant cybersécurité senior chez Fidens.
Peux-tu déjà nous dire ce que ce cache derrière les acronymes PRI/PCI/PRA/PCA ?
- Le PRI est le Plan de Reprise Informatique. Il englobe les démarches qui permettent au SI de redémarrer après un sinistre ou un incident critique
- Le PCI est le Plan de Continuité Informatique, soit l’ensemble des architectures, moyens et procédures nécessaires pour assurer une continuité de fonctionnement des services informatiques.
- Le PRA est le Plan de Reprise d’Activité, c’est-à-dire l’ensemble des procédures et moyens matériels, technologiques et humains qui permettent de rétablir et de reprendre l’activité de l’entreprise après un incident ou un sinistre.
- Le PCA est le Plan de Continuité d’Activité, qui assure la continuité du fonctionnement en mode dégradé d’une entreprise, en cas de sinistre majeur.
La préparation à un incident cyber vise uniquement les PCI et PRI, ou doit-elle également englober les PCA et PRA ?
La réflexion à la préparation d’un incident cyber dépend beaucoup du contexte dans lequel l’organisation évolue. Par exemple, les éditeurs de logiciels, les hébergeurs ou les infogéreurs travaillent exclusivement avec des outils informatiques et des systèmes d’information. De fait, il n’est pas possible pour eux de traiter les sujets de PCI/PRI sans les sujets de PCA/PRA.
Et plus généralement, il est rare de trouver en 2023 des organisations qui n’utilisent pas très largement les outils IT dans leur activité. En cas de problème informatique important, la plupart verront leur activité passer en mode dégradé. Avec une perte de temps et d’argent à la clé.
Donc à partir du moment où une organisation s’attaque aux questions d’incidents cyber, elle va réfléchir également aux impacts que cela peut avoir sur toute son activité, et pas seulement sur le volet IT. Aujourd’hui une bascule se crée forcément entre les enjeux visés par les PCI/PRI et les PCA/PRA.
Lorsqu’on parle de reprise d’activité, il faut définir ce qui peut continuer, ce qui devrait continuer, de quelle façon, et c’est à ce moment qu’il faut trouver l’équilibre entre la partie informatique et les moyens non-informatiques dont dispose l’entreprise pour continuer à faire tourner une partie de son activité.
Comment définir les éléments critiques devant être inclus dans une reprise ou une continuité d’activité ?
Si un incident vient perturber le système d’information, il faut réfléchir aux impacts sur l’activité principale de l’entreprise, et à la façon de la poursuivre en mode dégradé. Une méthode efficace consiste à mettre en place des ateliers et des entretiens avec les responsables métiers, identifier les apports de chacun et l’impact sur le groupe en cas de problème. Cette phase peut être assez longue pour les structures les plus grandes.
Une fois ces entretiens effectués, il est important d’avoir une consolidation avec la direction pour hiérarchiser les activités, et définir lesquelles sont prioritaires pour le bon fonctionnement de l’entreprise. Cette notion de priorité est complexe car elle possède de nombreux volets : financier, humain, stratégique… La prise en compte de la sécurité doit donc s’adapter en fonction du contexte dans lequel évolue l’organisation et de la nature des projets menés comme je l’évoquais dans un article précédent.
Comment conjuguer reprise d’activité et infrastructure Cloud, applications en mode SaaS et sauvegardes chez un prestataire ?
Dès qu’il est question de prestataires et de Cloud (pour une sauvegarde ou un service SaaS) il faut prêter une attention particulière au contrat encadrant chaque service. C’est en effet lui qui définit à chaque étape qui est responsable et dans quel cas (panne, cyberattaque…). Il s’agit donc d’un vrai sujet contractuel qui doit orienter le choix du prestataire, notamment dans des domaines avec des processus sensibles : la gestion de la paie par exemple. Mais généralement c’est ce dernier qui gère le maintien en condition opérationnelle et de sécurité de son infrastructure Cloud et les conséquences en cas d’incident. Il est donc responsable de ses solutions, du Recovery Time Objective (RTO) et de la disponibilité des données confiées.
Le problème devient plus délicat avec la tendance actuelle du best of breed qui amène les entreprises à disposer d’un « mille feuilles » de prestataires. De plus, ces derniers adoptent eux-mêmes cette démarche pour leur solution avec de l’infogérance au niveau de la sauvegarde ou des infrastructures Cloud (iaaS) par exemple. Il peut alors devenir complexe de poser les responsabilités face à une interruption de service ou un incident donné. Il s’agit pourtant d’un élément capital car sans définition des responsabilités, il n’est pas possible de savoir qui doit faire quoi, de modifier quoi et à quel moment dans un contexte de PRA/PCA. Qui doit être sollicité en cas de crise, qui est en charge des mesures de secours ?
Mais devant cette apparente complexité, il est nécessaire de rappeler qu’un prestataire, spécialiste de la sauvegarde par exemple, aura des ressources, des plans de recovery et des compétences bien plus développés que son client. Il est donc généralement moins risqué de fonctionner de cette façon que de vouloir gérer toutes les mesures d’un PRA/PCA soi-même. Car en plus d’exposer ses données à des failles de sécurité (cyber ou IT), cette démarche de « made myself » peut être aussi onéreuse qu’une démarche d’infogérance, et sans les mêmes garanties.
Comment savoir si ma stratégie de continuité et de reprise d’activité est efficace ?
Il faut absolument tester ses PCA, PRA, PCI ou PRI car ce n’est pas lorsqu’un incident surviendra qu’il faudra se rendre compte d’une faiblesse dans sa stratégie. Les tests interne et externe représentent une véritable ceinture de sécurité et permettent de s’assurer que ce qui a été planifié fonctionne comme prévu. Le test a également cet avantage de proposer « un entrainement », et de vérifier ainsi comment réagissent les équipes concernées face au stress. La mise en œuvre d’un test peut être extrêmement simple : il suffit par exemple de couper l’alimentation électrique de l’entreprise, ou d’une partie de ses locaux, et de voir comment les collaborateurs réagissent.
Dans les faits, il est souvent compliqué de réellement éprouver un PCA/PRA dans son intégralité, car le test va avoir un impact sur l’activité nominale, comme l’arrêt d’une production. Le test a donc un coût, qui doit être prévu dans cette stratégie même de la continuité et de la reprise d’activité pour qu’il puisse être réalisé dans les meilleures conditions.
Peux-tu nous dire ce qu’est un SMCA ?
SMCA est l’acronyme pour le Système de Management de la Continuité d’Activité. C’est un système de gestion des risques qui regroupe le plan de continuité d’activité et le plan de reprise d’activité. Il est normalisé par la norme ISO 22301, qui spécifie les exigences pour mettre en œuvre, maintenir et améliorer un système de management afin de se protéger contre les perturbations, réduire leur survenance, s’y préparer, y répondre et se rétablir lorsqu’elles se produisent.
Un tel système est intéressant pour tous les types d’organisation (et de toutes tailles) qui :
- Mettent en œuvre, maintiennent et améliorent un SMCA,
- Cherchent à assurer la conformité à la politique de continuité d’activité déclarée,
- Ont besoin d’être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau de capacité acceptable et préalablement défini durant une perturbation,
- Cherchent à améliorer leur résilience à travers l’application efficace du SMCA.
Consultant en cybersécurité depuis 9 ans, j’interviens sur toutes les problématiques de gouvernance, risques et conformité et j’accompagne également les clients à choisir la meilleure offre pour renforcer leur maturité cybersécurité.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com