Planification de la continuité de l’activité

Qu’est-ce qu’un plan de reprise après sinistre pour la continuité de l’activité ?

La création d’un plan de continuité de l’activité commence par une analyse de l’impact sur l’activité (BIA) – autrement dit, une évaluation approfondie de la manière dont divers types de perturbations pourraient affecter vos opérations. Cela comprend l’évaluation des dépendances entre l’infrastructure, les applications, les chaînes logistiques, les données et le personnel.

La BIA informe la définition des mesures de reprise clés :

• Objectif de temps de récupération (RTO) : durée cible au bout de laquelle les systèmes et processus doivent être restaurés
• Objectif de point de reprise (RPO) : volume de perte de données maximal acceptable, mesuré en temps
• Temps d’arrêt maximal tolérable (MTD) : période maximale acceptable pendant laquelle un processus peut rester indisponible sans causer de dommages significatifs
• Perte de données maximale tolérable (MTDL) : perte de données maximale qu’une fonction de l’entreprise peut supporter avant que cela n’entraîne des conséquences inacceptables.

Ces mesures pilotent la création d’accords de niveau de service (SLA) et guident la sélection des stratégies de reprise.

La planification de la continuité de l’activité repose également sur la compréhension de deux mesures moins fréquemment évoquées, et pourtant cruciales : le temps de réponse aux incidents (IRT) et le temps de reprise opérationnelle (ORT).

• Le temps de réponse aux incidents (IRT) fait référence au temps écoulé entre le début d’une interruption et l’activation du plan de continuité de l’activité ou de reprise après sinistre. Une identification et une réponse rapides peuvent limiter considérablement les dommages.
• Le temps de reprise opérationnelle (ORT) représente le temps nécessaire pour restaurer toutes les fonctionnalités une fois les systèmes remis en ligne. Cela inclut des processus tels que la remobilisation des employés, la resynchronisation des applications et le rétablissement des intégrations externes.

Un plan de continuité de l’activité aide les organisations à gérer à la fois les perturbations imprévues (telles que les catastrophes naturelles, les cyberattaques ou les pannes de système) et les interruptions planifiées (telles que les opérations de maintenance ou les mises à niveau). Ce plan comprend souvent :

• Des systèmes redondants et une infrastructure de basculement
• Des procédures de reprise sur le lieu de travail et d’accès à distance 
• Des stratégies de protection des données et de reprise après sinistre
• Des stratégies de cybersécurité et de cyberreprise
• Des plans de communication de crise et des hiérarchies décisionnelles

Il ne s’agit pas seulement de restaurer l’environnement technologique, mais aussi de garantir que les services essentiels continuent de fonctionner pendant que les efforts de restauration complète sont en cours.

Les opérations informatiques s’appuient sur des technologies telles que le stockage haute disponibilité (HA), le clustering de serveurs, l’équilibrage de charge, les systèmes de gestion des informations et événements de sécurité, le cyber-coffre-fort, les sauvegardes immuables, la protection continue des données et le basculement automatisé. Ces mesures sont essentielles pour limiter les temps d’arrêt et préserver l’intégrité des données dans les environnements hybrides et multicloud.

La planification de la continuité de l’activité n’est pas un événement ponctuel. Pour être efficace, un PCA doit être :

• Régulièrement testé au moyen d’exercices et de simulations
• Constamment actualisé afin de tenir compte des changements en matière de technologie, de personnel ou de priorités de l’entreprise
• Détenu de manière collaborative par une équipe interfonctionnelle de gestion de la continuité de l’activité (BCMT) qui couvre l’informatique, les RH, les opérations, la conformité et la direction exécutive.

Sans investissement continu dans les tests et le perfectionnement, un plan de continuité de l’activité peut devenir le maillon faible d’une stratégie de gestion des risques par ailleurs robuste.

Bien qu’étroitement liées, la continuité de l’activité, la reprise après sinistre et la cyberreprise correspondent à différentes facettes de la résilience opérationnelle :

• La continuité de l’activité englobe tous les aspects du maintien des opérations en cas d’interruption.
• La reprise après sinistre se concentre sur la restauration des systèmes informatiques et des données après une interruption, qu’elle soit causée par une catastrophe naturelle ou une défaillance du système.
• La cyberreprise a le même objectif que la reprise après sinistre, mais elle est spécifiquement adaptée aux perturbations intentionnelles causées par des cyberattaques telles que les ransomwares. Elle fait intervenir des sauvegardes sécurisées et immuables, des coffres-forts de reprise physiquement isolés et des fonctionnalités de restauration automatisées.

Un plan complet de continuité de l’activité et de reprise après sinistre intègre les trois approches pour garantir l’étendue et la profondeur des stratégies de reprise.

L’un des résultats les plus marquants d’une analyse d’impact sur l’entreprise (AIE) est la note de criticité attribuée aux fonctions métier. Ce cadre aide les organisations à trier les efforts de reprise en fonction de l’urgence et de l’impact.

Le barème type prévoit 4 niveaux :

• Niveau 1 – fonctions critiques : doivent être restaurées en quelques minutes ou quelques heures afin d’éviter une perturbation majeure
• Niveau 2 – fonctions essentielles : – doivent être restaurées dans les 24 à 72 heures
• Niveau 3 – fonctions nécessaires : la reprise peut être retardée jusqu’à une semaine sans impact sérieux
• Niveau 4 – fonctions souhaitables : peuvent être restaurées sur une période prolongée sans conséquences majeures

Exemples par fonction :

• La capacité de traiter des transactions financières est essentielle dans le secteur financier, où une interruption de service – aussi brève soit-elle – a un impact sur les revenus et la confiance.
• L’accès aux dossiers médicaux électroniques (DME) est essentiel dans le domaine de la santé, où des décisions engageant la vie du patient dépendent de données en temps réel.
• La capacité de gérer les commandes en ligne et les tickets de service client est essentielle dans le commerce électronique et la vente au détail, où la satisfaction client et le flux de revenus dépendent de la continuité.

Alors que la reprise est réactive par nature, la cybersécurité est proactive : elle se concentre sur la prévention, la détection et le traitement des menaces. Une planification moderne de la continuité de l’activité doit intégrer la cybersécurité à tous les niveaux, notamment :

• La sécurité du réseau et des terminaux
• L’authentification multifacteur et le contrôle d’accès
• Le chiffrement des données et la sauvegarde sécurisée
• L’intégration du centre d’opérations de sécurité (SOC).

La cybersécurité est un élément clé de la continuité de l’activité qui prévient les interruptions avant qu’elles ne surviennent. La combinaison de la cybersécurité et de la cyberreprise permet d’assurer une continuité proactive et réactive pour faire face aux cybermenaces connues et inconnues.

La continuité de l’activité se concentre sur le maintien des opérations en cas d’interruption, tandis que la résilience de l’entreprise consiste à s’adapter et à évoluer face aux défis à long terme. Un plan de continuité mature est le fondement d’une résilience organisationnelle efficace couvrant l’informatique, les opérations, les chaînes logistiques et les modèles de gestion du personnel.