Plan de Continuité et de reprise d’Activité des Systèmes d’Information

Les Plan de Continuité (PCA) et de Reprise (PRA) d’Activité constituent le socle de la résilience de vos Systèmes d’Informations, et donc des entreprises.

L’objectif de la mise en œuvre d’un PCA ou d’un PRA est de sécuriser le Système d’Information pour l’aligner sur les besoins métiers, et notamment des process vitaux des entreprises.

Pourquoi la mise en œuvre d’un PCA/PRA ?

Le PCA et PRA constituer un socle permettant d’identifier les applications vitales, afin de pouvoir réduire les risques, quels qu’ils soient :

  • Un sinistre majeur (dégâts des eaux, incendie, dégradation intentionnelle ou non, …),
  • Un besoin de s’aligner les règlementations (SOX, Bale/Solvency, ISO, HDS, …),
  • Une évolution de l’organisation de l’entreprise (fusion, acquisition, carve out, déménagement du siège, …),

Nous accompagnons les équipes de nos clients avec pour objectif d’aboutir à une étape d’identification d’un plan d’actions permettant de sécuriser le SI vital.

antauen-audit-de-maturite

PCA et PRA : une démarche en 3 points

Il est nécessaire d’identifier les process de l’entreprise afin de pouvoir apporter une résilience a minima pour les applications vitales.

Prendre connaissance des inventaires :

Cette première étape a pour objectif d’identifier les différents inventaires :

  • Un inventaire des équipements informatiques (Infrastructures informatiques hébergées dans les salles internes, mais aussi en externe chez des hébergeurs ou dans le Cloud),
  • Un inventaire des applications informatiques (applications internes, hébergées, en mode Saas, mais aussi les applications « Excel »),
  • Un inventaire des contrats informatiques (contrats de supports et de maintenances liés aux équipements, aux applications, à des infogérances, …).

Définir la Matrice de criticité des applications (Business Impact Analysis)

Dans notre démarche de construction du PCA/PRA, il est important d’identifier une grille des impacts en fonction de critères. De manière traditionnelle, nous retenons les critères « finance », « opérationnel » et « image », afin de pouvoir mesurer le résultat de l’apparition d’un risque.

Cette matrice (BIA) a pour objectif de permettre un classement des applications.

Afin de faciliter la construction de cette Matrice de Criticité, nous préconisons de définir une hypothèse de panne du SI (4 heures, 8 heures, …), afin de faciliter la perception aux différents interlocuteurs.

Après avoir réalisé des échanges avec l’ensemble des interlocuteurs, nous vous conseillons de demander un arbitrage à la Direction Générale de l’entreprise (CODIR ou COMEX).

L’adéquation aux infrastructures

Une fois identifiées les applications critiques, ANTAUEN vous recommande de construire un plan d’actions afin de pouvoir garantir l’engagement de résultat :

  • Réponse aux infrastructures : la première partie consiste en une validation que les applications critiques reposent effectivement sur des infrastructures résilientes,
  • Roadmap : la seconde partie consiste à vérifier que l’ensemble des composantes techniques et applicatives disposent d’un support de la part des constructeurs et éditeurs (tolérance à N-1 ou N-2).

PCA et PRA : arbitrage du plan d'actions

Il ne faut pas oublier de traiter les applications en mode Saas et donc de s’assurer qu’elles disposent bien d’une résilience contractuelle (et testée) de la part de leurs éditeurs.

Une fois ce plan d’actions formalisé (avec les charges et les budgets associés), ANTAUEN vous recommande de revenir à nouveau en arbitrage de la Direction Générale de l’entreprise (CODIR ou COMEX), afin de s’assurer que les moyens alloués sont en adéquation aux criticités.

Une fois ces 3 premières étapes réalisées, la DSI dispose d’un plan d’actions et d’un budget associé.

PCA et PRA : les étapes complémentaires

Pour autant, il reste encore quelques étapes avant de pouvoir disposer d’un PCA/PRA opérationnel :

Identification des scénarios de risques
Quels risques la DG souhaite traiter : incendie, dégâts des eaux, absence de compétences, risques industriels/seveso, risque géopolitique ?
Organisation du PRA/PCA
Quels sont les acteurs du PCA/PRA ? des Cellules de Crises (Stratégique et Opérationnelle) ?
Formalisation des process du PRA/PCA
Rédaction des process opérationnels du PCA/PRA : arrêt/redémarrage des applications, des serveurs, PV de recette technique et fonctionnel
Corpus Documentaire
Qui gère l’espace documentaire, avec les bons niveaux de sécurité (certains documents sont très sensibles) ?
Test du PCA et PRA
Depuis les tests unitaires (technique/fonctionnel) jusqu’au test de bascule complet avec production pendant plusieurs jours.

PCA : découvrez une étude de cas client !

Choisir ANTAŬEN pour votre Plan de Continuité/Reprise d’Activité, vous permet :

  • D’améliorer la gouvernance des assets: assure la gouvernance des différents inventaires (équipements, applications, contrats).
  • De réduire les pertes financières en cas de risques: en limitant les interruptions, le PCA aide à réduire les pertes de revenus et les coûts supplémentaires liés à une panne prolongée.
  • D’avoir vos équipes plus efficaces en cas d’incident majeur: en étant mieux préparer, en testant régulièrement vos process de PCA/PRA, vos équipes résistent beaucoup mieux à l’apparition d’un incident majeur.
cta-cas client Antaŭen-mise en place d'un PCA au sein d'une entreprise

Pour plus d’informations contactez-nous

ANTAŬEN est un cabinet de conseil IT accompagnant ses clients dans le Pilotage, la Gouvernance et l'Assistance à Maîtrise d'Ouvrage

À Propos

Nous Suivre

ANTAŬEN

4 rue Edith PIAF
44821 Saint-Herblain

contact@antauen.fr