Que ce soit suite à une catastrophe naturelle, un piratage ou encore une erreur humaine, une entreprise peut potentiellement souffrir énormément d’un arrêt de ses services informatiques. Imaginez que, du jour au lendemain, vous n’avez plus accès à vos emails, à votre CRM ou encore aux données de vos clients. Compliqué de travailler dans ces conditions n’est-ce pas ?
Evidemment, il y a certaines choses qu’on ne saura jamais éviter ni prédire (catastrophes naturelles) et personne n’est à l’abri d’un soucis technique. Si cela arrive pour une entreprise en particulier ou pour toute une série de boites d’un même secteur, l’existence et la qualité d’un plan de reprise d’activité (PRA) pourra être un facteur clé dans la capacité de société à passer au dessus et à rapidement revenir à une situation normale. Sans un PRA correctement défini, vous pourriez facilement vous retrouver pendant plusieurs jours ou semaines avec votre activité complètement à l’arrêt.
Malgré ce risque important, il n’y a que très peu de startups et de petites entreprises qui pensent à établir un PRA. Et pourtant, elles sont souvent extrêmement dépendantes de leur système informatique ! Donc, si vous avez lu jusqu’ici et que vous êtes maintenant convaincu qu’il faut penser à prévoir le pire, jetez un oeil à la suite avec les 8 étapes pour réaliser un plan de reprise d’activité (appelé en anglais IT Disaster Recovery Plan et à ne pas confondre avec un plan de continuité d’activité, cfr la différence entre le pra et le pca).
1. Déterminez le cadre de votre plan
Tout d’abord, vous devez comprendre quel est votre objectif final. Si vous êtes une entreprise qui dépend entièrement d’un accès rapide et facile à vos données pour rester en activité, votre plan de reprise d’activité informatique doit s’attacher à garantir la sécurité de vos informations propriétaires, même si votre matériel sur site (serveur dans votre bureau par exemple) connaît des défaillances critiques. Pour la plupart des petites et moyennes entreprises, cela signifie qu’il faut explorer les options de stockage de données hors site, dans le cloud.
2. Analysez vos vulnérabilités IT
Après avoir défini votre objectif final, vous devez lister et classer les vulnérabilités et problèmes potentiels, en accordant une attention particulière aux problèmes déjà survenus dans le passé dans votre région géographique ou dans votre secteur d’activité. Indiquez, pour chaque problème, la probabilité qu’il survienne.
Si, par exemple, votre principale préoccupation est votre matériel sur site et qu’il y a un risque d’inondation dans votre région, il est primordial de protéger votre matériel contre les dégâts des eaux et de mettre en place des plans d’urgence en cas de défaillance de ces protections.
3. Analysez les risques
Une fois que vous connaissez les problèmes potentiels, il est temps de réfléchir à ce qui se passerait et quelles données seraient impactées si un tel soucis survenait. De cette manière, vous allez pouvoir ajouter un degré d’importance à chaque risque. Vous aurez, d’une part, la probabilité que le problème apparaisse et, d’autre part, l’importance de ce problème. Sur base de ces 2 critères, vous pourrez définir quels sont ceux à éviter à tout prix.
4. Définissez les stratégies de récupération
Après avoir classé tous les risques, il est temps de définir les stratégies de récupération les plus efficaces et les plus rentables. Idéalement, ce calcul tiendra compte à la fois de vos vulnérabilités informatiques les plus urgentes et de la performance de vos protections lors de votre analyse des risques.
Si, par exemple, vous avez déterminé que votre stockage de données sur site est votre plus grande vulnérabilité, vous devez définir la manière la plus efficace de sauver une copie des données dans le cloud ou ailleurs.
5. Rédigez un document officiel
À ce stade, vous êtes prêt à rédiger concrètement votre PRA. Vous devez maintenant rassembler toutes les informations que vous avez recueillies dans les étapes précédentes et les écrire de manière claire et concise dans un guide facile à comprendre.
Par exemple, si vous avez choisi de confier le stockage et la gestion de vos données à un hébergeur web privé ou une boite de service externe comme le site pra-informatique.fr, votre PRA doit indiquer clairement les étapes à suivre pour contacter ce fournisseur, le contrat signé, les engagements de chaque partie, etc.
6. Testez votre plan
L’élaboration de votre rapport écrit est un bon début. Mais faut-il encore que votre plan fonctionne ! Il est donc primordial de le tester. Faites une simulation réelle et complète de votre plan. Une fois le test terminé, améliorez votre plan et recommencez jusqu’à atteindre un résultat satisfaisant.
7. Eduquez votre équipe
Une fois que votre plan est prêt, il est temps de le présenter à toute votre équipe. Dans l’idéal, vous avez déjà consulté le personnel clé tout au long des six étapes précédentes, mais quel que soit le degré de collaboration dans votre processus de planification, il est primordial que chacun dans votre entreprise sache ce qui se passera en cas de problème majeur.
De plus, faire participer vos employés est un excellent moyen d’avoir un feedback externe sur votre plan. Vous aurez sûrement des retours et idées auxquels vous n’aurez pas pensé.
8. Maintenez votre plan à jour
Bien entendu, dans le meilleur des mondes, vous ne devriez pas avoir à faire appel à votre plan. Et il y a de grandes chances que vous n’en ayez pas besoin fréquemment. Il y a donc un risque que ce document prenne la poussière et qu’il devienne vite obsolète. Il est donc important de repasser dessus pour vérifier que les informations sont à jour, que les coordonnées sont correctes, etc.
Voilà donc 8 étapes high-level à suivre pour la rédaction de votre plan de reprise d’activité. J’espère pour vous que vous pourrez ainsi rédiger facilement votre PRA mais que vous ne devrez jamais l’utiliser ! 😉