Continuité des activités ou reprise après incident : quel plan choisir ?

Les plans de continuité des activités et de reprise après sinistre sont des stratégies de gestion des risques sur lesquelles les entreprises s'appuient pour se préparer à des événements imprévus. Bien que ces termes soient étroitement liés, il existe des différences importantes à prendre en compte lors du choix de celui qui convient le mieux à votre organisation :

• Plan de continuité des activités (PCA) : un PCA est un plan détaillé qui décrit les actions qu'une organisation prendra pour rétablir ses fonctions normales après un sinistre. Alors que certains plans se concentrent sur un aspect particulier, comme une catastrophe naturelle ou une cyberattaque, les PCA adoptent une approche plus large pour garantir que l'entreprise est capable de gérer un éventail varié de menaces.
• Plan de reprise après sinistre (PRS) : plus détaillés que les PCA, les plans de reprise après sinistre se concentrent spécifiquement sur la protection des systèmes informatiques et des données critiques lors d'une interruption. En parallèle des PCA, les PRS aident à protéger les données et les systèmes informatiques des entreprises contre divers scénarios catastrophiques, tels que les pannes massives, les catastrophes naturelles, les attaques par ransomware et logiciel malveillant, et bien d'autres encore.
• Continuité des activités et reprise après sinistre (BCDR) : la continuité des activités et la reprise après sinistre (BCDR) peuvent être abordées ensemble ou séparément en fonction des besoins de l'entreprise. Récemment, de plus en plus d'entreprises se tournent vers une approche conjointe, demandant aux dirigeants de collaborer sur les pratiques de continuité des activités (BC) et de reprise après sinistre (DR) plutôt que de travailler de manière isolée. Cela a conduit à la fusion des deux termes en un seul, BCDR, mais la signification essentielle des deux pratiques reste inchangée.

Quelle que soit la manière dont vous choisissez d'aborder le développement du BCDR dans votre organisation, il convient de noter la rapidité avec laquelle ce domaine se développe à l'échelle mondiale. Les conséquences d'une mauvaise gestion du BCDR, telles que la perte de données et les temps d'arrêt, devenant de plus en plus coûteuses, de nombreuses entreprises augmentent leurs investissements existants. L'année dernière, les entreprises du monde entier étaient prêtes à dépenser 219 milliards de dollars en cybersécurité et solutions connexes, soit une augmentation de 12 % par rapport à l'année précédente, selon un rapport récent de l'International Data Corporation (IDC) (lien externe à ibm.com).

Les plans de continuité des activités (PCA) et de reprise après sinistre (PRS) aident les organisations à se préparer à une large gamme d'incidents imprévus. Lorsqu'un plan de reprise après sinistre est bien mis en œuvre, il permet aux parties prenantes de mieux comprendre les risques que certaines menaces posent pour les fonctions normales de l'entreprise. Les entreprises qui n'investissent pas dans des plans de continuité des activités et de reprise après sinistre (BCDR) risquent davantage de subir des pertes de données, des temps d'arrêt, des sanctions financières et des dommages à leur réputation à cause d'incidents imprévus.

Voici quelques-uns des avantages dont bénéficient les entreprises qui investissent dans des plans de continuité des activités et de reprise après sinistre :

• Réduction des temps d’arrêt : lorsqu'un sinistre interrompt les opérations normales, cela peut coûter des centaines de millions de dollars à une entreprise pour reprendre ses activités. Les cyberattaques très médiatisées sont particulièrement préjudiciables, car elles attirent une attention indésirable et poussent les investisseurs et les clients vers des concurrents qui promettent des temps d'arrêt plus courts.La mise en place d'un solide plan de BCDR peut réduire votre délai de reprise, quelle que soit la nature de la catastrophe.
• Risque financier réduit : selon le récent rapport d’IBM sur le coût d'une violation de données, le coût moyen d’une violation de données s’élevait à 4,45 millions de dollars en 2023, soit une augmentation de 15 % depuis 2020. Les entreprises disposant de solides plans de continuité des activités ont démontré qu'elles pouvaient réduire considérablement ces coûts en raccourcissant les temps d'arrêt et en renforçant la confiance des clients et des investisseurs.
• Réduction des sanctions : les violations de données peuvent entraîner de lourdes amendes lorsque des informations privées sur les clients sont divulguées. Les entreprises des secteurs de la santé et des finances personnelles sont particulièrement à risque en raison de la sensibilité des données qu'elles manipulent. Une solide stratégie de continuité des activités est cruciale pour ces entreprises, afin de réduire le risque de lourdes sanctions financières.

La planification de la continuité des activités et de la reprise après sinistre (BCDR) est plus efficace lorsque les entreprises adoptent une approche distincte mais coordonnée. Bien que les plans de continuité des activités (PCA) et les plans de reprise après sinistre (PRS) soient similaires, il existe des différences importantes qui rendent avantageux de les élaborer séparément :

• Les PCA se concentrent sur les tactiques permettant de maintenir les opérations normales avant, pendant et immédiatement après un sinistre. 
• En revanche, les PRS sont davantage réactifs, décrivant les moyens de répondre à un incident et de restaurer le bon fonctionnement de l'entreprise.

Avant de voir comment créer des PCA et PRS efficaces, examinons quelques termes communs à ces deux types de plans :

• Objectif de temps de reprise (RTO) : le RTO désigne le temps nécessaire à la reprise des processus métier après un incident imprévu. Établir un RTO raisonnable est l’une des premières choses que les entreprises doivent faire lorsqu’elles lors de la création d'un PCA ou PRS. 
• Objectif de point de récupération (RPO) : le RPO désigne la quantité de données que votre entreprise peut se permettre de perdre en cas de sinistre tout en étant capable de les récupérer. Étant donné que la protection des données est une priorité essentielle pour de nombreuses entreprises modernes, certaines copient constamment leurs données vers un centre de données distant afin d'assurer la continuité en cas de violation majeure.. D'autres fixent un RPO tolérable de quelques minutes (ou heures), garantissant ainsi la possibilité de récupérer les données métier via un système de sauvegarde et savent qu’elles pourront récupérer tout ce qui a été perdu pendant cette période.

Bien que chaque entreprise ait des exigences spécifiques en matière de planification de la continuité des activités, il existe quatre étapes généralement adoptées pour obtenir de bons résultats, quelle que soit la taille ou le secteur d'activité de l'organisation.

1. Effectuer une analyse d'impact sur l'entreprise  

L’analyse d’impact sur l’entreprise (BIA) aide les organisations à mieux comprendre les différentes menaces auxquelles elles sont confrontées. Une BIA bien menée inclut la création de descriptions détaillées des menaces potentielles et des vulnérabilités qu'elles pourraient révéler. Elle évalue également la probabilité de chaque événement pour permettre à l'organisation de hiérarchiser ces menaces.

2. Créer des réponses potentielles

Pour chaque menace identifiée dans la BIA, il est nécessaire de développer une réponse appropriée. Chaque menace exige une stratégie spécifique, il est donc essentiel d'élaborer des plans détaillés de récupération pour chaque scénario de catastrophe.

3. Attribuer les rôles et responsabilités

L’étape suivante consiste à déterminer ce qui est attendu de tous les membres de votre équipe de reprise après sinistre en cas d'incident. Cette étape doit inclure la documentation des attentes et prévoir comment les membres de l'équipe communiqueront en cas de catastrophe. Étant donné que certaines menaces peuvent interrompre les réseaux de communication, tels que les réseaux cellulaires et Wi-Fi, il est important de mettre en place des procédures de communication de secours.

4. Répéter et revoir le plan

Pour chaque menace identifiée, il est essentiel de pratiquer régulièrement et d'affiner les plans BCDR jusqu'à ce qu'ils fonctionnent sans accroc. Répétez des scénarios aussi réalistes que possible, sans mettre qui que ce soit en danger, afin que les membres de l'équipe acquièrent de la confiance et sachent comment réagir en cas d'interruption de la continuité des activités.

Comme pour les PCA, les PRS identifient les rôles et responsabilités clés et doivent être constamment testés et ajustés pour rester efficaces. Voici un processus en quatre étapes couramment utilisé pour créer des plans de reprise après sinistre.

1. Effectuer une analyse d'impact sur l'entreprise

Tout comme pour le PCA, un PRS commence par une évaluation minutieuse des menaces auxquelles votre entreprise pourrait être confrontée et de leurs implications. Prenez en compte les dégâts potentiels que chaque menace pourrait causer ainsi que la probabilité d'interruption des opérations quotidiennes. D'autres aspects à considérer incluent la perte de revenus, les temps d'arrêt, les coûts de gestion de la réputation (relations publiques) et la perte de clients et d'investisseurs en raison d'une mauvaise couverture médiatique.

2. Faire l'inventaire de vos actifs

Pour qu'un PRS soit efficace, il est primordial de savoir précisément quels sont les actifs de votre entreprise. Effectuez régulièrement des inventaires pour identifier le matériel, les logiciels, l'infrastructure informatique et tout autre élément essentiel aux fonctions critiques de votre organisation. Vous pouvez utiliser les labels suivants pour catégoriser chaque actif et hiérarchiser sa protection : critique, important et sans importance.

• Critique : désignez ainsi les actifs dont vous dépendez pour vos opérations normales.
• Important : attribuez ce label aux éléments que vous utilisez au moins une fois par jour et qui, s'ils sont perturbés, impacteraient vos opérations critiques (sans toutefois les interrompre totalement).
• Sans importance : il s’agit des actifs que votre entreprise possède mais qu’elle utilise assez rarement et qui ne sont pas essentiels aux activités normales.

3. Attribuer les rôles et responsabilités

Comme pour le PCA, il est essentiel de décrire clairement les rôles et responsabilités des membres de votre équipe. Assurez-vous que chacun dispose des ressources nécessaires pour accomplir ses missions en cas de sinistre. Voici quelques rôles et responsabilités couramment utilisés à prendre en compte :

• Rapporteur d'incident : personne responsable de maintenir à jour les coordonnées des parties concernées et de communiquer avec les dirigeants de l'entreprise ainsi que les parties prenantes en cas d'événements perturbateurs.
• Superviseur du PRS : personne qui veille à ce que les membres de l'équipe exécutent les tâches assignées lors d'un incident.
• Gestionnaire d'actifs : personne chargée de sécuriser et de protéger les actifs critiques en cas de catastrophe. 

4. Répéter leplan

Tout comme pour votre PCA, vous devrez pratiquer régulièrement et mettre à jour votre PRS pour qu'il reste efficace. Entraînez-vous fréquemment et ajustez vos documents en fonction de tout changement significatif. Par exemple, si votre entreprise acquiert un nouvel actif après la mise en place du PRS, vous devrez l'intégrer à votre plan pour assurer sa protection en cas de sinistre.

Que vous ayez besoin d'un plan de continuité des activités (PCA), d'un plan de reprise après sinistre (PRS), ou des deux, il peut être utile de s'inspirer des plans mis en place par d'autres entreprises pour renforcer leur préparation. Voici quelques exemples de plans ayant aidé des entreprises à se préparer à la fois au PCA et à la reprise après sinistre :

• Plan de gestion de crise : un bon plan de gestion de crise peut faire partie soit d'un plan de continuité des activités, soit d'un plan de reprise après sinistre. Ces plans de gestion de crise sont des documents détaillés qui expliquent comment gérer une menace spécifique. Ils fournissent des instructions précises sur la façon dont une organisation réagira à une crise particulière (panne de courant, cybercriminalité, catastrophe naturelle), en décrivant la gestion des pressions heure par heure et minute par minute pendant le déroulement de l'événement. De nombreuses étapes, rôles et responsabilités nécessaires à la continuité des activités et à la reprise après sinistre s'appliquent également aux plans de gestion de crise efficaces.
• Plan de communication : les plans de communication sont également essentiels pour la continuité des activités et la reprise après sinistre. Ils définissent comment votre organisation abordera les questions de relations publiques en cas d'incident imprévu. Pour élaborer un bon plan de communication, les dirigeants collaborent souvent avec des spécialistes en communication. Certains préparent des plans spécifiques pour les catastrophes jugées à la fois probables et graves, afin de savoir exactement comment réagir.
• Plan de reprise du réseau : les plans de reprise du réseau aident à surmonter les interruptions des services de communication, y compris l'accès à Internet, les données cellulaires, les réseaux locaux (LAN) et étendus (WAN). Ces plans ont généralement une portée étendue, car ils concernent un besoin essentiel : la communication. Ils relèvent davantage de la continuité des activités que de la reprise après sinistre. Compte tenu de l'importance des services en réseau dans les opérations des entreprises, ces plans se concentrent sur les étapes nécessaires pour restaurer les services rapidement et efficacement après une interruption.
• Plan de reprise du centre de données : un plan de reprise des centres de données est plus susceptible d'être inclus dans un PCA que dans un PRS, en raison de son accent sur la sécurité des données et les menaces liées à l'infrastructure informatique. Les menaces courantes pour la sauvegarde des données incluent la surcharge du personnel, les cyberattaques, les pannes de courant et les difficultés liées à la conformité réglementaire. 
• Plan de reprise d'activité virtualisé : tout comme un plan de centre de données, un plan de reprise d'activité virtualisé est plus susceptible de faire partie d'un PCA que d'un PRS, en raison de l'accent mis par le PCA sur les ressources informatiques et les données. Les plans de reprise virtualisés reposent sur des instances de machines virtuelles (VM) qui peuvent être activées en quelques minutes après une interruption. Les machines virtuelles sont des représentations ou émulations d'ordinateurs physiques qui permettent la reprise des applications critiques grâce à la haute disponibilité (HA), c'est-à-dire la capacité d'un système à fonctionner en continu sans interruption.

Même une petite interruption peut mettre votre entreprise en péril. IBM propose une large gamme de plans d'urgence et de solutions de reprise après sinistre pour aider à préparer votre entreprise à affronter diverses menaces, incluant des capacités de sauvegarde et de reprise après sinistre dans le cloud, ainsi que des services de sécurité et de résilience.