Plan de reprise d’activité après sinistre pour les professionnels de l’informatique

Le marché de la reprise d’activité après sinistre en tant que service (ou DRaaS) devrait croître de 41% d’ici 2024. Ce chiffre avancé par le cabinet d’étude Forrester, illustre bien l’importance grandissante de cette étape pour les entreprises.

 

En effet, avec l’augmentation des cyberattaques et autres évènements susceptibles de provoquer des interruptions d’activité, l’heure est à la vigilance.

 

Ajoutons à cela, la quantité croissante de données compilée par les entreprises, données de plus en plus précieuses et délicates et qu’il est nécessaire de protéger et conserver.

 

D’autant qu’avec la quantité croissante de données en entreprises, le risque de perte augmente et les conserver devient un véritable défi.

 

Élaborer un plan de reprise après sinistre est donc la solution idéale. Il s’agit du processus visant à récupérer une infrastructure informatique en cas de catastrophe. C’est un processus particulièrement efficace pour assurer la continuité de l’activité.

 

C’est une tâche d’une extrême importance mais qui est malheureusement souvent oubliée, généralement par manque de temps.

 

Et le constat est clair. La plupart des entreprises qui négligent cette phase de planification sont confrontées à plus de défis au moment de la reprise d’activité. 90% des entreprises qui n’ont pas de stratégie de reprise après sinistre ou qui en ont une incomplète échouent en cas de sérieux problème. Derniers chiffres, 75% des petites entreprises n’ont pas de plan de reprise après sinistre en place et 40% d’entre elles ne peuvent pas du tout reprendre leurs activités.

 

Et s’il fallait un autre exemple, l’incertitude provoquée ces derniers mois par la pandémie de COVID-19 devrait finir de convaincre les moins prévoyants d’entre nous.

 

Face à ces différents scénarios, il incombe alors aux fournisseurs de services gérés de prendre la situation en main. L’externalisation d’un tel service vers les MSP permet d’avoir un regard extérieur sur le processus et s’avère utile pour l’allocation des ressources pendant le plan de reprise d’activité.

 

Dans quels cas déployer un plan de reprise après sinistre ? Quels sont ses objectifs et son contenu ? Comment s’articule t-il ? Telles sont les questions que nous allons aborder ensemble aujourd’hui pour lever le voile sur cette étape de plus en plus centrale.

 

Pour accéder à un résumé de cet article, cliquez ici.

1. Un plan de reprise après sinistre : dans quel cas ?

 

La première étape consiste à savoir dans quel cas un plan de reprise est déployé. Qu’entend-on exactement par sinistre ?

 

La portée est large. Cela peut aller d’une panne de matériel aux catastrophes naturelles en passant par les cyberattaques et autres erreurs humaines. Certains sinistres étant plus prévisibles et maîtrisables que d’autres.

 

  • Panne de matériel

 

Sans doute un des sinistres les plus prévisibles. Grâce aux mécanismes d’automatisation et de gestion des patchs et correctifs permis par la mise en place de l’outil RMM, les appareils et logiciels sont régulièrement mis à jour et sécurisés. De cette façon, vous évitez au maximum les pannes et dysfonctionnements autres que ceux liés à l’obsolescence et la dépréciation naturelle d’un appareil. En effet, gardez en tête que malgré toutes les précautions possibles, les appareils électroniques vieillissent et doivent être inévitablement changés après quelques années d’utilisation.

 

  • Malwares et tentatives de cyberattaques

 

Les cyberattaques sont là pour durer. Elles se diversifient et se complexifient de jour en jour. Et il devient de plus en plus évident que toute entreprise a connu ou connaîtra une cyberattaque au cours de son existence.

 

Nous avions abordé il y a quelque temps, les 7 paliers de sécurité à mettre en place par un MSP pour protéger ses clients. Dans cet article, nous parlions en grande partie des éléments à déployer pour vous protéger au maximum de tout type de cyberattaques, de la sécurité des EndPoints à la sécurité des e-mails en passant par la gestion des vulnérabilités.

 

Tous ces éléments s’accompagnent de solutions de cybersécurité. Par exemple, notre partenaire Webroot, une solution “intelligente” qui protège en amont des cyberattaques dites de “nouvelles générations ».

 

Ces éléments de préventions et de sauvegarde font partie du plan de reprise après sinistre et participent à la continuité de l’activité en entreprise.

 

Mais ce n’est pas tout. En tant que MSP, il est essentiel de coupler ces efforts avec une formation du personnel de vos clients. Vos clients doivent être dans le même état d’esprit que vous et être en mesure de détecter par eux-mêmes les tentatives de phishing et autres escroqueries présentes sur le net.

 

  • Erreurs humaines

 

Et en parlant de formation, voici un autre sujet dans la même lignée. Les erreurs humaines.

 

La plupart du temps, ces erreurs se produisent car les membres du personnel n’ont pas été correctement formés sur une application ou un équipement. Ou encore en raison d’autorisations utilisateur inappropriées. Une façon d’éviter cela est de s’assurer que chaque employé dispose d’une autorisation appropriée en lien avec ses fonctions dans l’entreprise. Les MSP, en accord avec leurs clients, peuvent alors décider ce à quoi chaque employé doit accéder et sous quelles conditions pour éviter le plus possible que des erreurs surviennent.

 

Dans le même esprit, si jamais un membre clé du personnel d’un de vos clients venait à ne plus être en mesure d’intervenir dans l’entreprise, vous devez prévoir un moyen de récupérer les informations importantes durant son absence.

 

  • Catastrophes naturelles

 

La catégorie de sinistre la plus difficile à anticiper. Beaucoup d’éléments extérieurs à l’entreprise entrent en jeu et il est difficile de les évaluer précisément en amont. Certaines entreprises vivant dans des zones sismiques par exemple, doivent avoir ce scénario en tête dès le départ.

 

Pour le reste, concentrez-vous sur le principal. Une fois la catastrophe passée et la connectivité opérationnelle, vous pouvez activer le plan de reprise pour récupérer le plus de données possible.

 

2. Les objectifs d’un plan de reprise d’activité

 

Mieux vaut prévenir que guérir. S’il y a bien un adage qui définit la nature même d’un plan de reprise d’activité il s’agit de celui-ci.

 

Les objectifs d’un plan de reprise d’activité sont simples : Prévention, continuité et restauration.

 

  • La prévention

 

Il s’agit de la phase en amont d’un sinistre. Ce sont toutes les étapes qui permettent de minimiser l’impact global des erreurs humaines, des cyberattaques et des interruptions d’activité qui en découlent, pour votre client et son entreprise. Comme nous l’avons déjà évoqué, il s’agit tout d’abord de former le personnel et de lui faire prendre conscience des enjeux.

 

La prévention, c’est également s’assurer que le parc informatique de vos clients est bien protégé et que les diverses maintenances de matériels et de logiciels sont bien suivies. Et en ce sens, rien de mieux que l’outil RMM qui permet une surveillance en temps réel et une personnalisation des alertes pour être averti avant même que vos clients ne s’aperçoivent du moindre problème.

 

Cette étape de prévention permet également à l’entreprise de maximiser ses capacités d’organisation à se remettre d’un sinistre et de se rétablir dans les plus brefs délais.

 

  • La continuité

 

Il s’agit de la phase pendant le sinistre. Sans doute la plus délicate. On entre alors dans une phase de maintien des opérations au strict minimum. C’est-à-dire un support des ressources minimales essentielles au maintien de l’entreprise dans un état opérationnel.  Par exemple, le support utilisateur. Assurez-vous qu’il soit opérationnel afin de faire front, de répondre aux demandes des utilisateurs et de rassurer autant que possible.

 

Ces mesures de continuité d’activité empêchent l’ensemble de l’organisation de se plier en préservant les systèmes et les ressources essentiels. L’objectif étant d’éviter le plus possible l’interruption totale des activités.

 

  • La restauration

 

Il s’agit de la phase après sinistre. C’est l’ensemble des étapes nécessaires à la restauration des systèmes, ressources et données à un état complètement opérationnel. La spécificité du plan de reprise après sinistre repose principalement sur la rapidité avec laquelle une entreprise pourra revenir à sa pleine capacité.

 

Poursuivre les opérations essentielles tout en minimisant les pertes, les perturbations d’activité et les dommages matériels. L’objectif d’un plan de reprise après sinistre est donc de supprimer autant que possible les efforts de récupération.

 

3. Le périmètre d’un plan de reprise d’activité

 

Un plan de reprise d’activité doit pouvoir couvrir le plus d’aspects possibles. En effet, l’activité de l’entreprise doit pouvoir reprendre pleinement. Un plan de reprise ne s’arrête pas uniquement à une sauvegarde des données. La stratégie du plan de reprise d’activité doit donc être globale.

 

  • La couverture budgétaire

 

Un plan de reprise d’activité après sinistre à un coût. Non pas la planification en elle-même mais plutôt son contenu. L’entreprise de votre client a-t-elle moyen de tester le plan de reprise, et donc se mettre en condition de sinistre ? Peut-elle se permettre d’interrompre certaines de ses activités non-essentielles en cas de sinistre sans risquer de ne pas pouvoir se redresser par la suite ?

 

Autant de questions qu’un MSP sera en mesure d’évaluer en fonction des besoins et moyens de ses clients. En effet, stocker des données de manière permanente sur le Cloud coûte de l’argent et demande de maintenir en place des infrastructures particulières. Des dépenses que toutes les entreprises ne peuvent supporter. Un fournisseur de services gérés doit pouvoir proposer des solutions moins coûteuses par exemple d’engager un plan de reprise d’activité après sinistre uniquement si une reprise est nécessaire.

 

Autre exemple, un MSP et son client peuvent décider dans un premier temps de renforcer la sécurité des appareils et ressources du parc informatique plutôt que de tout allouer sur le plan de reprise d’activité.

 

C’est ainsi que chez Atera, nous effectuons par exemple une réplication en temps réel sur disque dur et une réplication de données en temps quasi réel entre le centre de données de production et le centre de reprise après sinistre.

 

  • Couverture des actifs

 

Il est très important de savoir ce que couvre le plan de reprise en pratique. Le nombre d’appareils, de logiciels, la quantité de données, les emplacements physiques de l’ensemble du parc informatique. Tout doit être passé au peigne fin par le MSP.

 

Pour cela, n’hésitez pas à utiliser notre outil de découverte du réseau qui permet d’obtenir, via une recherche automatisée, une vue complète du parc informatique de vos clients. Cela inclut les appareils qui génèrent du trafic et l’ensemble des terminaux utilisés par le personnel.

 

Une fois cet inventaire effectué, vous pourrez prendre les mesures nécessaires pour garantir la sécurité de chacun des actifs en fonction de leur valeur.

 

Par exemple, il faudra renforcer la sécurité des disques durs et serveurs contenant les bases de données et ne pas y donner accès à tout le monde – autant sur le plan physique (via la mise en place de portes sécurisées, codes d’accès, caméras) que sur le plan digital.

 

Pensez également à couvrir le plus d’incidents possibles susceptibles de toucher chacun des actifs. Ne vous cantonnez pas aux incidents habituels.

 

  • Couverture du personnel

 

Le plan de reprise après sinistre concerne étroitement le personnel. En effet, étant lié à l’activité de l’entreprise, l’impact sur leur travail au quotidien est direct. Le personnel au sens large doit être impliqué et considéré au moment de la planification.

 

  • Les employés tout d’abord : ils sont en première ligne et doivent être informés de l’ensemble des procédures à mettre en place et des comportements à adopter en cas de sinistre.

 

  • Puis les cadres de l’entreprise. Ils ont des postes à haute responsabilité et leur avis compte donc énormément au moment de la planification. Ils apporteront leurs visions et connaissance des processus internes, ce qui vous aidera à élaborer un plan de reprise en adéquation parfaite avec les besoins de vos clients.

 

  • Les fournisseurs externes : si un sinistre survient, ils doivent être en mesure de savoir que les relations commerciales habituelles ne pourront pas être tenues.

 

  • Les clients/utilisateurs finaux : au même titre que les employés, ils sont en première ligne. Le nerf de la guerre de toute entreprise. Le client ou utilisateur qui a recours à un service doit être au courant si le système est en panne et impacte son activité ou ses besoins. D’où l’importance, en cas de sinistre, d’avoir un support utilisateur efficace et réactif.

 

  • Les actionnaires : ce sont également des acteurs clés dans une entreprise. Généralement des personnes influentes et avec un certain pouvoir financier, il est primordial d’être transparent et d’agir en collaboration avec eux. Bien que souvent extérieurs à l’entreprise et moins concernés par les affaires quotidiennes de l’entreprise, il en possède certaines parts, il est donc normal qu’ils soient tenus au courant. D’autant qu’en cas de sinistre, ils sauront vous épauler et gérer avec vous la situation.

4. Le contenu d’un plan de reprise d’activité après sinistre

 

Concrètement, le plan de reprise d’activité est un ensemble de documentations et procédures reprenant les informations que nous avons abordées plus haut, à savoir :

 

  • Le périmètre d’action du plan de reprise d’activité
  • La chronologie
  • Les actifs et membres du personnels
  • Les objectifs du plan de reprise d’activité
  • Les mécanismes de communication

 

Insistons un instant sur ce dernier point. Il est primordial, en tant que MSP, que vous agissiez de manière calme et méthodique.

Pour cela, mettez au point des checklists.

 

Chaque point de ces checklists doit être détaillé et correspondre à une étape à suivre pour chaque département de l’entreprise et membres du personnel. Tout le monde doit être en possession de cette liste afin de savoir comment agir et éviter de tomber dans la panique. Quant à vous, vous évitez ainsi de prendre des décisions hâtives et sous pression au moment de l’apparition du sinistre.

 

Enfin, gardez en tête que le plan de reprise d’activité après sinistre est une documentation qui fournit des modèles d’action à suivre. Or, le jour J, il est fort probable que tout ne se déroule pas “comme prévu” et qu’en pratique les situations diffèrent.

 

Certes, le plan de reprise prévoit en général un spectre assez large de scénarios susceptibles de se produire mais sachez toutefois rebondir dans le cas contraire. Ayez des plans B et sachez vous adapter aux situations qui se présentent à vous. Le plus dur a été fait, la planification est là, vous disposez d’une base solide. Rajoutez une dose de bon sens et vous serez à même de gérer parfaitement la situation.

 

5. L’importance des tests

 

Cette étape est fondamentale. Les objectifs du plan que vous avez fixés sur papier sont-ils réalisables en pratique ? Vos réflexions sont-elles toujours d’actualité ? Pour le savoir, il faut tester.

 

Vous ne pouvez pas vous contenter d’élaborer une documentation sans l’avoir testé en pratique. D’autant que le personnel de l’entreprise étant largement impliqué, il doit prendre connaissance de son rôle et savoir comment agir en pratique.

 

Pensez votre plan de reprise comme un scénario de film. Une fois écrit, il faut le mettre en scène pour avoir une vue parfaite de son accomplissement. De plus, ne pas tester votre plan vous empêche de vérifier son efficacité et sa fiabilité. Enfin, ce n’est qu’en testant que vous pourrez également l’améliorer et l’ajuster.

 

  • Méthodes de tests

 

–  Checklist

 

Nous l’avons évoqué précédemment. Il s’agit ici de transférer une checklist complète de l’ensemble du plan de reprise à chaque responsable de service au sein de l’entreprise. Chaque procédure, étape et autres contrôles du plan doivent être examinés de manière précise. En tant que MSP, vous devez superviser l’ensemble des tests effectués par chaque service et mettre en œuvre des modifications si nécessaire.

 

– Test “pas à pas”

 

Ici, l’approche est différente. Chaque responsable va se concentrer sur la partie qui le concerne au sein du plan de reprise. Ces mêmes responsables émettront alors leurs réflexions et préoccupations sur les procédures les concernant directement.

 

– Test “simulation”

 

Ici, il s’agit d’imaginer des scénarios supplémentaires. Il s’agit de soumettre des situations particulières et de recueillir les réponses et réactions de l’ensemble du personnel. Selon les réponses, vous saurez si 1) votre plan initial allait dans la bonne direction et ne contenait pas de grandes lacunes et 2) vous devez apporter des modifications ou précisions supplémentaires.

 

– Test technique

 

On rentre ici dans le vif du sujet. On passe du test théorique au test pratique.

Deux types de tests existent :

 

> Le “sandbox testing” ou test parallèle : il s’agit de migrer l’ensemble du système informatique vers un emplacement différent afin de tester ses capacités de sauvegarde et de restauration. Ces tests n’ont aucune incidence sur votre activité ou sur vos clients car il ne remplace pas le système existant. Cependant cela vous permettra de détecter de nombreuses différences et éventuels problèmes que vous pourrez appréhender avant l’apparition d’un sinistre.

> Le test “en direct” : un test quelque peu risqué. Il s’agit d’expérimenter une interruption complète d’activité en stoppant le serveur principal pour tenter de le récupérer. En cas d’échec, vous risquez de perdre l’ancien système également, ce qui peut engendrer des coûts supplémentaires.

 

Pour éviter de vous retrouver dans cette situation, vous pouvez migrer l’infrastructure centrale vers une machine virtuelle ou un cloud. Une autre méthode consiste également à utiliser un équilibreur pour répartir le trafic entre 2 serveurs pendant le test. À la fin du test, vous pouvez supprimer l’équilibreur, laissant l’un des serveurs actif. Vous n’aurez donc  aucune interruption sur le serveur central.

 

Ce type de test technique dépend de plusieurs éléments : quelle partie d’un parc informatique souhaitez-vous tester (des éléments délicats tels que les serveurs de base de données ou plus simples tels la résistance de certains terminaux ?) et surtout les moyens financiers mais aussi en termes de temps que votre client est prêt à mettre en œuvre.

 

Pour conclure, trois éléments sont à retenir lorsqu’on aborde la question du plan de reprise après sinistre  :

 

  • La nécessité d’élaborer un plan de reprise d’activité dans les moindres détails
  • L’importance capitale de le tester. Un plan non testé peut entraîner beaucoup plus de dégâts qu’un plan non détaillé.
  • Un plan de reprise doit refléter la situation actuelle d’une entreprise à un instant T. Ce n’est pas un document figé dans le temps.

 

De cette façon, vous assurez à vos clients une reprise rapide sans bouleversements drastiques.

 

Dans cet article, nous avons abordé l’importance d’un plan de reprise après sinistre pour une entreprise. Assurant prévention, continuité et restauration de l’activité, savoir le concevoir et comment l’appliquer en pratique sont des éléments clés qu’il convient d’analyser.