Introduction aux concepts de la stratégie de sauvegarde, du plan de continuité d’activité (PCA) et du plan de reprise d’activité (PRA)

Définition

La stratégie de sauvegarde est une approche planifiée visant à préserver les données essentielles de l’entreprise en cas de perte, de corruption ou de dommage.

Le Plan de Continuité d’Activités (PCA) vise à garantir la continuité de la productivité de l’entreprise en cas d’incidents majeurs, en appliquant un ensemble de mesures.

Le Plan de Reprise d’Activités (PRA) se concentre sur l’application de processus de rétablissement rapide de la productivité après une interruption.

Objectifs

Les objectifs de ces concepts sont variés, allant de la protection des données à la réduction des temps d’arrêt, en passant par la préservation de la réputation de l’entreprise.

Différences et relations

La sauvegarde se concentre sur la protection des données, tandis que le PCA et le PRA abordent la continuité des activités. Les trois concepts sont interconnectés : la sauvegarde est souvent intégrée au PCA et au PRA pour assurer la disponibilité des données essentielles en cas de sinistre.

ExempleUne stratégie de sauvegarde pour une PME

Les détails peuvent varier en fonction des besoins spécifiques de l’entreprise, de la taille de son infrastructure et de son budget. Cette stratégie est conçue pour illustrer les étapes clés et les meilleures pratiques.

Introduction :

Cette stratégie de sauvegarde vise à garantir la protection des données critiques d’une PME, à minimiser les temps d’arrêt en cas de perte de données et à assurer une reprise rapide des activités en cas de sinistre. La stratégie est basée sur les principes de sauvegarde régulière, de stockage sécurisé et de tests de restauration.

Évaluation des besoins :

Avant de mettre en place la stratégie, il est essentiel de comprendre les besoins de l’entreprise en matière de sauvegarde. Cela inclut la définition des données critiques, des périodes de rétention et des délais de reprise.

Types de données sauvegardées :

Les données à sauvegarder comprennent :

1. Données de l’entreprise

Documents, feuilles de calcul, présentations, e-mails.

2. Base de données

Données clients, produits, inventaire.

3. Système d’exploitation et applications

Configuration serveur (+ VM), logiciels applicatifs.

Plan de Sauvegarde :

La stratégie de sauvegarde sera basée sur les éléments suivants :

• Sauvegardes régulières :

  • Quotidiennes des données critiques

  • Hebdomadaires complètes du système

• Stockage sécurisé :

  • Stockage dédié hors site pour les sauvegardes,

  • Chiffrer les données sauvegardées.

• Rotation des supports de Sauvegarde :

  • Utilisation de différents disques durs externes pour les sauvegardes quotidiennes

  • Stockage des sauvegardes hebdomadaires sur un serveur hors site

• Test de Restauration :

  • Réalisation de tests de restauration mensuels (ou 4 fois par an) pour vérifier l’intégrité des sauvegardes

  • Documenter et résoudre les problèmes de restauration potentiels

• Responsabilités définies :

  • L’équipe opérationnelle (administrateur système) est responsable de la planification et de la mise en œuvre des sauvegardes,

  • Les utilisateurs sont responsables de leur schéma de pensée pour la classification de leurs données.

• Surveillance et maintenance :

  • Les rapports de sauvegarde seront vérifiés quotidiennement pour détecter les erreurs ou autres choses,

  • Les mises à jour du PCA et du PRA seront réexaminées et intégrées trimestriellement.

Test du Plan de Continuité d’Activités (PCA) :

Un test de PCA complet sera effectué chaque semestre pour garantir que l’entreprise peut continuer ses activités en cas de dégradation d’un service, par exemple.

Test du Plan de Reprise d’Activité (PRA) :

Un test de PRA complet sera effectué chaque année pour garantir que l’entreprise peut reprendre ses activités en cas de sinistre.

Formation et sensibilisation :

Tous les employés peuvent être formés aux outils numériques et cybersécurité pour limiter voire éviter les erreurs humaines.

Budget :

Le budget alloué (c’est celui du PCA) à cette stratégie inclut les coûts de matériel, de logiciel, de stockage externalisé, de formation et de tests de PRA. Le budget sera révisé annuellement pour tenir compte des besoins changeants de l’entreprise. Le budget est souvent décidé en CODIR (Comité de Direction) ou en CA (Comité d’Administration).

Nota : cet exemple de stratégie de sauvegarde pour une PME offre un aperçu complet des étapes clés, des responsabilités et des meilleures pratiques pour protéger les données et contribuer à assurer la continuité des activités. Il est important de personnaliser cette stratégie en fonction des besoins spécifiques de votre entreprise et de la mettre en œuvre avec sérieux pour garantir la sécurité de vos données critiques.

Importance de la prise en compte de ces éléments pour assurer la sécurité des données et la continuité des activités de l’entreprise

Sécurité des données

La sécurité des données est vitale dans un monde numérique. Sans une stratégie de sauvegarde adéquate, les entreprises risquent la perte de données critiques, ce qui peut entraîner des perturbations opérationnelles, des pertes financières, des atteintes à la réputation et des fermetures (avec des licenciements). Une sauvegarde appropriée garantit la disponibilité, l’intégrité et la confidentialité des données (concept DIC).

Continuité des activités

Les interruptions, qu’elles soient dues à des catastrophes naturelles, à des pannes matérielles ou à des cyberattaques, peuvent avoir des conséquences graves sur les activités de l’entreprise. Un PCA bien conçu permet de maintenir la productivité, minimisant ainsi les perturbations et les coûts. De même, un PRA efficace assure une reprise rapide des activités, minimisant ainsi la perte financière tout en maintenant la (e-)réputation de l’entreprise.

Reconnaissance de la stratégie de sauvegarde existante de l’entreprise

Évaluation de la stratégie de sauvegarde « actuelle »

Pour comprendre où se situe l’entreprise en termes de sauvegarde, il est essentiel d’évaluer la stratégie en cours. Cela implique de passer en revue les méthodes de sauvegarde, les fréquences, les types de données sauvegardées, ainsi que les procédures de restauration.

C’est-à-dire de se focus réellement sur la politique de sauvegarde.

Alignement avec le PCA et le PRA

Il est important de vérifier si la stratégie de sauvegarde existante est alignée sur les exigences du PCA et du PRA. Cela peut nécessiter des ajustements pour garantir que les données essentielles sont correctement sauvegardées et disponibles pendant la continuité ou la reprise des activités.

Connaissance des principes et des mesures de sécurité du PCA et du PRA

Principes du PCA

Le PCA repose sur des principes tels que l’identification des processus critiques, la mise en place de plans de continuité, la formation du personnel et la documentation des procédures. Il vise à minimiser les interruptions en cas d’incident.

ExemplePCA d’une PME

Les détails peuvent varier en fonction des besoins spécifiques de l’entreprise, de la taille de son infrastructure et de son budget. Cette stratégie de PCA est conçue pour illustrer les étapes clés et les meilleures pratiques.

Introduction :

Le PCA vise à garantir la continuité des activités de l’entreprise en cas de dégradations ou d’incidents majeurs tels que des services informatiques ne démarrant pas, des catastrophes naturelles, des pannes matérielles, des cyberattaques ou d’autres événements perturbateurs. Ce plan repose sur des principes de préparation, de réponse et de reprise.

Évaluation des risques :

Avant de mettre en place le PCA, une évaluation complète des risques pour l’entreprise doit être effectuée. Cela inclut l’identification des menaces, des vulnérabilités et des impacts possibles. (Application d’une méthode en gestion des risques comme EBIOS RM ou MEHARI.)

Identification des processus critiques :

Les processus et les activités essentielles à la continuité des activités de l’entreprise sont identifiés. Cela peut inclure la production, la gestion des commandes, la communication avec les clients, les services/rôles sur les serveurs.

Planification de la continuité :

• Préparation :

  • Créer une équipe de gestion de crises

  • Établir des protocoles de communication d’urgence (ex. : réseau SIGFOX)

  • Posséder des kits d’urgence et du stock

• Réponse :

  • Convoquer l’équipe en gestion de crises

  • Évaluer la situation et prendre les décisions associées

  • Communiquer avec les parties prenantes internes et externes (ex. : forces de l’ordre, CNIL, ANSSI, etc.)

• Reprise :

  • Activer les plans de reprise d’activité spécifiques à chaque processus critique

  • Restaurer les données si nécessaire

  • Réaffecter les ressources au bon endroit

Stockage des sauvegardes :

Les données cruciales ont été sauvegardées et sont stockées de manière sécurisée, conformément à la stratégie de sauvegarde établie précédemment. (Règle 3-2-1 : 3 copies des données, deux supports différents minimum, dont une copie hors site.)

Campagnes blanches :

Des tests de PCA seront effectués régulièrement pour évaluer son efficacité.

Responsabilités :

• Le responsable du PCA est chargé de la planification, de la mise en œuvre et de la mise à jour du PCA,

• L’équipe de gestion de crise est responsable de l’activation et de la coordination du PCA.

Communication :

Un plan de communication est établi pour informer les employés, les clients, les fournisseurs et d’autres parties prenantes en cas de perturbation majeure.

Mises à jour du PCA :

Le plan de continuité d’activité est révisé et mis à jour régulièrement pour refléter les changements dans l’entreprise, les technologies et les menaces.

Budget :

Le budget alloué (l’original comprenant celui de la stratégie de sauvegardes et celui du PRA) inclut les coûts de matériel, de logiciel, de stockage externalisé, de formation et de tests de PCA. Le budget sera révisé annuellement pour tenir compte des besoins changeants de l’entreprise. Le budget est souvent décidé en CODIR (Comité de Direction) ou en CA(Comité d’Administration).

Nota : ce Plan de Continuité d’Activité (PCA) pour une PME offre une structure complète pour préparer, répondre et récupérer en cas d’incident majeur. Il est important de personnaliser ce PCA en fonction des besoins spécifiques de votre entreprise et de le mettre en œuvre avec soin pour garantir la continuité des activités en toutes circonstances.

Principes du PRA

Le PRA repose sur des principes similaires, mais se concentre davantage sur la réparation des dommages et la reprise rapide des activités. Il exige souvent des plans de sauvegarde hors site, des tests de reprise et des protocoles de communication.

ExemplePRA d’une PME

Introduction :

Le Plan de Reprise d’Activité (PRA) permet à une organisation de reprendre ses activités normales le plus rapidement possible après une interruption (une panne de courant, une cyberattaque, un service informatique critique ne démarrant plus ou une catastrophe naturelle) tout en étant bien préparée. Il permet, bien appliqué, de réduire l’impact d’une interruption sur les activités de l’entreprise et de protéger, au maximum, les données et les informations sensibles. Ce plan contribue à l’efficience de l’organisation.

Portée :

Le PRA doit couvrir tous les aspects des activités de l’organisation, y compris les opérations, les systèmes informatiques, les données et les informations sensibles.

Approche :

Le PRA doit être basé sur une approche de gestion des risques. Les risques liés aux interruptions doivent être identifiés et évalués, et des mesures de mitigation doivent être mises en place.

Procédures :

Le PRA doit décrire les procédures à suivre en cas d’interruption. Ces procédures doivent couvrir tous les aspects de la reprise d’activité, y compris la communication, la restauration des systèmes et des données, et la continuité des activités.

Ressources :

Le PRA doit identifier les ressources nécessaires pour la reprise d’activité, telles que les équipements, le personnel et les financements.

Campagnes blanches :

Le PRA doit être testé et exercé régulièrement afin de s’assurer qu’il soit efficace (ex. : on arrête un service critique).

Mise à jour du PRA :

Le PRA doit être mis à jour régulièrement afin de refléter les changements dans les activités de l’organisation et les risques auxquels elle est confrontée.

Éléments supplémentaires qui peuvent être inclus dans un PRA :

• Un calendrier de reprise d’activité.

• Une liste des contacts clés = équipe de crises.

• Un plan de communication.

• Un plan de formation.

Nota : Un PRA est un outil essentiel pour toute organisation qui souhaite se préparer aux interruptions. En développant un PRA, les organisations peuvent réduire l’impact des interruptions sur leurs activités et garantir la continuité de leurs services.

Le PRA doit être adapté aux besoins spécifiques de chaque organisation. Il est important de consulter les experts en la matière lors de la création d’un PRA.

Mesures de sécurité associées

Des mesures de sécurité spécifiques sont nécessaires pour mettre en œuvre le PCA et le PRA, telles que la sécurisation des données sauvegardées, la gestion des accès, le chiffrement, le contrôle d’accès, la surveillance continue des systèmes, les tests et la gestion du changement.

Application des procédures et des directives spécifiées dans le PCA et le PRA lors de la mise en place des sauvegardes

Intégration des sauvegardes dans le PCA

Les sauvegardes doivent être intégrées au plan de continuité des activités. Cela signifie que les données sauvegardées doivent être cohérentes avec les besoins de continuité et de récupération.

Intégration des sauvegardes dans le PRA

De même, les sauvegardes doivent être intégrées au plan de reprise d’activité. Les données sauvegardées doivent être disponibles pour la reprise après sinistre.

Il faut identifier les priorités (services et donnée critiques), planifier l’horodatage de sauvegardes, choisir le type de sauvegardes (complète, différentielle et incrémentielle), outiller, stocker en toute sécurité et restaurer.

Surveillance régulière de la conformité de la stratégie de sauvegarde aux exigences du PCA et du PRA

Surveillance continue

La conformité aux exigences du PCA et du PRA doit être surveillée en permanence. Cela inclut la vérification de l’état des sauvegardes, des tests de reprise, des audits de sécurité (évaluer les risques), une documentation vérifiée et communiquer entre parties prenantes.

Adaptation aux changements

Les exigences du PCA et du PRA peuvent évoluer. La stratégie de sauvegarde doit être adaptable pour rester conforme aux nouvelles exigences. Un bureau du changement doit être nommé (généralement, c’est l’équipe de gestion de crises).

Documentation des actions prises pour respecter les stratégies et les plans de continuité

Importance de la documentation

La documentation est essentielle pour démontrer la conformité et pour suivre les actions prises en cas de sinistre ou d’incident. Elle fournit une traçabilité et un historique des mesures de sauvegarde.

Modèles de documentation

Ils sont donnés dans ce cours dans le paragraphe exemple de la partie 1.1 (document de stratégie de sauvegarde).

Ils sont donnés dans ce cours dans le paragraphe exemple de la partie 2.1 (documents PCA/PRA).

On peut leur ajouter au début du document :

Titre du Document : [exemple : rapport d’actions pour le respect des stratégies et des plans de continuité]

Date : [date de création ou de mise à jour du document]

Responsable de la documentation : [nom du responsable de la documentation]

Résumé : [un bref résumé du contenu du document]

On peut leur ajouter à la fin du document :

Approuvé par : [nom et signature de la personne responsable de l’approbation]

Annexes [le cas échéant] : ajouter toutes les annexes pertinentes, telles que des rapports d’audit, des résultats de tests, etc.

La documentation des actions prises pour respecter les stratégies et les plans de continuité permet de démontrer la diligence de l’entreprise en matière de continuité des activités et de garantir la conformité aux exigences établies. Elle est essentielle pour l’audit, la surveillance et la gestion des risques.