=

pra pca PRA-PCA

Il faut anticiper l'incident grave ...
C'est la première étape de conception d'un Plan de Continuité d'Activité (PCA)

Il faut parvenir à anticiper l'inimaginable, comme un sinistre de grande ampleur; catastrophe naturelle par exemple, et pour pouvoir imaginer un scénario de continuité de l'activité métier.

On pense que ça ne peut pas arriver et pourtant, c'est dans ces moment-là qu'il faudrait avoir un plan de reprise d'activité progressif, en mode dégradé à minima, voire un dispositif global de continuité idéalement incluant l'IT mais au-delà les processus vitaux de l'entreprise.

Prévoir des scenarii de traitement de l'impact dans l'urgence
Un point capital de la mise en place d'un PCA voir d'un PRA concerne la gestion humaine du risque.
Qui fait quoi en cas de problème ? Quelle est la responsabilité définie de chacun ?
Souvent, ce ne sera ni le PDG ni le DSI qui vont devoir intervenir dans l'urgence et gérer la crise.

Les personnes seront sélectionnées dans l'entreprise au préalable et cela permettra généralement un gain de temps appréciable en cas de problème: la constitution d'une cellule de crise.

L'audit préalable à toute mesure proactive
Chaque périmètre métier, processus, systèmes, module applicatif doivent être évalués à travers un BIA (Business Impact Analysis) afin d'en déterminer la "criticité" en cas de crise et le traitement dont il doit faire l'objet pour le préparer aux incidents.
Cette étape nous permet de connaître, par exemple au niveau informatique, le besoin de sauvegarde et de restauration de certaines données et continuité des services majeurs.

NOTA : Il faut bien prendre en compte que tout sauvegarder à des fréquences quasi-continues n'est pas concevable en raison des contraintes, budgétaires en 1er lieu.

Définir des priorités, des techniques et budgéter
Il est bien clair que l'on ne souhaite perdre aucune donnée en cas de crash...
Mais il faut se rendre à l'évidence : en fonction des secteurs d'activité, des métiers, les exigences vis-à-vis du système d'information seront diverses.

Il faut arriver à considérer que l'indisponibilité va être nécessairement autorisée, en fonction du degré de criticité des données métiers et des données techniques: les concepts de RPO et RTO
(recovery point objective ET recovery time objective)
À partir de là seulement il y aura prise de considération, et l'on pourra calculer et négocier avec les responsables "un prix de mise en œuvre".

Par exemple, dans le cadre d'un PSI (plan de secours informatique) ou PRA IT, si la sauvegarde et la reprise d'activité doivent s'effectuer en moins d'une minute, on doit mettre en place des environnements synchrones et le coût de l'infrastructure monte de façon exponentielle.
Raison pour laquelle nous tendons à préconiser de systématiser en termes techniques une réponse à travers une vision IT résiliente sous forme de DC virtualisés,

La mise en place d'Infrastructures type Cloud (privés, mixtes) via des technologies de réponse à la discontinuité sous forme de Disaster Recovery as a Service ( "DRaaS")

Ceci, notamment permise à travers le produit VmWare SRM, surcouche sécurisée à vSphere 6.x:

Il est à noter toutefois que nous sommes agnostiques à toute solution basée sur un éditeur, un constructeur, aux intégrateurs partenaires.

En fonction du contexte en présence, des architectures, de la technologie sous-jacente (base Wintel Vs Unix, couche SGBDr, SAN/NAS etc.) nous adaptons nos réponses de façon pragmatique avec systématiquement en point "focus" une logique qualité/prix dimensionnée en conséquence:

Double-Take, Symantec Volume Replicator Option, EMC Replication Manager, Evidian SafeKit , NeApp SnapMirror (...)

Des équipements, procédure, organisation de crise adaptés
Au niveau IT, certains PRA prévoient la construction d'un site distant, qui va prendre le relais en cas de catastrophe sur le site principal.

Dans ce cas, la matériel de remplacement devra d'une part être constamment prêt à l'emploi, mais aussi être adapté à cette situation de crise, qui dans une majorité de cas, ne durera que quelques temps.

Les performances du système d'information seront dégradées, mais devront permettre d'assurer la poursuite de l'activité le temps que tout rentre dans l'ordre.

Tester, tester et re-tester régulièrement son dispositif d'ensemble
Une fois que le PRA est en place, l'importance de faire des tests de manière régulière pour évaluer sa fiabilité est une étape importante.

Il ne faut pas se dire simplement que l'on dispose d'une solution de sécurité et considérer acquise la reprise d'activité en cas de sinistre.

Sans quoi... on ouvre la porte aux risques !

Faire évoluer le PRA en fonction des changements apportés au SI

Le PRA est réalisé à un moment précis pour répondre aux contraintes actuelles du parc informatique. Il faut donc que les procédures rédigées permettent d'inclure au Plan de Reprise d'Activité les évolutions postérieures du système d'information.

Un travail compliqué, qui demande de mettre en conformité les nouvelles applications avec le plan de relance déjà établi.

La prise en compte des contraintes légales, réglementaires et sectorielles diverses
Le Plan de Reprise d'Activité est de plus en plus demandé et tendra à être systématiquement imposé par le Législateur, les assureurs, les partenaires divers en France.
Ceci permet d'assurer votre entreprise d'une reprise d'activité et donc de vous garantir par la suite une aide de la part de votre assurance.

Études Gamma se propose d'être votre partenaire dans toute la chaine d'élaboration, mise en œuvre, tests et mesures, amélioration continue
Nous avons initié avec un écosystème de partenaires spécialisés et disposant chacun de références majeures depuis des années dans la continuité d'activité "le Smart-PDCA" :

économique et simplifié, avec pour objectif de répondre à vos besoins en ce sens et "lancer les 1er tours de roue" !