Le PRA et le PCA

1. Introduction

Dans un contexte où les organisations sont de plus en plus dépendantes des systèmes d'information, la gestion des risques liés aux incidents (cyberattaques, défaillances techniques, catastrophes naturelles, etc.) est devenue une nécessité stratégique. Le Plan de Continuité d'Activité (PCA) et le Plan de Reprise d'Activité (PRA) sont deux dispositifs complémentaires destinés à garantir la pérennité des opérations et la reprise rapide des activités en cas de sinistre. En France, ces dispositifs doivent également répondre à des exigences réglementaires et normatives spécifiques (notamment via l'ANSSI et des normes ISO).

---

2. Définitions et Objectifs

2.1 Plan de Continuité d'Activité (PCA)

• Définition : Le PCA est un plan global mis en place pour assurer la continuité des fonctions critiques de l'entreprise, même en cas de crise majeure.
• Objectifs :
  • Garantir la poursuite des activités essentielles.
  • Limiter l'impact d'un incident sur l'organisation.
  • Préserver la réputation et la confiance des clients et partenaires.

2.2 Plan de Reprise d'Activité (PRA)

• Définition : Le PRA se concentre spécifiquement sur la restauration des systèmes d'information et des infrastructures informatiques après un incident.
• Objectifs :
  • Réduire le temps d'interruption des services IT.
  • Rétablir rapidement la disponibilité des données et applications critiques.
  • Assurer la continuité des échanges d'information internes et externes.

2.3 Différence principale

• PCA : Vision globale de la continuité de l'activité, incluant les aspects humains, organisationnels et techniques.
• PRA : Partie du PCA dédiée à la reprise et la restauration des systèmes informatiques.

---

3. Cadre Réglementaire et Normatif en France

3.1 Normes et référentiels

• ISO 22301 : Norme internationale pour les systèmes de management de la continuité d'activité.
• ISO 27001 : Norme dédiée à la sécurité de l'information, souvent intégrée aux démarches de PRA.
• ISO 31000 : Pour la gestion globale des risques.

3.2 Rôle de l'ANSSI

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) publie régulièrement des guides et recommandations pour renforcer la résilience des systèmes d'information, particulièrement pour les opérateurs d'importance vitale et les secteurs stratégiques.

3.3 Contexte légal

Certaines industries (banque, énergie, santé, etc.) sont soumises à des obligations spécifiques en matière de continuité d'activité et de sécurité informatique. Le respect du RGPD impose également une gestion rigoureuse des données, même en situation de crise.

---

4. Processus de Mise en Œuvre d'un PRA/PCA

4.1 Analyse des Risques et de l'Impact

• Identification des menaces : Cyberattaques, sinistres naturels, erreurs humaines, défaillances techniques.
• Business Impact Analysis (BIA) : Évaluation de l'impact d'une interruption sur les processus métiers, afin de déterminer les fonctions critiques et établir les priorités.

4.2 Définition des Stratégies

Stratégies de continuité :

• Mise en place de solutions de redondance (clustering, réplication).
• Utilisation de sauvegardes régulières (on-site et off-site).
• Recours au cloud pour une infrastructure flexible.

Délais de rétablissement :

• RTO (Recovery Time Objective) : Temps maximal tolérable d'interruption.
• RPO (Recovery Point Objective) : Période maximale de perte de données acceptable.

4.3 Élaboration et Documentation du Plan

Rédaction du plan :

• Procédures de déclenchement et de communication.
• Définition claire des rôles et responsabilités.
• Scénarios détaillés pour différents types d'incidents.

Outils et technologies :

• Solutions de sauvegarde, réplication et restauration.
• Plateformes de virtualisation et infrastructures cloud.

4.4 Tests et Exercices

• Importance des tests réguliers : Pour valider l'efficacité du plan et identifier les points faibles.
• Types de tests :
  • Exercices de simulation (table-top exercises).
  • Tests techniques de basculement (failover tests).
• Retour d'expérience : Mise à jour du plan en fonction des retours des tests et des évolutions du contexte.

4.5 Formation et Sensibilisation

• Formation du personnel : Sensibiliser et former les équipes aux procédures d'urgence.
• Communication interne et externe : Mettre en place un plan de communication pour assurer une diffusion rapide et claire des informations en cas de crise.

---

5. Gestion de la Crise et Communication

• Centre de crise : Création d'une cellule de crise pour coordonner les actions.
• Communication :
  • Interne : Informer et mobiliser les équipes.
  • Externe : Communiquer avec les clients, partenaires et autorités.
• Documentation et suivi : Enregistrer toutes les actions entreprises pour améliorer le plan lors de futurs exercices ou incidents réels.

---

6. Cas Pratiques et Exemples

6.1 Attaque par Ransomware

• Situation : Une attaque par ransomware chiffre les données critiques.
• Actions :
  • Déclenchement immédiat du PRA.
  • Activation des procédures de sauvegarde et restauration depuis des copies sécurisées.
  • Coordination avec les services de sécurité et, le cas échéant, les autorités.

6.2 Défaillance d'un Data Center

• Situation : Panne majeure dans le data center principal.
• Actions :
  • Basculement sur un site de secours (PCA activé).
  • Vérification de l'intégrité des données et reprise progressive des services.
  • Communication auprès des utilisateurs pour gérer les attentes.

---

7. Enjeux Spécifiques en France

• Réglementations sectorielles : Les secteurs sensibles (banque, énergie, santé) doivent se conformer à des exigences strictes en matière de sécurité et de continuité.
• Risques locaux : Prendre en compte des risques spécifiques (par exemple, risques naturels dans certaines régions).
• Collaboration avec des prestataires locaux et européens : Pour bénéficier d'infrastructures redondantes et d'expertises adaptées.
• Dimension sociale : Impliquer les partenaires sociaux et syndicats dans la mise en œuvre et la révision des plans de continuité.

---

8. PRA/PRI, quelle est la différence ?

La principale différence réside dans le périmètre d'intervention :

• Plan de Reprise Informatique (PRI) :
  • Focus : La reprise des systèmes d'information et des infrastructures technologiques (serveurs, réseaux, applications, données, etc.).
  • Objectif : Restaurer rapidement l'environnement informatique pour minimiser la perte de données et le temps d'interruption des services IT.
• Plan de Reprise d'Activité (PRA) :
  • Focus : La continuité de l'ensemble des activités critiques de l'entreprise, incluant non seulement la partie informatique mais aussi d'autres domaines comme l'organisation, les ressources humaines, la communication, etc.
  • Objectif : Permettre à l'entreprise de reprendre ses opérations globales dans les meilleures conditions après un incident.

En résumé, le PRI est souvent considéré comme une composante du PRA : il se concentre sur la restauration des systèmes informatiques, tandis que le PRA adopte une approche globale pour garantir la reprise de toutes les fonctions essentielles de l'entreprise.

---

9. Conclusion et Recommandations

• Anticipation et préparation : La clé d'une gestion efficace des crises réside dans l'anticipation et la mise en place de plans éprouvés.
• Tests réguliers et mises à jour : Un PRA/PCA n'est jamais figé et doit évoluer avec l'organisation et les technologies.
• Communication et formation : Assurer une bonne circulation de l'information et former régulièrement les équipes sont essentiels pour réduire l'impact d'un incident.
• Gouvernance claire : Définir des responsabilités et mettre en place une cellule de crise pour une coordination efficace.

La mise en œuvre d'un PRA/PCA est un processus structuré qui nécessite une analyse approfondie des risques, une planification minutieuse, l'adoption de solutions technologiques adaptées et une révision régulière des procédures pour garantir la résilience de l'organisation face aux imprévus.

---