Avec une entreprise sur deux victimes d’une cyberattaque en 2022, la question n’est plus de savoir s’il faut ou pas avoir un plan de reprise (PRA). La grande majorité des groupes français a déjà mis en place des procédures et systèmes de sauvegarde et de continuité d’activité. Les PME et les ETI commencent aussi à s’en emparer.

Mais au-delà de palier les conséquences d’une interruption de service (pertes financières, perte de confiance des clients, atteinte à l’image de marque, conséquences réglementaires et juridiques notamment en cas de perte de données sensibles ou personnelles, etc.), l’enjeu est d’utiliser le PRA pour créer de la valeur.

Un PRA complet et optimisé = 50% d’éléments techniques et 50% de stratégie
Définir et adopter un PRA consiste à mettre en place tout un ensemble de procédures et de moyens matériels, technologiques et humains qui permettent de relancer l’activité de l’entreprise après la survenue d’un incident. Cela nécessite non seulement d’avoir une connaissance fine du métier et des données critiques de son entreprise, mais aussi de sensibiliser en profondeur et d’accompagner les collaborateurs aux enjeux IT.

La première étape consiste à cartographier les outils et processus ainsi que les besoins de chaque utilisateur. Avec ces éléments, la direction informatique sera à même d’évaluer les risques et d’anticiper les impacts négatifs d’une interruption de service (panne, sinistre, cyberattaque, etc.). L’infrastructure technique - notamment sur des aspects de connectivité - devra tenir compte des modalités de fonctionnement et des données critiques dont l’entreprise a besoin pour relancer ses activités.

Ensuite, il est intéressant de regarder en quoi un PRA améliore les processus internes et comment générer de la valeur. Trois impacts positifs ressortent : une plus grande maîtrise des données, une meilleure connectivité réseau et une plus forte résilience de l’organisation face aux aléas du business.

Bâtir un PRA centré sur les données et les métiers
Premier impact positif du PRA : les données sont mieux maîtrisées. Perdre des données sensibles peut gêner, voire empêcher une reprise d’activité après un incident. Mais il est primordial de bâtir le PRA en s’assurant d’avoir compris les besoins des métiers et les enjeux business. Sans cette étape, le PRA ne sera pas pertinent pour garantir une reprise d’activité efficace.

Pour que ce soit effectif, l’entreprise doit d’abord, lors de l’élaboration de son PRA, déterminer les données indispensables (i.e. celles qui permettent à une entreprise de redémarrer). Il faut aussi qu’elle prenne en compte deux critères pour chaque composant du système d’information (serveurs, applications, bases de données) : le RTO, c’est-à-dire la durée maximale d’interruption admissible d’une ressource informatique ; et le RPO qui correspond à la perte maximum de données admissibles lors d’une panne ou attaque. Enfin, elle cherchera le bon équilibre entre l’investissement à faire dans une solution de sauvegarde et le niveau de pertes financières possiblement générées par un incident.

Par ailleurs, pour garantir un haut niveau de protection, notamment en cas d’attaque de type ransomware, les données peuvent être rendues immuables, c’est-à-dire inaltérables. Elles seront alors isolées, déconnectées des réseaux opérationnels. On parle dans ce cas de sanctuarisation d’un jeu de donnée.

Standardiser et mutualiser son infrastructure pour une connectivité plus robuste
Deuxième impact positif d’un PRA : améliorer la connectivité entre utilisateurs, applications métier et données. Pour être efficient, un PRA suppose en effet une infrastructure réseau robuste et fiable. Elle est indispensable non seulement pour le fonctionnement quotidien de l’entreprise, mais aussi pour garantir l’accès aux applications et outils de travail pour la reprise d’activité après une cyberattaque.

Sur ce point, même si l’entreprise conçoit un PRA sur-mesure, il est intéressant pour elle de s’appuyer sur une infrastructure standardisée et mutualisée dans le cloud. Deux raisons à cela : éviter d’oublier des briques dans son plan de sauvegarde et de restauration ; et libérer du budget pour les applications et données les plus critiques.

Pour standardiser son réseau, l’entreprise a la possibilité d’en déléguer sa gestion. Le Cloud Networking peut être un modèle intéressant à étudier : proposant un service d’infrastructure à la demande (IaaS), il englobe et gère tous les aspects de la connectivité (fibre optique, ADSL, XDSL, WIFI 4G…). En mutualisant tout ou partie de son infrastructure réseau, l’entreprise bénéficie d’économies d’échelle, d’élasticité, d’une meilleure performance et de plus de sécurité. Elle pourra aussi mieux maîtriser la connectivité de ses ressources nomades en cas de déclenchement de son PRA avec des VPN nomades à la demande, des tunnels IPSec ou encore des solutions SD Wan.

Impliquer les collaborateurs pour renforcer la résilience de l’entreprise
Troisième domaine où le PRA est bénéfique : les RH et l’humain. Que les équipes sachent redémarrer les serveurs et remonter les bases de données est nécessaire, mais cela ne suffit pas pour qu’un PRA porte ses fruits. Il faut aussi que les utilisateurs soient impliqués dans la définition du PRA et qu’ils soient sensibilisés, notamment dans les tests qui sont opérés.
Si cela n’est pas fait, le risque est de perdre la confiance des collaborateurs et laisser libre court au « shadow IT », i.e. l’utilisation d’outils non validés par la DSI qui sont susceptibles d’ouvrir de nouvelles portes aux cyberattaques. Dans les faits, si 85% des entreprises déclarent que leurs utilisateurs sont sensibilisés aux cyber-risques, elles constatent que seuls 66% suivent leurs recommandations.

Pami les tests à faire au moins une fois par an : étudier le comportement adopté selon leur localisation et les outils à leur disposition afin de détecter les réactions, notamment en situation de stress et d’inconnu.

Doit également être vérifiée la cohérence applicative des sauvegardes. Cela peut être réalisé sur plusieurs machines virtuelles. Il s’agit non seulement de s’assurer que les données peuvent être restaurées mais surtout de rassurer les utilisateurs sur la confiance qu’ils peuvent avoir vis-à-vis de ces données et de l’ensemble du système d’information.

Dernier point à regarder : la documentation. Les tests permettent de s’assurer que les changements majeurs ont bien été répercutés dans la documentation de PRA, aussi bien pour les changements SI que les changements RH (nom des personnes clés, modes de communication, etc.).

En parallèle, alors qu’avec la démocratisation des solutions de sauvegarde dans le cloud, de plus en plus d’entreprises choisissent de gérer leur PRA de manière autonome, l’appui de spécialistes des réseaux peut néanmoins s’avérer très utile. Il pourra aider à bâtir une stratégie complète en mobilisant ses expertises technique (notamment sur les enjeux de connectivité) et stratégique (pour optimiser les budgets et soutenir la transformation numérique).

Anticiper les risques en déployant un PRA peut indéniablement amener de la valeur aux entreprises, car pour sécuriser leurs processus, elles ont besoin de les comprendre, puis de les rendre plus efficaces. La compréhension des métiers et des enjeux business sont essentiels pour bâtir une stratégie de PRA. Travailler étroitement avec les métiers et les utilisateurs permet d’optimiser les processus au quotidien et encourage l’innovation. Ainsi au-delà de la reprise d’activité après une cyberattaque, le PRA sert l’efficacité et la capacité de développement de l’entreprise.