Gestion des incidents majeurs

DRP, PRA PCA, DR, ce sont tant d’acronymes qui symbolisent la même chose ! Quoi qu’il advienne, une entreprise doit fonctionner !

Le plan de recouvrement d’activité ou plan de désastre a longtemps été considéré comme secondaire par les entreprises qui le considéraient très coûteux et l’utilisaient peu, jusqu’au jour où…

Le plan de désastre a connu son heure de gloire suite aux attentats du 11 septembre 2001 et, pour cause, car les Tours Jumelles détenaient 430 entreprises mondialement connues pour lesquelles toute activité s’est arrêtée ce jour-là à 8h46. Cette journée a marqué les esprits des dirigeants informatiques qui ont envisagé l’éventualité d’une catastrophe ou d’une attaque. Les jours suivants, de nombreuses sociétés ont procédé à un « test de catastrophe » et les résultats obtenus ont mis en exergue que beaucoup d’entre elles n’étaient pas prêtes à affronter ce type de situation.

Quelles sont les différences ? De quoi s’agit-il ?

Il faut comprendre qu’un plan de continuité n’est pas du tout un plan de recouvrement de désastre. Le premier « PCA » permet de faire perdurer l’activité d’une entreprise au moment même où une catastrophe surgit ainsi que les jours suivants. En revanche, dans le cas du plan de recouvrement, il s’agit de faire en sorte de revenir à la normale.

Le PCA : le Plan de Continuité d’Activité consiste à mettre en place des actions en amont d’une catastrophe afin de s’assurer que la production informatique ne marquera pas d’arrêt ou, tout du moins, marquera un arrêt limité. Cela passe, par exemple, par l’utilisation de plusieurs sites de production dit le « Cascading Datacenter ». Le schéma est assez simple : la production informatique tourne sur un site de production mais, en fait, toutes les instances de production (systèmes, données) sont copiées sur un site secondaire, généralement assez distant.

On peut aussi faire travailler une production sur plusieurs sites à la fois dit « Private clouding ». De cette manière, la production informatique d’une entreprise est valorisée sur plusieurs sites distants, chaque site détenant une partie « critique » de cette production. Ainsi une catastrophe sur un site aura un impact seulement sur une partie critique de l’entreprise, les autres parties resteront intactes et il s’agira ensuite d’activer le plan de recouvrement pour la partie critique perdue.

Le PRA : il permet de définir les moyens et les délais nécessaires au retour à la normale après une période de crise, et l’activation du plan de continuité.

Comment cela fonctionne-t-il ?

La première étape consiste à définir les priorités :

Quelles machines, quelles plate-formes, quelles données sont vraiment critiques ? Lesquelles le sont moins ? Lesquelles peuvent être perdues ?Il incombe aux décideurs et aux ingénieurs de définir un premier périmètre du plan de continuité ainsi que les étapes du plan de recouvrement.

Par exemple, dans le cas de systèmes très critiques, on peut définir que ces systèmes fonctionneront en simultané sur trois sites différents et tenus secrets. De plus, ces systèmes seront copiés et sauvegardés sur un quatrième site. Cette stratégie permet de s’affranchir d’un grand nombre de risques.

Pour des systèmes moins critiques, on peut simplement définir le fonctionnement sur un site, avec une copie des données sur un deuxième site et la sauvegarde sur un troisième.

Pour le reste, on peut juste définir le fonctionnement sur un site et la sauvegarde sur un deuxième site.

Vous trouverez ci-après les quatre catégories que les entreprises emploient communément :

Platinium : machines critiques ne pouvant être perdues, ne pouvant s’arrêter.

Gold : machines critiques ne pouvant être perdues, pouvant être arrêtées.

Silver : machines non critiques ne pouvant être perdues, pouvant être arrêtées.

Bronze : machines non critiques pouvant être perdues.

Les décideurs doivent adapter une solution à chaque catégorie, sachant que les deux premières sont habituellement hors plan de recouvrement car les machines de ces catégories ne doivent en aucun cas être perdues.

Le plan de remise à la normale (ou de recouvrement) couvre les deux dernières catégories.