Script ASI : Plan de Reprise d’Activité (PRA)

Hook : ​
" Imaginez : en quelques secondes, une panne informatique paralyse toute votre entreprise. Les systèmes
tombent, les données disparaissent, et les clients ne peuvent plus accéder à vos services. Combien de temps
pouvez-vous tenir avant que l’impact ne devienne catastrophique ? C’est là qu’intervient le Plan de Reprise
d’Activité, ou PRA. Un outil essentiel pour anticiper, réagir et reprendre le contrôle en cas de crise.

Introduction :

Dans un monde où la technologie est au cœur de toutes les activités, la moindre interruption peut avoir des
conséquences dramatiques pour une organisation. C’est pourquoi le Plan de Reprise d’Activité, ou PRA, est
devenu un pilier essentiel de la gestion des systèmes d’information et de l’architecture d’entreprise. Mais de
quoi s’agit-il exactement ?

Le PRA est une stratégie formalisée qui permet à une organisation de restaurer ses services critiques après
un sinistre, qu’il s’agisse d’une cyberattaque, d’une panne matérielle ou même d’une catastrophe naturelle.
Son objectif ? Limiter l’impact sur les activités et assurer une reprise rapide et efficace.

Attention, il ne faut pas confondre le PRA avec le PCA, le Plan de Continuité d’Activité. Si le PCA vise à
maintenir les activités pendant une crise, le PRA, lui, se concentre sur la restauration des systèmes après
l’incident. Deux approches complémentaires, mais bien distinctes.

Dans cette vidéo, nous allons explorer en détail les 3W1H du PRA : Qu’est-ce que c’est ? Pourquoi est-ce
essentiel ? Comment le mettre en place ? Et qui sont les acteurs clés ? Commençons par le premier point :
Qu’est-ce que le PRA ?"

what ?

"Le Plan de Reprise d’Activité, ou PRA, est une stratégie structurée qui permet à une organisation de restaurer
ses services essentiels après un sinistre. Il s’agit d’un ensemble de procédures et de solutions techniques
conçues pour minimiser les temps d’arrêt et limiter les pertes de données.

Les objectifs principaux du PRA sont clairs :

●​ Assurer la reprise rapide des systèmes critiques.

●​ Minimiser l’impact financier et opérationnel d’un sinistre.
●​ Garantir la sécurité et l’intégrité des données
●​
Pour y parvenir, le PRA repose sur plusieurs composantes clés :

●​ La cartographie des services critiques : identifier ce qui est essentiel pour l’entreprise.
●​ La définition des objectifs de reprise, comme le RTO (Recovery Time Objective): le temps maximal
acceptable pour restaurer un service après un sinistre? et le RPO (Recovery Point Objective) : la
quantité maximale de données qu’une entreprise peut se permettre de perdre.
●​ La mise en place de solutions techniques, telles que des sauvegardes régulières, des systèmes
redondants ou des sites de secours.
 En résumé, le PRA est bien plus qu’un simple plan de secours. C’est une assurance-vie pour les
systèmes d’information, permettant à l’entreprise de reprendre le contrôle rapidement et efficacement
en cas de crise. Mais pourquoi est-il si essentiel ? C’est ce que nous allons voir dans la prochaine
partie."

Pourquoi le PRA est essentiel dans le cadre des SI ?

1. Importance du PRA (Plan de Reprise d’Activité)

Le PRA est un élément clé de la gestion des systèmes d’information (SI) car il garantit la continuité des
activités en cas de sinistre ou de perturbation majeure. Voici pourquoi il est essentiel :

●​ Protection des données : Les SI sont au cœur des entreprises modernes, et la perte de données peut
avoir des conséquences catastrophiques (financières, juridiques, réputationnelles).
●​ Minimisation des temps d’arrêt : Un PRA bien conçu permet de réduire les interruptions de service, ce
qui est crucial pour maintenir la productivité et la satisfaction des clients.
●​ Conformité réglementaire : De nombreuses industries (santé, finance, etc.) exigent la mise en place de
plans de reprise pour se conformer aux normes légales et sectorielles.

2. Bénéfices du PRA

●​ Résilience organisationnelle : Le PRA renforce la capacité de l’entreprise à faire face aux crises et à
reprendre rapidement ses activités.
●​ Confiance des parties prenantes : Clients, partenaires et investisseurs ont davantage confiance dans
une entreprise qui dispose d’un PRA solide.
●​ Optimisation des coûts : Bien que la mise en place d’un PRA nécessite un investissement initial, il
permet d’éviter des pertes financières bien plus importantes en cas de sinistre.

3. Risques en l’absence de PRA

●​ Perte de données irréversible : Sans sauvegardes ni plans de reprise, les données critiques peuvent
être perdues définitivement.
●​ Interruptions prolongées : Les temps d’arrêt non planifiés peuvent entraîner des pertes de revenus et
une dégradation de la réputation.
●​ Sanctions légales : Le non-respect des obligations réglementaires peut entraîner des amendes ou des
poursuites judiciaires.

Comment le PRA intervient dans les différentes phases des SI ?

1. Phase de Préparation

Cette phase est cruciale pour établir les bases du PRA :

●​ Identification des risques : Analyse des menaces potentielles (cyberattaques, pannes matérielles,
catastrophes naturelles, etc.).
 ●​ Cartographie des services critiques : Détermination des processus et systèmes essentiels pour
l’entreprise.
●​ Définition des objectifs de reprise :
-​ RTO (Recovery Time Objective) : Temps maximal acceptable pour la reprise des activités.
-​ RPO (Recovery Point Objective) : Quantité maximale de données perdues acceptables.

●​ Exemple Concret : L’attaque ransomware sur le système de santé irlandais (2021)

-​ En mai 2021, le système de santé irlandais (HSE) a été victime d’une cyberattaque de type
ransomware. Les pirates ont chiffré les données critiques, rendant les systèmes informatiques
inaccessibles. Cette attaque a paralysé les hôpitaux et les services de santé pendant plusieurs
semaines.
1.​ Identification des risques : L’HSE n’avait pas anticipé une attaque de cette ampleur,
malgré l’augmentation des cybermenaces dans le secteur de la santé.
2.​ Cartographie des services critiques : Les systèmes de gestion des patients, les dossiers
médicaux et les logiciels de diagnostic étaient parmi les services les plus touchés.
3.​ Objectifs de reprise (RTO/RPO) : L’absence de RTO et RPO clairement définis a
prolongé le temps de récupération, causant des retards dans les soins aux patients.

●​ Leçon : Une préparation rigoureuse, incluant une cartographie des services critiques et des objectifs de
reprise clairs, aurait permis une récupération plus rapide.

2. Phase de Mise en œuvre

Cette phase consiste à déployer les solutions techniques et organisationnelles nécessaires :

●​ Déploiement des solutions techniques :

-​ Sauvegardes régulières et sécurisées.
-​ Redondances matérielles et logicielles pour éviter les points de défaillance uniques.

●​ Configuration des systèmes alternatifs :

-​ Mise en place de sites de secours (physiques ou cloud).
-​ Utilisation de la virtualisation pour permettre une bascule rapide entre systèmes.

●​ Exemple Concret : La panne de AWS en décembre 2021

-​ En décembre 2021, Amazon Web Services (AWS), l’un des plus grands fournisseurs de cloud
au monde, a subi une panne majeure qui a affecté des milliers d’entreprises dépendant de ses
services.
1.​ Déploiement des solutions techniques : Les entreprises qui avaient mis en place des
sauvegardes locales ou multi-cloud ont pu basculer rapidement vers d’autres
infrastructures.
2.​ Configuration des systèmes alternatifs : Par exemple, Netflix, qui utilise AWS, a pu
maintenir ses services grâce à une architecture redondante et des sites de secours.

●​ Leçon : La mise en œuvre de solutions techniques redondantes et de systèmes alternatifs est

essentielle pour minimiser l’impact des pannes.
3. Phase de Test et Validation

Un PRA ne peut être considéré comme fiable que s’il est testé régulièrement :

●​ Simulations d’incidents : Organisation d’exercices pour simuler des scénarios de crise (ex. : panne de
serveur, cyberattaque).
●​ Vérification de l’efficacité : Évaluation des temps de reprise, de la disponibilité des données et de la
coordination des équipes.

●​ Exemple Concret : La banque JPMorgan Chase

-​ JPMorgan Chase, l’une des plus grandes banques au monde, effectue régulièrement des tests
de son PRA pour s’assurer de sa fiabilité.
1.​ Simulations d’incidents : La banque organise des exercices de crise, comme des
simulations de cyberattaques ou de pannes de centres de données.
2.​ Vérification de l’efficacité : Ces tests permettent de valider les temps de récupération
(RTO) et de s’assurer que les sauvegardes sont fonctionnelles.

●​ Leçon : Des tests réguliers sont indispensables pour identifier les faiblesses du PRA et s’assurer qu’il
fonctionnera en cas de crise réelle.

4. Phase de Suivi et Amélioration continue

Le PRA doit évoluer avec l’entreprise et les technologies :

●​ Évaluation post-crise : Analyse des performances du PRA après un incident réel pour identifier les
points à améliorer.
●​ Mise à jour des plans : Adaptation du PRA aux nouvelles menaces, aux changements technologiques
et aux évolutions de l’organisation.

●​ Exemple Concret : L’incident de British Airways en 2017

-​ En 2017, British Airways a subi une panne informatique majeure due à une erreur humaine lors
de la maintenance de ses systèmes. Cette panne a entraîné l’annulation de plus de 700 vols et
des pertes estimées à 80 millions de livres sterling.

1.​ Évaluation post-crise : Après l’incident, British Airways a revu son PRA et identifié des
lacunes dans la gestion des sauvegardes et la formation du personnel.
2.​ Mise à jour des plans : La compagnie a investi dans des systèmes de redondance
supplémentaires et a amélioré ses procédures de maintenance.

●​ Leçon : L’évaluation post-crise et l’amélioration continue du PRA sont essentielles pour éviter que des
incidents similaires ne se reproduisent.

Who ? : Quels sont les acteurs impliqués et leur rôle ?

Le succès d’un Plan de Reprise d’Activité repose sur l’implication de plusieurs acteurs clés au sein de
l’entreprise. Chacun joue un rôle spécifique pour garantir une reprise efficace et coordonnée des activités
après un sinistre.

1.​ Acteurs impliqués :

 ○​ Direction des Systèmes d’Information (DSI) : Supervision globale du PRA, validation des
plans de reprise et coordination avec les autres départements.
○​ Comité de gestion des risques : Identification des menaces potentielles, évaluation des
impacts et définition des stratégies de mitigation.
○​ Techniciens SI : Mise en œuvre technique des solutions de reprise, gestion des infrastructures
et exécution des procédures de restauration.
○​ Responsables métiers : Identification des processus critiques, définition des priorités de
reprise et validation des besoins spécifiques à chaque service.
○​ Équipe de cybersécurité : Surveillance des menaces, mise en place des mesures de
protection et réponse aux incidents pour limiter les impacts des cyberattaques.
○​ Fournisseurs et partenaires technologiques : Support dans la mise en place des
infrastructures de secours, maintenance des systèmes et assistance en cas de crise.
2.​ Rôle de l’architecture d’entreprise :
○​ L’architecture d’entreprise joue un rôle crucial dans la conception et l’optimisation du PRA.
○​ Elle permet d’aligner les objectifs du PRA avec la stratégie globale de l’organisation.
○​ Elle favorise une approche intégrée en identifiant les dépendances entre les différents
systèmes et en optimisant les flux de données et les processus de reprise.

What ? : Quels sont les outils et méthodes pour réussir le PRA ?

Un PRA efficace repose sur une combinaison d’outils technologiques et de méthodes éprouvées pour assurer
une restauration rapide et sécurisée des systèmes.

1.​ Outils courants :

○​ Logiciels de sauvegarde et de restauration : Solutions comme Veeam, Acronis ou
Commvault permettant de sécuriser les données et d’automatiser les restaurations.
○​ Solutions de cloud computing : Plateformes comme AWS, Azure ou Google Cloud offrant
des options de redondance, de sauvegarde et de reprise rapide en cas de sinistre.
○​ Plateformes de monitoring en temps réel : Outils comme Nagios, Zabbix ou Splunk
permettant de détecter les incidents rapidement et de déclencher les actions correctives
nécessaires.
2.​ Méthodes clés :
○​ Réplication des données en temps réel : Synchronisation continue des systèmes critiques
sur des sites distants pour minimiser la perte de données et accélérer la reprise.
○​ Tests réguliers et simulations : Organisation d’exercices de crise pour vérifier l’efficacité des
solutions en place et améliorer les processus si nécessaire.
○​ Automatisation des procédures : Mise en œuvre de scripts et d’outils d’orchestration pour
réduire le temps de réaction en cas d’incident.
○​ Planification et documentation détaillée : Maintien d’une documentation précise des plans
de reprise, incluant les rôles, les étapes à suivre et les contacts clés.

7.​ Conclusion et Synthèse

Récapitulation :

○​ Le PRA est un élément essentiel de la gestion des systèmes d’information, permettant

d’assurer la reprise des activités après un sinistre.
○​ Il repose sur une stratégie claire, des outils adaptés et l’implication de multiples acteurs au sein
de l’entreprise.
○​ Des tests réguliers et une amélioration continue sont indispensables pour garantir son
efficacité.
Perspectives :

○​ L’évolution rapide des technologies (cloud, IA, automatisation) offre de nouvelles opportunités
pour renforcer la résilience des entreprises.
○​ L’augmentation des cybermenaces impose une vigilance constante et une adaptation régulière
des PRA aux nouvelles formes d’attaques.

Appel à l’action :

○​ Entreprises, avez-vous un PRA solide et testé régulièrement ?

○​ Il est temps d’évaluer votre stratégie de reprise et de mettre en place les bonnes pratiques pour
protéger vos systèmes d’information.
○​ N’attendez pas qu’un incident survienne pour agir : anticipez dès aujourd’hui pour garantir la
pérennité de votre activité !