Services
Plateforme
Assistance
Blog
Créer un compte
Serveurs
Remote
Desktop
Stockage
Cloud
Stockage
d'Objets
Migration
Disaster
Recovery
Marketplace de
Logiciels
V
Don't panic

10 principales préoccupations lors de la mise en place d’un plan de reprise après sinistre

Image de olivierwittorski

olivierwittorski

Partager

Dans cet article, nous verrons les 10 principales préoccupations lors de la mise en place d’un plan de reprise après sinistre dans une PME.

Planifier, mettre en œuvre et maintenir un plan de reprise après sinistre (Disaster Recovery, DR) réellement fonctionnel et efficace requiert une planification rigoureuse et la gestion de divers éléments.

L’effort investi dans la préparation des plans de contingence, dans le déploiement d’infrastructures alternatives, de processus et d’opérations, ainsi que dans la sensibilisation et la formation du personnel avant qu’un incident ne se produise, sont des éléments clés pour assurer la reprise rapide et efficace des opérations de l’entreprise après un sinistre.

Un investissement adéquat dans une solution de reprise après sinistre (DR) bien conçue et exécutée protégera non seulement les actifs critiques de l’organisation, mais garantira également la continuité des activités et la résilience face à de futures contingences.

REMARQUE : D’un point de vue normatif, ces procédures, opérations et plans sont couverts par la norme ISO/UNE/22.301 « Systèmes de gestion de la continuité des activités ».

Liste des préoccupations lors de la mise en place d’un plan de reprise après sinistre :

Étant de grands fans des listes, nous avons décidé de présenter cet article sous forme de liste des 10 principales préoccupations que toute petite et moyenne entreprise rencontre lors de la mise en place d’un plan DR.

Sans plus tarder, allons droit au but :

  1. Alignement avec l’organisation.
  2. Évaluation des risques et analyse d’impact.
  3. Coût de la solution et manque de budget.
  4. Dépendances et coordination.
  5. Définition des objectifs de récupération.
  6. Procédures, documentation et normes.
  7. Technologies utilisées par rapport aux technologies appropriées.
  8. Formation et sensibilisation.
  9. Tests, opérations et validation.
  10. Amélioration continue du plan de reprise après sinistre.

Comme toujours, nous allons maintenant aborder chacun de ces points en détail.

Alignement avec l’organisation :

Ce point ne sera pas développé en détail car il est très simple à comprendre et à mettre en œuvre si l’on planifie avec un minimum de réflexion. La première chose à comprendre lorsque nous élaborons un plan de PRA est que nous, en tant que département IT, ne sommes pas le centre du monde, mais un département qui permet le bon fonctionnement de l’entreprise, sans en être le cœur (du moins dans la plupart des entreprises).

Par conséquent, nous devons nous réunir avec les autres départements et la direction pour définir ce qui est le plus important, ce qui ne peut jamais être interrompu et ce qui a la priorité dans la reprise des activités de l’entreprise.

Évaluation des risques et analyse d’impact :

L’évaluation des risques est un des points fondamentaux pour protéger notre organisation. Il s’agit d’identifier les risques spécifiques qui pourraient impacter notre organisation pour élaborer des stratégies de gestion. Ces risques peuvent être divers, tels que des pannes matérielles ou logicielles, des erreurs humaines, des actes intentionnels de la part d’initiés, des catastrophes naturelles, et même les célèbres cyberattaques.

Ce sujet est traité dans l’article « Comment évaluer les risques et les menaces dans une PME », nous ne le traiterons donc pas dans cet article, laissant au lecteur le choix de suivre ou non cette voie.

En plus du modèle d’évaluation des risques, il y a l’Analyse d’Impact sur le Business (BIA), qui détermine comment les différents types de catastrophes affectent l’organisation, en évaluant l’impact financier, opérationnel et de réputation associé à chaque risque préalablement identifié.

Coût de la solution et manque de budget :

Dans tout projet, le coût de la solution est un des points les plus délicats, car c’est une contrainte vraiment sévère qui déterminera la manière dont nous pourrons développer le projet, la solution la plus complète étant la plus chère. En ce sens, un projet de mise en place de PRA ne fait pas exception à cette règle générale des projets et, en général, selon l’organisation, les solutions peuvent être vraiment coûteuses, ce qui conduit à une situation de manque de budget.

Dans le coût de la solution, plusieurs concepts doivent être pris en compte, tels que le coût de mise en œuvre ou initial et le coût de maintenance de la solution, ainsi que certains indicateurs qui nous aideront à déterminer l’équilibre entre le coût de mise en œuvre et les bénéfices que la solution génère.

Dans le coût initial, nous devons prendre en compte le coût du personnel impliqué (heures de travail, embauche de consultants, etc.) et les coûts associés à l’infrastructure, comme ceux des serveurs et autres matériels, les coûts des licences, les coûts des abonnements de services, et les fournisseurs de services cloud, etc.

De plus, il faudra prendre en compte le coût de maintenir une position vigilante en matière de sécurité, qui logiquement a un coût face à l’inaction, ce qui peut nous conduire à des situations où l’impact d’une violation dans l’entreprise peut devenir catastrophique.

Sur ce sujet, nous recommandons de lire l’article « Le véritable coût de l’absence d’investissement en sécurité » de notre blog.

Dépendances et coordination :

Les systèmes et processus ne sont pas des entités indépendantes flottant dans le vide, mais il existe une infinité d’interdépendances entre tous les éléments qui composent notre organisation.

Pour pouvoir créer un plan de PRA fonctionnel, ces interdépendances entre les différents systèmes doivent être examinées de manière à ce qu’elles soient correctement identifiées et documentées afin de garantir que la reprise des processus d’affaires soit efficace et coordonnée.

Un autre point à prendre en compte est le traitement avec les partenaires commerciaux et les fournisseurs, afin de s’assurer que tous les intervenants critiques pour l’organisation participent à nos plans de PRA ou aient d’autres plans compatibles avec le nôtre et puissent être coordonnés en cas de besoin.

Il est conseillé de réviser et de pratiquer ces plans de manière plus ou moins fréquente pour s’assurer qu’ils ne restent pas simplement théoriques.

En outre, il faut avoir une intégration claire avec la direction et un soutien clair de celle-ci, car sans ce soutien, il est possible que cela reste lettre morte.

Définition des objectifs de récupération :

Ceux qui ont un peu d’expérience dans la gestion de projets informatiques savent, soit par expérience, soit par apprentissage dans des cours, que la majorité des projets IT rencontrent des problèmes au cours de leur exécution. En fait, les études disent qu’environ 20 % seulement se déroulent de manière complètement satisfaisante.

Ceux qui ont étudié des méthodologies comme PMP, ACP ou même Scrum, savent que dans la plupart des cas, cela est dû à une gestion erronée des exigences et à une définition incorrecte des objectifs du projet. Par conséquent, dans le cas de la mise en place d’un plan de reprise d’activité (PRA), nous devons définir clairement les objectifs avant de commencer le projet, ils doivent être la pierre angulaire sur laquelle nous commençons à construire.

Les objectifs de récupération que nous devons établir doivent partir d’une connaissance des ressources et services de notre organisation, ainsi que de la connaissance des connexions et dépendances qu’ils peuvent avoir, et seront principalement de deux types :

  1. Objectif de Temps de Récupération (RTO)
  2. Objectif de Point de Récupération (RPO)

À titre d’introduction brève, nous dirons que l’« Objectif de Temps de Récupération (RTO) » établit le temps maximum dans lequel les processus critiques de l’organisation doivent être restaurés après un incident. Tandis que l’« Objectif de Point de Récupération (RPO) » établit la quantité maximale de données pouvant être perdues depuis la dernière sauvegarde, mesurée en temps.

NOTE : Pour plus d’informations sur ce sujet, consultez l’article « Disaster Recovery : Que signifient RPO, RTO, WRT ou MTD et pourquoi sont-ils importants ? » de notre blog.

Procédures, documentation et normes :

Dans la philosophie de la gestion des services, on dit souvent qu’il y a trois points clés qui font que tout fonctionne si on les assemble correctement, ils se composent de la triade « Personnes, Processus et Technologie » qui se transforment finalement en une stratégie de gestion des connaissances correcte. Dans cette gestion des connaissances, nous nous concentrerons sur les processus qui permettent à notre équipe de savoir ce qu’il faut faire à chaque instant et qui, dans des cas comme le PRA, sont de la plus grande importance.

Personnes, Processus et technologie

Pour commencer, il faut définir des procédures claires, qui ne laissent place ni au doute ni à l’erreur et qui aident le personnel, sous une situation de stress comme la chute du service, à opérer. Cela inclut tous types de procédures, y compris les chaînes de communication et de notification, les procédures de restauration, les solutions de contournement, etc.

Les procédures peuvent être de différentes sortes, mais dans des cas comme le PRA, il est très utile d’utiliser des guides étape par étape avec des listes de contrôle qui peuvent être de deux types : la première liste de contrôle peut être pour la classification du type de mesure à déclencher en fonction de l’événement ayant créé l’incident et le deuxième type peut être la vérification classique réalisée après l’exécution de la procédure.

En outre, il faut avoir une documentation détaillée de tous les aspects entourant le plan de PRA, y compris les plans de sauvegarde et de récupération, les procédures d’escalade, les configurations matérielles et logicielles des systèmes habituels et de secours, les rôles impliqués dans la reprise d’activité ainsi que leurs responsabilités, et toute documentation pouvant donner une couverture légale et les normes associées au PRA comme ISO 27.001, ISO 22.301, ENS, Cobit, etc.

Ces derniers documents sont ceux de conformité normative qui doivent être créés pour se conformer aux réglementations et normes de l’industrie applicables dans le territoire où opère l’organisation.

Un des impératifs normatifs concerne la sécurité des données à caractère personnel, pour lesquels il faut s’assurer que les données soient toujours sauvegardées, qu’elles soient cryptées tant en transit qu’à l’endroit où elles sont stockées, et mettre en place des contrôles d’accès adéquats pour les protéger contre d’éventuelles attaques ou exfiltrations.

Technologies utilisées vs technologies appropriées :

Les technologies utilisées sont déterminantes pour aborder une reprise d’activité. Il faut évaluer divers outils et technologies en fonction du budget, des différentes législations et normes applicables à l’entreprise, etc.

D’une part, la première chose à considérer est le modèle que nous voulons utiliser en ce qui concerne l’infrastructure de sauvegarde et de réplication. Il faut choisir des technologies de stockage et de réplication qui nous permettent de réaliser des sauvegardes de manière efficace et de restaurer les données le plus rapidement possible.

Un autre point à évaluer est l’automatisation, en recherchant l’implémentation d’outils d’automatisation qui, dans le cadre de notre budget, permettent d’améliorer l’efficacité et de réduire les erreurs, généralement d’origine humaine.

Enfin, bien que le lecteur puisse deviner notre préférence chez Jotelulu, la dernière décision technologique à considérer est l’utilisation de solutions basées sur site ou dans le cloud. Bien sûr, nous ne pouvons pas seulement choisir des solutions de reprise basées sur le cloud et locales, mais nous devons également envisager des solutions hybrides qui nous offrent un bon équilibre entre disponibilité et coût. Il faut toujours prendre en compte des facteurs tels que le coût, la vitesse de récupération et, de manière transversale, la sécurité.

Formation et sensibilisation :

Comme mentionné précédemment, la triade « Personnes, Processus et Technologies » est si importante qu’elle affecte trois des points traités dans ce résumé des préoccupations du PRA.

À cet égard, il est crucial de former le personnel technique qui devra appliquer les processus de PRA afin qu’ils ne soient pas de simples exécutants automatisés d’un processus de PRA, mais qu’ils comprennent les rôles et responsabilités qu’ils doivent exercer en cas de catastrophe.

Par ailleurs, pour tout le personnel sans exception, technique ou non, il faut établir une politique de sensibilisation qui se concentrera sur la promotion d’une culture de sensibilisation à l’importance de la reprise d’activité et de la continuité des affaires.

Tests, opérations et validation :

Tout ce qui est fait dans un plan élaboré doit inclure une série de tests et d’opérations destinés à la validation. Il faut établir divers éléments pour s’assurer que tout est parfaitement planifié, créé et maintenu.

Il faut établir des tests réguliers du plan de PRA ainsi que de chacune de ses parties de manière récurrente pour s’assurer que tout fonctionne comme prévu et que tout le personnel sait comment faire son travail correctement. Il faut, si possible, effectuer des tests complets, mais en raison de la complexité de cela, il est possible de diviser les différents processus pour que le personnel les exécute continuellement afin d’accélérer leurs processus. Ce plan de tests doit inclure des simulations de catastrophes et des tests de restauration de données.

En outre, il faut vérifier que les procédures de récupération respectent les objectifs de RTO et de RPO définis dans la planification, et établir un plan de documentation et de correction en cas de défaillance ou d’inefficacité détectée lors des tests.

Enfin, il faut mettre en place des systèmes de surveillance pour détecter les pannes ou problèmes dans l’infrastructure de PRA et s’assurer qu’ils soient notifiés et résolus rapidement.

Amélioration continue du plan de reprise d’activité :

Je ne veux pas insister lourdement sur cette partie, mais je le répète dans tous les articles où nous parlons de systèmes ou de sécurité ; l’obligation de tout administrateur, technicien et responsable de service est de s’assurer que les choses s’améliorent chaque jour, « celui qui n’évolue pas disparaît » et c’est une maxime qui, si elle s’appliquait aux dinosaures qui vivaient dans un monde bien moins changeant, imaginez à quel point elle est valable pour nous.

Il faut évaluer continuellement de nouveaux risques, tirer des leçons et proposer des améliorations en permanence, envisager des changements dans les systèmes, les mettre à jour, etc.

Il faut vivre en rétrospective continue, se demander : qu’est-ce qui fonctionne bien ? Qu’est-ce qui peut être amélioré ? Qu’est-ce qui doit changer ? Et à partir de là, commencer à travailler sur des plans d’amélioration.

Au final, nous travaillons dans un modèle basé sur le Cycle de Deming où nous sommes toujours dans une des phases du fameux :

  1. Planifier.
  2. Faire.
  3. Vérifier.
  4. Agir.

Conclusion :

Comme nous l’avons vu dans cet article, les 10 principales préoccupations lors de la mise en place d’un plan de reprise d’activité dans une PME sont simples à comprendre et partagées par presque tous, car nous jouons la survie de nos entreprises. Cependant, elles sont également abordables si nous réussissons à élaborer un bon plan de mise en œuvre et de maintenance. Comme toujours, je soulignerai que nous avons besoin du soutien de la direction et de planifier et investir du temps pour réfléchir sérieusement aux besoins, au plan de mise en œuvre, etc., afin d’être prêts lorsque les problèmes nécessitant le plan se produisent.

Si vous souhaitez en savoir plus sur la sécurité, nous vous recommandons de consulter ces autres articles de notre blog :

  1. Étapes pour gérer un incident de sécurité en IT
  2. Le véritable coût de l’absence d’investissement en sécurité
  3. 5 problèmes typiques de sauvegardes et comment les résoudre
  4. Stratégie de sauvegarde 3-2-1 : comment l’appliquer dans votre organisation ?
  5. Les 5 principales causes de perte de données dans les PME
  6. Comment évaluer les risques et les menaces dans une PME
  7. Pourquoi la reprise d’activité est-elle si éprouvante ?

Merci de nous avoir lu

Catégories:Administrateurs système

D'autres articles qui pourraient vous intéresser

Windows Server 2025 Cabecera
+

Une brève revue de Windows Server 2025

17 juillet 2024
Dans cet article, nous allons faire une brève revue de Windows Server 2025 dans laquelle nous nous concentrerons sur
Image de Juan Ignacio Oller Aznar
+

Clés pour comprendre un plan de Disaster Recovery

3 juillet 2024
Dans cet article, nous allons parler des principales clés pour comprendre un plan de reprise après sinistre avec JOTELULU.
Image de Juan Ignacio Oller Aznar
+

Données et arguments commerciaux du service de Disaster Recovery

3 juillet 2024
La situation actuelle des PME en France et en Europe est complexe. D’une part, les PME de l’Union Européenne
Image de olivierwittorski
Linkedin-in Blog Twitter
Entreprise
Services
Centre d’assistance
Contact

Commercial

Serveurs
Remote Desktop
Stockage Cloud
S3 Bucket
Migration
Español
Português
English
Ventes
Plateforme
Blog
Tutoriales
Assistance
Se connecter
Créer un compte

Merci de nous laisser vos coordonées, un de nos experts vous contactera dans les plus brefs délais.

growth@jotelulu.com  |  +33 1 87 65 31 20  |  jotelulu.com 

Vous pouvez vous désabonner de ces communications à tout moment. Consultez notre politique de confidentialité.