Le Plan de Reprise d'Activité pour les PME

2 882 vues

Publié le

Présentation de la société Geco it, lors du Salon du Numérique en Vaucluse 2013.

Publié dans : Business
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 882
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
333
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Le Plan de Reprise d'Activité pour les PME

  1. 1. Un plan de reprise d’activités pour gérer efficacement lesconséquences d’un sinistre sur l’outil informatique de l’entreprise
  2. 2. QUI SOMMES NOUS ? Nous sommes une société de service informatique spécialisée dans les infrastructures systèmes et réseaux. Créée en 2009, nous somme une équipe de spécialistes passionnés par notre métier et nous proposons nos services au TPE/PME. Nous sommes présents sur la région PACA et sur la Vallée du Rhône. Cette présentation est assurée par Christophe et Richard
  3. 3. MISE EN CONDITIONIMAGINEZ QUE VOUS ARRIVEZ UN MATIN AU BUREAU ETVOUS TROUVEZ LA SALLE INFORMATIQUE COMME CECI: QUE FAITES VOUS JUSTE APRES ?
  4. 4. QU’EST CE QUE LE PRA ?Un PRA Plan de Reprise d’Activité est un dispositif organisationnelet technique qui vise à limiter l’impact potentiel d’un sinistre sur lesystème d’information.Le PRA d’une entreprise n’a pas vocation à répondre à des incidentsd’exploitation ou de fonctionnements isolés, le PRA est la solutionde la dernière chance, lorsque toutes les protections, les mesures deprévention ont faillies et qu’un sinistre a touché le cœur du systèmeinformatique.Ce plan doit permettre de minimiser l’impact d’un sinistre surl’activité de l’entreprise, assurer le fonctionnement des activitéscritiques pendant la crise et enfin permettre un retour maîtrisé àune situation d’avant crise.
  5. 5. LE CONTEXTEDe nombreuses études montrent qu’actuellement les entreprises ne sontpas suffisamment préparées au sinistre informatique et que l’impact d’un telévènement peut être désastreux.  "Selon létude MIPS 2010 du CLUSIF, 33 % des entreprises ne disposent toujours pas dun plan de reprise dactivité pour traiter les crises majeures." (Source CLUSIF, Club de la sécurité des systèmes dinformation français).  "Suite à la destruction de ses moyens informatiques et télécoms, une entreprise disparaîtra au-delà dun arrêt de 72 heures dans 40 % des cas." (Source : Eaglerock A Contingency Planning Research).  "43% des entreprises ayant fait lexpérience de la perte de données mais nayant pas prévu leur restauration ont fermé" (source CLUSIF Club de la sécurité des systèmes dinformation français).
  6. 6. COMMENT PROCÉDER ?L’élaboration d’un PRA comporte plusieurs étapes: 1. Analyse et cartographie de l’outil informatique 2. Identification des risques 3. Analyse des contraintes de continuité 4. Elaboration du plan 5. Mises en places des solutions fonctionnelles et techniques 6. Maintien et améliorations
  7. 7. ANALYSE ET CARTHOGRAPHIEDans cette phase, il convient de collecter tous les éléments nécessairesà lanalyse du projet, en réalisant l’inventaire des processus métiers,puis de les détailler, et de réaliser un relevé des actifs (outils, logiciels,matériels, infrastructures, sites d’établissement …). Une cartographiedes processus métiers et du système d’information peut êtreentreprise.
  8. 8. IDENTIFICATION DES RISQUES ?Chaque entreprise est différente et il conviendra d’analyser précisémentles risques spécifiques encourus, mais on peut quand même établir uneliste significative: Vol Sabotage Incendie Inondation Incident électrique Panne matérielle Mauvaise manipulation Attaque Virale Intrusion Salle informatique après un incendie
  9. 9. ANALYSE DES CONTRAINTESL’objectif de cette étape est d’étudier lensemble des processus et leursbesoins en continuité et d’estimer les durées dinterruption maximalesadmissibles et raisonnables.Les données de sortie sont les indicateurs de sécurité RTO et RPO. Ces deuxindicateurs contraignent fortement les moyens à mettre en œuvre pour tenirles objectifs. Il est CAPITAL de les définir de manière adaptée.Le RTO pour « Recovery Point Objective », désigne la durée maximaled’interruption admissible vis-à-vis de l’utilisateur métier, cest-à-dire letemps maximal acceptable, pendant lequel une ressource informatique n’estplus fonctionnelle.Le RPO « Recovery Time Objective », est la durée maximaled’enregistrement des données qu’il est acceptable de perdre. Cet indicateurpermet de juger au mieux des sauvegardes à mettre en œuvre.
  10. 10. ELABORATION DU PLANSelon la taille, la typologie, les activités de l’entreprise et sa maturité vis-à-vis de la reprise d’activité, le contenu du PRA sera plus ou moins important.On pourra retrouver les plans suivants : Plan de gestion de crise : ce document décrit l’ensemble des acteurs et décrit leurs responsabilités. Il décrit la mise en œuvre de la cellule de crise et la gestion opérationnelle de la crise. Plan de reprise informatique : Ce document décrit l’architecture informatique, et les mesures techniques de secours mises en œuvre pour assurer la reprise informatique des applications métiers. Ce plan contient en annexe, les procédures de reprise informatique. Plan de sauvegarde : Ce document décrit les processus de sauvegarde mis en œuvre pour assurer les sauvegardes des données. Il contient également les procédures de restauration de chaque type de donnée sauvegardée. Plan de test : des tests de continuité sont régulièrement effectués et le plan est révisé en fonction des écarts constatés.
  11. 11. MISE EN PLACE DES SOLUTIONSLes spécifications des solutions techniques sont fortement conditionnéespar les contraintes de continuité. Il s’agit maintenant de déployer cesdispositifs technologiques en mode projet.Il conviendra d’analyser le marché et de sélectionner les solutionsprésentant toutes les garanties de pérennité, fiabilité, d’interopérabilité etfinancièrement adaptés à la taille de l’entreprise.Des tests de validation fonctionnels et techniques doivent être réalisésaprès l’installation d’un élément majeur dans l’infrastructure.La solution de sauvegarde fera lobjet d’une attention toute particulière carc’est la clef de voute du dispositif. Il faut veiller notamment à ce quellepermette une externalisation du jeu de sauvegarde.Il est essentiel de réussir cette phase car les investissements sont consentispour une période d’au moins 3 ans voire 5 ans.
  12. 12. MAINTIEN ET AMELIORATIONSLe plan est désormais fonctionnel et il est adossé à une infrastructurefonctionnelle. Il faut désormais maintenir cet ensemble et s’assurer qu’il resteefficient dans le temps.Pour ce faire, il faut s’assurer que le plan reste connu de l’ensemble desintervenants en organisant régulièrement des tests « à blanc » peu couteux etsans impact sur la production.Mais il faut également veiller à le faire évoluer en même temps quel’infrastructure évolue pour accompagner les nouveaux besoins de l’entreprise(changement de matériel, modification de configuration, changement delogiciel,…).Le test en condition réelle sera mené au moins annuellement de manière àimmerger les intervenants dans l’environnement de crise que représente cetype d’incident et aussi pour tester précisément la réponse de l’infrastructure.
  13. 13. QUELLE TECHNOLOGIE ?Aujourd’hui pour élaborer un PRA on peut faireappel à une technologie nommée Virtualisationqui consiste à faire fonctionner en même temps, surun seul ordinateur, plusieurs systèmes dexploitation(dits virtuels) comme sils fonctionnaient sur desordinateurs distincts.C’est un atout majeur dans un PRA. Par exemple, celapermet de « migrer » votre système de Devis/factured’un serveur à un autre par une simple copie de fichier(en cas de panne du serveur principal par exemple).Cette technologie a beaucoup d’autres atouts commede réduire les coûts de possession ou bien de réduirela facture énergétique (Green IT). C’est un outilincontournable pour élaborer une infrastructurecapable de supporter un PRA.
  14. 14. SYNTHESE ET PERSPECTIVEAvec un climat mondial plombé par l’augmentation des sinistres majeurs (en fréquence eten gravité) : tempête dévastatrice de décembre 1999, les attentats du World TradeCenter, l’explosion de l’usine AZF de Toulouse en 2001, les inondations du Gard enseptembre 2002, les attentats de Madrid en 2004, le tsunami du Sud-Est asiatique endécembre 2004, les attentats de Londres en 2005, le tremblement de terre du Sichuan en2008, la neige à Marseille et en Provence en janvier 2009, le tremblement de terre del’Aquila en Italie, le tsunami au Japon en mars 2011, les dirigeants d’entreprises et leurspartenaires sont de plus en plus sensibles aux menaces potentielles qui pèsent sur leurentreprise.Si l’on ajoute à cela, un contexte de crise, une complexité croissante des organisations (ladéfaillance d’une entreprise à des effets de bords sur d’autres entreprises ex : la crise desurprime), une dépendance toujours plus forte des entreprises vis-à-vis de leur SI, undurcissement des réglementations concernant la continuité d’activité, une augmentationsensible des exigences clients, les chefs d’entreprises prennent de plus en plus consciencede la nécessité d’un plan de reprise.Il est important de noter que le PRA n’est qu’une pièce d’un plan plus global appelé le PCA(Plan de Continuité d’Activité) qui concerne, lui, le cœur de métier de l’entreprise.
  15. 15. QUESTIONS/REPONSES MERCI DE VOTRE ATTENTIONET DE VOTRE PARTICIPATION ACETTE PREMIERE JOURNEE DU NUMERIQUE EN VAUCLUSE.
  16. 16. Contact:Geco-IT13, Rue Pasteur84 800 L’isle sur la sorgue04 90 38 20 50Contacts:Christophe Baudrierc.baudrier@geco-it.fr06 45 73 57 87Cyril Duchenoyc.duchenoy@geco-it.fr06 25 22 94 43

×