PCA et PRA

Christophe Casalegno
Groupe Digital Network

PCA et PRA
PRA et PCA: dfinition
Les plans de continuit d'activit (PCA) et les plans de re-
prise d'activit (PRA) sont des concepts composs de do-
cuments et de procdures, destins permettre le fonction-
nement d'une entit en cas d'incident ou de dsastre
Le PRA vise permettre la reprise de l'activit, plein r-
!ime ou en mode d!rad, au "out d'un certain temps, lui
m#me dfini dans les procdures $ui le composent

Le PCA vise assurer la continuit de l'activit, plein r-

!ime ou en mode d!rad Au contraire du PRA, le PCA
n'autorise pas de coupure int!rale du service: la continuit,
au moins partielle doit #tre assure

PCA et PRA
Attention, "ien $ue diffrents, on consid%re !nralement
$ue le PRA est une partie int!rante du PCA, le plan de
continuit prenant en compte toutes les mesures permettant
d'assurer la continuit des services mtiers
&nralement, dans le domaine de l'entreprise, la mise en
place de telles procdures commence par l'ta"lissement
d'un PRA dans le$uel sera ensuite considr la 'aute dispo-
ni"ilit afin de rduire l'e(position au( ris$ues

Cependant, on trouve au sein de nom"reuses entits des

mesures tec'ni$ues permettant d'assurer une 'aute dispo-
ni"ilit et)ou une reprise d'activit informati$ue sans pour
tant $ue ces plan e(istent (mais o* parfois rien n'e(iste
concernant les processus mtier)

PCA et PRA

+ien $u'un PCA ou $u'un PRA puissent e(ister diffrents

niveau(, c'est du point de vue du s,st%me d'information
$u'ils seront principalement traits ici Ce t,pe de plan partie
int!rante du PCA)PRA est !alement couramment appel
P-. (Plan de -ecours .nformati$ue) ou PC. (Plan de Conti-
nuit .nformati$ue)

Les plans de reprise et de continuit d'activit peuvent aussi

"ien s'appli$uer de mini s,st%mes d'information (par
e(emple un serveur) $u' des s,st%mes composs de mil-
liers d'$uipements et multi-sites

+ien $ue ces notions soient conceptuellement tr%s an-

ciennes, on a vu leur mise en place se !nraliser dans les
s,st%mes d'informations apr%s les attentats du // septem"re
011/

PCA et PRA
Le PRA et le PCA sont composs de 2 !randes parties:

- Le PC3 (Plan de continuit oprationnelle)

- Le P&C(Plan de &estion de Crise)

- Le PC.)P-. (Plan de Continuit .nformati$ue)

Ce trian!le rassem"le l'ensem"le des mesures visant as-

surer, face diffrents scnarios de crise et de sinistres, le
maintient des activits essentielles de l'entreprise de ma-
ni%re d!rade ou non d!rade

PCA ) PRA
Attention il e(iste de nom"reuses mt'odes diffrentes pour
les PRA, la vision prcdente est une version simplifie et
commune l'ensem"le de ces mt'odes

4ans la prati$ue on dnom"re plus de 5 plans (tirs de leurs

$uivalents an!lop'ones):

PCA: Plan de Continuit d'Activit

PRA: Plan de Reprise d'Activit

PC3: Plan de Continuit des 3prations

PCC: Plan de Communication de crise

PR..: Plan de rponse au( .ncidents .nformati$ues

4RP: 4isaster Recover, Plan

P.6: Plan d'.ntervention d'6r!ence

PCA et PRA
LE PCO
Le plan de continuit oprationnelle

PCA et PRA
Le PC3 ou Plan de Continuit oprationnelle est la premi%re
tape du PCA)PRA

.l a pour o"7ectif de dfinir les modes opratoires ainsi $ue

les e(i!ences mtiers de la continuit de l'activit tout en te-
nant compte des o"7ectifs oprationnels

Concr%tement le Plan de Continuit oprationnelle value

les diffrents scnarios lis au( activits mtiers criti$ues,
puis dfinit et met en 8uvre les mo,ens prventifs adapts

PCA et PRA
LE PGC
Le plan de !estion de crise

PCA et PRA

Le P&C (Plan de &estion de Crise) est proprement parler

le plan $ui int%!re les mo,ens ainsi $ue l'ensem"le des pro-
cdures or!anisationnelles et tec'ni$ues permettant de se
prparer et de faire face l'apparition d'une crise

Ce plan volue la survenance de c'a$ue crise, s'amlio-

rant partir de l'e(prience de c'acune des crises prc-
dentes permettant une meilleure vision prospective de la
!estion de crise

4ans $uel$ues cas e(ceptionnels, ce plan int%!rera !ale-

ment une srie d'actions mener en cas de 9crise
parfaite:, c'est dire une crise o* l'ensem"le des pires fac-
teurs sont com"ines et dclenc'ant !nralement la fin
dfinitive de l'entit $ui la su"it

PCA et PRA
LE PCI
Le plan de continuit informati$ue

PCA et PRA
Le PC. (Plan de Continuit .nformati$ue) ou P-. (Plan de
-ecours .nformati$ue) est ncessaire si:

- Le "on fonctionnement de l'entit est li ou dpendant du

"on fonctionnement de son s,st%me d'information .l
convient pour cela de se poser l'ensem"le des $uestions
ncessaires comme: 9L'arr#t de fonctionnement de ma
messa!erie durant ;<=11 a t'il un impact sur le fonctionne-
ment de l'entit>:

- 4%s $ue la rponse l'une des $uestions poses sera 9-

non:, cela si!nifiera $ue le PC. est o"li!atoire 4ans le cas
contraire, c'est dire si le fonctionnement de l'entit ne d-
pend pas de son s,st%me d'information (de plus en plus
rare) un PCA)PRA sans P-. est suffisant

PCA et PRA

Le P-. (Plan de -ecours .nformati$ue) ou PC. (Plan de

Continuit .nformati$ue) a pour "ut de !arantir la survie du
s,st%me d'information .l permettra la continuit (en mode
d!rad ou non) ou le redmarra!e de l'activit le plus rapi-
dement possi"le et avec un minimum de pertes de donnes

Le P-.)PC. est non seulement souvent l'un des composants

essentiel d'un PCA)PRA mais ce dernier fi!ure !alement en
!nral au sein de la politi$ue de scurit de l'entit

.l est principalement constitu d'une anal,se des ris$ues et

de leurs impacts, d'une strat!ie composes de mesures
prventives et curatives mais !alement de procdures de
9cras' test: afin de s'assurer de la validit tec'ni$ue de la
procdure

PCA ) PRA
Les diffrents plans et leurs $uivalents an!lop'ones
PCA ? +CP (+usiness Continuit, Plan)
PRA ? +RP (+usiness Recover, (Resumption) Plan)

PC3 ? C33P (Continuit, of 3perations Plan)

PCC ? CCP (Crisis Communications Plan)

PR.. ? C.RP (C,"er .ncident Response Plan)

4RP ? 4RP (4isaster Recover, Plan)

P.6 ? @RP (@mer!enc, Response Plan)

PCA ) PRA

3n peut rsumer les o"7ectifs des

diffrents plans et leur prim%tre de
la mani%re suivante

PCA et PRA
LE PCA / BCP

Plan de Continuit d'Activit ) +usiness Continuit, Plan

PCA ) PRA
PCA / BCP

Plan de Continuit d'Activit

+usiness Continuit, Plan

Aournir les procdures ncessaires au maintient des activi-

ts essentielles suite un incident, un dsastre ou une per-
tur"ation
Prim%tre: Processus mtier Les processus .B ne sont trai-
ts $ue si et seulement si ils supportent les processus mtier
de l'entit


PCA et PRA
LE PRA / BRP

Plan de Reprise d'Activit ) +usiness Continuit, Plan

PCA ) PRA

PRA / BRP
Plan de Reprise d'Activit

+usiness Continuit, Plan

Aournir les procdures ncessaires la reprise des activits

immdiatement apr%s un incident ou un dsastre
Prim%tre: Processus mtier Les processus .B ne sont trai-
ts $ue si et seulement si ils supportent les processus mtier
de l'entit (d'o* la possi"le confusion avec les PR.. lors$ue
c'est le cas)


PCA et PRA
LE PCO / COOP

Plan de continuit des oprations ) Continuit, of 3perations Plan

PCA ) PRA

PCO / COOP
Plan de continuit des oprations

Continuit, of 3perations Plan

Aournir les procdures et les mo,ens ncessaires pour

transfrer et maintenir les fonctions strat!i$ues et essen-
tielles d'une entit vers un autre site
Prim%tre: -ous-ensem"le des missions de l'entit consid-
res comme criti$ues Ce plan est totalement indpendant
du domaine .B (Bec'nolo!ies de l'information) et dpend !-
nralement directement de la direction


PCA et PRA
LE PCC / CCP

Plan de communication de crise ) Crisis Communications Plan

PCA ) PRA

PCC / CCP
Plan de communication de crise

Crisis Communications Plan

Aournir les procdures ncessaires la diffusion des rap-

ports de situations aussi "ien en interne $ue vis vis de tiers
identifis ainsi $ue du pu"lic Le PCC)CCP peut en fonction
de sa russite ou de son c'ec diminuer ou au!menter !ra-
vement les impacts de la crise traverse
Prim%tre: Le prim%tre est ici 'umain .l comprend le per-
sonnel (dans son ensem"le et par services et)ou d'accrdita-
tion en fonction de la classification de l'information), d'autres
entits (partenaires, fournisseurs, clients) et le pu"lic


PCA et PRA
LE PRII / CIRP

Plan de rponse au( incidents informati$ues ) C,"er .ncident Response Plan

PCA ) PRA
PRII / CIRP
Plan de rponse au( incidents informati$ues
C,"er .ncident Response Plan
Aournir les strat!ies ncessaires la dtection, la rponse
et la compartimentation des incidents $u'ils soient mal-
veillants ou accidentels
Prim%tre: Le prim%tre se limite !nralement au( r-
ponses au( incidents informati$ues a,ant un impact sur la
scurit de l'information sur les s,st%mes et rseau(


PCA et PRA
LE DRP
4isaster Recover, Plan

PCA ) PRA
DRP / DRP
4isaster Recover, Plan

4isaster Recover, Plan

Aournir les procdures dtailles ncessaires la facilitation

de la reprise des activits partir d'un site de secours
Prim%tre: Le prim%tre est souvent cantonn au( s,st%mes
d'informations et de tlcommunications 3n le limite !n-
ralement au( dsastres importants a,ant des cons$uences
lon! terme (e(emple destruction du "Ctiment)


PCA et PRA
LE PIU / ERP

Plan d'intervention d'ur!ence ) @mer!enc, Response Plan

PCA ) PRA
PIU / ERP
Plan d'intervention d'ur!ence

@mer!enc, Response Plan

Aournir les procdures $ui permettront la rduction des

pertes $ue ce soit en vie 'umaines ou en actifs mo"iliers
et)ou immo"iliers en cas de menace p',si$ue
Prim%tre: Le prim%tre est ici focalis sur le personnel et
les "iens $uel$ue soit leur nature avec une priorit sur la li-
mitation des pertes 'umaines


PCA et PRA
LE RTO
Recover, Bima!e 3"7ective

PCA ) PRA
Dure !a"i!ale #$interruption a#!issi%le
RB3 (Recover, Bima!e 3"7ective)

La dure ma(imale d'interruption admissi"le (en an!lais

RB3 pour Recover, Bime 3"7ective) dfinit le temps ma(i-
mum accepta"le durant le$uel une ressource tec'ni$ue (in-
formati$ue par e(emple) ou 'umaine peut #tre indisponi"le
apr%s un incident ma7eur

Le RB3 en con7onction avec le RP3)P4DA (Recover, Point

3"7ective ) Perte de 4onnes Da(imale Admissi"le) permet
de dterminer le temps total d'interruption d'une ressource
apr%s un incident ma7eur


PCA ) PRA
Dure !a"i!ale #$interruption a#!issi%le
RB3 (Recover, Bima!e 3"7ective)

Le dlai d'interruption de service est dcomposdu:

- 4lai de dtection de l'incident

- 4lai de dcision du passa!e en secours (manuel ou auto)

- 4lai de mise en 8uvre des procdures de secours

- 4lai de contrEle et relance des services et applications

La somme de ces dlais doit #tre infrieure au RB3

PCA et PRA
LE PD&A / RPO
Perte de donnes ma(imale adminissi"le ) Recover, Point 3"7ective

PCA ) PRA
Perte #e #onnes !a"i!ale a#!issi%le
P4DA ) RP3

Recover, Point 3"7ective

Le RP3 $uantifie les donnes $ue le s,st%me d'information

peut #tre amen perdre suite un incident

&nralement le RP3 e(prime une dure entre l'incident

l'ori!ine de la perte de donnes et la date la plus rcente
des donnes $ui pourront #tre utilises en remplacement
lors de leur restauration

Cette dure est !nralement e(prime en 'eures ou en

minutes


PCA ) PRA
Perte #e #onnes !a"i!ale a#!issi%le
P4DA ) RP3

Recover, Point 3"7ective

Le RP3 est souvent dtermin par le t,pe et la fr$uence

des sauve!ardes effectues sur les ressources informa-
ti$ues

Les donnes perdues ne sont pas tou7ours restaurer partir

de "acFup @lles peuvent !alement issu d'un processus de
rplication ou encore reconstruites partir de 7ournau( de
transaction et)ou de rparation (e(emple: s,st%me de fi-
c'iers ou "ase de donnes)


PCA et PRA
PCA / PRA
Les !randes tapes

PCA et PRA
Gla"orer un PCA ne s'improvise pas, et "ien $u'il e(iste de
nom"reuses mani%res d'la"orer un PCA efficace, la p'ilo-
sop'ie de sa conception et de sa mise en 8uvre reste sem-
"la"le dans les diffrentes confi!urations e(istantes
/) Homination d'un c'ef de pro7et ou correspondant PCA
.dalement, tout comme dans le cadre d'un correspondant
scurit, le responsa"le $ui sera nomm pour prendre la di-
rection du pro7et PCA doit pouvoir "nficier d'une !rande
autonomie ainsi $ue d'une !rande indpendance vis vis
notamment de la 4-.

PCA et PRA

@n effet, au cours de sa mission, il aura notamment pour

fonction de raliser des audits et des anal,ses $ui d"ou-
c'eront en toute lo!i$ue sur un certain nom"re de prconi-
sations or!anisationnelles et tec'ni$ues la mani%re $ue
l'effectuerait un consultant e(terne (ce $ui peut !alement
#tre un c'oi(, mais un correspondant PCA devra toutefois
#tre nomm)

Cette mission, il devra l'effectuer au sein des diffrents d-

partements dits 9criti$ues: de l'entit

Ce c'ef de pro7et un peu particulier est !nralement dta-

c' par la direction !nrale aupr%s du dpartement de !es-
tion des ris$ues (lors$ue l'entit en dispose videmment)


PCA et PRA
0) Audit de l'entit
Avant de pouvoir commencer l'la"oration du PCA, il
convient de disposer d'un tat des lieu( prcis concernant
les activits de l'entit considrs comme criti$ues

-i la ou les mission(s) principale(s) d'une entit ne peut plus

#tre effectue correctement, suite l'arr#t d'une activit,
alors on peut considrer cette derni%re comme 9criti$ue:

Le c'ef de pro7et aura dans ce cadre notamment la fonction

d'auditer prcisment ces activits, et proc%dera notamment
au( intervieIs des responsa"les de c'acune des activits
concernes

PCA et PRA
2) -,nt'%se
-uite au( audits, anal,ses et intervieIs effectues, le c'ef
de pro7et ralisera un premier document afin de s,nt'tiser
les rsultats de son travail

.l , formalisera notamment une classification des diffrentes

activits par niveau de criticit tout en prcisant de mani%re
e('austive les diffrents liens entre ces activits, ces der-
ni%res pouvant #tre inter-dpendantes

.l est important de prendre en compte l'ensem"le des fac-

teurs, , compris 'umains pour viter tout "loca!e lors de la
mise en 8uvre du plan de continuit

PCA et PRA
;) Jalidation de la classification par niveau ce criticit
Afin de limiter les ris$ues de cette tape importante, la clas-
sification des activits est soumise la validation d'un comi-
t de pilota!e

3n trouve !nralement dans ce !roupe, en de'ors du c'ef

de pro7et PCA, des reprsentants de la 4-., de la 4irection
&nrale, de la direction Administrative et Ainanci%re et de
toute autre dpartement pouvant fi!ur lui m#me dans les
activits 7u!es criti$ues (e(emple: dpartement 7uridi$ue,
commercial, etc)

Les ventuels points de la s,nt'%se ncessitants une modi-

fication seront fi(s lors de cette validation

PCA et PRA
K) Gla"oration du ca'ier des c'ar!es
La s,nt'%se prcdemment valide va permettre la ralisa-
tion d'un ca'ier des c'ar!es

Au sein de ce dernier, et pour c'a$ue activit criti$ue, on

trouvera la liste des lments ncessaires la reprise, aussi
"ien en terme d'infrastructure (postes de travail, serveurs,
$uipements rseau(, tlp'ones), $ue d'applications (outils
mtiers) ou de ressources 'umaines (comptences nces-
saires, mo"ilisation, dplacement de personnel, transport,
etc)

4es niveau( de tolrance seront ta"lis en terme de RB3 et

de RP3

PCA et PRA
L) C'oi( des prestataires
4ans la mise en 8uvre du PCA, comme dans la fourniture
de certains services, il est souvent prfra"le de faire appel
des prestataires

@n effet, l'utilisation de prestataires spcialiss peut offrir

des !aranties de mo,ens et)ou de rsultats accompa!nes
de contre-parties financi%res tout en diminuant les coMts du
PCA via la mutualisation appli$ue par le prestataire
(e(emple: 4atacenter)

@(ternaliser permet !alement de s'assurer $ue les res-

sources seront alloues au( "ons endroits, ce $ui n'est pas
tou7ours le cas lors d'une !estion interne

PCA et PRA
5) Aormalisation du PCA
Au cours de cette p'ase, le c'ef de pro7et devra dcrire de
mani%re claire et formelle, l'ensem"le des processus
mettre en place, aussi "ien en terme de site de secours $ue
de profils 'umains et)ou de mo,ens tec'ni$ues et lo!is-
ti$ues pour les supporter

Les processus de !estion de crise devront eu( aussi #tre

clairement dfinis ainsi $ue la 9cascade: des alertes et
processus activer lors de l'incident

4e m#me, devront , fi!urer toutes les procdures de mise

en place d'une cellule de crise, tout comme sa composition
et la communication $ui devra , #tre associe

PCA et PRA
<) Jalidation du PCA
Le PCA une fois termin devra encore #tre valid par le co-
mit de pilota!e afin de s'assurer de sa validit t'ori$ue

Les ventuelles o"7ections ainsi $ue les complments

d'information ncessaires seront formuls au cours de cette
tape

6ne fois $ue les ventuelles derni%res modifications auront

t apportes, le comit entrinera alors la validation du
PCA $ui e(iste officiellement partir de ce moment

PCA et PRA
N) Bests et maintenance N) Bests et maintenance
Dal!r sa validation, il ne faut pas ou"lier $ue le "on fonc-
tionnement du PCA n'est ce moment $ue t'ori$ue

.l conviendra alors afin d'assurer un passa!e en production

russi de ce dernier de mettre en place une "atterie de tests
(et de cras' tests) $ui permettront d'valuer les relles diffi-
cults aussi "ien tec'ni$ues ou lo!isti$ues $u''umaines $ui
pourraient se poser

.l faudra !alement assurer la 9maintenance: du PCA,

c'est dire s'assurer de continuer adapter ce dernier en
fonction des diffrentes volutions au sein de l'entit 6ne
'istorisation des oprations effectues devra #tre ralise

PCA et PRA
Rcapitulatif des tapes: Rcapitulatif des tapes:
/) Homination d'un c'ef de pro7et ou correspondant PCA

0) Audit de l'entit

2) -,nt'%se

;) Jalidation de la classification par niveau ce criticit

K) Gla"oration du ca'ier des c'ar!es

L) C'oi( des prestataires

5) Aormalisation du PCA

<) Jalidation du PCA

N) Bests et maintenance

PCA et PRA
Pour s'assurer de la russite de son PRA et notamment Pour s'assurer de la russite de son PRA et notamment
dans le domaine informati$ue, il convient d'a"order le pro dans le domaine informati$ue, il convient d'a"order le pro- -
"l%me sous le "on an!le "l%me sous le "on an!le
/) Bou7ours penser au pire

Russir ima!iner le pire, pour certains, c'est un mtier, et

$ui plus est, n'est pas la porte de tout le monde @la"orer
un PCA russi ncessite de se penc'er sur les scnarios les
plus impro"a"les, ceu( $ue personne ne sou'aite voir se
produire

Cette premi%re tape est a"solument indispensa"le la ra-

lisation d'un PRA russi

PCA et PRA
.l faut russir penser l'impensa"le, ima!iner l'inima!ina"le: .l faut russir penser l'impensa"le, ima!iner l'inima!ina"le:
incendie, trem"lement de terre, mtorite, inondation, atten incendie, trem"lement de terre, mtorite, inondation, atten- -
tat terroriste, contamination "actrienne du s,st%me de ven tat terroriste, contamination "actrienne du s,st%me de ven- -
tilation: ce n'est pas parce $u'il est impro"a"le $u'un inci tilation: ce n'est pas parce $u'il est impro"a"le $u'un inci - -
dent arrive $u'il n'arrivera 7amais dent arrive $u'il n'arrivera 7amais

.ma!iner l'impensa"le, c'est ce $ui va permettre d'ima!iner .ma!iner l'impensa"le, c'est ce $ui va permettre d'ima!iner
les meilleurs scnarios de reprise: cela ne peut pas arriver, les meilleurs scnarios de reprise: cela ne peut pas arriver,
et pourtant c'est lors$ue cela arrivera $u'il faudra un plan et pourtant c'est lors$ue cela arrivera $u'il faudra un plan

.l ne faut !alement pas ou"lier, $ue les PRA sont !ale .l ne faut !alement pas ou"lier, $ue les PRA sont !ale- -
ment utiles lors d'v%nements mineurs mais pouvant impac ment utiles lors d'v%nements mineurs mais pouvant impac- -
ter le "on fonctionnement de l'entitde la coupure lectri$ue ter le "on fonctionnement de l'entitde la coupure lectri$ue
la dfaillance des s,st%mes d'aration la dfaillance des s,st%mes d'aration

PCA et PRA
0) Prvoir la !ouvernance du ris$ue 0) Prvoir la !ouvernance du ris$ue

.l s'a!it d'un autre point capital o* l'c'ec peut conduire .l s'a!it d'un autre point capital o* l'c'ec peut conduire
l'c'ec du PRA: $ui fait $uoi en cas de pro"l%me> l'c'ec du PRA: $ui fait $uoi en cas de pro"l%me>

.l convient de prdfinir la responsa"ilit et le rEle de c'acun .l convient de prdfinir la responsa"ilit et le rEle de c'acun
en cas de crise, tout en tenant compte des possi"les indis en cas de crise, tout en tenant compte des possi"les indis- -
poni"ilits 'umaines et notamment de la direction et)ou de la poni"ilits 'umaines et notamment de la direction et)ou de la
4-. 4-.

.l faut donc penser slectionner ceu( $ui a!iront en cas de .l faut donc penser slectionner ceu( $ui a!iront en cas de
crise, $ui pourra les remplacer en cas d'indisponi"ilit et crise, $ui pourra les remplacer en cas d'indisponi"ilit et
$uel sera le rEle et les comptences de c'acun $uel sera le rEle et les comptences de c'acun

-ans son volet 'umain, le PRA sera un c'ec total -ans son volet 'umain, le PRA sera un c'ec total

PCA et PRA
2) He pas n!li!er l'inventaire applicatif 2) He pas n!li!er l'inventaire applicatif
C'est une tape importante $ui concerne plus particuli%re C'est une tape importante $ui concerne plus particuli%re- -
ment le ris$ue informati$ue: raliser une carto!rap'ie des ment le ris$ue informati$ue: raliser une carto!rap'ie des
ris$ues avec leurs cons$uences et les solutions appro ris$ues avec leurs cons$uences et les solutions appro- -
pries pries

Pour russir ce c'allen!e il faut procder une carto!rap'ie Pour russir ce c'allen!e il faut procder une carto!rap'ie
des processus informati$ues: c'a$ue module applicatif de des processus informati$ues: c'a$ue module applicatif de- -
vra #tre valu afin de dterminer sa criticit et $uelles sont vra #tre valu afin de dterminer sa criticit et $uelles sont
les oprations mener pour concevoir la prparation au( in les oprations mener pour concevoir la prparation au( in- -
cidents cidents

3n commencera donc par les applications pour descendre 3n commencera donc par les applications pour descendre
de couc'e en couc'e, 7us$u' l'3- puis au 'ardIare de couc'e en couc'e, 7us$u' l'3- puis au 'ardIare

PCA et PRA

Pour$uoi cette tape est elle si importante> Pour$uoi cette tape est elle si importante>

-implement parce $ue c'est au cours de ce mappin! dtaill -implement parce $ue c'est au cours de ce mappin! dtaill
$ue l'on va se rendre compte $ue tel ou tel autre processus $ue l'on va se rendre compte $ue tel ou tel autre processus
mtier ne peut pas fonctionner m#me en mode d!rad mtier ne peut pas fonctionner m#me en mode d!rad
lors$ue l'application , ne fonctionne plus: il s'a!it "el et "ien lors$ue l'application , ne fonctionne plus: il s'a!it "el et "ien
d'un travail de fourmis d'un travail de fourmis

Pour c'a$ue application, on devra dfinir un RB3 et un RP3 Pour c'a$ue application, on devra dfinir un RB3 et un RP3
avec une priorisation en fonction de la criticit et sans toute avec une priorisation en fonction de la criticit et sans toute- -
fois ou"lier les multiples dpendances en cascade e(is fois ou"lier les multiples dpendances en cascade e(is- -
tantes tantes

C'est un travail lon! mais essentiel pour viter l'c'ec au ni C'est un travail lon! mais essentiel pour viter l'c'ec au ni - -
veau du s,st%me d'information en cas de crise veau du s,st%me d'information en cas de crise

PCA et PRA
;) 4finition des priorits et des mo,ens ;) 4finition des priorits et des mo,ens

Lors$ue l'on pose la $uestion un 4-. ou directement la Lors$ue l'on pose la $uestion un 4-. ou directement la
direction concernant la perte de donnes en cas de cras', la direction concernant la perte de donnes en cas de cras', la
plupart vous rpondront $u'ils ne veulent perdre aucune plupart vous rpondront $u'ils ne veulent perdre aucune
donne, et $u'ils ne veulent aucune rupture de service donne, et $u'ils ne veulent aucune rupture de service

Dal'eureusement nous ne sommes pas dans le monde des Dal'eureusement nous ne sommes pas dans le monde des
+isounours: il faut savoir rester pra!mati$ue et autoriser +isounours: il faut savoir rester pra!mati$ue et autoriser
l'indisponi"ilit lors$ue c'est plus 7udicieu(: dans "ien des l'indisponi"ilit lors$ue c'est plus 7udicieu(: dans "ien des
cas, arriv un certain niveau, !a!ner une minute voire cas, arriv un certain niveau, !a!ner une minute voire
$uel$ues secondes de disponi"ilit peut dou"ler voire tripler $uel$ues secondes de disponi"ilit peut dou"ler voire tripler
le pri( de l'infrastructure le pri( de l'infrastructure

PCA et PRA

@n fonction des mtiers et des services, les e(i!ences vis @n fonction des mtiers et des services, les e(i!ences vis
vis du s,st%me d'information peuvent #tre compl%tement dif vis du s,st%me d'information peuvent #tre compl%tement dif- -
frentes frentes

C'oi( d'une disponi"ilit tou7ours plus 'aute et)ou possi"ilit C'oi( d'une disponi"ilit tou7ours plus 'aute et)ou possi"ilit
de fonctionner en mode d!rad sont autant d'options $u'il de fonctionner en mode d!rad sont autant d'options $u'il
convient de penser d%s le d"ut de la conception du PRA convient de penser d%s le d"ut de la conception du PRA

C'est de ces c'oi( $ue devront dcouler les solutions tec' C'est de ces c'oi( $ue devront dcouler les solutions tec'- -
ni$ues mettre en place et non le contraire ni$ues mettre en place et non le contraire

C'oi( des s,st%mes de sauve!arde, de rplication et surtout C'oi( des s,st%mes de sauve!arde, de rplication et surtout
du "ud!et allou $ui va !alement conditionner et limiter les du "ud!et allou $ui va !alement conditionner et limiter les
solutions possi"le: tout compte solutions possi"le: tout compte


PCA et PRA

Concr%tement cette tape va consister dterminer les Concr%tement cette tape va consister dterminer les
meilleures tec'nolo!ies possi"les $ui correspondent au( meilleures tec'nolo!ies possi"les $ui correspondent au(
RB3 et au RP3 c'oisis RB3 et au RP3 c'oisis

Ces donnes vont indi$uer $uelles solutions peuvent #tre Ces donnes vont indi$uer $uelles solutions peuvent #tre
c'oisi: $u'est ce $ui peut #tre sauve!arder travers le r c'oisi: $u'est ce $ui peut #tre sauve!arder travers le r- -
seau, sur "ande ou sur support opti$ue, $u'est ce $ui n seau, sur "ande ou sur support opti$ue, $u'est ce $ui n- -
cessite d'autres s,st%mes (rplication de "ase et)ou de s,s cessite d'autres s,st%mes (rplication de "ase et)ou de s,s- -
t%mes de fic'iers) t%mes de fic'iers)

Apr%s cette anal,se, il restera donc calculer et n!ocier Apr%s cette anal,se, il restera donc calculer et n!ocier
les pri( de mise en 8uvre de ces solutions Le coMt de ces les pri( de mise en 8uvre de ces solutions Le coMt de ces
solutions peut tr%s vite e(ploser lors$ue l'on veut se rappro solutions peut tr%s vite e(ploser lors$ue l'on veut se rappro- -
c'er du tau( de panne 1 c'er du tau( de panne 1


PCA et PRA

K) Aaire des c'oi( de matriel adapts K) Aaire des c'oi( de matriel adapts

4ans certains PRA notamment de !rands comptes ou 4ans certains PRA notamment de !rands comptes ou
d'administrations, ces derniers prvoient la mise en 8uvre d'administrations, ces derniers prvoient la mise en 8uvre
d'un site distant, soit au sein d'une autre unit de l'entit, soit d'un site distant, soit au sein d'une autre unit de l'entit, soit
de mani%re e(ternalise c'eO un prestataire (e(emple: 4a de mani%re e(ternalise c'eO un prestataire (e(emple: 4a- -
tacenter) tacenter)

.l faut cependant pendre en compte $ue par dfinition, une .l faut cependant pendre en compte $ue par dfinition, une
crise est souvent d'une dure dfinie: les solutions sont l crise est souvent d'une dure dfinie: les solutions sont l
pour permettre un fonctionnement en mode d!rad ou pas pour permettre un fonctionnement en mode d!rad ou pas
le temps de retrouver une situation 9normale: le temps de retrouver une situation 9normale:

C'est pour cette raison $u'il est souvent inutile de dou"ler C'est pour cette raison $u'il est souvent inutile de dou"ler
l'ensem"le de son matriel principal l'ensem"le de son matriel principal


PCA et PRA

@n effet, faire un 9copier )coller: du matriel e(istant sur un @n effet, faire un 9copier )coller: du matriel e(istant sur un
site distant ne veut pas dire faire le meilleur c'oi(: le mat site distant ne veut pas dire faire le meilleur c'oi(: le mat- -
riel destin reprendre l'activit doit #tre adapt la situa riel destin reprendre l'activit doit #tre adapt la situa- -
tion de crise Bout est apr%s une $uestion de "ud!et tion de crise Bout est apr%s une $uestion de "ud!et

Par e(emple une solution d7 redonde sur le site principal Par e(emple une solution d7 redonde sur le site principal
n'aura pas "esoin de l'#tre au m#me niveau sur le site de n'aura pas "esoin de l'#tre au m#me niveau sur le site de
secours secours

Le matriel devra #tre en permanence pr#t l'emploi: 'ors Le matriel devra #tre en permanence pr#t l'emploi: 'ors
de $uestion de perdre du temps en cas de crise D#me de $uestion de perdre du temps en cas de crise D#me
c'ose pour les c'oi( d'oprateurs: le site principal est c'ose pour les c'oi( d'oprateurs: le site principal est
connect un rseau multi-oprateur, mais un site mono-op connect un rseau multi-oprateur, mais un site mono-op- -
rateur peut suffire pour un site de secours rateur peut suffire pour un site de secours

PCA et PRA

L) Cras' test L) Cras' test

La ma7orit des entreprises $ui disposent de "acFups ou La ma7orit des entreprises $ui disposent de "acFups ou
autre solutions de reprise n'ont 7amais fait de Cras' Best 3r autre solutions de reprise n'ont 7amais fait de Cras' Best 3r
lors$ue l'on prati$ue ce dernier, on se rend compte alors $ue lors$ue l'on prati$ue ce dernier, on se rend compte alors $ue
plus de 5 cas sur /1 (tude ralise par 4i!ital HetIorF sur plus de 5 cas sur /1 (tude ralise par 4i!ital HetIorF sur
plus de /11 entreprises a,ant souscrit diffrentes solution plus de /11 entreprises a,ant souscrit diffrentes solution
de "acFup) ne sont pas capa"les de remettre en route leur de "acFup) ne sont pas capa"les de remettre en route leur
s,st%me d'information s,st%me d'information

C'est principalement pour cette raison $ue plus de <1P des C'est principalement pour cette raison $ue plus de <1P des
entreprises a,ant su"it un sinistres informati$ue dispa entreprises a,ant su"it un sinistres informati$ue dispa- -
raissent dans les 2 ans raissent dans les 2 ans

PCA et PRA

6ne fois un PRA mis en place, il est en effet capital d'effec 6ne fois un PRA mis en place, il est en effet capital d'effec- -
tuer des tests de mani%re r!uli%re afin de pouvoir valuer tuer des tests de mani%re r!uli%re afin de pouvoir valuer
sa fia"ilit sa fia"ilit

Certaines directions sont frileuses cause de l'aspect finan Certaines directions sont frileuses cause de l'aspect finan- -
cier d'un Cras' Best, c'est pour$uoi cet aspect doit lui aussi cier d'un Cras' Best, c'est pour$uoi cet aspect doit lui aussi
#tre pris en compte lors de la conception du PRA #tre pris en compte lors de la conception du PRA

Lors$ue l'on effectue un Cras' Best, on se rend souvent Lors$ue l'on effectue un Cras' Best, on se rend souvent
compte $ue certains aspects ont t ou"lis et $u'il faut re compte $ue certains aspects ont t ou"lis et $u'il faut re- -
mettre en $uestion, adapter et mettre 7our son PRA mettre en $uestion, adapter et mettre 7our son PRA

3n conseille d'effectuer cette opration / fois par semestre: 3n conseille d'effectuer cette opration / fois par semestre:
il ne faut pas ou"lier $ue le s,st%me d'information volue il ne faut pas ou"lier $ue le s,st%me d'information volue
tr%s vite (versions de lo!iciels, os, up!rade matriel, etc) tr%s vite (versions de lo!iciels, os, up!rade matriel, etc)

PCA et PRA

5) Adapter le PRA au( c'an!ements 5) Adapter le PRA au( c'an!ements

6n PRA parta!e un point commun avec l'audit: il est ralis 6n PRA parta!e un point commun avec l'audit: il est ralis
un instant prcis pour rpondre des contraintes prcises un instant prcis pour rpondre des contraintes prcises
.l ne faut pourtant pas ou"lier $ue toute entit volue, et par .l ne faut pourtant pas ou"lier $ue toute entit volue, et par- -
ticuli%rement au niveau de son s,st%me d'information ticuli%rement au niveau de son s,st%me d'information

C'a$ue c'an!ement applicatif, volution ma7eure ou mi C'a$ue c'an!ement applicatif, volution ma7eure ou mi - -
neure, c'an!ement de matriel, mise 7our de l'3-: autant neure, c'an!ement de matriel, mise 7our de l'3-: autant
de param%tres $ui peuvent ncessiter des adaptations du de param%tres $ui peuvent ncessiter des adaptations du
PRA PRA

4e m#me ces c'oi( devront tou7ours #tre effectus dans un 4e m#me ces c'oi( devront tou7ours #tre effectus dans un
soucis de co'rence avec le PRA e(istant afin de minimiser soucis de co'rence avec le PRA e(istant afin de minimiser
les modifications les modifications

PCA et PRA

<) Apprendre de ses erreurs <) Apprendre de ses erreurs

Hous n'avons vu plus tEt, effectuer des tests est capital pour Hous n'avons vu plus tEt, effectuer des tests est capital pour
s'assurer de la russite d'un PRA Cependant encore faut-il s'assurer de la russite d'un PRA Cependant encore faut-il
$ue les incidents rencontrs au cours de ces tests soient $ue les incidents rencontrs au cours de ces tests soient
correctement si!nals et transmises au( responsa"les correctement si!nals et transmises au( responsa"les
concerns concerns

+eaucoup prf%re 9mas$uer: les c'ecs: ce n'est "ien en +eaucoup prf%re 9mas$uer: les c'ecs: ce n'est "ien en- -
tendu pas positif pour un PRA La mise en place d'une "ase tendu pas positif pour un PRA La mise en place d'une "ase
de connaissance avec une 7ournalisation des incidents est de connaissance avec une 7ournalisation des incidents est
une "onne solution pour s'assurer de ce point une "onne solution pour s'assurer de ce point

L'amlioration du PRA doit #tre priorise par rapport au( L'amlioration du PRA doit #tre priorise par rapport au(
sanctions $ui peuvent dcouler de son c'ec sanctions $ui peuvent dcouler de son c'ec

PCA et PRA

N) He pas ou"lier la r%!lementation N) He pas ou"lier la r%!lementation

3n ne peut pas tout faire n'importe comment: "ien souvent, 3n ne peut pas tout faire n'importe comment: "ien souvent,
un PRA est demand par des autorits de r!ulation de sec un PRA est demand par des autorits de r!ulation de sec- -
teurs particuliers tel $ue la +an$ue ou la Ainance teurs particuliers tel $ue la +an$ue ou la Ainance

4ans d'autres cas, ce sont au contraire ces derniers $ui le 4ans d'autres cas, ce sont au contraire ces derniers $ui le
demanderont leur client pour minimiser les ris$ues finan demanderont leur client pour minimiser les ris$ues finan- -
ciers ciers

.l convient donc le cas c'ant de se rensei!ner sur la r .l convient donc le cas c'ant de se rensei!ner sur la r- -
!lementation administrative ventuellement en place tel $ue !lementation administrative ventuellement en place tel $ue
+Cle .. $ui est un dispositif destin mieu( appr'ender les +Cle .. $ui est un dispositif destin mieu( appr'ender les
ris$ues "ancaires ris$ues "ancaires

PCA et PRA

/1) He pas limiter le PRA la 4-. /1) He pas limiter le PRA la 4-.

Comme e(pli$u en d"ut de document, le PRA concerne Comme e(pli$u en d"ut de document, le PRA concerne
tous les aspects de l'entit et pas seulement l'aspect s,s tous les aspects de l'entit et pas seulement l'aspect s,s- -
t%mes d'informations et de tlcommunications t%mes d'informations et de tlcommunications

Le PRA est un processus transverse 6n dsastre n'est pas Le PRA est un processus transverse 6n dsastre n'est pas
tou7ours informati$ue, il peut #tre social (!r%ve), climati$ue tou7ours informati$ue, il peut #tre social (!r%ve), climati$ue
(inondation, tempratures anormales) ou mdical (pand (inondation, tempratures anormales) ou mdical (pand- -
mie, contamination "actrienne du s,st%me de mie, contamination "actrienne du s,st%me de
climatisation) climatisation)

PCA et PRA

Pour rsumer: Pour rsumer:

/) /) Bou7ours penser au pire Bou7ours penser au pire

0) 0) Prvoir la !ouvernance du ris$ue Prvoir la !ouvernance du ris$ue

2) 2) He pas n!li!er l'inventaire applicatif He pas n!li!er l'inventaire applicatif

;) ;) 4finition des priorits et des mo,ens 4finition des priorits et des mo,ens

K) K) Aaire des c'oi( de matriels adapts Aaire des c'oi( de matriels adapts

L) L) Cras' Best Cras' Best

5) 5) Adapter le PRA au( c'an!ements Adapter le PRA au( c'an!ements

<) <) Apprendre de ses erreurs Apprendre de ses erreurs

N) N) He pas ou"lier la r%!lementation He pas ou"lier la r%!lementation

/1) /1) He pas limiter le PRA la 4-. He pas limiter le PRA la 4-.