PRA / PCA : comprendre les différences et les avantages

Le système d’information est un enjeu stratégique au sein des entreprises et des organismes publics, de toutes tailles. Le préserver est un sujet majeur pour assurer le bon fonctionnement des activités critique et vitales de l’entreprise notamment en cas de sinistre. Mais qu’est-ce qu’un Plan de Reprise/Continuité d’Activité (PRA-PCA) ? Comment le mettre en place et pourquoi?  Connu des grandes entreprises, il est souvent sous-estimé et même ignoré par les PME…

QU’EST QU’UN PRA ?

Un Plan de Reprise d’Activité (PRA) est une procédure qui permet d’assurer la reprise des activités, en mode dégradé ou à plein régime, de votre entreprise en cas de sinistre (inondation, coupure électrique, incendie, destruction de données vitales…)

L’objectif principal est d’anticiper et d’atténuer les effets dévastateurs d’une crise ou catastrophe naturelle sur la pérennité de vos activités. C’est un document qui répertorie les démarches à entreprendre pour reconstruire son système informatique en cas de crise importante et la remise en route des applications nécessaires aux activités d’une entreprise.

QU’EST QU’UN PCA ?

Un Plan de Continuité d’Activité (PCA) est une procédure qui permet d’assurer la continuité des activités d’une entreprise, sans perte de données et qui offrira un accès au SI sans rupture d’exploitation. Si la sécurité est souvent abordée avec une approche orientée logiciel (anti-spam, anti-virus…), elle doit être encadrée par des dispositifs plus structurants que sont le PRA et le PCA.

Radjabe YOUSSOUFA, Ingénieur Commercial chez Foliateam, spécialisé dans les services de solutions cloud et d’hébergement, nous répond :

Quels sont les étapes et les prérequis pour mettre en oeuvre un PRA et/ou un PCA ?

« Tout d’abord, il faut identifier les ressources critiques que l’on souhaite ‘backuper’ car elles sont indispensables au bon fonctionnement de l’entreprise. Ensuite il faut identifier le lieu où l’on souhaite mettre en place le plan de reprise ou de continuité d’activité avec 2 solutions : soit sur un des sites de l’entreprise soit sur un site externe de type data center. Par exemple, chez Foliateam nous proposons d’effectuer les PRA/PCA depuis notre Datacenter situé à Paris Nation ou depuis celui situé à Lyon. »

pca-pra

Combien de temps cela prend t-il ?

« Tout dépend de la taille de l’infrastructure à ‘backuper’ mais dans tous les cas une telle procédure se prépare longtemps en avance. Le temps de la réflexion est très important pour identifier les différents éléments. Je dirais que pour monter un PRA cohérent il faut s’y prendre au minimum 3 mois à l’avance. »

« Je dirais que pour monter un PRA cohérent il faut s’y prendre au minimum 3 mois à l’avance. »

Selon vous, quelles sont les bonnes pratiques ? Avez-vous des conseils à donner ?

« Aucun PRA / PCA n’est identique. En fonction du domaine d’activité d’une entreprise, les enjeux ne seront pas les mêmes. Si vous prenez une banque en ligne, en cas de coupure de son activité internet ou téléphonique, les pertes en terme de chiffre d’affaire s’effondreraient de manière exponentielle. Si vous prenez un hôpital, une coupure téléphonique ou réseau engendrerait une crise majeure notamment pour retrouver les dossiers des patients ou gérer les urgences…

Donc mon premier conseil, c’est qu’il faut le penser et réaliser un cahier des charges précis répertoriant les applications critiques liées à l’activité de l’entreprise.

Mon second conseil : une procédure de PRA/ PCA évolue. Il faut constamment la tenir à jour et le notifier aux prestataires qui vous accompagnent dans votre projet pour être toujours prêt. »

Vous disiez tout à l’heure que les entreprises ont le choix entre mettre en place un plan de reprise sur un de leurs sites ou l’externaliser. Quelle solution recommanderiez-vous et pourquoi ?

« Je recommanderais l’externalisation car l’objectif d’un PRA, quel que soit sa nature, est d’envisager tous les scénarios de catastrophes possibles et celui qui ressort inévitablement est : Que se passe-t-il en cas de sinistre dans mes locaux (incendie, inondation, coupure réseau etc.) ?

Dans ce cas-là, si la sauvegarde de l’infrastructure est réalisée sur le site qui héberge les applications initiales, vous comprenez bien que le PRA/PCA ne sert quasiment à rien alors que si celui-ci est externalisé sur un de vos sites distants ou encore mieux dans un datacenter, il y a alors un réel intérêt car vous ne dépendez pas de vos propres infrastructures.

Si vous établissez votre PRA sur un de vos sites distants, vous restez dépendants de vos infrastructures et vos moyens de communication. On peut aussi imaginer dans l’un des scénarios de catastrophes que ça soit l’ensemble de vos infrastructures informatiques ou liens d’interconnexion qui seront impactés et dans ce cas-là vous n’aurez plus accès à votre PRA. Dans un Datacenter vous disposez de toute la sécurité nécessaire que ça soit en terme d’électricité, de climatisation ou d’équipements et vous minimisez ainsi les risques. »

Quand on met en place un PRA, faut-il également mettre en œuvre un PCA ?

« Tout dépend de la criticité et de l’activité de l’entreprise. Une entreprise peut considérer que son activité est mise en péril si elle ne peut plus exercer son activité dès la première seconde. Certaines vont estimer qu’une heure est le grand maximum, pour d’autres plus… C’est en fonction de cela, qu’une société décidera ou pas de s’orienter vers un plan de continuité d’activité. »

« Le PRA et le PCA sont comme une assurance automobile, si vous n’avez pas d’accident, vous n’en mesurez pas l’intérêt. »

Quels sont les avantages des Plans de Reprise d’Activité ?

« Les avantages de la mise en place d’un PRA se mesurent par rapport aux risques de perte de chiffre d’affaires, de mauvaise image vis-à-vis de vos clients et partenaires ou encore de sanctions disciplinaires ou pénales en cas de non-respect d’obligations réglementaires encourues en cas de panne ou de coupure. Le PRA va vous permettre d’éviter cette perte de chiffre d’affaires. Sa mise en place à un certain coût, et ce coût-là sera amorti en fonction de la perte de chiffre d’affaires estimée.

Le PRA et le PCA sont comme une assurance automobile, si vous n’avez pas d’accident, vous n’en mesurez pas l’intérêt. Par contre en cas de sinistre, c’est la garantie pour l’entreprise de maintenir son activité et de conserver ses données critiques sans risque d’indisponibilité et donc sans perte de revenu.

Enfin, le PRA et le PCA ont aussi des avantages en terme de ressources et de fonctionnement opérationnel. S’ils sont externalisés, les entreprises ont accès en cas de problème à un réseau indépendant du leur et n’ont plus besoin d’assurer la maintenance de leurs équipements. Elles bénéficient également d’une supervision 24/7 par des experts qui veillent au bon fonctionnement du réseau. »

« Par contre en cas de sinistre, c’est la garantie pour l’entreprise de maintenir son activité et de conserver ses données critiques sans risque d’indisponibilité et donc sans perte de revenu. »

L’hybride est-il l’avenir incontournable de l’infrastructure IT de demain ?

« C’est une question philosophique (ndrl). Si on revient sur la notion même de cloud hybride, c’est quand une entreprise dispose d’une partie de ses infrastructures en interne et une autre dans un Datacenter. Je pense effectivement, que le modèle hybride est le modèle d’aujourd’hui et sera également celui de demain parce qu’une société aura toujours besoin d’avoir tout ou partie de son infrastructure en interne. Avec le temps, les entreprises ont gagné en maturité dans leur utilisation du cloud et reconnaissent l’importance de ne pas dépendre que d’elle-même. »