Continuité des activités ou reprise après sinistre : quel plan vous convient le mieux ? –Blog IBM

Les plans de continuité des activités et de reprise après sinistre sont des stratégies de gestion des risques sur lesquelles les entreprises s'appuient pour se préparer aux incidents inattendus. Bien que les termes soient étroitement liés, il existe certaines différences clés à prendre en compte lors du choix de celui qui vous convient :

• Plan de continuité des activités (PCA) : Un PCA est un plan détaillé qui décrit les mesures qu'une organisation prendra pour reprendre ses fonctions commerciales normales en cas de sinistre. Alors que d’autres types de plans peuvent se concentrer sur un aspect spécifique de la reprise et de la prévention des interruptions (comme une catastrophe naturelle ou une cyberattaque), les PCA adoptent une approche globale et visent à garantir qu’une organisation puisse faire face à un éventail de menaces aussi large que possible.
• Plan de reprise après sinistre (PRD) : De nature plus détaillée que les PCA, plans de reprise après sinistre consistent en des plans d’urgence sur la manière dont les entreprises protégeront spécifiquement leurs systèmes informatiques et leurs données critiques en cas d’interruption. Parallèlement aux PCA, les plans de reprise après sinistre aident les entreprises à protéger leurs données et leurs systèmes informatiques contre de nombreux scénarios de catastrophe, tels que des pannes massives, des catastrophes naturelles, ransomware ainsi que malware attaques, et bien d’autres.
• Continuité des activités et reprise après sinistre (BCDR) : Continuité des activités et reprise après sinistre (BCDR) peuvent être abordés ensemble ou séparément en fonction des besoins de l’entreprise. Récemment, de plus en plus d'entreprises s'orientent vers la pratique conjointe des deux disciplines, demandant aux dirigeants de collaborer sur les pratiques de BC et de DR plutôt que de travailler de manière isolée. Cela a conduit à combiner les deux termes en un seul, BCDR, mais le sens essentiel des deux pratiques reste inchangé.

Quelle que soit la manière dont vous choisissez d'aborder le développement du BCDR dans votre organisation, il convient de noter à quelle vitesse ce domaine se développe à l'échelle mondiale. Alors que les conséquences d’un mauvais BCDR, comme la perte de données et les temps d’arrêt, deviennent de plus en plus coûteuses, de nombreuses entreprises augmentent leurs investissements existants. L'année dernière, les entreprises du monde entier s'apprêtaient à dépenser 219 milliards de dollars en cybersécurité et en solutions, soit une augmentation de 12 % par rapport à l'année précédente. selon un récent rapport de l'International Data Corporation (IDC) (le lien réside en dehors d'ibm.com).

Pourquoi les plans de continuité des activités et de reprise après sinistre sont-ils importants ?

Les plans de continuité des activités (PCA) et les plans de reprise après sinistre (DRP) aident les organisations à se préparer à un large éventail d'incidents imprévus. Lorsqu’il est déployé efficacement, un bon plan de reprise après sinistre peut aider les parties prenantes à mieux comprendre les risques pour les fonctions commerciales courantes qu’une menace particulière peut poser. Les entreprises qui n'investissent pas dans la reprise après sinistre pour la continuité des activités (BCDR) sont plus susceptibles de subir des pertes de données, des temps d'arrêt, des pénalités financières et des atteintes à leur réputation en raison d'incidents imprévus.

Voici quelques-uns des avantages auxquels peuvent s’attendre les entreprises qui investissent dans des plans de continuité des activités et de reprise après sinistre :

• Temps d'arrêt réduits : Lorsqu’une catastrophe interrompt les opérations commerciales normales, la remise en marche des entreprises peut coûter des centaines de millions de dollars. Haut profil cyber-attaques sont particulièrement préjudiciables, attirant souvent une attention indésirable et poussant les investisseurs et les clients à fuir vers des concurrents qui annoncent des temps d'arrêt plus courts. La mise en œuvre d’un plan BCDR solide peut réduire votre délai de récupération, quel que soit le type de sinistre auquel vous êtes confronté.
• Risque financier réduit : Selon Le récent rapport d'IBM sur le coût des violations de données, le coût moyen d'une violation de données s'élevait à 4.45 millions de dollars en 2023, soit une augmentation de 15 % depuis 2020. Les entreprises dotées de solides plans de continuité d'activité ont montré qu'elles pouvaient réduire considérablement ces coûts en raccourcissant les temps d'arrêt et en augmentant la confiance des clients et des investisseurs.
• Pénalités réduites : Les violations de données peuvent entraîner de lourdes sanctions en cas de fuite d'informations privées sur les clients. Les entreprises qui opèrent dans le domaine de la santé et des finances personnelles courent un risque plus élevé en raison de la sensibilité des données qu’elles traitent. Il est impératif pour les entreprises qui opèrent dans ces secteurs de mettre en place une solide stratégie de continuité des activités, ce qui contribue à maintenir relativement faible le risque de lourdes pénalités financières.

Comment élaborer un plan de reprise après sinistre pour la continuité des activités

La planification de la continuité des activités et de la reprise après sinistre (BCDR) est plus efficace lorsque les entreprises adoptent une approche distincte mais coordonnée. Bien que les plans de continuité des activités (PCA) et les plans de reprise après sinistre (DRP) soient similaires, il existe des différences importantes qui rendent leur développement séparé avantageux :

• Des PCA solides se concentrent sur les tactiques permettant de maintenir les opérations normales avant, pendant et immédiatement après une catastrophe. 
• Les DRP ont tendance à être plus réactifs, décrivant les moyens de répondre à un incident et de remettre tout en ordre.

Avant d'aborder la manière dont vous pouvez créer des BCP et des DRP efficaces, examinons quelques termes qui sont pertinents pour les deux :

• Objectif de temps de récupération (RTO) : Le RTO fait référence au temps nécessaire pour restaurer les processus métier après un incident imprévu. L'établissement d'un RTO raisonnable est l'une des premières choses que les entreprises doivent faire lorsqu'elles créent un BCP ou un DRP. 
• Objectif de point de récupération (RPO) : L'objectif de point de récupération (RPO) de votre entreprise correspond à la quantité de données qu'elle peut se permettre de perdre en cas de sinistre et de pouvoir néanmoins récupérer. La protection des données étant une fonctionnalité essentielle de nombreuses entreprises modernes, certaines copient constamment les données sur un serveur distant. centre de données pour assurer la continuité en cas de rupture massive. D'autres fixent un RPO tolérable de quelques minutes (voire heures) pour que les données de l'entreprise soient récupérées à partir d'un système de sauvegarde et savent qu'ils seront en mesure de récupérer tout ce qui a été perdu pendant cette période.

Comment construire un plan de continuité d'activité (PCA) 

Même si chaque entreprise a des exigences légèrement différentes en matière de planification de la continuité des activités, il existe quatre étapes largement utilisées qui donnent d'excellents résultats, quels que soient leur taille ou leur secteur d'activité.

1. Exécutez une analyse d’impact sur l’entreprise 

L'analyse d'impact commercial (BIA) aide les organisations à mieux comprendre les différentes menaces auxquelles elles sont confrontées. Une BIA forte implique la création de descriptions solides de toutes les menaces potentielles et des vulnérabilités qu’elles pourraient exposer. En outre, le BIA estime la probabilité de chaque événement afin que l'organisation puisse les prioriser en conséquence.

2. Créez des réponses potentielles

Pour chaque menace que vous identifiez dans votre BIA, vous devrez développer une réponse pour votre entreprise. Différentes menaces nécessitent différentes stratégies. Ainsi, pour chaque sinistre auquel vous pourriez être confronté, il est bon de créer un plan détaillé sur la manière dont vous pourriez potentiellement vous rétablir.

3. Attribuer des rôles et des responsabilités

L'étape suivante consiste à déterminer ce qui est attendu de tous les membres de votre équipe de reprise après sinistre en cas de sinistre. Cette étape doit documenter les attentes et considérer la manière dont les individus communiqueront lors d'un incident imprévu. N'oubliez pas que de nombreuses menaces bloquent les capacités de communication clés telles que les réseaux cellulaires et Wi-Fi. Il est donc judicieux de disposer de procédures de secours en matière de communication sur lesquelles vous pouvez compter.

4. Répétez et révisez votre plan

Pour chaque menace à laquelle vous vous êtes préparé, vous devrez constamment pratiquer et affiner vos plans BCDR jusqu'à ce qu'ils fonctionnent correctement. Répétez un scénario aussi réaliste que possible sans mettre personne en danger réel afin que les membres de l'équipe puissent renforcer leur confiance et découvrir comment ils sont susceptibles de se comporter en cas d'interruption de la continuité des activités.

Comment créer un plan de reprise après sinistre (DRP)

À l’instar des PCA, les DRP identifient les rôles et responsabilités clés et doivent être constamment testés et affinés pour être efficaces. Voici un processus en quatre étapes largement utilisé pour créer des DRP.

1. Exécutez une analyse d’impact sur l’entreprise

Tout comme votre PCA, votre DRP commence par une évaluation minutieuse de chaque menace à laquelle votre entreprise pourrait être confrontée et de ses implications. Tenez compte des dommages que chaque menace potentielle pourrait causer et de la probabilité qu'elle interrompe vos activités commerciales quotidiennes. Des considérations supplémentaires pourraient inclure la perte de revenus, les temps d'arrêt, le coût de réparation de la réputation (relations publiques) et la perte de clients et d'investisseurs en raison d'une mauvaise presse.

2. Inventoriez vos actifs

Pour être efficaces, les DRP nécessitent que vous sachiez exactement ce que possède votre entreprise. Effectuez régulièrement ces inventaires afin de pouvoir identifier facilement le matériel, les logiciels, l'infrastructure informatique et tout ce dont votre organisation dépend pour les fonctions commerciales critiques. Vous pouvez utiliser les étiquettes suivantes pour classer chaque actif et hiérarchiser sa protection : critique, importante et sans importance.

• Critique: Étiquetez les actifs comme étant critiques si vous en dépendez pour vos opérations commerciales normales.
• Important: Donnez cette étiquette à tout ce que vous utilisez au moins une fois par jour et, en cas de perturbation, cela aurait un impact sur vos opérations critiques (mais ne les arrêterait pas complètement).
• Sans importance: Il s’agit des actifs que votre entreprise possède mais qu’elle utilise assez rarement pour les rendre non essentiels aux opérations normales.

3. Attribuer des rôles et des responsabilités

Comme dans votre PCA, vous devrez décrire les responsabilités et vous assurer que les membres de votre équipe disposent de ce dont ils ont besoin pour les accomplir. Voici quelques rôles et responsabilités largement utilisés à prendre en compte :

• Journaliste d'incident : Quelqu'un qui conserve les coordonnées des parties concernées et communique avec les chefs d'entreprise et les parties prenantes lorsque des événements perturbateurs se produisent.
• DRP superviseur: Quelqu'un qui s'assure que les membres de l'équipe exécutent les tâches qui leur ont été assignées lors d'un incident. 
• Gestionnaire d'actifs: Quelqu'un dont le travail consiste à sécuriser et à protéger les actifs critiques en cas de catastrophe. 

4. Répétez votre plan

Tout comme pour votre BCP, vous devrez constamment pratiquer et mettre à jour votre DRP pour qu'il soit efficace. Entraînez-vous régulièrement et mettez à jour vos documents en fonction des modifications significatives qui doivent être apportées. Par exemple, si votre entreprise acquiert un nouvel actif après la création de votre DRP, vous devrez l'intégrer à votre plan à l'avenir, sinon il ne sera pas protégé en cas de catastrophe.

Exemples de solides plans de continuité des activités et de reprise après sinistre

Que vous ayez besoin d'un plan de continuité des activités (PCA), d'un plan de reprise après sinistre (PRD) ou que les deux travaillent ensemble ou séparément, il peut être utile d'examiner comment d'autres entreprises ont mis en place des plans pour améliorer leur préparation. Voici quelques exemples de plans qui ont aidé les entreprises à se préparer à la fois en Colombie-Britannique et en République dominicaine.

• Plan de gestion de crise : Un bon plan de gestion de crise peut faire partie soit d’un plan de continuité des activités, soit d’un plan de reprise après sinistre. Les plans de gestion de crise sont des documents détaillés qui décrivent comment vous allez gérer une menace spécifique. Ils fournissent des instructions détaillées sur la manière dont une organisation réagira à un type spécifique de crise, comme une panne de courant, une cybercriminalité ou une catastrophe naturelle ; plus précisément, comment ils vont gérer les pressions d'heure en heure et de minute en minute pendant le déroulement de l'événement. De nombreuses étapes, rôles et responsabilités requis dans la planification de la continuité des activités et de la reprise après sinistre sont pertinents pour de bons plans de gestion de crise.
• Plan de communication : Les plans de communication (ou plans de communication) s'appliquent également aux efforts de continuité des activités et de reprise après sinistre. Ils décrivent comment votre organisation répondra spécifiquement aux problèmes de relations publiques lors d'un incident imprévu. Pour élaborer un bon plan de communication, les chefs d'entreprise se coordonnent généralement avec des spécialistes en communication pour formuler leurs plans de communication. Certains ont mis en place des plans spécifiques pour les catastrophes jugées à la fois probables et graves., afin qu'ils sachent exactement comment ils réagiront.
• Plan de reprise du réseau : Les plans de récupération de réseau aident les organisations à récupérer les interruptions des services réseau, notamment l'accès à Internet, les données cellulaires, les réseaux locaux (LAN) et les réseaux étendus (WAN). Les plans de restauration du réseau ont généralement une portée large, car ils se concentrent sur un besoin fondamental et essentiel : la communication, et doivent être considérés davantage du côté de la continuité des activités que de la reprise après sinistre. Compte tenu de l'importance de nombreux services en réseau pour les opérations commerciales, les plans de récupération du réseau se concentrent sur les étapes nécessaires pour restaurer les services rapidement et efficacement après une interruption.
• Centre de données plan de relance : Un plan de restauration du centre de données est plus susceptible d'être inclus dans un PCA que dans un DRP en raison de l'accent mis sur la sécurité des données et les menaces pesant sur l'infrastructure informatique. Certaines menaces courantes pesant sur la sauvegarde des données incluent le personnel surchargé, les cyberattaques, les pannes de courant et les difficultés à respecter les exigences de conformité. 
• Plan de récupération virtualisé : À l'instar d'un plan de centre de données, un plan de reprise virtualisé est plus susceptible de faire partie d'un PCA que d'un DRP en raison de l'accent mis par le PCA sur les ressources informatiques et de données. Les plans de récupération virtualisés s'appuient sur machine virtuelle (VM) instances qui peuvent entrer en service quelques minutes après une interruption. Les machines virtuelles sont des représentations/émulations d'ordinateurs physiques qui assurent la récupération d'applications critiques grâce à la haute disponibilité (HA) ou la capacité d'un système à fonctionner en continu sans panne.

Solutions de continuité des activités et de reprise après sinistre 

Même une interruption mineure peut mettre votre entreprise en danger. IBM propose une large gamme de plans d'urgence et de solutions de reprise après sinistre pour vous aider à préparer votre entreprise à faire face à diverses menaces, notamment des capacités de sauvegarde et de reprise après sinistre dans le cloud, ainsi que des services de sécurité et de résilience.

Protégez les données et accélérez la récupération avec les solutions de planification de continuité d'activité IBM