Si nous devions choisir un mot pour décrire l'atmosphère des entreprises au cours des dernières années - et en particulier des derniers mois - "incertain" serait un bon choix.
Collectivement, nous avons subi des dommages dévastateurs à la suite d'incendies, d'ouragans et d'inondations, nous avons dû faire face à des fluctuations brutales de la bourse, nous avons dû faire face à une augmentation des cyberattaques qui deviennent plus graves et plus coûteuses chaque année, et maintenant nous devons faire face aux retombées économiques d'une pandémie mondiale.
Avec toute cette incertitude qui entoure les entreprises, il est important pour les organisations de développer une stratégie pour protéger les actifs et les opérations de l'entreprise d'une catastrophe potentielle. Un plan de continuité des activités (PCA) doit faire partie intégrante de cette stratégie de préparation aux catastrophes.
Qu'est-ce qu'un plan de continuité des activités et pourquoi en avez-vous besoin ?
Un PCA est un plan directeur qui définit la manière dont votre organisation va prévenir un désastre et s'en remettre. Les catastrophes peuvent prendre de nombreuses formes, notamment une cyberattaque, une panne de système, une catastrophe naturelle ou un incendie. Mais quelle que soit la cause première, les objectifs d'un PCA restent les mêmes :
- Maintenir une haute disponibilité
- Respecter les SLAs
- Protéger les données et les ressources de l'entreprise
- Minimiser les coûts et les pertes de revenus
- Maintenir l'entreprise en activité
Pour illustrer l'impact dévastateur que l'absence de PCA peut avoir sur les opérations, prenons l'exemple de l'attaque de 2018 de la ville d'Atlanta avec le ransowmare SamSam. L'attaque provoqué l'arrêt brutal des bureaux du gouvernement pendant cinq jours, et la récupération a coûté à la ville plus de 17 millions de dollars.
Les attaquants ont exigé environ 50 000 dollars en bitcoin (qu'ils n'ont pas payés), et il a coûté au gouvernement d'Atlanta 2,6 millions de dollars rien qu'en contrats d'urgence pour reconstituer ses systèmes. S'il y avait eu un PCA en place, la ville d'Atlanta et ses contribuables auraient pu éviter les dépenses et la frustration d'être pris au dépourvu en cas de catastrophe.
6 éléments indispensables pour un plan de continuité des activités efficace
Bien que chaque organisation ait ses propres objectifs commerciaux et son infrastructure à protéger, lorsqu'il s'agit de déployer un PCA, plusieurs éléments doivent être inclus dans chaque plan.
Planification avancée
N'attendez pas qu'il y ait un cataclysme pour commencer à travailler sur votre PCA. Commencez dès maintenant et recueillez les commentaires de tous les acteurs et employés de l'entreprise pour créer une analyse d'impact sur l'entreprise. Cette analyse permettra de prévoir l'impact d'une catastrophe sur l'entreprise et d'identifier les scénarios de pertes potentielles.
De nombreuses entreprises utilisent un mélange de systèmes hérités, nouveaux et virtuels. La reprise se présente différemment pour tous ces workloads, il est donc important d'évaluer les besoins de reprise d'un environnement multigénérationnel afin de s'assurer que vous disposez des outils de reprise appropriés pour chaque environnement.
Tous les systèmes ne sont pas critiques, il faut donc établir des priorités de récupération qui définissent clairement où commencer l'effort de récupération pour remettre rapidement en ligne les applications professionnelles essentielles.
Équipe de continuité des activités
Votre équipe de continuité des activités va prendre la tête des opérations en cas de catastrophe. Attribuez un rôle spécifique à chaque membre de l'équipe, puis faites savoir à tous vos employés et parties prenantes qui est responsable de quoi.
Il est important d'établir des protocoles de communication pour que tout le monde reste connecté tout au long de la crise. Publiez les coordonnées des personnes à contacter en cas d'urgence pour les membres de l'équipe de continuité des activités et identifiez des méthodes de communication alternatives au cas où les systèmes de téléphone et de courrier électronique de l'entreprise seraient hors service.
Pour vous assurer que votre équipe de continuité des opérations est prête à reprendre ses activités, organisez régulièrement des formations, des tests et des séances d'entraînement tout au long de l'année et adaptez le processus si nécessaire.
Risques connus et potentiels
Créez une liste complète des risques - de très à peu probable mais toujours possible - en fonction des circonstances spécifiques de votre organisation. Par exemple, le risque humain est inhérent à toute entreprise, aussi votre liste doit-elle inclure des risques tels que l'erreur humaine, le fait de cliquer sur des liens malveillants et les habitudes dangereuses sur Internet.
Si votre entreprise est située dans une zone sujette aux ouragans, une zone inondable ou une région qui subit de fréquents incendies, assurez-vous d'ajouter ces risques à la liste.
Les cybermenaces sont également un risque courant. Documentez toute violation ou attaque passée et identifiez toute vulnérabilité de sécurité connue (par exemple, le mot de passe par défaut de tous les nouveaux comptes de messagerie de l'entreprise est le mot de passe).
Plan pour minimiser l'impact sur les opérations
Le respect des accords sur les niveaux de service (SLA) est une priorité absolue en cas de catastrophe. Votre PCA doit comprendre des détails spécifiques sur la manière dont vous avez l'intention de respecter les SLA. Veillez à mettre régulièrement à jour le PCA en fonction des modifications apportées aux accords de niveau de service.
En cas de catastrophe physique, documentez les mesures nécessaires pour remplacer ou récupérer les équipements et services essentiels, tels que les serveurs et le courrier électronique. Soyez également prêt à prendre en charge les postes de travail à distance sécurisés. Comme le COVID-19 l'a douloureusement illustré, il est crucial de disposer d'une infrastructure permettant un accès sécurisé hors site aux ressources de l'entreprise bien avant d'en avoir besoin.
Stockage sécurisé de sauvegarde hors site ou dans le cloud
La manière dont vous protégez vos sauvegardes va faire toute la différence dans vos efforts de récupération.
Le stockage hors site est une évidence, mais le stockage dans le cloud est l'option la plus sûre. Dans le cloud, vos sauvegardes seront accessibles à toute personne disposant de l'autorisation appropriée, quel que soit l'endroit où elle se trouve ; elles ne seront pas affectées par des menaces physiques ; et elles pourront être réinstallées rapidement lors de la récupération.
Veillez également à limiter l'accès aux fichiers de sauvegarde depuis le réseau de l'entreprise. Certains types de cybermenaces, tels que les ransomwares, peuvent s'infiltrer dans les sauvegardes et supprimer ou crypter les fichiers, les rendant ainsi inutilisables.
Un plan de récupération simple, étape par étape
Rédigez votre PCA dans un langage que tout le monde peut comprendre et suivre, et pas seulement l'informatique. On ne sait jamais qui sera encore là pour mettre en œuvre la reprise après sinistre, alors assurez-vous que tout le monde dans l'organisation comprend ce qu'il faut faire. N'oubliez pas de pratiquer régulièrement le plan avec l'ensemble de l'entreprise avant d'avoir une véritable raison de l'utiliser.
Un PCA complet est essentiel pour protéger les actifs, les données et les résultats de votre entreprise. Faire appel à des professionnels ayant des dizaines d'années d'expérience dans l'aide aux entreprises pour prévenir les catastrophes et s'en remettre est le meilleur moyen de s'assurer que votre PCA permet de démarrer rapidement les opérations après une catastrophe ou un incident de sécurité.
Pour en savoir plus sur la manière de surmonter avec succès les pertes de données et les temps d'arrêt et sur les raisons pour lesquelles vous avez besoin d'un PCA prévisible et durable, téléchargez le guide gratuit d'Arcserve, Smart Strategies for Business Continuity.