Dans un monde où la survie des entreprises dépendent de la disponibilité de leurs systèmes d’information, il est essentiel de faire face à tous les imprévus. Avec un Plan de continuité ou de reprise d’activité solide, PCA ou PRA, l’ANSSI recommande aux entreprises de mettre en place des procédures claires et testées pour assurer la continuité de leurs activités en cas d’incident majeur. En effet, les entreprises françaises subissent en moyenne 4,4 incidents majeurs par an, avec un coût moyen de 750 000 euros par incident, d’après une enquête du cabinet McKinsey. Ces chiffres soulignent l’importance de la mise en place d’un PCA PRA efficace pour minimiser les pertes financières et protéger la réputation de l’entreprise en cas d’incident. Malheureusement, de nombreuses PME n’ont pas encore suffisamment pris conscience des enjeux de cybersécurité, pensant qu’ils ne seront jamais attaqués. “Mon entreprise est trop petite, cela ne m’arrivera pas.” Concrètement, quels sont les risques pour les PME ? Avec l’absence d’un PRA informatique, quelles sont les conséquences financières et opérationnelles potentielles d’un incident comme une attaque de ransomware ou une panne majeure du système informatique ? Comment les PME peuvent-elles mettre en place des procédures claires et testées pour assurer à moindre coût la continuité des activités ? Décryptage.
L’absence de plan de reprise d’activité : une PME peut-elle se relever d’un incident majeur ?
Les PME sont des acteurs clés de l’économie française. Cependant, elles sont souvent vulnérables aux risques d’incidents majeurs comme les attaques de ransomware, les pannes de système informatique ou encore les catastrophes naturelles.
D’après une enquête menée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), 40 % des PME françaises touchées par une attaque de ransomware ne parviennent pas à se remettre sur pied. D’ailleurs, le coût d’une cyberattaque en France a plus que doublé en un an (+125 % de croissance), passant de 43 528 euros à 97 717 euros, selon Forrester Research [1].
La cyberattaque constitue la troisième source de perte partielle ou totale des données et du système informatique d’une, après les catastrophes naturelles et les sinistres intentionnels. Il faut d’une part adopter de bonnes pratiques pour assurer votre sécurité, mais surtout prévoir un PRA ou une PCA.
PRA PCA : différence
Le Plan de Reprise d’Activité (PRA) se concentre sur la restauration de l’accès à l’infrastructure informatique après un sinistre majeur. Il vise à assurer la reprise rapide de l’activité de l’entreprise en rétablissant l’accès aux données, aux applications et aux systèmes informatiques nécessaires à son fonctionnement.
Quant au Plan de Continuité d’Activité (PCA), il fait référence aux processus et aux solutions mis en œuvre pour assurer la haute disponibilité du système informatique. Le PCA informatique s’assure que toutes les applications critiques nécessaires à l’activité de l’entreprise restent disponibles à tout moment. En effet, des pannes et des erreurs informatiques peuvent survenir à tout instant, sans compter les coupures de connexion internet ou de courant électrique.
En d’autres termes, PCA et PRA sont deux plans complémentaires permettant à une entreprise de prévoir les éventualités et de se préparer à réagir de manière adéquate en cas de sinistre. Ces plans sont essentiels pour protéger l’entreprise, ses employés et ses clients tout en garantissant sa survie en cas d’événements imprévus.
L’absence d’un PRA peut sérieusement compromettre la pérennité de votre entreprise
Ces incidents et/ou attaques de votre système informatique ont des impacts directs et indirects sur la continuité de votre entreprise.
Comme le révèle une étude de Continuity Central, 93 % des entreprises ayant une rupture d’activité pendant 10 jours ou plus ont fait faillite dans l’année suivant la catastrophe.
Les impacts directs et indirects au sein de votre entreprise peuvent comprendre :
- Un ralentissement du travail des employés, moins de visibilité sur le flux internet ;
- Une perte de chiffre d’affaires, de contrats commerciaux et de clients ;
- Une perte d’image et de réputation, lorsque vos clients s’orientent devant ce désert vers vos concurrents et communiquent négativement à l’encontre de votre société.
Avez-vous déjà estimé vos pertes d’indisponibilité ?
Face à ces menaces perpétuelles, vos données informatiques, vos actifs stratégiques doivent être protégés contre tout risque de perte. C’est l’objectif d’un Plan de Reprise d’Activité. L’ANSSI recommande fortement aux entreprises, notamment aux PME, de mettre en place un PRA pour anticiper les incidents majeurs et limiter leur impact sur l’activité de l’entreprise.
Externalisation du PRA PCA : des procédures claires et testées pour assurer à moindre coût la continuité des activités
Le plan de reprise d’activité ou PRA peut être géré directement par votre entreprise ou externalisé à un prestataire spécialisé dans l’informatique comme Infiny Link. Mettre en place votre PRA permet d’assurer la continuité de votre activité et le bon fonctionnement de votre entreprise quel que soit le scénario de crise. La technique est de basculer sur un système de secours lorsque les contenus et les données hébergés sur vos serveurs et sur vos postes de travail sont inaccessibles ou corrompues.
Cet ensemble de procédures et d’outils logiciels vous assure la reconstruction de votre infrastructure informatique et la remise en route des applications nécessaires à votre activité. Sa finalité est de restaurer vos données lors de crash informatique et permet ainsi de retrouver en un temps très court une situation identique à celle précédant le sinistre.
Investir dans un plan de reprise d’activité PRA devient ainsi de plus en plus incontournable comme les évènements récents d’OVH [2].
Les experts d’Infiny Link ont l’expérience de mise en place de PRA en cas d’attaques informatiques, dans des gouvernances de système d’information de TPE comme d’ETI, qui varient en fonction de la taille, du secteur d’activité et la maturité informatique existante. À cette fin, il est essentiel de découvrir tout savoir sur les contrats d’infogérance dans le contexte de l’externalisation informatique.
Références
[1] Le coût indemnisable des cyber-attaques s’est accru de 125 % en un an
[2] Incendie d’OVH : une action collective lancée par sept entreprises