Le plan de reprise d'activité (PRA) d’une entreprise constitue l’ensemble des « procédures documentées lui permettant de rétablir et de reprendre ses activités en s’appuyant sur des mesures temporaires adoptées pour répondre aux exigences métier habituelles après un incident ». Ce plan est une partie du système de management de la continuité d'activité. Il est normalisé par la norme ISO 22301, clause 8.4.5[1].
Le plan de reprise d'activité comprend les tâches suivantes[2] :
Identification des activités critiques ;
Identification des ressources ;
Identification des solutions pour le maintien des activités critiques.
Succès de l'Exécution du Plan de Reprise d'une application web[3]
Pendant un Exercice de Reprise
1. Temps de Basculement
- Critère : Le temps requis pour basculer du site de Montréal à celui de Toronto doit être conforme aux objectifs de temps de reprise (RTO) définis dans le plan.
- Indicateur de Succès : Basculement réalisé dans le délai prévu.
2. Intégrité et Disponibilité des Données
- Critère : Aucune perte de données ou corruption ne doit être constatée après le basculement.
- Indicateur de Succès : Vérification réussie de l'intégrité et de la disponibilité des données sur le site de reprise.
3. Continuité des Opérations
- Critère : Les opérations doivent reprendre normalement sans interruption prolongée.
- Indicateur de Succès : Transactions traitées normalement immédiatement après le basculement.
4. Communication Efficace
- Critère : Une communication claire et efficace avec toutes les parties prenantes doit être maintenue tout au long de l'exercice.
- Indicateur de Succès : Toutes les parties prenantes sont informées en temps réel et rapportent une compréhension claire du processus.
5. Respect des Procédures
- Critère : Toutes les étapes du plan de reprise doivent être suivies selon les procédures documentées.
- Indicateur de Succès : Audit post-exercice confirmant que toutes les procédures ont été respectées.
6. Évaluation Post-Exercice
- Critère : Une évaluation détaillée doit être réalisée après l'exercice pour identifier les points forts et les axes d'amélioration.
- Indicateur de Succès : Rapport d'évaluation complété et mis en œuvre pour améliorer le plan de reprise.
Pendant un Désastre Réel
1. Temps de Récupération
- Critère : Le système doit être rétabli et opérationnel dans les délais fixés par les objectifs de temps de reprise (RTO).
- Indicateur de Succès : Rétablissement du service dans le délai prévu.
2. Perte de Données Minimale
- Critère : Les pertes de données doivent être inférieures ou égales aux objectifs de point de reprise (RPO).
- Indicateur de Succès : Analyse post-désastre montrant une perte de données conforme aux RPO.
3. Fiabilité et Performance
- Critère : Les systèmes doivent fonctionner de manière fiable et avec des performances acceptables après le basculement.
- Indicateur de Succès : Surveillance post-reprise montrant des niveaux de performance acceptables.
4. Sécurité des Données
- Critère : La sécurité des données et la conformité aux normes réglementaires doivent être maintenues pendant et après la transition.
- Indicateur de Succès : Aucune violation de sécurité ni non-conformité signalée.
5. Satisfaction des Utilisateurs
- Critère : Les utilisateurs finaux et les clients doivent être satisfaits de la continuité du service.
- Indicateur de Succès : Feedback positif des utilisateurs finaux et des clients après la reprise.
6. Coordination et Communication
- Critère : Une coordination et une communication efficaces entre les équipes doivent être maintenues tout au long du désastre.
- Indicateur de Succès : Rapports internes montrant une communication et une coordination efficaces pendant la crise.
7. Documentation et Apprentissage
- Critère : Documenter tous les événements, actions et décisions prises pendant le désastre pour en tirer des leçons et améliorer le plan de reprise.
- Indicateur de Succès : Rapport post-mortem complet et implémentation des améliorations recommandées.
Liste des Contributeurs pour un Plan de Reprise
1. Chef de Projet (Project Manager)
- Rôle : Coordination globale du plan de reprise, gestion des tâches et des délais, communication avec les parties prenantes[4].
- Responsabilités :
- Planifier et organiser les réunions de planification de la reprise.
- Suivre l'avancement des tâches.
- S'assurer que toutes les parties prenantes sont informées et impliquées.
2. Architecte Cloud (Cloud Architect)
- Rôle : Conception de l'architecture de reprise sur Azure.
- Responsabilités :
- Définir l'architecture de reprise pour les composants de l'application et la base de données.
- Sélectionner les services Azure appropriés pour la haute disponibilité et la récupération.
- Documenter l'architecture de reprise.
3. Administrateur de Base de Données (Database Administrator - DBA)
- Rôle : Gestion de la base de données SQL Server sur Azure.
- Responsabilités :
- Mettre en place et gérer la réplication des données.
- Assurer la sauvegarde et la restauration des données.
- Vérifier l'intégrité des données après la reprise.
- Rôle : Développement et maintenance de l'application.
- Responsabilités :
- Adapter le code de l'application pour supporter la reprise après sinistre.
- Tester l'application dans un environnement de reprise.
- Résoudre les problèmes identifiés pendant les tests de reprise.
5. Ingénieurs DevOps (DevOps Engineers)
- Rôle : Automatisation des déploiements et des processus de reprise.
- Responsabilités :
- Mettre en place des pipelines CI/CD pour la reprise.
- Automatiser les processus de basculement et de récupération.
- Surveiller les systèmes pour détecter les défaillances.
6. Ingénieurs de Réseaux (Network Engineers)
- Rôle : Gestion des configurations réseau et des connexions.
- Responsabilités :
- Configurer les réseaux et les pare-feu pour supporter le basculement.
- S'assurer de la connectivité entre les sites de reprise et les utilisateurs finaux.
- Tester les connexions réseau pendant les exercices de reprise.
7. Spécialistes en Sécurité (Security Specialists)
- Rôle : Protection des données et de l'infrastructure pendant et après la reprise.
- Responsabilités :
- Mettre en place des mesures de sécurité pour protéger les données sensibles.
- Surveiller les activités suspectes pendant la reprise.
- Assurer la conformité aux régulations et normes de sécurité.
8. Analystes de Continuité des Affaires (Business Continuity Analysts)
- Rôle : Planification et évaluation des impacts sur les affaires.
- Responsabilités :
- Évaluer les risques et les impacts potentiels des interruptions de service.
- Définir les objectifs de temps de reprise (RTO) et de point de reprise (RPO).
- Documenter les processus de continuité des affaires.
9. Équipe de Support IT (IT Support Team)
- Rôle : Assistance opérationnelle pendant la reprise.
- Responsabilités :
- Assister les utilisateurs finaux pendant et après le basculement.
- Résoudre les incidents liés à la reprise.
- Fournir un support technique pour le rétablissement des services.
10. Parties Prenantes (Stakeholders)
- Rôle : Consultation et approbation des plans de reprise.
- Responsabilités :
- Participer aux réunions de planification et aux exercices de reprise.
- Approuver les plans et les modifications.
- Assurer que les besoins métier sont bien pris en compte.
11. Fournisseurs de Services Cloud (Cloud Service Providers)
- Rôle : Fournir l'infrastructure cloud et le support nécessaire.
- Responsabilités :
- Assurer la disponibilité des services cloud.
- Offrir un support technique en cas de problèmes liés aux services Azure.
- Collaborer avec les équipes internes pour résoudre les incidents.
Ces contributeurs collaborent pour s'assurer que le plan de reprise est complet, testé et efficace, permettant ainsi une récupération rapide et efficace en cas de désastre ou lors d'exercices de reprise.
Notes et références
↑Norme ISO 22301, Sécurité sociétale — Systèmes de management de la continuité d'activité, clause 8.4.5 Reprise
↑« Comprendre les risques et les menaces », dans Des paroles aux actes - Guide de mise en oeuvre pour la gestion des catastrophes liées à l’eau et pour la coopération transfrontière dans ce domaine, UN, , 42–55 p. (ISBN978-92-1-047406-1, lire en ligne)
↑Jeffrey D Garnett et Melinda Moore, « Enhancing Disaster Recovery: Lessons from Exemplary International Disaster Management Practices », Journal of Homeland Security and Emergency Management, vol. 7, no 1, (ISSN1547-7355, DOI10.2202/1547-7355.1711, lire en ligne, consulté le )