Planifier la reprise d’activité après un incident : les 11 étapes clés

1/ Demandez un inventaire des équipements existants et évaluez les besoins

La première étape de la création de tout plan de reprise après incident consiste à demander à la direction informatique de dresser un inventaire complet de l'ensemble du matériel, des logiciels et des données. Une planification efficace de la reprise après incident est impossible sans avoir préalablement identifié les ressources qui doivent être protégées.

Si le processus de collecte de l'inventaire est utile pour identifier les actifs nécessitant une protection, il doit également permettre de repérer les lacunes en matière de ressources qui pourraient limiter le succès des efforts de réponse aux incidents.

Par exemple, un audit approfondi des ressources pourrait révéler que l'entreprise dépasse rapidement sa capacité de sauvegarde, ou que les systèmes destinés à gérer les basculements de charge de travail doivent être transférés vers une autre région. Il est essentiel de cerner ces besoins dès le début, et cet inventaire doit être tenu à jour lors des futures révisions du plan de reprise après incident. La direction doit également rester attentive aux technologies émergentes susceptibles de faciliter la reprise après incident, telles que l'IA et l'apprentissage automatique.

2/ Définissez des objectifs de délai pour relancer l’activité

Une autre étape clé de la liste de contrôle d'un plan de reprise après incident consiste à établir des objectifs de temps de reprise (RTO) et des objectifs de point de reprise (RPO) clairs pour toutes les fonctions métier critiques.

Ce processus permettra de définir une durée d'indisponibilité acceptable en fonction des pertes potentielles, dans le but d'orienter les investissements de l'entreprise dans les ressources de reprise. La direction doit être associée à un processus d'approbation formel lors de l'établissement des RTO et RPO, afin de s'assurer que les politiques adoptées s'alignent pleinement sur les objectifs métier et les tolérances au risque de l'entreprise.

3/ Comprenez et atténuez les risques

Lorsque vous élaborez un plan de reprise d’activité après incident, il est important de mener une évaluation des risques et une analyse d'impact sur l'activité. L'objectif est d'identifier les risques pesant sur la capacité de votre entreprise à exercer ses activités, puis de les quantifier en fonction de leur probabilité de survenue et de la gravité potentielle de leurs effets.

Par exemple, des sinistres sont susceptibles de se produire à un moment ou à un autre et pourraient avoir des conséquences dévastatrices pour l'entreprise. De même, un incendie pourrait également compromettre gravement la capacité de l'entreprise à exercer ses activités. Selon la région où l'entreprise est implantée, ce type de risques environnementaux peut être accru ou atténué.

Une fois les risques crédibles identifiés, la direction doit s'attacher à atténuer les effets de telles catastrophes. Il peut être impossible d'empêcher certains incidents de se produire, mais un plan de reprise après incident doit définir une stratégie permettant aux processus opérationnels clés de se poursuivre, même en cas de catastrophe.

4/ Mettez en place un groupe de travail responsable de la reprise d’activité

Déterminez qui fera partie de l'équipe de reprise après incident et quelles seront les responsabilités de chacun. Cela doit être fait de manière à ce que chaque membre de l'équipe sache exactement ce qu'on attend de lui en cas de crise.

Au fur et à mesure que vous définissez ces rôles, vous devez assurer aux membres de l'équipe la formation continue nécessaire. De plus, les membres de l'équipe d'intervention doivent disposer de l'autorité nécessaire pour agir conformément à leurs fonctions.

5/ investissez dans la prévention proactive

Investissez dans des ressources qui permettront de réduire les dommages potentiels liés à une catastrophe. Par exemple, des systèmes automatisés d'extinction d'incendie peuvent faire la différence entre un petit incendie causant un minimum de perturbations et un incendie majeur détruisant tout un datacenter. De même, des baies de stockage redondantes peuvent prévenir certains types d'événements entraînant une perte de données.

6/ Sécurisez des sites de secours

Si le centre de données principal d'une entreprise est touché par un sinistre, les charges de travail essentielles doivent pouvoir basculer vers un autre site où elles pourront continuer à fonctionner. Il peut s'agir d'un datacenter secondaire ou d'un emplacement en cloud public.

Dans tous les cas, les entreprises doivent décider quel site elles utiliseront pour la reprise. Lors du choix d'un site de reprise, les entreprises doivent tenir compte des contraintes budgétaires, de la connectivité et de la proximité géographique par rapport à la zone sinistrée.

7/ Documentez et affiner les procédures

En cas de catastrophe, toute ambiguïté doit être exclue. Les entreprises doivent veiller à ce que les procédures de reprise détaillées soient bien documentées et tenues à jour. Ces procédures documentées doivent être accessibles à l'équipe de reprise et parfaitement comprises par celle-ci. Cela souligne encore davantage la nécessité pour les membres de l'équipe de reprise de bénéficier d'une formation adaptée à leurs rôles.

8/ Élaborez un protocole de communication

Une étape souvent négligée dans un plan de reprise après incident consiste à créer un plan de communication de crise. Ce plan doit se concentrer sur la gestion des communications avec les parties prenantes internes et externes en cas de crise. Il doit définir les canaux de communication acceptables, les porte-parole désignés et les messages préapprouvés.

9/ Planifiez la reprise des opérations

Tout comme il est nécessaire de créer un plan de basculement détaillé pour les charges de travail critiques de l'entreprise, il est tout aussi important d'établir un plan de retour à l'état normal à mettre en œuvre une fois la catastrophe passée. Ce plan doit définir les conditions que l'entreprise doit remplir pour procéder au retour à l'état normal des charges de travail. Il doit également aborder les rôles de l'équipe d'intervention et les procédures de retour à l'état normal.

10/ Gérez la perception du public

Les communiqués de presse doivent être rédigés avec soin, car ils peuvent influencer le cours de l’action en bourse de l'entreprise, ses revenus futurs et, selon la nature de la catastrophe, exposer l'entreprise à des sanctions civiles ou réglementaires. À ce titre, les entreprises doivent désigner un responsable des relations publiques qui agira en tant qu'unique interlocuteur avec les médias. Le règlement intérieur doit également être mis à jour afin d'empêcher les employés de s'adresser aux médias.

De même, une politique doit être mise en place concernant la rédaction des communiqués officiels. Par exemple, un communiqué peut être rédigé par le PDG, mais soumis au service juridique pour examen avant d'être diffusé aux médias.

11/ Validez et améliorez en continu

Imposez des exercices réguliers de reprise après incident. Après chaque test, examinez les résultats et révisez le plan de reprise après incident en conséquence. Un tel exercice peut parfois révéler un besoin de formation supplémentaire ou de ressources informatiques diverses. La direction doit être prête à prévoir un budget pour ces besoins si l'on veut que le plan de reprise après incident reste efficace.

Cet article a initialement été publié en anglais sur SearchDisasterRecovery.