PRA : Assurez-vous contre l’imprévisible !
Ransomwares, panne d’électricité, inondations, tremblement de terre, les dirigeants d’entreprise ont pris conscience qu’ils pouvaient tout perdre en quelques minutes. Comment se prémunir de tels désastres ? La réponse se trouve dans le PRA, le plan de reprise d’activité. Méconnu, il reste incontournable pour se protéger d’un incident. Agarik accompagne les PME dans cette démarche en apportant conseils et expertises. Christophe Ruault, directeur avant-vente apporte un éclairage sur le PRA.
Travailler sur la gestion du risque
« Il faut distinguer les entreprises disposant d’une vraie DSI, ayant une connaissance de cette problématique et les autres sociétés qui n’ont pas de service IT en interne. Pour elles, le PRA doit être appréhendé comme une gestion des risques et les moyens à mettre en œuvre », explique Christophe Ruault. Dans ce cadre, une discussion s’engage alors sur ce qu’elles veulent protéger et la prestation de service la plus pertinente pour y arriver.
Il existe plusieurs options d’architecture : reprise à chaud, à froid, sur un site de secours (datacenter interne ou hébergeur), sur le cloud (notamment sur l’offre Azure de Microsoft), en mode actif/actif (les équipements sont répliqués en simultané sur chacune des solutions) ou actif/passif (le site de secours est activé quand l’incident survient). Ce dernier point est « au cœur du sujet du PRA », souligne le directeur avant-vente et d’ajouter, « en actif/passif, on peut s’appuyer sur l’offre Azure Site Recovery de Microsoft et réaliser des économies ». Une fois l’architecture choisie, des PoC sont réalisés progressivement avant une mise en production définitive.
Garanties et responsabilité du PRA
Quel que soient la solution et le prestataire choisi, ce dernier doit s’engager sur deux critères : le RPO (Recovery Point Objective) qui désigne la durée maximum d’enregistrement des données qu’il est acceptable de perdre lors d’une panne et le RTO (Recovery Time Objective) qui désigne la durée maximale d’interruption admissible. « Ces deux indicateurs sont modulaires selon les évaluations de volumétrie de données, de la criticité des applications et des infrastructures existantes. Par exemple, un RPO élevé nécessite beaucoup de ressources réseaux pour restaurer au plus vite les applications », reconnaît Christophe Ruault. A noter par ailleurs que le prestataire s’engage à réaliser un test annuel pour s’assurer que le PRA fonctionne.
Outre les critères de sécurité du PRA, Christophe Ruault insiste sur la notion de responsabilité de l’hébergeur du SI primaire et de la solution de PRA. « Dans l’idéal, avoir un seul interlocuteur c’est mieux », admet-il, mais si plusieurs acteurs interviennent, « la co-responsabilité est engagée lors de la mise en œuvre du PRA entre d’une part le client et ses prestataires tiers et d’autre part Agarik ». Il conseille par ailleurs aux entreprises d’aller plus loin en « intégrant le PRA lors du design des applications »
En résumé, il faut considérer quatre points pour bien démarrer un projet de PRA : « Définir le périmètre (applicatif et infrastructure), les types d’engagement (en vérifiant la chaîne de responsabilité ou de co-responsabilité), la capacité à partir sur le cloud et réfléchir à la mise en production ».
Christophe Ruault
Directeur Avant-vente chez Agarik
Linkedin: https://bit.ly/2h7Paoy