Pourquoi vous devez avoir un Plan de Reprise d’Activité (PRA)

Avez-vous un plan de reprise d'activité ? En cas d'incident ou de sinistre, c'est lui qui vous sauvera la mise.

Cet article prend 7 minutes à lire et comporte 1514 mots.

Le 10 mars 2021, un data­cen­ter du groupe OVH a entiè­re­ment brû­lé. Toutes les don­nées de ce data­cen­ter ont dis­pa­ru, et celles des data­cen­ters voi­sins ont éga­le­ment subi des dom­mages, pour cer­tains irréversibles.

Et rares sont ceux qui avaient mis en place un plan de reprise d’ac­ti­vi­té concer­nant les don­nées en ligne, n’i­ma­gi­nant pas un ins­tant qu’un tel sinistre puisse les tou­cher un jour.

incendie OVH - source : Twitter
incen­die OVH — source : Twitter

En fait, une entre­prise sur 3 a déjà été vic­time d’un inci­dent plus ou moins impor­tant qui a néces­si­té l’ac­ti­va­tion d’un plan de reprise d’activité.

Ce ne sont pas for­cé­ment les sys­tèmes d’in­for­ma­tion qui ont été impac­tés, mais si vous n’a­vez pas de plan de reprise d’ac­ti­vi­té glo­bal, vous n’en avez pro­ba­ble­ment pas non plus un pour les inci­dents tou­chant votre site en ligne.

Quel risque si vous n’avez pas de plan de reprise d’activité ?

D’après continuitycentral.com, 93% des socié­tés n’ayant pas eu accès à leurs don­nées pen­dant 10 jours ou plus on fait faillite dans l’an­née.

Et Green Up I.T. enfonce le clou :

Pour les entre­prises ayant subi une perte catas­tro­phique de leurs données…

  • 43% ont immé­dia­te­ment fermé
  • 51% ont fer­mé dans les deux ans
  • 75% des socié­tés n’ayant pas un plan de reprise ou de conti­nui­té d’ac­ti­vi­té ont fait faillite dans les 3 ans, et seule­ment 29% ont sur­vé­cu plus de deux ans au sinistre

Autant dire que ne pas avoir plan de reprise d’ac­ti­vi­té, c’est jouer à la rou­lette russe avec votre entre­prise. Vous serez for­cé­ment impac­té en cas de sinistre, mais vos employés, vos sous-trai­tants, et leurs familles le seront aussi.

Alors, la ques­tion qui vient à l’es­prit, c’est…

Que doit comprendre un plan de reprise d’activité ?

Bien évi­dem­ment, nous allons par­ler de la par­tie qui nous concerne, vos don­nées en ligne. Mais la démarche à appli­quer est la même pour un plan géné­ral, dans lequel s’in­tè­gre­ra natu­rel­le­ment le plan de reprise de votre acti­vi­té informatique.

Plan de Reprise d'Activité
Plan de Reprise d’Activité

Tout d’a­bord, il va falloir…

Définir les priorités

Le site internet [ et / ou ] la boutique en ligne

Votre site inter­net, c’est une vitrine, certes, mais ce peut aus­si être votre outil de vente, pas­sif (via les contacts récu­pé­rés) ou actif (une bou­tique en ligne). Quelle est son impor­tance ? Que pou­vez-vous vous per­mettre de perdre, ou de ne pas récupérer ?

Si votre site génère quo­ti­dien­ne­ment des ventes, il n’est pas envi­sa­geable de perdre ne serait-ce qu’une demi-jour­née. Une récu­pé­ra­tion à H‑1 maxi­mum est indispensable.

Si par contre ce n’est qu’une vitrine sans autre inter­ac­tion qu’un for­mu­laire de contact, une récu­pé­ra­tion à J‑1 ne pose­ra pas pro­blème — à moins que vous n’ayez effec­tué des modi­fi­ca­tions mas­sives dans l’intervalle.

Les créations / refontes / correctifs en cours de développement

Si vous n’êtes pas sui­ci­daire, vous n’ef­fec­tuez pas de modi­fi­ca­tion majeure sur votre outil en pro­duc­tion, mais sur une ver­sion de déve­lop­pe­ment aus­si appe­lé sta­ging.

Cette ver­sion du site est-elle locale, ou héber­gée sur le même ser­veur que le site en ligne, vu que la plu­part des héber­geurs pro­posent une ver­sion sta­ging en plus du site en production ?

S’il ne s’a­git que de tes­ter la com­pa­ti­bi­li­té des nou­velles ver­sions d’ex­ten­sions, de thèmes ou même du cœur de WordPress, ce n’est pas très grave.

Mais si vous avez ini­tié des modi­fi­ca­tions bien plus lourdes, vous pour­riez perdre des jours, voire des mois de travail.

Les emails

Souvent cou­plée à votre site, la mes­sa­ge­rie est tout aus­si impor­tante. Avez-vous une copie de vos échanges, avec vos clients, avec vos partenaires ?

Quelle est l’im­por­tance de votre mes­sa­ge­rie d’en­tre­prise ? N’oubliez pas que la com­mu­ni­ca­tion entre pro­fes­sion­nels n’est pas régie par les mêmes règles que les échanges par­ti­cu­liers / professionnels.

Chaque email échan­gé avec vos par­te­naires, et même avec vos clients ou pros­pects, peut avoir une impor­tance capitale.

La mes­sa­ge­rie est donc un élé­ment à récu­pé­rer rapi­de­ment, et de pré­fé­rence, dans son inté­gra­li­té.

Vous avez défi­ni vos prio­ri­tés, il faut maintenant…

Définir un plan d’action

En fonc­tion de vos besoins, vous allez déci­der, par exemple, d’une sau­ve­garde en temps réel, ou quo­ti­dienne, ou heb­do­ma­daire, de vos données.

Une sau­ve­garde, oui mais… pas sur le même ser­veur, ou mieux, pas chez le même pres­ta­taire de ser­vices ! Un data­cen­ter qui brûle, ou qui est endom­ma­gé, ça n’ar­rive pas qu’à OVH : en 2016, c’est un data­cen­ter de la banque ING qui a été mis hors ser­vice pen­dant une dizaine d’heures… par un simple son ! Et n’im­porte quel compte peut être pira­té, par­fois très sim­ple­ment : la mésa­ven­ture (qui finit bien) de Mat Honan en est un bon exemple.

Une sau­ve­garde externe, dans le cloud, c’est bien, mais si vos don­nées sont vrai­ment sen­sibles, une seconde sau­ve­garde ne sera pas de trop.

À titre d’exemple, sur les sites sen­sibles (e‑commerce), nous met­tons en place deux sau­ve­gardes : une pre­mière, incré­men­tielle, en temps réel, et une seconde, incré­men­tielle éga­le­ment, à H‑1.

Les deux sau­ve­gardes sont envoyées dans le cloud, vers deux pres­ta­taires dif­fé­rents.

Ce qui fait que, dans le pire des cas, seules les don­nées de la der­nière heure seront per­dues. Les pertes sont donc limitées.

Et si le client consi­dère que ses don­nées sont vitales, d’autres pro­cé­dures per­son­na­li­sées peuvent être mises en place, telles qu’un plan de conti­nui­té d’activité.

Tout dépend de la valeur des don­nées, du nombre de tran­sac­tions ini­tiées dans un laps de temps don­né et de leur impor­tance pour votre entreprise.

Il est aus­si pré­fé­rable de choi­sir à l’a­vance un pres­ta­taire web de secours — vous ne per­drez ain­si pas de temps à cher­cher la meilleure offre dis­po­nible pour votre besoin. 

Un mini­mum de veille est éga­le­ment le bien­ve­nu, les offres de chaque héber­geur évo­luant au fil du temps : le VPS que vous aviez repé­ré début 2017 chez un pres­ta­taire concur­rent n’est cer­tai­ne­ment plus d’ac­tua­li­té. Il a peut-être mieux, mais allez savoir… rien n’est moins sûr, le monde du web évo­lue à (très) grande vitesse.

Et main­te­nant, il reste enfin à…

Mettre en œuvre votre plan de reprise d’activité

Pour votre site web

Deux points à définir : 

  • choi­sir où héber­ger vos données
  • ins­tal­ler une exten­sion dédiée à la sauvegarde
  • confi­gu­rer les sau­ve­gardes automatiques

Si vous vou­lez mettre les mains dans le cam­bouis, je vous invite à lire l’ar­ticle 3 solu­tions de backup pour gar­der vos don­nées en lieu sûr. Vous y trou­ve­rez suf­fi­sam­ment d’élé­ments pour mener à bien votre tâche.

Ou vous pou­vez confier cette mis­sion à un pres­ta­taire externe, ce qui vous assu­re­ra une tran­quilli­té d’es­prit qui elle, n’a pas de prix. C’est lui qui met­tra en place toutes les pro­cé­dures qui vous per­met­tront une reprise d’ac­ti­vi­té sereine en cas de sinistre.

Pour vos autres données (messagerie…)

La mise en œuvre d’une sau­ve­garde de mes­sa­ge­rie sur ser­veur est bien plus com­plexe. Elle implique de se ser­vir d’u­ti­li­taires dont la confi­gu­ra­tion et l’u­ti­li­sa­tion sont réser­vés aux admi­nis­tra­teurs système.

Mais si vous récu­pé­rez vos emails via Outlook, Thunderbird ou n’im­porte quel autre logi­ciel de mes­sa­ge­rie, tout n’est pas per­du : faites une sau­ve­garde immé­diate de vos don­nées et trans­fé­rez-les sur une clé USB et dans le cloud. Vous ne les aurez plus sur votre ser­veur, mais elles seront tou­jours dis­po­nibles sous forme d’ar­chive acces­sibles rapi­de­ment et facilement.

Par contre, si vous n’êtes pas spé­cia­li­sé dans le trai­te­ment des don­nées, ou si vous vou­lez remon­ter votre mes­sa­ge­rie telle qu’elle était quand le sinistre s’est pro­duit, le plus simple, c’est de confier votre plan de reprise d’ac­ti­vi­té à un pres­ta­taire de ser­vices qui a fait ses preuves.

Cela vous évi­te­ra des tra­cas­se­ries et des prises de tête pour la mise en place, la main­te­nance et la res­tau­ra­tion de votre outil de travail.

Que faire en cas de sinistre ?

Si vous gérez tout vous-même, déclen­cher votre plan de reprise d’ac­ti­vi­té, tout simplement.

En pre­nant immé­dia­te­ment un héber­ge­ment, même pro­vi­soire, chez un héber­geur qui n’a pas été impac­té par le sinistre. Dans le cas de l’in­cen­die d’OVH, seul cet héber­geur a été tou­ché, mais en cas de séisme ou d’i­non­da­tion par exemple, ce sont tous les data­cen­ters de tous les héber­geurs d’une zone géo­gra­phique qui peuvent tom­ber. Vous lan­cez une pro­cé­dure de res­tau­ra­tion, et nor­ma­le­ment, tout revient à la normale.

Libre à vous de retour­ner chez votre héber­geur habi­tuel une fois que le pro­blème est réglé.

Si vos don­nées ont été com­pro­mises, ou si vous pen­sez qu’elles peuvent l’a­voir été, ou si la durée de mise en arrêt a impac­té vos comptes clients en ligne, vous êtes tenus d’en infor­mer la CNIL. Vous trou­ve­rez plus d’in­for­ma­tions et d’ex­pli­ca­tions sur leur site, dans les articles Incendie OVH : faut-il noti­fier à la CNIL ? (l’in­cen­die sert sur­tout d’exemple, mais la logique reste la même quel que soit le sinistre) et Notifier une vio­la­tion de don­nées per­son­nelles.

Si vous avez sous­crit à une offre chez un pres­ta­taire de ser­vices, c’est à lui de mettre en œuvre les pro­cé­dures pour que vous retrou­viez une cer­taine nor­ma­li­té. Mais rien ne vous empêche de l’a­ler­ter dès que vous êtes infor­mé du sinistre, à moins qu’il ne vous ait déjà lui-même informé.

Le mot de la fin

Alors, plan de reprise ou pas ? La ques­tion ne se pose pas, vous avez besoin de pou­voir redé­mar­rer après sinistre.

Il vous faut, à tout prix, un plan de conti­nui­té ou de reprise d’ac­ti­vi­té. La vrai ques­tion, ou plu­tôt les vraies ques­tions, concernent la stra­té­gie à mettre en œuvre en fonc­tion de l’im­por­tance des don­nées en ligne pour la sur­vie de votre entre­prise, et les acteurs impli­qués dans cette stratégie.

Retour en haut
We use cookies in order to give you the best possible experience on our website. By continuing to use this site, you agree to our use of cookies.
Accept