On entend beaucoup parler de PRA (Plan de Reprise d'Activité) et PCA (Plan de Continuité d'Activité) à appliquer en cas de sinistre ou d'incident avec le système informatique de l’entreprise. Il arrive d'ailleurs souvent que l’on confonde les deux, alors que leurs buts et les cas dans lesquels ils s’appliquent sont différents. La haute disponibilité du système d'information est le mot d'ordre de n’importe quelle entreprise. La mauvaise prise en charge d'un incident peut être lui être fatale. Voyons donc ce que contiennent un Plan de reprise et un Plan de continuité, en quoi ils diffèrent, et à quoi ils peuvent servir.
Le PCA vise à garantir la haute disponibilité du système informatique de l’entreprise, particulièrement en cas de crise. Il ne s’agit ni plus ni moins que de s’assurer que toutes les applications critiques nécessaires à l’activité de l’entreprise soient disponibles, même en cas de sinistre.
La conception de l’architecture du système informatique de l’entreprise est au centre du PCA. Il faut mettre en place des équipements redondants (réseau, système de stockage de données, serveurs, datacenters), capables de prendre automatiquement le relai si l’un des éléments principaux venait à tomber en panne ou à être mis hors service. De cette façon, les utilisateurs continuent à bénéficier du même service, quoi qu’il se passe.
Naturellement, une architecture redondante nécessite que les données de l’entreprise soient à jour en permanence à la fois sur le réseau primaire (utilisé tous les jours) et sur le réseau secondaire (utilisé comme secours en cas d'incident). Les données doivent donc être répliquées entre le primaire et le secondaire de façon automatique et transparente.
Seules les applications et les données critiques sont généralement incluses dans le PCA.
Opter pour un PCA est une excellente solution, mais qui peut être très coûteuse. Les entreprises n’ayant pas les moyens financiers de mettre en place un PCA peuvent opter pour le PRA.
Contrairement au PCA qui est là pour empêcher tout arrêt de l’activité de l’entreprise, le PRA est là pour gérer ce risque. Si le système d'informations de l’entreprise n’est plus disponible (panne matérielle, cyberattaque…), le PRA va décrire l’ensemble des procédures nécessaires à un redémarrage au plus vite du système informatique.
Ce redémarrage ne peut pas être fait de n’importe quelle façon, et le PRA est là pour définir la nature et l’ordre des actions à mettre en place pour remettre le système et les données dans l’état dans lequel ils étaient avant l’incident.
Les procédures décrites dans le PRA n’ont qu’un objectif, assurer un redémarrage rapide et sûr du système informatique et de l’activité de l’entreprise, et vérifier qu’aucune perte de données n’est à déplorer. Il est donc nécessaire de mettre en place un système de sauvegarde, et de restauration des données à partir d'un site de secours.