La salle de presse

Afin d’anticiper les effets néfastes d’un éventuel sinistre, les entreprises sont tenues de prévoir la sauvegarde de leurs données ainsi qu’un plan de secours permettant une reprise rapide de l’activité. Expert en intégration et infogérance d’infrastructure IT, Orbytes propose des solutions adaptées de mise en place d’un Plan de Reprise d’Activité (PRA).

L’incendie du siège du Crédit Lyonnais à Paris en 1996 a marqué les mémoires. Depuis, les entreprises sont devenues plus prévoyantes pour garantir la continuité de leur activité en cas de sinistre majeur. D’autant que dans la plupart des secteurs, le système d’information a pris une telle importance que son arrêt brutal peut mettre en péril l’activité de l’entreprise. Selon le CLUSIF (Club de la Sécurité des Systèmes d’Information Français), 80 % des sociétés ayant subi une perte significative de données déposent le bilan dans les deux ans qui suivent…

Des obligations légales pour les secteurs « banque et finance » et santé

Les établissements bancaires et financiers sont les premiers acteurs concernés par les PCA et PRA. La réglementation internationale (Bâle II pour les banques européennes et Sarbanes Oaxley Act pour les sociétés cotées en Amérique du Nord) leur impose de mettre en place des plans de secours et de continuité d’exploitation de leur système d’information « pour garantir un fonctionnement sans interruption et limiter les pertes en cas de perturbation grave de l’activité » (principe 7 de Bâle II).

En France, le règlement n° 97-02 (modifié le 31 mars 2005) du Comité de la Réglementation Bancaire et Financière (CRBF) définit le Plan de Continuité d’Activité comme « un ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités ».

D’après la réglementation française, les professionnels du secteur de la santé doivent aussi prévoir des solutions garantissant « l’organisation du dépôt et la conservation des données, notamment de manière à en assurer la pérennité et la confidentialité », selon l’article L 1111-8 codifié au Code la Santé Publique, qui définit leur activité d’hébergement de données de santé à caractère personnel.

PCA et PRA assurent la continuité et la reprise informatique après un sinistre

Aucune entreprise n’est à l’abri d’un sinistre (incendie, inondation, erreur humaine…). Outre les questions d’assurances, l’anticipation des risques facilite la reprise d’activité et limite les conséquences de l’arrêt.

On distingue le PCA (Plan de Continuité d’Activité) qui regroupe l’ensemble des plans prévus pour agir avant, pendant et après un sinistre, du PRA (Plan de Reprise d’Activité) dont le but est de restituer les moyens informatiques permettant d’assurer les activités critiques de l’entreprise.

« Le PRA Informatique permet de réduire l’impact d’un arrêt du système d’information tant sur le plan financier que sur celui de l’image de marque », précise Philippe Letreulle, directeur technique d’Orbytes Ingénierie. Il ajoute, complétant les données du CLUSIF, que « des études américaines ont montré que, suite à la destruction de ses moyens informatiques et télécoms, une entreprise disparaît au-delà d’un arrêt de soixante-douze heures dans 40 % des cas ».

Le PRA permet le retour rapide à une situation d’avant sinistre grâce à des indicateurs tels que le Recovery Point Objective (point de recouvrement) qui définit quel doit être l’état de « fraîcheur » des données sauvegardées, et le Recovery Time Objective (temps de recouvrement) qui prévoit la durée de remise en route du système (4 heures, 24 h, 48 h…). Les objectifs du RPO et du RTO peuvent être différents suivant les systèmes d’information : un progiciel intégré (ERP) ou une messagerie n’a pas les mêmes contraintes de redémarrage que l’Intranet par exemple.

Si les responsables informatiques sont sensibilisés aux questions de sécurité des données, beaucoup se trouvent démunis quand il s’agit de trouver des solutions efficaces pour mener un vrai Plan de Reprise d’Activité en cas de sinistre grave.

Orbytes Ingénierie propose une solution complète à la problématique du PRA

Expert en intégration et infogérance d’infrastructure IT depuis plus de vingt ans, le groupe Orbytes aide ses clients à répondre aux nouvelles exigences des systèmes d’information. La mise en oeuvre d’un PRA est un projet plus complexe qu’un assemblage de mesures techniques. C’est pourquoi Orbytes propose une offre complète comprenant des prestations d’assistance et de conseil sur la mise en place d’un tel plan, l’intégration du PRA dans l’entreprise ou la mise à disposition de son datacenter, une salle blanche de 700 m2 ultra sécurisée en plein cœur de Paris. Orbytes propose aussi la mise à disposition d’un site de repli à Paris avec quarante-quatre positions de travail immédiatement opérationnelles. Les collaborateurs assurant des activités critiques de l’entreprise y retrouveront leur poste de travail et des ressources partagées.

Monter un PRA est un processus critique : il faut intégrer les éléments du système d’information nécessaires au PRA, définir et configurer des systèmes de bascule (redirection de flux, communication inter-serveurs… ), tester l’environnement de secours, etc. « Le client a le choix entre le « PRA actif » qui comprend une solution d’interconnexion et une réplication des données presque en temps réel permettant une reprise d’activité en quelques heures à peine, et le « PRA passif » qui se concentre sur une sauvegarde externalisée des données et une infrastructure de repli pour une reprise sous 24 à 48 h, explique Philippe Letreulle. Cette offre est issue de l’expérience de nos clients du secteur bancaire mais elle s’applique à de nombreux autres secteurs d’activité. »

Dans la continuité du PRA, Orbytes a mis au point une solution de « virtualisation » qui réduit les coûts de répliques de serveurs. « Les entreprises ont rarement les moyens de dupliquer à l’identique leurs nombreux serveurs dans un autre lieu, surtout pour rester inactifs pendant des années. Nous avons donc conçu un système qui permet de faire fonctionner le service informatique sur un ou deux serveurs seulement en s’appuyant sur des solutions adaptées telles que VMware et Microsoft Virtual Serveur », conclut Philippe Letreulle.