La numérisation transforme les services financiers et de nouvelles menaces surgissent. Disposer d’une stratégie de résilience et de continuité d’activité n’a jamais été aussi prioritaire. Les institutions financières, de plus en plus numérisées, créent de nouveaux enjeux de résilience opérationnelle.

La préservation des systèmes d’information de toute entreprise est primordial pour le bon fonctionnement de celle-ci, et sa continuité est un enjeu crucial, surtout en cas de problèmes ou de sinistres. L’interruption des activités causé par une informatique défaillante peut-être fatale.

Un des axes principaux de cette planification contre ces aléas consiste dans la mise en oeuvre de plans de reprise et/ou de continuité d’activité (PRA-PCA). Mais en quoi consistent-ils ? Comment les mettre en place ? Et quels sont les enjeux de ces plans ?

Quels enjeux ?

En dehors de la conformité imposée par les régulateurs, mettre en place des plans de continuité et de reprises de l’activité pour les établissements bancaires répond à 5 enjeux principaux :

  • Revenir à un niveau normal d’activités dans un délai réduit, sans pertes majeures de données ;
  • Maîtriser la communication vis-à-vis des différentes parties prenantes en cas de crise ;
  • Limiter les conséquences en termes de coûts financiers et d’atteinte à l’image de marque ;
  • Assurer la résilience opérationnelle ;
  • Surveiller l’emergence de nouvelles menaces.

Il faut noter que l’obligation de disposer d’un PCA/PRA existe dans la plupart des zones monétaires sur le continent africain à travers des règles plus ou moins étendues. Ainsi, le CEMAC inscrit cette obligation au sein du règlement COBAC R – 2008/01. Le plan de secours et de continuité de l’activité fait l’objet du chapitre 3 de la Circulaire N°04-2017/CB/C de l’UEMOA relative à la gestion des risques dans les établissements de crédit et les compagnies financières de la zone.

Définitions

 

Le plan de reprise d’activité (PRA)

Un PRA, ou plan de reprise d’activité (DRP – Disaster Recovery Plan – en anglais) est une procédure interne ayant pour but la reprise de l’activité d’une entreprise en cas de défaillance, entre autres, de son système d’information. Celui-ci a pour ambition de prévoir une reprise d’activité réduite ou à plein régime.

L’objectif de ce plan est d’anticiper et d’atténuer les effets d’un sinistre, comme une inondation, un incendie, une catastrophe naturelle, mais aussi d’attaques portées au SI de votre entreprise. Celui-ci est évalué au préalable, listant toutes les données et applications métier sensibles à dupliquer et sauvegarder, mais prévoit également la sélection et la formation de personnes au sein de votre entreprise qui auront pour responsabilité de mettre en action ce PRA, en cas de crise.

Ayant une portée préventive, il sera bien sûr à mettre en place avant un sinistre. Un PRA efficace peut, selon la taille de votre infrastructure, prendre 3 mois à parfois 1 an pour cartographier correctement les parties critiques de vos systèmes.

Ces plans n’ont pas pour vocation de tout sauvegarder et tout protéger : c’est généralement inconcevable. Leur objectif principal est d’identifier ce qui est critique au fonctionnement de l’entreprise, même à régime réduit, afin de rétablir une activité au plus vite en cas de problèmes.

 

Le Plan de Continuité d’Activité (PCA)

Un PCA, ou plan de continuité d’activité (BCP – Business Continuity Plan en anglais) a une portée, lui, plus large : le but ici est de maintenir l’activité d’une entreprise en cas de défaillance majeure, pendant que celle-ci a lieu.

La crise sanitaire de la COVID-19 est un exemple de ces perturbations majeures que le PCA est destiné à prévenir. Plusieurs scenarios doivent être planifiés dans un PCA, généralement répartis en 4 natures distinctes :

  • la défaillance du système d’information ;
  • l’impraticabilité des locaux ;
  • le durcissement extrême des conditions ou l’interruption des opérations de marché ;
  • l’indisponibilité massive des compétences.

Nous traiterons ici en particulier de l’infrastructure informatique, critique au fonctionnement des entreprises. Dans ce cadre, un plan de continuité d’activité permet de conserver une haute disponibilité et de continuer à travailler, même en cas d’incident.

Quelle est la différence entre PRA et PCA ?

 
On peut faire un parallèle à une plus petite échelle, en prenant l’exemple de l’alimentation électrique de votre ordinateur : un PCA, dans ce cas, serait par exemple un onduleur connecté à votre ordinateur. En cas de coupure de courant, un système de batterie prend le relais de façon automatique et transparente. Il n’y a aucune coupure d’énergie, et votre ordinateur continue à fonctionner de la même façon que connecté au réseau électrique. Un signal est émis, vous indiquant que vous êtes sur le système de secours ; mais vous pouvez continuer à travailler sans perdre votre travail.

Un PRA, lui, correspondrait plutôt à un disque dur externe, où vous sauvegardez régulièrement votre travail. Dans le cas d’une panne de courant, vous n’auriez qu’à récupérer votre sauvegarde, à partir par exemple un PC portable alimenté par batterie, pour reprendre votre travail.

À l’échelle d’un système d’information complet, la même situation s’applique : un PRA, c’est une sauvegarde efficace de vos données et applications à récupérer en cas de crise ; un PCA, c’est un système dupliqué en temps réel, qui peut prendre le relais en cas de problèmes. La différence entre les deux se trouve, finalement, dans le temps acceptable pour l’entreprise d’un arrêt de production ou d’activité : un PCA garantit la continuité des activités, un PRA une reprise rapide.

Quels sont les objectifs d’un PRA-PCA ?

 

Les PRA-PCA ne peuvent être efficaces s’ils comprennent la totalité des éléments critiques composant votre système d’information. Si le périmètre est trop étroit, on risque une dégratation trop forte de l’activité, voire l’impossibilité de la reprendre, en cas de problèmes. Trop large, et les coûts de fonctionnement deviennent impossibles à maîtriser.

Un des buts primaires dans l’établissement d’un bon PRA-PCA est donc de définir le périmètre exact des installations nécessaires au bon fonctionnement de l’entreprise. Ce peut être une liste de serveurs physiques, des bases de données, des logiciels, un système d’e-mails… Chaque entreprise est unique dans son fonctionnement, et aura donc des requis différents.

C’est pourquoi faire appel a des experts de confiance lors de la cartographie des installations à protéger est important : on admettra facilement que sauvegarder les forums de discussions internes de l’entreprise est peut-être moins primordial que de sauvegarder ou maintenir le système de facturation et comptabilité. Là encore, c’est à travers une évaluation soigneuse que l’on peut vraiment établir la liste des points d’orgues du système d’information.

Il faut ensuite définir deux valeurs importantes : le RTO (Recovery Time Objective – la durée maximale d’interruption admissible), ainsi que le RPO (Recovery Point Objective – la perte de données maximale admissible).

La première représente le temps de panne maximale de vos installations critiques ; la seconde la durée maximale pendant laquelle il est acceptable de perdre des données.

C’est là que l’on voit le contraste entre un PRA et un PCA : le PRA aura toujours un RTO supérieur à zéro et un RPO supérieur ou égal à zéro. Un PCA, lui, aura toujours un RTO et un RPO égaux à zéro.

Dans le cas de l’industrie bancaire, un PRA pourrait typiquement avoir un RTO à une ou deux heures, selon les services couverts ; le RPO, lui, doit être égal à zéro, puisqu’il est primordial de ne perdre aucune transaction pour éviter les pertes de fonds. En France, le Comité de la Réglementation Bancaire et Financère (CRBF) impose à toute l’industrie de la banque un maintien d’activité. Aux États-Unis, et plus généralement le monde entier, PCI-DSS impose des règles de sauvegarde de données strictes. Des législations et régulateurs similaires existent dans la plupart des pays, pour assurer la cohérence de la continuité d’activité attendue du monde bancaire.

Comment implémenter un PRA-PCA ?

 

Une fois les infrastructures critiques définies, et les délais de reprise décidés, il s’agit alors de mettre en place une stratégie efficace de sauvegarde dans le cadre d’un PRA, ou de la duplication des installations dans le cadre d’un PCA.

 
 

 

Une politique de sauvegarde détaillée doit être définie, et suivie. Une règle de base, connue dans l’industrie des technologies de l’information, est la règle 3-2-1 : trois sauvegardes, sur deux types de médias différents, avec une des copies offsite (c’est-à-dire en dehors de vos locaux ; le plus loin sera le mieux). Le but ici est de maximiser les chances de récupération des données, en cas de catastrophe naturelle, ou de défaillance technique : en utilisant deux types de médias (par exemple le stockage magnétique, et le stockage sur bande), et en ayant une copie géographiquement éloignée, il devient plus simple d’obtenir une copie qui fonctionne.

Il est également primordial et obligatoire de tester régulièrement les sauvegardes et le système de secours, afin de s’assurer qu’ils puissent être restaurés en cas d’avarie. Un exemple célèbre serait celui de MySpace, réseau social du début du siècle ; l’intégralité du contenu posté par ses utilisateurs, depuis la création du site jusqu’à 2015, ont été perdues lors d’un déménagement de datacenter. Les sauvegardes s’étaient retrouvées silencieusement corrompues durant des années, et n’ont pas pu être récupérées. Bien que ces données ne puissent pas vraiment être considérées critiques, ces pertes ont détruit le restant de réputation dont bénéficiait la plateforme.

Dans le cas d’un PCA, on va plus loin encore : il s’agit ici de dupliquer votre infrastructure critique dans vos locaux, mais plus idéalement dans un endroit géographiquement éloigné, ou encore dans un cloud privé. Ces installations doivent être dupliquées en temps réel ou très régulièrement. Ainsi, un système d’informations « d’urgence » est toujours disponible et à jour, prêt à être déployé en cas de problèmes.

Dans la situation où il existe une contrainte de bande passante, et qu’il est possible que le RTO soit supérieur à une heure, on peut envisager d’utiliser la connexion dont vous disposez la nuit, afin de sauvegarder les données critiques durant cette période. L’impact sur la connectivité de l’entreprise est donc moindre, au risque de perdre des données créees lors de la journée, en cas de sinistre. Un PCA double pratiquement les besoins en bande passante (du moins sur les échanges entre les systèmes critiques), mais assure une interruption pratiquement nulle de l’activité.

Dans tous les cas, il est évidemment primordial de documenter clairement l’intégralité de ces procédures, de choisir et former les équipes de réponse aux sinistres, et de tester perpétuellement tous les scénarios de crise ; d’innombrables exemples en 2020 ont montré l’importance d’un plan de continuité d’activité, lors du début de la pandémie, et les établissements qui ont pu tirer leur épingle du jeu étaient ceux qui étaient prêts à répondre en cas de catastrophe, de manière organisée et définie à l’avance.

Quels avantages offrent les PRA-PCA ?

 
Les entreprises ont de plus en plus recours aux PRA et PCA ; une préoccupation majeure pour l’entreprise étant la sauvegarde de ses données. Dans un monde toujours plus numérisé, les SI ont une place prépondérante dans le fonctionnement d’une entreprise. La perte de données peut impacter l’activité, voire l’interrompre entièrement ; certaines entreprises ne s’en remettent parfois pas.

L’avantage, pour une entreprise, d’implémenter un plan de reprise ou de continuité d’activité est principalement de pouvoir continuer à fournir un service à ses clients, et de rétablir son système d’information dans un délai raisonnable. Dans le cas de catastrophes naturelles ou humaines, un PRA-PCA peut même être un avantage concurrentiel, si vos concurrents subissent également une panne.

C’est l’implémentation informatique de l’adage populaire, « mieux vaut prévenir que guérir ».

L’occasion d’établir un PRA-PCA permet également de cartographier en détail ce qui est critique pour le fonctionnement de votre entreprise. Une meilleure connaissance de ce qui est essentiel peut aussi permettre d’accentuer l’attention que l’on porte à certains systèmes dans une politique de cyber-sécurité, axe incontournable aujourd’hui, particulièrement avec l’arrivée de nouveaux outils financiers, du développement de la cryptomonnaie et d’une demande toujours plus croissante de numérisation de tous les services financiers et gouvernementaux. Les enjeux grandissent de manière exponentielle, et la sécurité des données sera la clé de voûte de la pérennité et la résilience du monde bancaire.

Enfin, c’est également une partie d’un plan de gestion de crise très utile ; les décisions ayant été prises à l’avance, il devient plus simple de rebondir en cas de problèmes.

Sonema propose des solutions d’accompagnement et d’hébergement de PRA-PCA au sein de son Datacenter propriétaire, de conception Tier-III et répondant aux exigences PCI-DSS. Sonema propose également un ensemble de solutions IT et télécom répondant à tous les besoins de votre entreprise.

Pour plus d’informations, contactez-nous.