Pourquoi vous devez avoir un Plan de Reprise d’Activité (PRA)

Avez-vous un plan de reprise d'activité ? En cas d'incident ou de sinistre, c'est lui qui vous sauvera la mise.

Cet article prend 7 minutes à lire et comporte 1529 mots.


Le 10 mars 2021, un data­cen­ter du groupe OVH a entiè­re­ment brû­lé. Toutes les don­nées de ce data­cen­ter ont dis­pa­ru, et celles des data­cen­ters voi­sins ont éga­le­ment subi des dom­mages, pour cer­tains irréversibles.

Et rares sont ceux qui avaient mis en place un plan de reprise d’ac­ti­vi­té concer­nant les don­nées en ligne, n’i­ma­gi­nant pas un ins­tant qu’un tel sinistre puisse les tou­cher un jour.

incendie OVH - source : Twitter
incen­die OVH — source : Twitter

En fait, une entre­prise sur 3 a déjà été vic­time d’un inci­dent plus ou moins impor­tant qui a néces­si­té l’ac­ti­va­tion d’un plan de reprise d’activité.

Ce ne sont pas for­cé­ment les sys­tèmes d’in­for­ma­tion qui ont été impac­tés, mais si vous n’a­vez pas de plan de reprise d’ac­ti­vi­té glo­bal, vous n’en avez pro­ba­ble­ment pas non plus un pour les inci­dents tou­chant votre site en ligne.

Quel risque si vous n’avez pas de plan de reprise d’activité ?

D’après continuitycentral.com, 93% des socié­tés n’ayant pas eu accès à leurs don­nées pen­dant 10 jours ou plus on fait faillite dans l’an­née.

Et Green Up I.T. enfonce le clou :

Pour les entre­prises ayant subi une perte catas­tro­phique de leurs données…

  • 43% ont immé­dia­te­ment fermé
  • 51% ont fer­mé dans les deux ans
  • 75% des socié­tés n’ayant pas un plan de reprise ou de conti­nui­té d’ac­ti­vi­té ont fait faillite dans les 3 ans, et seule­ment 29% ont sur­vé­cu plus de deux ans au sinistre

Autant dire que ne pas avoir plan de reprise d’ac­ti­vi­té, c’est jouer à la rou­lette russe avec votre entre­prise. Vous serez for­cé­ment impac­té en cas de sinistre, mais vos employés, vos sous-​traitants, et leurs familles le seront aussi.

Nos Plans de Reprise d’Activité sont inclus dans nos offres d’hé­ber­ge­ment et de maintenance.

Alors, la ques­tion qui vient à l’es­prit, c’est…

Que doit comprendre un plan de reprise d’activité ?

Bien évi­dem­ment, nous allons par­ler de la par­tie qui nous concerne, vos don­nées en ligne. Mais la démarche à appli­quer est la même pour un plan géné­ral, dans lequel s’in­tè­gre­ra natu­rel­le­ment le plan de reprise de votre acti­vi­té informatique.

Plan de Reprise d'Activité
Plan de Reprise d’Activité

Tout d’a­bord, il va falloir…

Définir les priorités

Le site internet [ et /​ ou ] la boutique en ligne

Votre site inter­net, c’est une vitrine, certes, mais ce peut aus­si être votre outil de vente, pas­sif (via les contacts récu­pé­rés) ou actif (une bou­tique en ligne). Quelle est son impor­tance ? Que pouvez-​vous vous per­mettre de perdre, ou de ne pas récupérer ?

Si votre site génère quo­ti­dien­ne­ment des ventes, il n’est pas envi­sa­geable de perdre ne serait-​ce qu’une demi-​journée. Une récu­pé­ra­tion à H‑1 maxi­mum est indispensable.

Si par contre ce n’est qu’une vitrine sans autre inter­ac­tion qu’un for­mu­laire de contact, une récu­pé­ra­tion à J‑1 ne pose­ra pas pro­blème — à moins que vous n’ayez effec­tué des modi­fi­ca­tions mas­sives dans l’intervalle.

Les créations /​ refontes /​ correctifs en cours de développement

Si vous n’êtes pas sui­ci­daire, vous n’ef­fec­tuez pas de modi­fi­ca­tion majeure sur votre outil en pro­duc­tion, mais sur une ver­sion de déve­lop­pe­ment aus­si appe­lé sta­ging.

Cette ver­sion du site est-​elle locale, ou héber­gée sur le même ser­veur que le site en ligne, vu que la plu­part des héber­geurs pro­posent une ver­sion sta­ging en plus du site en production ?

S’il ne s’a­git que de tes­ter la com­pa­ti­bi­li­té des nou­velles ver­sions d’ex­ten­sions, de thèmes ou même du cœur de WordPress, ce n’est pas très grave.

Mais si vous avez ini­tié des modi­fi­ca­tions bien plus lourdes, vous pour­riez perdre des jours, voire des mois de travail.

Les emails

Souvent cou­plée à votre site, la mes­sa­ge­rie est tout aus­si impor­tante. Avez-​vous une copie de vos échanges, avec vos clients, avec vos partenaires ?

Quelle est l’im­por­tance de votre mes­sa­ge­rie d’en­tre­prise ? N’oubliez pas que la com­mu­ni­ca­tion entre pro­fes­sion­nels n’est pas régie par les mêmes règles que les échanges par­ti­cu­liers /​ pro­fes­sion­nels.

Chaque email échan­gé avec vos par­te­naires, et même avec vos clients ou pros­pects, peut avoir une impor­tance capitale.

La mes­sa­ge­rie est donc un élé­ment à récu­pé­rer rapi­de­ment, et de pré­fé­rence, dans son inté­gra­li­té.

Vous avez défi­ni vos prio­ri­tés, il faut maintenant…

Définir un plan d’action

En fonc­tion de vos besoins, vous allez déci­der, par exemple, d’une sau­ve­garde en temps réel, ou quo­ti­dienne, ou heb­do­ma­daire, de vos données.

Une sau­ve­garde, oui mais… pas sur le même ser­veur, ou mieux, pas chez le même pres­ta­taire de ser­vices ! Un data­cen­ter qui brûle, ou qui est endom­ma­gé, ça n’ar­rive pas qu’à OVH : en 2016, c’est un data­cen­ter de la banque ING qui a été mis hors ser­vice pen­dant une dizaine d’heures… par un simple son ! Et n’im­porte quel compte peut être pira­té, par­fois très sim­ple­ment : la mésa­ven­ture (qui finit bien) de Mat Honan en est un bon exemple.

Une sau­ve­garde externe, dans le cloud, c’est bien, mais si vos don­nées sont vrai­ment sen­sibles, une seconde sau­ve­garde ne sera pas de trop.

À titre d’exemple, sur les sites sen­sibles (e‑commerce), nous met­tons en place deux sau­ve­gardes : une pre­mière, incré­men­tielle, en temps réel, et une seconde, incré­men­tielle éga­le­ment, à H‑1.

Les deux sau­ve­gardes sont envoyées dans le cloud, vers deux pres­ta­taires dif­fé­rents.

Ce qui fait que, dans le pire des cas, seules les don­nées de la der­nière heure seront per­dues. Les pertes sont donc limitées.

Et si le client consi­dère que ses don­nées sont vitales, d’autres pro­cé­dures per­son­na­li­sées peuvent être mises en place, telles qu’un plan de conti­nui­té d’activité.

Tout dépend de la valeur des don­nées, du nombre de tran­sac­tions ini­tiées dans un laps de temps don­né et de leur impor­tance pour votre entreprise.

Il est aus­si pré­fé­rable de choi­sir à l’a­vance un pres­ta­taire web de secours — vous ne per­drez ain­si pas de temps à cher­cher la meilleure offre dis­po­nible pour votre besoin. 

Un mini­mum de veille est éga­le­ment le bien­ve­nu, les offres de chaque héber­geur évo­luant au fil du temps : le VPS que vous aviez repé­ré début 2017 chez un pres­ta­taire concur­rent n’est cer­tai­ne­ment plus d’ac­tua­li­té. Il a peut-​être mieux, mais allez savoir… rien n’est moins sûr, le monde du web évo­lue à (très) grande vitesse.

Et main­te­nant, il reste enfin à…

Mettre en œuvre votre plan de reprise d’activité

Pour votre site web

Deux points à définir : 

  • choi­sir où héber­ger vos données
  • ins­tal­ler une exten­sion dédiée à la sauvegarde
  • confi­gu­rer les sau­ve­gardes automatiques

Si vous vou­lez mettre les mains dans le cam­bouis, je vous invite à lire l’ar­ticle 3 solu­tions de backup pour gar­der vos don­nées en lieu sûr. Vous y trou­ve­rez suf­fi­sam­ment d’élé­ments pour mener à bien votre tâche.

Ou vous pou­vez confier cette mis­sion à un pres­ta­taire externe, ce qui vous assu­re­ra une tran­quilli­té d’es­prit qui elle, n’a pas de prix. C’est lui qui met­tra en place toutes les pro­cé­dures qui vous per­met­tront une reprise d’ac­ti­vi­té sereine en cas de sinistre.

Pour vos autres données (messagerie…)

La mise en œuvre d’une sau­ve­garde de mes­sa­ge­rie sur ser­veur est bien plus com­plexe. Elle implique de se ser­vir d’u­ti­li­taires dont la confi­gu­ra­tion et l’u­ti­li­sa­tion sont réser­vés aux admi­nis­tra­teurs système.

Mais si vous récu­pé­rez vos emails via Outlook, Thunderbird ou n’im­porte quel autre logi­ciel de mes­sa­ge­rie, tout n’est pas per­du : faites une sau­ve­garde immé­diate de vos don­nées et transférez-​les sur une clé USB et dans le cloud. Vous ne les aurez plus sur votre ser­veur, mais elles seront tou­jours dis­po­nibles sous forme d’ar­chive acces­sibles rapi­de­ment et facilement.

Par contre, si vous n’êtes pas spé­cia­li­sé dans le trai­te­ment des don­nées, ou si vous vou­lez remon­ter votre mes­sa­ge­rie telle qu’elle était quand le sinistre s’est pro­duit, le plus simple, c’est de confier votre plan de reprise d’ac­ti­vi­té à un pres­ta­taire de ser­vices qui a fait ses preuves.

Cela vous évi­te­ra des tra­cas­se­ries et des prises de tête pour la mise en place, la main­te­nance et la res­tau­ra­tion de votre outil de travail.

Que faire en cas de sinistre ?

Si vous gérez tout vous-​même, déclen­cher votre plan de reprise d’ac­ti­vi­té, tout simplement.

En pre­nant immé­dia­te­ment un héber­ge­ment, même pro­vi­soire, chez un héber­geur qui n’a pas été impac­té par le sinistre. Dans le cas de l’in­cen­die d’OVH, seul cet héber­geur a été tou­ché, mais en cas de séisme ou d’i­non­da­tion par exemple, ce sont tous les data­cen­ters de tous les héber­geurs d’une zone géo­gra­phique qui peuvent tom­ber. Vous lan­cez une pro­cé­dure de res­tau­ra­tion, et nor­ma­le­ment, tout revient à la normale.

Libre à vous de retour­ner chez votre héber­geur habi­tuel une fois que le pro­blème est réglé.

Si vos don­nées ont été com­pro­mises, ou si vous pen­sez qu’elles peuvent l’a­voir été, ou si la durée de mise en arrêt a impac­té vos comptes clients en ligne, vous êtes tenus d’en infor­mer la CNIL. Vous trou­ve­rez plus d’in­for­ma­tions et d’ex­pli­ca­tions sur leur site, dans les articles Incendie OVH : faut-​il noti­fier à la CNIL ? (l’in­cen­die sert sur­tout d’exemple, mais la logique reste la même quel que soit le sinistre) et Notifier une vio­la­tion de don­nées per­son­nelles.

Si vous avez sous­crit à une offre chez un pres­ta­taire de ser­vices, c’est à lui de mettre en œuvre les pro­cé­dures pour que vous retrou­viez une cer­taine nor­ma­li­té. Mais rien ne vous empêche de l’a­ler­ter dès que vous êtes infor­mé du sinistre, à moins qu’il ne vous ait déjà lui-​même informé.

Le mot de la fin

Alors, plan de reprise ou pas ? La ques­tion ne se pose pas, vous avez besoin de pou­voir redé­mar­rer après sinistre.

Il vous faut, à tout prix, un plan de conti­nui­té ou de reprise d’ac­ti­vi­té. La vrai ques­tion, ou plu­tôt les vraies ques­tions, concernent la stra­té­gie à mettre en œuvre en fonc­tion de l’im­por­tance des don­nées en ligne pour la sur­vie de votre entre­prise, et les acteurs impli­qués dans cette stratégie.

Les cookies que nous utilisons sont indispensables au bon fonctionnement de ce site. Il n'y a aucun pistage publicitaire et les données statistiques recueillies sont anonymisées.
J'ai compris
Privacy Policy