Une entreprise sans plan de continuité d’activité face à une cyberattaque joue à la roulette russe avec sa survie. Selon les études de l’ANSSI, 60 % des PME victimes d’une cyberattaque majeure déposent le bilan dans les 18 mois suivant l’incident. La différence entre les entreprises qui survivent et celles qui disparaissent réside dans leur préparation : un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) testés et opérationnels sont les filets de sécurité indispensables de toute organisation.
PCA et PRA : deux dispositifs complémentaires
Le Plan de Continuité d’Activité définit les procédures pour maintenir les fonctions essentielles de l’entreprise pendant une crise. Il identifie les processus métier critiques, les ressources minimales nécessaires et les modes dégradés acceptables. Le Plan de Reprise d’Activité, quant à lui, détaille les procédures techniques pour restaurer le système d’information après un sinistre. Il fixe deux indicateurs clés : le RPO (Recovery Point Objective), qui détermine la quantité de données que l’on accepte de perdre, et le RTO (Recovery Time Objective), qui définit le délai maximal de reprise. Pour une PME, un RPO de 4 heures et un RTO de 24 heures constituent des objectifs réalistes qui nécessitent des sauvegardes fréquentes et une infrastructure de reprise prédimensionnée.
Construire un PCA adapté aux menaces cyber
Un PCA efficace face aux cyberattaques commence par une analyse d’impact business (BIA) qui identifie les processus critiques de votre activité et évalue les conséquences d’une interruption sur votre chiffre d’affaires, votre réputation et vos obligations contractuelles et réglementaires. Pour chaque processus critique, des solutions de contournement doivent être définies : facturation manuelle si l’ERP est indisponible, communication par téléphone si la messagerie est compromise, accès aux données essentielles via des copies hors ligne. Le PCA doit également intégrer une stratégie de communication de crise pour informer les clients, les partenaires, les employés et les autorités de manière appropriée et dans les délais imposés par le RGPD et NIS2.
Le PRA technique : sauvegardes, réplication et tests
Le cœur technique du PRA repose sur la stratégie de sauvegarde. La règle 3-2-1-1-0 est désormais le standard : trois copies des données, sur deux types de supports différents, une copie hors site, une copie hors ligne (air-gapped) inaccessible aux ransomwares, et zéro erreur de restauration vérifiée par des tests réguliers. L’infrastructure de reprise peut être un site secondaire physique, un environnement cloud préconfiguré (DRaaS) ou une combinaison des deux. Le point crucial est le test régulier de la restauration complète : une sauvegarde qui n’a jamais été restaurée avec succès n’est qu’une promesse non tenue. Ealison recommande des tests de restauration trimestriels simulant différents scénarios (ransomware, perte d’un datacenter, compromission d’un compte administrateur).
Les exercices de crise : préparer les équipes à réagir
Un plan qui n’est jamais testé est un plan qui échouera le jour J. Les exercices de crise cyber simulent un incident réaliste et mobilisent les équipes de direction, l’informatique, la communication et les métiers concernés. Ces exercices révèlent les failles organisationnelles, les chaînes de décision trop longues, les contacts manquants et les procédures inadaptées. Ils permettent également d’entraîner les collaborateurs à travailler sous pression dans un environnement dégradé. La directive NIS2 rend ces exercices obligatoires pour les entités concernées, mais toute entreprise, quelle que soit sa taille, a intérêt à en organiser au moins une fois par an.
Ealison : votre partenaire PCA/PRA dans le Grand Ouest
Ealison accompagne les entreprises de Nantes, Rennes, Le Mans, Angers, Laval et La Roche-sur-Yon dans la construction et le maintien de leurs plans de continuité et de reprise d’activité. Notre approche couvre l’analyse d’impact business, la rédaction des procédures PCA et PRA, le déploiement de l’infrastructure de sauvegarde et de reprise, les tests de restauration trimestriels et l’organisation d’exercices de crise annuels. Notre cellule CSIRT assure la coordination de la réponse aux incidents et l’activation du PRA en conditions réelles.
Êtes-vous prêt à affronter une cyberattaque ? Contactez Ealison pour évaluer la résilience de votre entreprise et construire votre plan de survie numérique.