PCA / PRA

- 1 / 20 -

Dfinitions
PCA : Plan de Continuit d'Activit / BCP : Business Continuity Plan
PCI : Plan de Continuit Informatique
PCO: Plan de Continuit Oprationnelle
(Continuit ou reprise des oprations mtiers)
PCA=PCO+PCI
PCS : Plan de Continuit de Services
PRA : Plan de Reprise d'Activit (Plan de Rcupration Aprs Sinistre)
DRP : Disaster Recovery Plan
PRI : Plan de Reprise Informatique
PSI : Plan de Secours Informatique
PRU : Plan de Reprise des Utilisateurs
PSA : Plan de Sauvegarde de l'Activit
PRN : Plan de Retour la Normale
BIA : Bilan d'Impact sur les Activits

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 2 / 20 -

PCA, PRA, PCI, PSI : o a ?

Le PCA s'insre dans le cadre de la politique gnrale de Scurit.

PCA
PRA
PCI

Denis Szalkowski Formateur Consultant http://www.dsfc.net

PSI

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 3 / 20 -

Diffrence entre PCA et PRA

Le Plan de Continuit d'Activit permet, en cas de crise, de continuer

l'activit sans perte de service, ou avec une lgre dgradation acceptable.
Exemple : tltravail en cas de grves, d'pidmies,
Le Plan de Reprise d'Activit permet, en cas de crise majeure ou sinistre, de
pouvoir reconstruire ou de basculer sur un systme de relve - sur une dure
dtermine - qui fournira les services ncessaires la survie de l'entreprise. Il
est souvent li un risque dfini de perte de donnes (RPO) et dure
d'interruption acceptable (RTO).
Exemple : basculement d'un datacenter sur un site de secours en cas
d'incendie.

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 4 / 20 -

Quelques chiffres
Mme s'il convient de rester prudent sur des donnes fournies par des
entreprises dont le PRA s'insre dans leurs prestations
Selon Adista, la moiti des entreprises victimes dun sinistre majeur de
leur systme dinformation disparaissent dans les trois ans qui suivent
lincident.
Or, 58% des PME ne disposent pas de PRA, selon une tude Freeform
Dynamics ralise pour le compte de Quest Software auprs de 160 responsables informatiques en France, en Allemagne et au Royaume-Uni.
Source : Indexel.

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 5 / 20 -

L'mergence du PCA / PRA

Le PRA s'est impos du fait de la dpendance accrue des organisations vis-vis du systme d'information automatis. Un coup de pelle et
L'exposition des risques systmiques s'est accrue avec :
la disparition des architectures distribues-rparties,
le degr d'intgration des solutions retenues,
l'accroissement de la complexit (la virtualisation et le cloud n'arrangent rien
l'affaire),
la prgnance de l'utilisation d'Internet,
le dveloppement du phnomne Bring Your Own Device (BYOD).

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 6 / 20 -

Obligations rglementaires
Loi du 31 juillet 2002 (Pub. L. No. 107-204, 116 Stat. 745) dite SarbanesOxley Act (SOX)
Rglementation CRBF2004-02 (issue de IASB-Ble II) : obligation d'un plan
de secours oprationnel pour les tablissements financiers, banques et assurances.
Grippe H1N1 : circulaire DGT (Direction Gnrale du Travail)2007/18 du
18 dcembre 2007 / circulaire DGT 2009/16 du 3 juillet 2009, recommandant l'institution d'un PCA.
Le code du commerce prvoit une conservation des documents comptables
durant 10 ans.
Conservation des logs des prestataires d'hbergement (Dcret du 24 mars
2006)
Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 7 / 20 -

Dmarche
1.

Nommer un RPCA, qui dispose d'une bonne connaissance des mtiers de l'entreprise : responsable qualit, DAF, etc.

2.

Effectuer un inventaire des ressources matrielles et humaines, des applications utilises

3.

Raliser un audit de criticit, de l'exposition au risque assortie d'une tude d'impact

4.

Etablir une hirarchisation, dlimiter un primtre en intgrant les pertes financires et aussi
le cot des solutions pour rpondre aux diffrents scnarios d'exposition aux risques

5.

Fixer un RTO : Recovery Time Objectif (temps de coupure)

6.

Fixer un RPO : Recovery Point Objectif (temps en termes de pertes de donnes), point de reprise des donnes (fracheur des donnes)

7.

Construction du plan : ordonnancement du redmarrage des services

8.

Tester le plan, prouver les solutions de secours (exemple : groupes lectrognes)

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 8 / 20 -

Menaces
Elles peuvent toucher aussi bien l'humain que le matriel.
Risques naturels : crues, sismes, marnires,
Pandmies, intoxications,
Grve(s),
Actes de sabotage,
Accidents industriels (AZF Toulouse), accidents nuclaires (FukushimaDaiichi),
Servitudes : rupture de canalisation d'eau, coup de pelles, panne de courant, dfaillance de la climatisation.
Dfaillance matrielle au niveau des serveurs, des stations de travail, du
rseau, de l'internet et de la tlphonie,
Virus informatiques, rootkits,
Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 9 / 20 -

MEHARI
Mthode Harmonise d'Analyse du Risque
Mesure de l'exposition au risque : potentialit
Mesures de rduction de la potentialit
Mesure de l'impact (Disponibilit, Intgrit, Confidentialit)
Mesures de rduction de l'impact
Grilles Potentialit / Impact / Gravit

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 10 / 20 -

PRA : la gestion de crise

La cellule de crise a pour objectif de :
grer la communication (institutions, presse, clients, fournisseurs,
), organiser le PRA,
assurer les moyens logistiques et
la mise disposition de ressources humaines.
A cet effet, il convient de prvoir un
hbergement disposant de tous les
moyens de communication usuels.

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 11 / 20 -

Domaines du SI
Hors servitudes (lectricit, climatisation), le SI peut tre segment en
plusieurs domaines :
rseau / LAN,
accs Internet / WAN,
messagerie
serveurs d'infrastructure : DHCP, DNS, Wins, authentification, supervision
applications / serveurs d'applications
base de donnes
tlphonie

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 12 / 20 -

Solutions
Informatique rpartie
Spare
Images froid : Clonezilla, Acronis True Image, Symantec Ghost
Redondance (Spanning Tree, )
Stockage : SAN
P2V, V2P : Vmware Converter, System Recovery (Symantec)
Virtualisation : Vmware, Hyper-V, KVM, Xen, etc
Sauvegardes externalises (oodrive) : volumtrie ?
SaaS (Service as a Software) : Google Apps, Microsoft Office 365,
Patriot Act ?
Tltravail
Virtualisation du stockage : et les performances ???
Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 13 / 20 -

Offre Google Drive

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 14 / 20 -

Logiciels de sauvegarde
EMC Networker
Symantec Backup Exec
Atempo Time Navigator
Arkeia Network Backup

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 15 / 20 -

Services d'hbergement de machines virtuelles

Offre

Prestataire

Prix par machine virtuelle

Synaptic Compute as a Service

AT&T

Tarification sur mesure

Colt Dynamic Infrastructure Services

Colt

Tarification sur mesure

EC2

Amazon

220 $ par mois ou 10 centimes par heure

BT Virtual Data Center

BT Global Services

200 par mois

ClaraCloud

Claranet

220 par mois

Flexible Computing

Orange

A partir de 90 par mois

Dedibox

Proxad

A partir de 15 par mois

Gandi Hbergement

Gandi.net

A partir de 15 par mois ou 3 centimes par heure

Kimsufi

OVH

A partir de 15 par mois

AWS

Amazon

Orange Business

Orange

SFR Business

SFR

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 16 / 20 -

Site de repli ?
site chaud : redondance
site tide : infrastructure prsente, mais mise jour des donnes
site froid ou dormant: site existant ne disposant d'aucune installation

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 17 / 20 -

Rplication
Fonction

Exemples de produits

Gocluster : cluster entre ma- Double-Take (Vision Solutions), RepliStor (EMC), Veritas Cluster Server (Symantec),
chines situes sur des sites dis- SteelEye DataKeeper (SIOS Technology), Cluster Server (Microsoft), ... Fonction galetants
ment intgre certaines applications telles que les SGBD et serveurs de messagerie
Rplication synchrone de baie Fonction intgre la plupart des baies de stockage : fonction SRDF chez EMC, protobaie, via un SAN Fiber Channel cole PPRT chez IBM et HDS chez Hitachi
Rplication asynchrone de sys- Double-Take (Vision Solutions), Veritas Replicator (Symantec), Netvault Replicator
tme systme via un rseau (Quest Software), Backup & Replication (Veeam Software) pour Vmware
IP
Sauvegarde de limage du systme et redmarrage sur un
site distant

VSS Volume Shadow copy Service (Microsoft)

Rplication de donnes

NetApp SnapMirror, Rsync (Open Source)

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 18 / 20 -

Livres

Plan de continuit d'activit et systme d'information

Vers l'entreprise rsiliente,
par Matthieu Bennasar (Dunod)
Management de la Continuit d'Activit,
par Emmanuel Besluau (Eyrolles)
Raliser le plan de continuit d'activit de son entreprise
P.C.A guide oprationnel,
par Olympe Cavallari et Olivier Hassid (Maxima)
Plan de continuit d'activit
Secours du systme d'information,
par Patrick Boulet (Hermes Science Publications)

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 19 / 20 -

Sources

http://blogs.orange-business.com/cloud-computing/
http://droitdutravail.blog.capital.fr/index.php?action=article&id_article=422971
http://fr.wikipedia.org/wiki/Plan_de_continuit%C3%A9_d%27activit%C3%A9_%28informatique%29
http://fr.wikipedia.org/wiki/Plan_de_reprise_d%27activit%C3%A9
http://infochronologie.blogemploi.com/pra/2008/09/le-projet-pra-p.html
http://itil.fr/DRP/PCA/drppca-mettre-en-oeuvre-un-plan-de-continuite-dactivite.html
http://www.clusif.asso.fr/fr/production/mehari/download.asp
http://www.journaldunet.com/solutions/0506/050628_pca.shtml
http://www.journaldunet.com/solutions/securite/pca-et-pra/
http://www.journaldunet.com/solutions/systemes-reseaux/dossier/realiser-un-plan-de-reprise-d-activite-10conseils-d-experts/realiser-un-plan-de-reprise-d-activite-10-conseils-d-experts.shtml
http://www.mag-securs.com/Communiqu%C3%A9s/tabid/65/id/28117/La-virtualisation-et-le-cloudcomputing-compliquent-la-reprise-d-activites-apres-incident.aspx
http://www.stanfeel.com/Front/plan-de-continuite-d-activite_18.php
http://www.systemes-information.fr/
http://www.vmware.com/fr/solutions/datacenter/business-continuity/
www.hsc.fr/presse/clubpca/LIVRE-BLANC-CCA.pdf

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012

PCA / PRA

- 20 / 20 -

Annexe : trame d'un PCA (grippe H1N1)

Analyse des missions assures par lentreprise

Hirarchisation des missions devant tre assures en toutes circonstances
Identification des ressources matrielles et humaines ncessaires la continuit de lactivit juge indispensable
Etablissement dun tat des effectifs (comptence au regard des missions et fonctions prioritaires, possibilit
de tltravail, poste occup en situation dgrade, possibilits de supplance, possibilits de renforcement.)
Mthodes et moyens de protection et dinformation des personnels (mise jour du document unique, identification des personnels les plus exposs, information)
Modes dorganisation pour le maintien de lactivit (fournisseurs alternatifs, renforcement des stocks, solutions alternatives de transport, liste des moyens techniques et logistiques prvoir, mesures visant limiter
la contagion, rorganisation du travail audioconfrence, tltravail-, amnagement des horaires, outils
dinformation collective, plan de communication, utilisation du courrier lectronique)
Acquisitions pralables (produits dhygine, quipements pour le travail domicile)
Exercices de ralisation
Suivi, retour dexprience et ajustement du dispositif
Reprise des oprations lissue de phase aige de la crise

Denis Szalkowski Formateur Consultant http://www.dsfc.net

Licence Creative Commons CC-by-nc-nd Version 1.0 - 28/04/2012