Meilleures pratiques en matière de continuité des activités et de reprise après sinistre (BCDR) pour 2023

La continuité des activités (BC) et la reprise après sinistre (DR) sont des pratiques qui se renforcent mutuellement et qui aident une organisation à poursuivre ses activités après une panne, une interruption ou une crise.

La continuité des activités et la reprise après sinistre (BCDR) sont plus importantes que jamais en 2023. Chaque entreprise, des petites entreprises aux multinationales, dépend des technologies numériques, ce qui fait de la BCDR une entreprise incontournable. De plus, la pandémie a démontré avec précision l'ampleur des dommages qu'une interruption d'activité inattendue pourrait causer aux économies.

Pourtant, 14 % des entreprises n'ont pas testé leurs plans BCDR depuis six mois à trois ans, et les recherches suggèrent que peu sont les meilleures pratiques en matière de continuité des activités et de reprise après sinistre. Voici les 10 directives que vous devez suivre :

1. Évaluer le risque associé aux différents composants et mener une analyse d'impact sur l'entreprise (BIA)

L'analyse des risques et la BIA sont des outils essentiels pour les organisations chargées de créer une stratégie BCDR. L'acte d'identifier les risques et les menaces internes et externes est crucial pour la continuité des activités et la reprise après sinistre. La recherche sur les risques révèle les menaces potentielles et leur probabilité d'occurrence. Cette évaluation des risques est complémentaire à la BIA, qui évalue les effets possibles d'une perturbation.

Un BIA comprend une analyse financière, mais il prend également en compte les aspects non fiscaux des perturbations imprévues. De plus, le BIA détermine les services essentiels à la mission qu'une entreprise doit continuer à fournir après un incident, ainsi que les ressources nécessaires pour maintenir ces fonctions.

2. Déterminez QUAND activer BCDR pour des résultats optimaux

Avant d'appeler une situation fâcheuse une catastrophe et d'activer le plan BCDR, les entreprises doivent tenir compte de plusieurs variables. La durée anticipée de l'interruption, l'impact de l'interruption sur l'organisation, le fardeau financier de l'activation du plan BCDR et le potentiel de la stratégie BCDR à provoquer une interruption supplémentaire figurent parmi les considérations les plus importantes.

Ironiquement, le fait de passer du site principal d'une entreprise à un centre secondaire, puis de revenir à la base principale des opérations – après un incident – ​​peut perturber considérablement les processus. Par conséquent, la direction de l'entreprise doit soigneusement évaluer quand mettre en œuvre le plan BCDR. Par exemple, une organisation peut déterminer qu'une interruption de six heures est insuffisante pour justifier une proclamation de catastrophe.

3. Soyez prêt à plaider pour des changements et des mises à jour dans la BCDR

L'évolution du paysage des menaces ou l'émergence de nouvelles entreprises commerciales pourraient obliger une entreprise à accroître sa couverture BCDR. Cela a souvent été le cas en 2022-2023, alors que les entreprises reviennent au travail de bureau et que de nouveaux risques apparaissent.

Si les ressources nécessaires pour la stratégie étendue de la BCDR et les technologies de récupération ne sont pas incluses dans votre budget actuel, vous devrez peut-être rechercher un financement supplémentaire. Une proposition d'investissement doit être basée sur les éléments suivants :

• Élaboration d'une proposition commerciale qui met en évidence les avantages des compétences améliorées de la BCDR
• Décider si la stratégie actualisée de la BCDR aura un impact sur d'autres domaines, comme la cybersécurité.
• Obtention de financement, y compris l'évaluation des produits et services
• Création d'une demande d'approvisionnement avec une documentation adéquate

N'oubliez pas que vous devez établir un équilibre entre les dépenses de la BCDR et les conséquences économiques prévues d'un scénario de catastrophe spécifique. Vous ne voulez pas imaginer une solution 10 fois plus chère que la crise elle-même.

4. Testez les plans de continuité des activités et de reprise après sinistre pour détecter toute faille

La formation sur table, les visites guidées planifiées, ainsi que les simulations sont des formats de test courants. En règle générale, les équipes de test se composent du superviseur de la récupération et des représentants de chaque groupe fonctionnel. En règle générale, un exercice sur table est mené dans une salle de conférence, l'équipe examinant le plan des défauts et garantissant que chaque division de l'entreprise est représentée.

Lors d'une visite guidée planifiée, chaque membre de l'équipe examine de manière approfondie les composants de son plan désignés pour identifier les faiblesses. Souvent, l'équipe passe par la mission avec une catastrophe spécifique à l'esprit. Certaines organisations intègrent des jeux de rôle en cas de catastrophe et des activités associées dans la visite planifiée. Toute lacune doit être corrigée et un plan révisé doit être envoyé à tout le personnel concerné.

5. Doublez votre concentration sur la documentation

Le plan de continuité des activités doit être rédigé conformément aux risques de l'entreprise et aux protocoles de reprise après sinistre. Par exemple, le plan doit spécifier ce que les membres du personnel doivent faire en cas de crise, ainsi que le délai de livraison le plus strict pour le support informatique critique.

L'identification des systèmes critiques et la compilation d'un inventaire des applications clés sont également cruciales. En outre, les organisations doivent maintenir un inventaire des contacts externes, tels que les financiers, les spécialistes en informatique et les travailleurs des services publics. Comme l'épidémie de coronavirus nous l'a appris, seules les entreprises disposant d'un plan de continuité des activités bien documenté avaient la capacité de se rétablir rapidement.

6. Déterminez votre niveau unique de résilience aux risques et le support informatique dont il a obligatoirement besoin

Étant donné que chaque organisation est unique et distincte, vous devez évaluer les risques et élaborer un plan de continuité des affaires individualisé. Par exemple, dans le cas d'une banque, quelques secondes de retard peuvent entraîner des millions de dollars de dommages et intérêts. Les établissements de santé peuvent risquer de soigner des patients critiques en cas de temps d'arrêt.

De plus, les options de redressement d'une entreprise doivent être déterminées en fonction du secteur dans lequel elle opère. RTO et RPO sont parmi les concepts les plus vitaux à cet égard. Le RPO ou Recovery Point Objective fait référence à la plus grande perte de données autorisée sur une période donnée. Le RTO ou Recovery Time Objective est le temps qui s'écoule entre une interruption et une reprise des processus.

Vous pouvez choisir les alternatives DR appropriées ainsi que les technologies de récupération en sélectionnant le RPO et le RTO appropriés en fonction des règles et directives commerciales de votre entreprise.

7. Investir dans la redondance pour l'infrastructure virtualisée

Suite à la pandémie, la virtualisation est devenue critique et omniprésente au sein des entreprises. Néanmoins, un plan de continuité des activités doit tenir compte de la nécessité d'une infrastructure hybride physique et virtuelle.

Posséder des serveurs virtuels, des espaces de stockage. ainsi que les postes de travail réduit le risque d'interruptions de service, mais les machines virtuelles peuvent toujours mal fonctionner. Avoir une stratégie de sauvegarde pour les machines virtuelles devrait figurer parmi vos principales priorités, en particulier si vous avez augmenté votre plan de virtualisation pour les processus critiques entre 2020 et 2023.

8. Envisagez de vous associer à un fournisseur BCDR géré

Presque tous les fournisseurs de services informatiques diront qu'ils peuvent aider à réparer et à récupérer les interruptions de service. Cependant, il existe une différence significative entre un partenaire qui propose des installations de sauvegarde hors site et un partenaire qui dispose de l'infrastructure BCDR nécessaire. Un fournisseur de services gérés offrira un certain nombre de services :

• Infrastructure de qualité militaire
• Outils de reprise après sinistre et de sauvegarde
• Facilités d'archivage et de restauration
• Administration multiplateforme du stockage
• Expertise bien connue et éprouvée en matière d'évacuation d'urgence et de déplacement vers l'un des nombreux lieux de récupération

9. Travailler avec les achats pour évaluer les fournisseurs quant à l'état de préparation de la BCDR

Les entreprises modernes ne sont pas des entités autosuffisantes fonctionnant comme des îles dans la mer. Au contraire, ce sont des institutions profondément interconnectées avec de profondes interdépendances vis-à-vis de fournisseurs tiers qui fournissent tout, de l'infrastructure informatique essentielle à la mission aux produits finis et aux matériaux de base. Identifiez chaque partenariat entreprise-fournisseur et le risque potentiel qu'il présente pour la continuité des activités si l'approvisionnement du fournisseur est interrompu. À quelles pressions les fournisseurs sont-ils confrontés et dans quelle mesure vos collaborateurs sont-ils robustes/résilients lorsqu'ils sont en situation de stress ?

Au début de la relation, les fournisseurs tiers doivent être soumis à une diligence raisonnable rigoureuse et surveillés en permanence pour tout signe de nouvelles menaces. Quels sont exactement leurs plans individuels de continuité des activités et sont-ils suffisants pour protéger votre entreprise ?

10. Examinez les options de colocation

Enfin, la colocation offre aux entreprises disposant d'une infrastructure informatique à grande échelle un moyen de répartir leur exposition aux risques sur des régions géographiquement diverses.

Les redondances intégrées dans les centres de données tiers visent à encourager la disponibilité et la résilience. De plus, la colocation offre plusieurs sources d'alimentation et options de connectivité. Cela fonctionne comme une route de secours en cas de défaillance de la voie principale.

Plusieurs fournisseurs de services de colocation peuvent en outre proposer une sélection de centres de données géographiquement dispersés, permettant aux entreprises de sélectionner les locaux qui répondent le mieux à leurs besoins spécifiques. Une organisation peut choisir un emplacement principal plus proche de son siège social pour plus de commodité et un emplacement secondaire plus éloigné pour la récupération après un sinistre. La continuité des activités est également soutenue par les programmes de maintenance planifiée des centres de données de colocation et les mises à jour des machines, qui optimisent la disponibilité et les performances du système.

Conclusion

Alors que les catastrophes et les interruptions d'activité deviennent plus complexes à gérer, ces meilleures pratiques BCDR aideront votre équipe informatique à se préparer. Vous pouvez également explorer le potentiel du cloud computing pour faciliter la planification de reprise après sinistre (DRP) et utiliser des outils de récupération de données pour récupérer les informations perdues après des incidents mineurs.