Sécurisation du SI, PRA & PCA

Infrastructure Maîtrise des risques

Une interruption partielle ou complète du système d’information peut avoir des incidences fortes sur l’activité de l’entreprise. Ex : arrêt de la production, perte de facturation, immobilisation des ressources, etc...

Selon une étude du cabinet de conseil américain Eagle Rock, 40% des entreprises ayant subi un arrêt de 72 heures de leurs moyens informatiques et télécoms ne survivent pas à ce désastre.

Le plan de continuité d’activité (PCA) permet de définir les modalités de poursuite d’activité sans interruption de service.
Le plan de reprise d’activité (PRA) assure la reconstruction des services en cas d’incident majeur.

Les orientations

ode 1

L’élaboration d’un PRA/PCA s’inscrit dans le cadre plus large d’un projet de sécurisation du SI et se déroule en six étapes :

  1. Prise de conscience du risque, démarrage de la réflexion/projet,
  2. Construction de la gestion des risques,
  3. Construction des architectures prévisionnelles en réponse à la couverture de risques attendus,
  4. Définition des budgets correspondant, lotissement et planification du projet,
  5. Mise en œuvre de la sécurisation des services métiers,
  6. Suivi périodique du fonctionnement du plan de sécurisation.

Zoom sur la gestion des risques

La gestion des risques s’appuie sur les critères suivants :

  • La perte de données maximum admissible (PDMA ou RPO).
  • Le délai d’interruption maximal admissible (DIMA ou RTO).
  • Le niveau de service minimum attendu (SLA).

Elle s’implémente de la façon suivante :

  1. Evaluer les risques potentiels :
    • Risques géographiques : séisme, inondations...
    • Risques environnementaux : proximité de sites SEVESO, entreprises sensibles au feu...
    • Risques techniques : panne de matériel, bug logiciel...
    • Risques humains : erreurs humaines, piratage...
  2. ode 2
  3. Inventorier l’ensemble des services et leurs dépendances :
    • Les services d’infrastructure : virtualisation, annuaire, messagerie...
    • Les services métiers : comptabilité, CRM...
  4. Identifier la criticité des services auprès du métier :
    • Marketing : image de l’entreprise sur l’extérieur, retour de presse...
    • Humaine : danger sur la personne, mise en difficulté des salariés...
    • Métier : arrêt de production, chômage technique des équipes...
  5. Définir la gestion de risque sur le service :
    • Eviter le risque en révisant l’architecture du service pour le maintenir opérationnel,
    • Réduire l’impact du risque sur le service,
    • Transférer le service vers un tiers pour qu’il prenne en charge le risque,
    • Accepter le risque sans autres interventions.

La gestion des risques permet d’aboutir à une représentation des catégories de risques en regard des services du SI, comme le montre l'exemple suivant.

ode 3Exemple sur un centre médical après identification des risques réels

Do’s & Dont’s

  • Prévoir et budgéter un plan de test du PRA/PCA régulier,
  • Organiser l’inventaire des services,
  • Intégrer l’analyse des risques dans un projet plus global de sécurisation.



  • Ne jamais engager une action de sécurisation sans le soutien d’une direction générale,
  • Ne pas chercher obligatoirement à tout sécuriser (le coût de sécurisation peut s’avérer supérieur aux conséquences du risque),
  • Ne pas limiter la gestion des risques à une étape préalable d’analyse.