PCA, PRA : Si vous n’étiez pas préparés pour la crise du COVID, soyez-le pour la prochaine.

PCA, PRA : Si vous n’étiez pas préparés pour la crise du COVID, soyez-le pour la prochaine.

Dans un contexte où de nombreuses entreprises ont dû faire face à d’importantes difficultés pour adapter le mode de travail de leurs employés, d’autres, mieux préparées, ont simplement eu à appliquer un plan, le PCA (Plan de Continuité d’Activité) pour la sécurité de son système d’information.

Le PCA ?

PCA = Plan de Continuité d’Activité = Politique Crise Action !

Le PCA représente l’ensemble des mesures visant à assurer le maintien, en mode dégradé si nécessaire, des activités ou des tâches importantes de l’entreprise. Dans un deuxième temps, le plan de reprise d’activité (PRA) planifiera la reprise des activités. Le PCA répond notamment à des besoins en termes de disponibilité, d’intégrité, de confidentialité et de traçabilité (DICT).

De quoi est-t-il composé ?

Le PCA, dans sa version complète est composé des éléments suivants :

Est-t-il adapté à toutes les entreprises ?

Le PCA est d’une manière générale recommandé, quelle que soit la taille ou le secteur d’activité de l’entreprise. Néanmoins, le coût d’implémentation d’un PCA « complet » peut-être supérieur au montant de la perte réalisée en cas de crise ou d’incident. Dans ce cas précis, un PCA « complet » n’est pas recommandé. Il serait plus judicieux de créer un PCA « allégé », aussi appelé « standard ». Ce PCA sera globalement moins adapté et ne tiendra pas compte des enjeux de l’entreprise. Ce choix n’est pas optimal mais il permettra de « limiter la casse » en cas d’incident.

A noter que dans des entreprises possédant un SMSI (Système de Management de la Sécurité de l’Information), et notamment ceux certifiés ISO 27001, le PCA (dans sa version complète) y est déjà inclus.

Déclenchement du PCA

En cas de situation de crise, le responsable du PCA va mettre en place une cellule de crise. Cette cellule de crise va décider ou non d’exécuter le PCA en fonction du risque présent et de sa gravité.

Une fois la décision prise d’activer le PCA (le cas échéant), il va falloir dérouler une procédure qui va notamment comprendre :

Dans le contexte actuel, imaginons une entreprise qui n’était pas familière au télétravail et dont les employés travaillaient uniquement sur des PC fixes. L’entreprise devra soit acheter des PC portables à ses collaborateurs soit leur demander d’utiliser leur PC personnel. La deuxième solution devra être accompagnée d’un achat de licence Office 365 par exemple et d’autres licences en fonction de la fonction du collaborateur.

Hormis ce côté financier, il y aura de nombreuses interrogations en ce qui concerne la sécurité. Le PC personnel possède-t-il un antivirus à jour ? Le PC possède-t-il un mot de passe ? Si oui, suit-il les exigences de la PSSI ? Un VPN va peut-être être mis en place entre le PC personnel du collaborateur et l’entreprise. Est-ce vraiment raisonnable de donner accès au réseau de l’entreprise à un actif non maitrisé ?

Les exemples ci-dessus ne sont que quelques éléments parmi tant d’autres, mais ils montrent bien la complexité à agir efficacement et de manière sécurisée sans un plan défini à l’avance.

Pendant le PCA

Une fois le PCA appliqué, celui-ci doit être évalué de manière régulière, pour vérifier qu’il est toujours pertinent de l’appliquer. L’évaluation va se faire par rapport à de nombreux critères (légaux, financiers, matériaux, etc.) en fonction de la situation.

Lors de ces cellules de crise, différentes décisions peuvent être prises :

À noter que le PCA est destiné à être temporaire, celui-ci a une durée de validité limitée dans le temps. À la fin de cette date limite, l’une des solutions vues ci-dessus doit être appliquée.

Le PRA

Le Plan de Reprise d’Activité (PRA) permet, comme son nom l’indique, de relancer l’activité après une phase d’activité en mode dégradé. Le PRA est très souvent associé / inclus au PCA.

La relance de l’activité va être décidée par la cellule de crise si la menace devient acceptable pour l’entreprise ou si celle-ci n’est plus d’actualité. Cette relance va être progressive pour passer d’un mode dégradé à un mode « normal ».

Conclusion

Le PCA n’est pas uniquement valable pour les crises sanitaires tel que celle que nous connaissons actuellement. Il peut également être utile pour des attaques informatiques subies, des coupures de réseau ou d’électricité, etc.

Pour résumer, un PCA est recommandé à toutes les entreprises, quel que soit son secteur d’activité, sa taille, ou ses moyens financiers. Néanmoins, cette solution, seule, n’est pas suffisante pour gérer complètement votre système d’information. Pour passer au niveau supérieur, pensez au SMSI !

Compte tenu de la situation actuelle liée au COVID-19, de nombreuses entreprises se sont tournées vers le télétravail. Le télétravail est de manière très claire un avantage dans la lutte contre le COVID-19 mais également une nouvelle opportunité pour les hackers. Afin de participer à la mobilisation générale contre la propagation du COVID-19, Positive Thinking Company s’associe à l’effort collectif en proposant gratuitement l’expertise et l’analyse de la cybersécurité de votre entreprise.