Continuité d’activité IT : avez-vous un plan B ?

Continuité d'activité informatique

Peignons le diable sur la muraille : votre système d’information est attaqué, et tout s’arrête. Les plus téméraires s’en remettront à leur chance, en croisant les doigts. Mais les plus prévenants auront anticipé les choses. En mettant en place un plan de continuité d’activité informatique, qui leur permettra de vivre cet événement plus sereinement. Voire de survivre. Voyons comment.

Notre esprit est ainsi fait : il éloigne inconsciemment les événements qui nous effraient, en nous évitant de les préparer comme il le faut. Les cyberattaques d’entreprise n’échappent pas à cette règle. Vous savez, celles qui risquent de paralyser votre activité, et de mettre à mal votre PME. Les raisons de mettre en place un plan de continuité sont pourtant nombreuses, et bien réelles.

Alors, même si votre cerveau vous incite à remettre ce dossier à plus tard, voici quelques éléments pour vous montrer que les choses ne sont pas insurmontables. Et que quelques initiatives bien senties pourraient vous épargner bien du tracas. Exemples à la clé.

Etape 1 : évaluer les risques

Votre PME reste une petite entreprise. Cela signifie qu’elle doit garder de la flexibilité dans son activité de tous les jours. Et qu’elle ne dispose pas de moyens illimités (mais si c’est le cas, tant mieux). La phase d’évaluation est donc essentielle : elle vise à déterminer vos besoins informatiques vitaux pour continuer à travailler, même en mode dégradé.

Cette étape a pour objectif de cartographier l’ensemble de vos ressources IT, et à leur donner un poids. Cette identification des ressources suffisantes et nécessaires pour reprendre une activité – presque – normale est vitale pour la suite des opérations, car elle définira les axes de priorité pour mettre en place des contre-mesures en cas d’attaque informatique.

Un exemple ? Votre réseau d’entreprise n’est probablement pas une ressource critique. S’il était attaqué, il vous suffirait de l’arrêter – pour contrer tout propagation – et de renvoyer tous les collaborateurs à la maison pour qu’ils retrouvent une connexion Internet. Cela implique évidemment qu’ils soient capables de télétravailler. En revanche, votre application métier ou votre messagerie trouveront difficilement un remplaçant. Vous ne voulez pas basculer tout le monde sur des comptes Gmail gratuits tout de même ?

Etape 2 : décider des moyens à mettre en place

A l’issue de cette première phase, vous aurez pu déterminer vos prérequis a minima pour poursuivre votre activité. Ce qui n’est pas essentiel sera tout simplement ignoré. Afin que vous vous concentriez sur les éléments critiques pour votre survie informatique. A ce stade, vous progresserez sur deux axes distincts : les améliorations d’une part, et la remédiation d’autre part.

Comme il sera toujours plus simple de prévenir que de guérir, attelez vous à vérifier si vos services essentiels disposent du meilleur niveau de protection possible. Si ça n’est pas le cas, assurez-vous de mettre en œuvre les mises à niveau nécessaires. Prenons un exemple : si votre messagerie d’entreprise n’est pas protégée par une double authentification MFA, mettez la en place, tout en garantissant que tout nouveau compte n’échappera pas à cette règle. Cela permettra probablement d’éviter le pire dans certains cas.

En parallèle, décidez quelles alternatives vous mettrez en place pour vos services critiques. Là encore, vous procéderez en deux phases : identification des scénarios, et couverture des risques de chacun d’entre eux. Et avant même que vous le demandiez, voici un nouvel exemple : si vous perdez le contrôle de votre messagerie, il conviendra d’en préparer une de secours, prête à accueillir d’éventuelles sauvegardes de vos boîtes email. Autre cas : la perte de votre nom de domaine. Si votre outil de gestion de DNS est piraté, vos emails pourront être détournés. Vous devrez donc vous rabattre sur votre messagerie de secours, mais avec un nom de domaine alternatif.

Etape 3 : déployer votre plan de continuité d’activité

Bien, maintenant que vous savez quoi faire, il n’y a plus qu’à mettre les mains dans le cambouis. Et déployer les différents éléments de votre plan de continuité d’activité. Mais pas n’importe comment. Si cette étape paraît simple, elle ne doit cependant pas être prise à la légère. Il vous revient en effet de ne pas déplacer les risques et donc de bien séparer les différents environnements, production et plan de continuité respectivement.

Cela passe donc par une mixité de fournisseurs et de solutions techniques, le but étant de ne pas se faire pirater aussi votre environnement de continuité. Imaginons que Microsoft 365 soit attaqué demain, et que votre messagerie soit chez le géant du logiciel. Si vous avez opté pour une sauvegarde Cloud de vos boîtes chez le même fournisseur et que celui-ci se trouve sous le feu d’une attaque, vous risquez de tout perdre en une fois, boîtes et sauvegardes.

C’est un peu comme si vous disposiez d’une connexion Internet de secours mais que celle-ci passe par le même chemin que la connexion primaire : la pelleteuse, au moment de tout sectionner, ne fera pas la différence. Vous prendrez donc de soin de bien évaluer les solutions de secours avant de les mettre en œuvre.

Etape 4 : tester, encore et toujours

Maintenant que tout est prêt et opérationnel, vous pouvez dormir sur vos deux oreilles, pensez-vous. Pas tout à fait, en fait… Une bonne solution de secours est une solution que vous testez régulièrement. Faute de quoi elle pourrait s’avérer inutile ou inopérante le jour J. Nous avons pour habitude de dire que ce jour-là, vous ne pourrez plus être dans la réflexion, mais bel et bien dans l’action.

Cela implique de savoir exactement quoi faire pour traiter les scénarios que vous avez préalablement définis. Mais aussi de connaître le résultat exact de la mise en œuvre de vos outils de secours. Parce vous les avez expérimentés à blanc par le passé.

Une des techniques classiques consiste à mettre en place des éléments témoins dans votre infrastructure, qui ne sont pas utilisés au quotidien par les collaborateurs mais dont vous connaissez l’état. Ils vous permettront de juger par exemple de l’efficacité de votre plan de backup d’email : puis-je récupérer le message témoin reçu il y a deux jours ? puis-je revenir suffisamment en arrière dans l’historique de mes fichiers pour contrer un ransomware actif depuis 3 jours ?

Ces tests devront être planifiés à intervalles réguliers, ce qui garantira la fiabilité de votre plan de continuité d’activité. Il ne vous restera alors plus qu’à organiser les choses. Car basculer sur un plan de continuité d’activité est une décision lourde, que seuls les responsables de l’entreprise pourront prendre. En évaluant le bénéfice et le risque, sur la base d‘indicateurs factuels et non pas sur des critères émotionnels. Ils n’auront pas leur place dans ce moment particulièrement critique.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Les plans B ne sont pas réservés aux grandes entreprises. Contactez-nous pour définir le vôtre… et dormir tranquille.