Pour le technicien qui intervient.
Pour chaque processus critique : RTO cible, RPO cible, dependances techniques (applications, infrastructure, données), dependances humaines (competences), dependances externes (fournisseurs). Cette cartographie est la base du PRA. Une seule dependance critique non identifiee suffit a faire echouer la reprise.
Une procedure de type 'restaurer la sauvegarde' n'est pas une procedure. Documenter : qui declenche, quels prerequis, quelles etapes detaillees, quelles verifications, qui valide la reprise. Tester la procedure avec un collaborateur qui ne la connait pas pour valider qu'elle est suffisamment explicite.
Une procedure non connue n'est pas une procedure. Former régulièrement les equipes opérationnelles a leurs taches en cas de crise : restauration de sauvegarde, bascule réseau, communication. Une formation annuelle minimum, et a chaque changement de procedure. Conserver les preuves de formation.
Pour le responsable / gestionnaire.
Pour chaque processus critique : RTO cible, RPO cible, dependances techniques (applications, infrastructure, données), dependances humaines (competences), dependances externes (fournisseurs). Cette cartographie est la base du PRA. Une seule dependance critique non identifiee suffit a faire echouer la reprise.
Le PCA et le PRA reposent sur un bilan d'impact (Business Impact Analysis) qui identifie les processus critiques et leurs délais de tolerance. ISO 22301 et la directive NIS2 imposent un BIA documenté et reactualise. Sans BIA, le PRA ne peut pas etre dimensionne correctement : il sera soit surinvesti soit insuffisant.
Une procedure de type 'restaurer la sauvegarde' n'est pas une procedure. Documenter : qui declenche, quels prerequis, quelles etapes detaillees, quelles verifications, qui valide la reprise. Tester la procedure avec un collaborateur qui ne la connait pas pour valider qu'elle est suffisamment explicite.
Les contrats avec les fournisseurs de site de secours (datacenter froid, cloud, prestataires telecom) doivent etre verifies annuellement : engagements RTO/RPO, capacite reservee, procedure de bascule, conditions financieres. Un contrat oublie ou expiré decouvre lors de la crise est un risque majeur.
Une procedure non connue n'est pas une procedure. Former régulièrement les equipes opérationnelles a leurs taches en cas de crise : restauration de sauvegarde, bascule réseau, communication. Une formation annuelle minimum, et a chaque changement de procedure. Conserver les preuves de formation.
En crise majeure (ransomware, incendie datacenter), le PRA stocke sur le SI compromis devient inaccessible. Maintenir une version papier ou stockee hors ligne (clé USB chiffree dans coffre) des procedures critiques. Les coordonnees des contacts clés doivent egalement etre disponibles hors SI.
Pour l'auditeur et le contrôle de conformité.
Le PCA et le PRA reposent sur un bilan d'impact (Business Impact Analysis) qui identifie les processus critiques et leurs délais de tolerance. ISO 22301 et la directive NIS2 imposent un BIA documenté et reactualise. Sans BIA, le PRA ne peut pas etre dimensionne correctement : il sera soit surinvesti soit insuffisant.
Les contrats avec les fournisseurs de site de secours (datacenter froid, cloud, prestataires telecom) doivent etre verifies annuellement : engagements RTO/RPO, capacite reservee, procedure de bascule, conditions financieres. Un contrat oublie ou expiré decouvre lors de la crise est un risque majeur.