À l’aide d’un PCA, une organisation s’efforce d’être préparée, afin de répondre de la façon la plus efficace et la plus rapide à un imprévu. Il s’agit souvent de mesures assez simples à mettre en place, de réflexions de bon sens. La question majeure qui guide la création d’un PCA est la suivante : quelles sont les actions spécifiques que vous mettriez en place pour vous préparer à ce genre d’événement ?
Concrètement, la première étape d’un PCA consiste à établir une politique interne. Soit un document écrit, assez court, qui énonce les objectifs de la PCA. Car, selon le contexte, la taille de l’entreprise, son activité etc., les risques seront différents. Et donc les réponses le seront également. Incendie, panne informatique, cyberattaque, rupture d’alimentation,… Chaque risque doit être évalué, chaque scénario développé (probabilité, impacts) et des réponses spécifiques doivent être envisagées et adressées.
La définition des objectifs est l’élément clef du PCA. Il est crucial de réunir l’ensemble des parties prenantes et de réfléchir avec elles aux risques et aux réponses. Une fois ces notions qualifiées et quantifiées, il faut s’assurer que tout le monde les comprenne et les admette, afin d’éviter les différends.
Vient ensuite la définition des RPO et RTO. Le RPO ou Recovery Point Objective correspond à la durée maximale de sauvegarde des données perdues que l’organisation peut supporter de perdre. Quelles pertes de données sont tolérables ? Faut-il effectuer une sauvegarde (back-up) toutes les 24 h, toutes les 48h, une fois par semaine ? Quant au RTO ou Recovery Time Objective, c’est le délai que l’entreprise peut supporter avant la remise en route de l’activité, sans que cela compromette la survie de l’organisation : factures à régler, publications légales à effectuer… Certaines échéances ne peuvent être ignorées.
