Un DRP à jour

Le terme « DRP » signifie « Disaster Recovery Plan« . Rien de très folichon, en fait… Il s’agit concrètement de :

• lister les services informatiques dont on dépend ;
• identifier leur importance « existentielle » en lien avec l’organisation ;
• déterminer les composants de ces services ;
• identifier les menaces qui peuvent peser sur ces services ;
• définir les niveaux de services, c’est-à-dire ce que l’organisation accepte en termes d’interruptions de services (durées, étendues), de perte de données (destruction, chiffrements malveillants) ou encore de fuite d’information (dégât d’image, de réputation) ;
• mettre en place des mesures pour atteindre ces niveaux de services.

Par exemple, l’organisation peut très bien s’organiser pour fonctionner sans courriels pendant plusieurs jours, ou au contraire, elle décide qu’elle ne peut pas se passer de ce service plus d’un jour et dans ce cas, elle doit mettre en place des mesures si une menace survient et entraîne une telle interruption de service.

Dans le cadre d’un DRP, on définit ce qu’on accepte en termes de risques. Ce qu’on n’accepte pas, on le traduit en mesures et donc en moyens (argent, temps, assurances).

Ne pas réfléchir à un DRP, c’est faire preuve de déni et penser que les « désastres » n’arrivent qu’aux autres. Une fois que l’événement survient, il est souvent trop tard pour commencer à réfléchir à ce qu’on doit faire en priorité.

La cybersécurité fait partie intégrante d’une démarche DRP.