– Les établissements assujettis prévoient un plan de secours informatique dans leur plan de continuité des activités.
Le plan de secours informatique doit répondre aux besoins exprimés par les utilisateurs dans les plans de continuité. Ce plan présente les besoins des utilisateurs pour maintenir la continuité de leurs activités les plus critiques dans différentes situations de perturbation, y compris celles correspondant à des cas extrêmes mais plausibles. Les établissements intègrent dans leur plan les besoins de continuité destinés à faire face à différents scénarios de cyberattaques.
Les besoins des utilisateurs figurant dans le plan de secours informatique sont récapitulés, pour les différentes activités critiques, sous forme notamment de «durée maximale d’interruption admissible » et de durée de «perte de données maximale admissible».
Le plan de secours informatique fixe les objectifs correspondant notamment pour le redémarrage du service et les fréquences de sauvegarde des données. Ils indiquent les moyens mis en œuvre pour respecter ces besoins pour chaque application et équipement matériel supportant ces activités critiques.
Les données sauvegardées sur bandes et/ou sur disques doivent faire l’objet d’une conservation dans un autre site que celui de production
