Vivre sans plan de continuité ? C’est possible pour quatre entreprises françaises sur dix selon les études du Clusif. Pourtant, les méthodologies d’élaboration des plans de continuité, de services ou d’activité, sont efficaces.
« Bien que la dépendance de l’activité de l’entreprise vis-à-vis de son informatique soit un fait acquis, nous constatons de grandes inégalités dans la maîtrise de la gestion de la continuité d’activité. Et 40 % des entreprises n’ont toujours pas mis en place un processus de gestion de la continuité d’activité », notait le Clusif (Club de la sécurité de l’information français) dans son rapport 2008 sur la sécurité informatique dans les entreprises françaises.
Pire, « un peu plus d’un quart d’entre elles (28 %), toutes tailles confondues, estiment avoir mis en place un processus de continuité d’activité couvrant l’ensemble de leurs activités critiques », ajoutait le Clusif. Les autres n’ont apparemment pas pris la mesure du problème.
Une démarche en trois étapes
Une démarche d’élaboration d’un plan de continuité repose sur trois étapes : une analyse des risques, un état des lieux et la construction d’un plan d’actions. La première étape est liée à l’indisponibilité des systèmes d’information.
Il s’agit de connaître, après un incident, le délai de reprise de l’activité informatique et télécoms, et de répondre à plusieurs questions fondamentales : quelle est la perte de données admissible pour les métiers concernés par l’événement ? Combien coûte cet arrêt non planifié ? Quels moyens humains et financiers faut-il mobiliser pour faire repartir l’informatique et les télécoms après sinistre ?
Au plan financier intervient la notion d’assurance de pertes d’exploitation. Autrement dit, jusqu’à quel montant l’entreprise ou l’organisation considérée est-elle son propre assureur ? Quel est le risque maximum tolérable ou admissible pour la cible étudiée (une application, un site, un métier, l’entreprise dans son ensemble…) ? A
u-delà de ce montant plafond, le risque doit logiquement être transféré auprès d’une compagnie d’assurance solvable. Le risque d’indisponibilité sera alors financièrement maîtrisé. Cette étape est indispensable dans la mesure où elle montre qu’il est inutile d’investir des dizaines de milliers d’euros dans une solution pour un risque de quelques milliers d’euros. Et inversement, qu’il est judicieux d’investir sur les points critiques.
La deuxième étape concerne l’audit de la sécurité, qui permet de passer au crible les principaux critères de disponibilité et de traçabilité pour la cible concernée. Un plan de continuité se définit sur la base d’un état des lieux précis et cet audit joue le rôle d’analyse des fondations pour bâtir le plan de continuité.
Comme pour le bâtiment, si les fondations sont mauvaises, il faut établir un socle minimum pour bâtir un édifice fiable. C’est pourquoi les notes d’audit sont analysées en commençant par la note la plus faible pour les pondérations les plus fortes.
Par exemple, si l’entreprise n’a pas de sauvegardes fiables ou de moyens de télécoms corrects (y compris Internet, bien sûr) pour pouvoir lancer la solution de secours, il n’est alors pas possible de redémarrer dans des conditions de service minimum acceptable. Cette phase permet de disposer des conditions nécessaires pour pouvoir construire un plan de continuité : c’est le socle technique de base des données (y compris voix et images) et moyens humains et techniques propres à la cible étudiée.
Troisième phase, la construction du plan de continuité. Après avoir analysé les risques financiers, on dispose d’un socle technique minimum pour pouvoir bâtir un plan de continuité. Que reste-t-il à faire ? Il faut choisir la solution ad hoc pour l’entreprise et la cible étudiée.
Le coût de l’indisponibilité et le délai de redémarrage sont connus. La direction générale ou les directions métiers ont fixé le délai limite de redémarrage après un sinistre en fonction des contraintes métiers et du coût de l’indisponibilité. Des travaux préparatoires ont été financés et le plus souvent engagés sur les facteurs clés : des sauvegardes et des réseaux télécoms par exemple. Il reste alors à préconcevoir des solutions et à les chiffrer.
Les moyens de sécurité mis en œuvre doivent être cohérents par rapport aux enjeux (ce qui suppose qu’ils soient correctement évalués) et les uns par rapport aux autres. On doit ainsi éviter d’investir trop par rapport à des enjeux qui ne seraient pas significatifs et, inversement, de sous-estimer l’impact des risques catastrophiques en n’investissant pas suffisamment.
De même, il convient de respecter un équilibre et une cohérence d’ensemble entre les moyens. Il ne faut pas trop privilégier la sécurité logique par rapport à la sécurité physique, et inversement. Une démarche de continuité de service repose sur un certain nombre d’invariants, dans les domaines suivants : la gestion du risque, l’analyse de l’impact métier, la gestion de crise, la planification, la gestion de la qualité, l’organisation et la communication.
Gérez les risques
L’un des éléments clés pour assurer la continuité des services de l’entreprise est de commencer par analyser les menaces et les risques pouvant affecter la survie de l’entreprise (processus métier critiques et organisation), avec l’aide des méthodologies existantes sur le marché (Marion, Mehari, Ersicap, Melisa, Ebios, etc.).
Ensuite, il s’agit de qualifier et quantifier si possible leur gravité à travers une grille d’aversion aux risques impact/potentialité. Ce travail d’analyse amène tout naturellement à une classification des risques selon une échelle à plusieurs niveaux.
Réalisez une BIA (Business Impact Analysis)
Partie intégrante de la gestion des risques, l’analyse de l’impact sur les processus métiers (BIA) est incontournable et implique un investissement des métiers de l’entreprise, car ce sont les seuls à pouvoir estimer les impacts avec pertinence et justesse, face à un scénario donné, notamment pour les dommages subis, la perte financière occasionnée, le délai de reprise et les éventuelles pertes tolérables de données, voire de décliner des orientations d’organisation métier susceptibles de réduire l’impact des risques sur l’activité. L’objet principal de la BIA est l’analyse détaillée des processus métiers et de leur impact sur le fonctionnement de l’entreprise. Cela passe par les cinq actions suivantes :
- l’analyse de tous les types d’événements susceptibles d’avoir des conséquences négatives sur la continuité de l’activité de l’entreprise (référentiels du marché) ;
- le recensement et la sélection de ceux présentant un caractère plausible et concret face au contexte interne de la banque (climat social, etc.) et à la conjoncture économique des marchés ;
- la quantification des pertes pour chaque scénario (chocs extrêmes) ou types de scénarios étudiés (accidents, erreurs, malveillances), sans omettre la couverture assurance ;
- la détermination de la gravité du risque (risque maximum tolérable) et des seuils d’acceptabilité limites (durée d’interruption, délais de reprise, perte de données tolérables) ;
- l’établissement du lien entre la gravité du risque et la cartographie des processus métiers (personnes et biens, applications, sites, postes de travail, etc.).
Sachez gérer les situations de crise
Une crise se définit comme une « période d’incertitude, caractérisée par un certain désordre et une certaine instabilité », par une « période de marasme, d’affaiblissement, de tension, d’instabilité, de danger ». Les crises frappent sans discrimination. Elles ne sont plus limitées à des secteurs spécifiques et sensibles.
L’opinion selon laquelle une crise est forcément majeure et touche de façon totale une grande entreprise doit être remise en cause. Une crise peut en effet être d’une ampleur géographiquement et fonctionnellement limitée, toucher une petite structure mais occasionner des dégâts tout aussi importants pour l’image d’une entreprise, sa compétitivité (parts de marché) et ses finances.
Avec la puissance amplificatrice d’Internet, une crise limitée peut donc se transformer en crise majeure. Ce n’est pas lorsqu’une crise survient qu’il faut se préoccuper de son traitement. Si le système d’information subit des dysfonctionnements ou devient inutilisable, il est souvent trop tard. Il faut, au contraire, anticiper. Pour anticiper, il convient d’agir de manière préventive et réactive.
Le contenu d’un plan de gestion de crise
- Qui est responsable de son déclenchement (avec mise à jour à chaque changement). Le DSI ? La DG ? La direction de la communication ?
- Qui sont les membres de la cellule de crise (le DSI doit en faire partie) ?
- Qui sont les personnes concernées en fonction des scénarios ?
- Qui doit faire quoi ? Il s’agir de décrire les tâches de chacun et les moyens (budget, ressources humaines, outils logiciels, consultants externes, etc.) dont il dispose.
- Quels sont les scénarios types, avec leur déroulement et les conséquences opérationnelles pour l’entreprise ?
En situation de crise, la mise en œuvre immédiate de contre-mesures s’impose dès la phase aiguë, mais il faut éviter l’improvisation, la redondance inutile de l’information, l’alourdissement des tâches des acteurs opérationnels, la multiplicité des centres de décision et une communication désordonnée.
Planifiez la continuité d’activité
La planification de la continuité d’activité permet de prévoir les opérations élémentaires à réaliser (quoi, quand, où et qui). Cela peut concerner aussi bien la mise à jour que la création de programmes spécifiques, de procédures d’exploitation utilisateurs et/ou informatiques, etc.
Cette planification permet également d’inventorier les ressources nécessaires à la reprise, c’est-à-dire au retour progressif à un fonctionnement normal des opérations et/ou des services après une défaillance. Outre ces quelques points-clés, le pilotage des tests et des exercices doit relever de cette même démarche afin de s’assurer du caractère opérationnel du plan (déroulements et comptes rendus de synthèse) et de son maintien en condition opérationnelle (MCO).
Gérez la qualité
Le plan de continuité de l’activité doit, comme tout projet, être inclus dans un processus qualité, avec des indicateurs dédiés qui doivent permettre en particulier de vérifier que l’objectif à atteindre a obtenu l’approbation de la direction générale et qu’il est suffisamment précis et détaillé pour être compris de tous, de former, de sensibiliser les acteurs à l’importance d’être en état opérationnel permanent et de mettre en œuvre.
Le plan sert également à contrôler la qualité des processus et des procédures de continuité d’activité pour valider que les objectifs sont atteints (tableaux de bords, autocontrôle : déclenchement du plan à l’improviste, etc.), à vérifier le respect de la conformité aux règlements ou aux normes bancaires et à prendre les mesures correctives et d’amélioration utiles du fonctionnement du plan de continuité d’activité et de son maintien en condition opérationnelle : processus et procédures organisationnels et techniques (organisation du travail, implication des fournisseurs de service, etc.).
| Les points-clés pour élaborer un scénario de risque | |
| Chapitres du plan de continuité | Points à prendre en compte |
| Présentation du scénario | |
| Causes | Accidentelles, naturelles ou malveillantes |
| Type | Incendie, explosion, dégâts des eaux, virus, malveillance… |
| Origine | Interne ou externe |
| Conséquences | Matérielles, logicielles, humaines, organisationnelles… |
| Extension du sinistre | Considérer l’extension maximale dans les conditions les plus défavorables |
| Approche informatique et télécoms | |
| Mode de reprise actuel de l’informatique et des télécoms | Comment s’effectue la reprise des applications métiers stratégiques et avec quelles sauvegardes, quels moyens informatiques et télécoms ? |
| Planning de reprise | L’heure, la semaine, le mois ? |
| Conséquences du scénario pour l’activité de l’entreprise | Sur le chiffre d’affaires et la marge brute |
| Approche financière | |
| Pertes directes | Matériels, locaux, frais de remise en état… |
| Pertes Indirectes | Coûts supplémentaires informatiques et télécoms, expertises, ressources humaines, location, achat de logiciels, coûts de transport… |
| Estimation des pertes | Pertes de fonds, frais supplémentaires, pertes d’exploitation, responsabilité civile… |
| Assurances | Si l’assurance fait défaut, la totalité de la perte est à la charge des actionnaires de l’entreprise |
| Détermination du montant du sinistre brut | Somme des pertes directes et indirectes |
| Quatre niveaux de criticité | |
| Niveau stratégique | Tout métier ou activité dont une interruption du service supérieure à trente minutes occasionne des dommages humains et matériels dont la perte financière est susceptible d’atteindre la couverture des fonds propres de l’entreprise très rapidement. |
| Niveau critique | Tout métier ou activité dont une interruption du service supérieure à 24 heures occasionne une perte financière qui peut atteindre rapidement des niveaux estimés conséquents. |
| Niveau sensible | Tout métier ou activité dont une interruption du service supérieure à 72 heures occasionne des dommages organisationnels et financiers susceptibles de porter sérieusement atteinte à l’image de marque de l’entreprise et faire perdre des clients. |
| Niveau faible | Le niveau faible correspond à toute interruption dont les préjudices sont estimés acceptables indépendamment de la durée. |
| Plans de continuité : distinguer activité et services | |||
| Fréquence des risques | Impact | Stratégie | |
| Plan de continuité d’activités | Faible à très faible, par exemple : incendie, terrorisme, malveillances graves… | Risque de disparition de l’entreprise. | Nécessité de trouver un site de secours. Il faut pouvoir redémarrer l’activité métier de l’entreprise, en général à l’extérieur de son site d’origine. Cela concerne en priorité l’activité informatique et télécoms. |
| Plan de continuité de service |
Élevée à très élevée, par exemple : attaques virales, erreurs d’exploitation, dysfonctionnements des serveurs, pannes matérielles… | Les impacts se situent au niveau des services que doivent rendre les systèmes d’information des entreprises à leurs clients (business, notoriété, respect des lois et de la réglementation, systèmes transactionnels. par exemple dans les environnements de l’e-commerce), aussi bien en interne qu’en externe. | Nécessité d’assurer la disponibilité des ressources informatiques et télécoms. |
| Source : la pérennité du SI, Dunod, 2007. | |||
Best practices pour le choix d’un prestataire
Le choix d’une solution de continuité impose la rédaction d’un appel d’offres et se traduit par la signature du contrat de prestation avec un hébergeur. Deux étapes durant lesquelles il convient d’être vigilant.
- Pour optimiser son choix, adressez votre dossier d’appel d’offres à au moins trois hébergeurs potentiels.
- Définir précisément la cible de continuité et son contenu : en particulier les matériels informatiques et télécoms et fournissez, confidentiellement, un schéma du réseau informatique et télécoms à la société d’hébergement.
- Privilégiez le choix d’une solution de continuité de services ou de continuité d’activité avec hébergement des salariés de l’entreprise.
- Définissez les besoins de réseaux télécoms sans oublier Internet et l’intranet et l’accès sécurisé aux e-mails de chacun y compris pour le personnel nomade.
- Précisez le type de solution demandée : fixe ou mobile (la solution télécoms doit être incluse dans chaque type de solution, ainsi que le temps de mise à disposition de la salle informatique et télécoms après le sinistre).
- L’appel d’offres doit prendre en compte le nombre de postes de travail de l’ensemble des salariés de l’entreprise. L’équipe de salariés qui travaillera dans la société d’hébergement viendra en plusieurs vagues successives avec des délais de plus en plus long après le sinistre. Il faut en tenir compte dans l’appel d’offres pour que la société d’hébergement puisse donner un prix pour ce service.
- Le contrat de prestation doit apporter des réponses détaillées et précises à l’appel d’offres. Il doit être d’une durée d’engagement déterminé de un à cinq ans, avec des prix dégressifs selon la longueur de la durée contractuelle. Par ailleurs, le prix des tests et la durée de mise à disposition du site doivent être précisés.
- Effectuez un test avant ou tout de suite après la signature du contrat. S’il faut faire des aménagements entre le site de la société cliente et l’hébergeur, notamment les liens télécoms, cela va retarder le processus et il faut être couvert le plus tôt possible par un contrat d’hébergement pour les accidents et les malveillances éventuelles.
- Le choix des matériels doit répondre à une procédure précise définie pour toute l’entreprise. Une centralisation permet à la DSI d’avoir une visibilité sur le parc matériel : qui possède quoi et qui utilise quoi. Cette homogénéité est associée au domaine logiciel, par exemple pour les antivirus ou les utilitaires d’administration (pour les postes de travail et les serveurs).
- Assurez-vous que les fonctionnalités des équipements de secours ne sont pas sur ou sous-dimensionnés, notamment en fonction des évolutions futures des besoins et de l’architecture des systèmes d’information
- Étudiez les connexions des équipements (au réseau électrique, au réseau local, au réseau téléphonique) avant l’installation, notamment pour adapter la longueur des câbles de connexion. Les utilisateurs connaissent particulièrement bien ces contraintes car ils y sont confrontés de manière régulière. Par ailleurs, une étude de l’environnement des utilisateurs permet de limiter la concentration d’équipements dans un même bureau (dégagement calorifique trop important).
- Vérifiez que votre prestataire ne fait pas l’objet de conflits, de procès ou des différends commerciaux ou de problèmes de qualité/fiabilité des matériels.
- Il est important de préciser les relations entre les fournisseurs, les services techniques de l’entreprise, le service informatique, les utilisateurs et tout autre organisme impliqué dans l’installation des matériels (par exemple les sociétés de financement, les sociétés de services, les distributeurs, la société de maintenance, etc.). Généralement, c’est le service utilisateur, en association avec le service informatique, qui prépare l’installation. Il importe donc d’établir un planning d’installation, sous forme de check-list.