La dépendance des entreprises à l’égard du système d’information a historiquement augmenté. Selon le Clusif (Club de la sécurité de l’information français), huit entreprises sur dix estiment qu’une indisponibilité de moins de 24 heures de leur système d’information est lourde de conséquences (95 % dans la banque-finance).
Un plan de continuité d’activités devient indispensable pour éviter les catastrophes, en définissant plusieurs niveaux de vulnérabilités : faible, sensible, critique, stratégique.
1. Les enjeux
La dépendance des entreprises à l’égard du système d’information a historiquement augmenté. Selon le Clusif (Club de la sécurité de l’information français), huit entreprises sur dix estiment qu’une indisponibilité de moins de 24 heures de leur système d’information est lourde de conséquences (95 % dans la banque-finance). Cette proportion est relativement stable depuis 2010, mais elle avait fortement augmenté au début des années 2000.
Les systèmes d’information peuvent être soumis à des chocs externes (terrorisme, tremblement de terre, inondation, piratage…), mais aussi internes (erreurs, attaques internes, pannes…). D’où l’importance d’un plan de continuité d’activités (PCA) ou de services. Un PCA est un plan d’action écrit et complet, qui expose les processus et détermine les procédures organisationnelles, techniques et les systèmes nécessaires pour poursuivre ou rétablir la continuité du service d’une entreprise.
La disponibilité se définit comme la capacité d’un système d’information à pouvoir être utilisé à tout moment, en fonction des performances prévues. À tort, la disponibilité est perçue comme allant de soi, mais de nombreux exemples de rupture de performances, y compris concernant des acteurs du cloud, montrent que ce n’est pas le cas.
Si personne ne peut contester la nécessité de disposer d’un plan de reprise des activités, les entreprises françaises souffrent d’un étrange paradoxe. D’un côté, il est indéniable, et peu de dirigeants d’entreprises le contestent, que les systèmes d’information forment l’épine dorsale du fonctionnement opérationnel des entreprises et, de fait, de leur compétitivité.
De l’autre, les réflexions et les actions engagées par ces mêmes dirigeants (et ceux qui ont la tâche de gérer au quotidien les systèmes d’informations) pour garantir la disponibilité de ces ressources vitales, n’apparaissent guère probantes. Comment expliquer un tel paradoxe entre le sentiment de dépendance et le sentiment de sécurité ?
Plusieurs raisons peuvent être avancées. La première concerne un phénomène qui n’est pas propre à l’informatique, mais que l’on retrouve dans la plupart des problématiques de sécurité individuelle ou collective, comme par exemple les problèmes de sécurité routière ou de dépendance aux drogues : on sous-estime les risques et, parallèlement, on surestime sa capacité à réagir, phénomène classique en matière d’accidentologie et de victimologie.
La seconde raison fait référence à la confiance dans la robustesse des technologies, sentiment qui reste très répandu parmi les managers et les dirigeants d’entreprises. La troisième raison tient à des comportements de management, notamment dans l’affectation de ressources pour anticiper des phénomènes dont la probabilité de survenance reste faible.
Il s’agit d’un phénomène classique d’arbitrage budgétaire que l’on retrouve aussi en matière d’assurance individuelle. Certes, la conscience du risque progresse, mais il n’y a pas encore, aujourd’hui, de véritable identification entre le risque technologique et le risque business.
2. Comment faire ?
Les principaux fondamentaux de la gestion de la continuité d’activité sont les suivants :
- Sensibiliser les décideurs (DG et managers).
- Organiser (tableaux de bords de suivi) et préparer la cellule de crise décisionnelle.
- Organiser la communication (direction de la communication entreprise).
- Préparer les plans de continuité métier, logistique et informatique en fonction des activités stratégiques définies dans la politique de sécurité.
La finalité d’un plan de continuité est de définir, de mettre en œuvre et de valider les procédures à suivre dans les cas de dysfonctionnement et d’interruption du système d’information : depuis une simple interruption de service (de quelques minutes à quelques heures) jusqu’à la catastrophe (arrêt pendant plus d’une semaine), en passant par la situation critique (une journée) et la panne sévère (entre une journée et une semaine).
L’intérêt d’établir une telle classification, selon le niveau de cette criticité, est double : elle permet, d’une part, d’obtenir un consensus dans l’entreprise vis-à-vis des conséquences des sinistres. Et, d’autre part, elle facilite l’activation du plan en fonction des types d’incidents.
Trois étapes sont indispensables pour parvenir à cette fin :
- une analyse des risques,
- un état des lieux,
- la construction d’un plan de continuité.
a. Analyser les risques
L’analyse des risques est liée à l’indisponibilité des systèmes d’information. Il s’agit de connaître le délai de reprise de l’activité informatique et télécoms et de répondre à plusieurs questions fondamentales :
- Quelle est la perte de données admissible pour les métiers concernés par l’événement ?
- Combien coûte cet arrêt non planifié ?
- Quels moyens humains et financiers faut-il mobiliser pour revenir à l’état initial ?
Sur le plan financier intervient la notion d’assurance, avec la question suivante : jusqu’à quel montant l’entreprise ou l’organisation est considérée comme son propre assureur ? Cela revient-il à déterminer le risque maximum tolérable ou admissible, pour la cible étudiée ?
On pourra ainsi avoir une idée plus précise du retour sur investissement. Pour l’évaluer, il convient de prendre en compte les investissements (matériels, logiciels, services, charges de travail) et les coûts récurrents (maintenance, licences, tests et exercices).
Déterminer le montant d’un sinistre et le délai de reprise repose sur une analyse de risque, par la méthode des scénarios. La méthode est inductive, elle part d’un cas particulier (le scénario) pour induire le coût de l’indisponibilité pour ce scénario, ainsi que le délai de reprise après sinistre avec les moyens techniques disponibles.
Le choix d’un bon scénario (sinistre total ou sinistre partiel) suppose que soient définis le périmètre, les objets (éléments techniques et financiers), ainsi que les causes (accidents, malveillance). S’il n’est possible d’établir que deux scénarios, pour des raisons de temps et d’argent, il faut privilégier les scénarios de sinistre total, afin de respecter le principe d’extension maximal du sinistre.
Les scénarios, qui doivent tous être crédibles, peuvent, par exemple, prendre en compte :
- un arrêt du réseau,
- la destruction d’une partie du datacenter,
- le vol de données sensibles,
- le départ de collaborateurs clés,
- la défaillance d’un fournisseur de cloud,
- une attaque virale.
Chaque scénario regroupe plusieurs éléments : les causes (accidents, malveillances, erreurs…), l’origine (interne, externe), les conséquences (financières et non financières, pertes directes et indirectes), ainsi que les risques d’extension. On intègrera également les modes de reprise de l’activité et le planning.
b. Auditer l’état des lieux
Cette étape permet de passer au crible les principaux critères de disponibilité et de traçabilité pour la cible concernée. En effet, un plan de continuité se définit sur la base d’un état des lieux précis pour la cible étudiée. Cet audit joue le rôle d’analyse des fondations pour bâtir le plan de continuité.
Des travaux préparatoires s’imposent donc pour pouvoir bâtir un plan de continuité techniquement correct, qui permettra un redémarrage dans le délai imparti par la direction générale, en fonction des contraintes métier et du coût de l’indisponibilité.
Cette phase permet de disposer des conditions nécessaires pour pouvoir construire un plan de continuité : c’est le socle technique de base, des données et des moyens humains et techniques. L’audit permet également de distinguer les différents niveaux de criticité pour les métiers. On peut ainsi retenir quatre niveaux :
- Le niveau stratégique correspond à tout métier ou activité dont une interruption du service supérieure à trente minutes occasionne des dommages humains et matériels, dont la perte financière est susceptible d’atteindre la couverture des fonds propres très rapidement (par exemple les activités de marchés…).
- Le niveau critique correspond à tout métier ou activité dont une interruption du service supérieure à 24 heures occasionne une perte financière, qui peut atteindre rapidement des niveaux estimés conséquents pour l’établissement financier (par exemple pour une grande banque : 100 à 500 millions d’euros).
- Le niveau sensible correspond à tout métier ou activité dont une interruption du service supérieure à 72 heures occasionne des dommages organisationnels et financiers, susceptibles de porter sérieusement atteinte à l’image de marque de l’entreprise et faire perdre des clients.
- Le niveau faible correspond à toute interruption dont les préjudices sont estimés acceptables indépendamment de la durée.
c. Élaborer le plan de continuité
Après avoir analysé les risques financiers et réalisé l’état des lieux, l’entreprise dispose d’un socle technique minima pour pouvoir bâtir un plan de continuité.
Les moyens de sécurité mis en œuvre doivent être cohérents par rapport aux enjeux (ce qui suppose qu’ils soient correctement évalués) et les uns par rapport aux autres. On doit ainsi éviter d’investir trop par rapport à des enjeux qui ne seraient pas significatifs et, inversement, de sous-estimer l’impact des risques catastrophiques en n’investissant pas suffisamment.
De même, il convient de respecter un équilibre et une cohérence d’ensemble entre les moyens. Il ne faut pas trop privilégier la sécurité logique au détriment de la sécurité physique, et inversement.
Les fondamentaux du plan s’organisent en cinq chapîtres :
- Définition de l’objet du document et de sa destination
~ Le niveau d’indisponibilité envisagé
~ La stratégie de continuité de l’activité : métier, informatique, logistique…
~ L’organisation de la continuité des activités
~ La planification et la répartition des responsabilités
- Définition des plans d’actions par processus stratégique
~ Nomination des responsables de la continuité
~ Analyse d’impact (BIA : Business Impact Analysis)
~ Description du ou des scénarios de risque retenus (choc extrême)
~ Détail du processus et des procédures opérationnels à mettre en œuvre
- Mise en place de l’environnement de travail des métiers
~ Les équipes, l’implantation des personnels, les moyens à disposition
~ La stratégie de communication avec la direction de la communication
- Mise en place de l’environnement informatique
~ Bâtiments et bureaux prévus pour les personnels
~ Logistique d’énergie et télécommunications (EDF, eau, PABX, communication Internet, Intranet…)
~ Site de secours
~ Installation des matériels ou mise en ordre de marche (postes de travail, serveurs de messageries, d’applications…)
~ Restauration nécessaire de certaines sauvegardes (fichiers, applications…)
- Continuité de l’activité
~ Information des personnels sur le contexte de reprise
~ Échanges avec la cellule de crise opérationnelle
~ Retour sur les lieux d’origine (si envisageable en fonction du scénario de risque)
~ Maintien en condition opérationnelle (MCO)
3. Les points d’attention
a. Maintenir la continuité dans la continuité
Sur le terrain, il y a souvent une déperdition importante entre l’idée qu’un plan de continuité est nécessaire (quasiment 100 % des dirigeants et managers d’entreprises en sont convaincus), le fait d’en élaborer un, de le réussir, de le tester et le maintenir en conditions opérationnelles. Si l’on se base sur les chiffres du Clusif (Club de la sécurité de l’information français), on obtient le cheminement suivant :
- Nécessité d’un plan de continuité : 100 % de « Oui, nous en avons besoin »
- « Nous avons élaboré un plan de continuité » : environ 75 %
- « Nous l’avons testé au moins une fois » : environ 50 %
- « Il est maintenu en conditions opérationnelles » : environ 35 %
- « Nous avons un processus d’escalade » : environ 30 %
- « Nous avons une cellule de crise équipée » : environ 15 %.
b. Savoir identifier les processus critiques
Savoir identifier les processus critiques est un exercice essentiel qui, malgré les apparences, n’est pas simple. Il faut savoir distinguer ceux qui sont critiques pour l’entreprise (services financiers, e-commerce, production…) et les métiers (ERP, paie, prise de commandes)… L’une des difficultés réside dans la tentation, encouragée par les métiers, de considérer que tout est critique et que tous les processus doivent supporter des reprises à 100 % en quelques minutes, quel qu’en soit le coût.
c. Faire simple
Le principe selon lequel ce qui n’est pas compris ne sera pas exécuté s’applique également aux plans de continuité. Les risques d’incompréhension, voire de conflit, ne sont pas à négliger. L’un des principes consiste à limiter au strict minimum le nombre de réunions et de comités de pilotage, afin d’éviter les contradictions et les redondances d’actions.
d. Bien définir le partage des responsabilités
Savoir qui fait quoi est une condition nécessaire pour qu’un plan de continuité soit efficace. Les risques sont un sous-dimensionnement des ressources, qui aboutit à un empilement de responsabilités sur quelques-uns ou, au contraire, une dilution sur un grand nombre de parties prenantes, sans vision et pilotage d’ensemble. Cet aspect est notamment crucial en cas de crise. Il faut vite savoir qui est responsable du déclenchement du plan de continuité (DSI, DG, métiers…), qui sont les membres de la cellule de crise (le DSI doit en faire partie), qui sont les personnes concernées en fonction des scénarios et qui doit faire quoi. Il s’agit de décrire les tâches de chacun et les moyens (budget, ressources humaines, outils logiciels, consultants externes, etc.) mis à disposition.
e. Disposer d’une méthodologie, voire d’un logiciel
Si le choix a été fait avec pertinence et répond aux besoins de l’entreprise, s’aider d’une méthodologie et d’un outil logiciel constitue une aide précieuse et un gain de temps. Il n’est pas forcément pertinent de choisir ce qui est considéré comme la meilleure solution du marché si elle ne répond pas aux besoins, car trop riche en fonctionnalités ou trop complexe à mettre en œuvre.
Le degré de dépendance des entreprises françaises de plus de 200 salariés vis-à-vis de leur SI | |||||
Dépendance vis-à-vis du SI | 2001 | 2006 | 2010 | 2012 | 2014 |
Forte | 55 % | 73 % | 80 % | 81 % | 77 % |
Modérée | 35 % | 26 % | 19 % | 18 % | 22 % |
Faible | 10 % | 1 % | 1 % | 1 % | 1 % |
Source : Clusif. |
Approche par les scénarios : les erreurs à éviter | ||
Bonne pratique | Á faire | Á ne pas faire |
Combattre le réflexe de prendre des décisions basées sur ce que l’on sait déjà | Identifier toutes les tendances qui affectent les métiers de l’entreprise et ses marchés | Se contenter de l’information disponible |
Ne pas attribuer trop de poids à des événements peu probables | Évaluer et prioriser les tendances avec des approches qualitatives | Se focaliser sur des chiffres dès le début de l’exercice |
Ne pas croire que le futur n’est qu’une projection du passé | Construire les scénarios autour des incertitudes critiques | Déléguer à des collaborateurs inexpérimentés |
Combattre la trop grande confiance et l’optimisme excessif | Évaluer l’impact de chaque scénario et identifier des alternatives | Privilégier un scénario de maniЏre à occulter les autres |
Encourager le débat ouvert | Instaurer une discipline dans le processus | Sous-estimer l’impact des interactions individuelles |
Source : McKinsey. |
Les dix invariants de la continuité d’activités
- Sensibiliser la direction générale et les directions aux risques susceptibles de mettre en cause la pérennité de l’entreprise.
- Nommer les responsables (RPCA, RSSI, DSI, …) chargés de la coordination de l’ensemble des tâches et organisations afférentes à la continuité des activités.
- Mettre en place une cellule de crise décisionnelle et sa dépendance tactique et opérationnelle.
- Recenser les logiciels susceptibles d’aider à la conception, la mise en œuvre des plans de continuité métiers, informatiques et télécommunications.
- Faire une analyse de risque en terme d’impact, afin de classifier les activités (stratégiques, sensibles, faible risque).
- Déterminer les scénarios ou ensemble de scénarios à retenir (chocs extrêmes).
- Rédiger les plans de continuité métier et les plans de secours informatique, ainsi que toutes les annexes et procédures pratiques qui y sont attachées.
- Faire des exercices et tests qui permettent de s’assurer du caractère opérationnel des plans.
- Mettre en place les processus et procédures de maintien en condition opérationnelle (mise à jour des scénarios de risque et des plans).
- Faire des revues qualité régulières et déclencher un audit pour détecter les failles et les points restant à consolider.