Le management de la continuité d’activité de l’entreprise est indispensable pour renforcer la résistance de l’entreprise et son système d’information face aux situations de crise. Encore faut-il disposer des bonnes méthodologies et assimiler les meilleures pratiques.
Quelquefois, il est trop tard. Mais, le plus souvent, l’anticipation et l’application du principe de précaution permettent d’éviter bien des désagréments aux DSI et aux responsables sécurité et, de fait, à toute l’entreprise.
On sait depuis longtemps que les systèmes d’information forment des zones à risques, qui se sont étendues à mesure que l’informatique distribuée, les réseaux et Internet ont pénétré toutes les couches de l’entreprise. Pour Emmanuel Besluau, consultant en sécurité, « un grand nombre d’entreprises ne survivraient pas à une interruption de leur système d’information pendant seulement trois jours ».
Le constat de l’auteur est plutôt sévère : la continuité d’activité ne suscite pas suffisamment l’attention des directions générales et, lorsqu’ils existent, les plans de reprise demeurent cantonnés à des scénarios simples, trop simples, centrés sur les moyens.
« Les directions de la production informatique ont tendance à mettre en place des solutions ambitieuses qui, en l’absence d’une perspective sur les services utilisateurs, laissent des lacunes importantes. » De fait, des investissements parfois lourds paraissent disproportionnés dès lors que des zones d’ombre subsistent dans la chaîne des risques.
Management de la continuité d’activité, assurer la pérennité de l’entreprise : planification, choix techniques et mise en œuvre, par Emmanuel Besluau, Eyrolles, 2008, 254 pages, 39 euros.
La démarche proposée par l’auteur est simple et pragmatique. La première étape consiste à apprécier les risques, à évaluer les options et à prendre les décisions qui conviennent. Une menace se caractérise généralement par trois éléments : « Elle a des conséquences considérées comme nuisibles à l’activité (sur les ressources humaines, matérielles et immatérielles), elle possède une probabilité d’occurrence et elle a une origine, qui peut être technique, humaine, ou naturelle. »
Ces trois caractéristiques influencent les moyens qui seront mis en œuvre pour prévenir les menaces : les accepter, les éviter, les réduire ou les transférer. « Une menace globale fait l’objet d’une décomposition en « sous-menaces » plus faciles à cerner ou à éliminer », conseille l’auteur. Deuxième étape : l’analyse de l’impact sur les activités de l’entreprise.
« La Business Impact Analysis consiste à étudier comment les sinistres, lorsqu’ils se produisent, affectent le déroulement des activités de l’entreprise, l’attention se porte sur les activités dites critiques, c’est-à-dire les plus vitales pour l’entreprise et dont la perte est la plus grave pour elle. » Ensuite, dans un troisième temps, il convient de développer une stratégie de continuité, qui prend appui sur l’expression des besoins en termes de reprise, l’étude des options possibles, en fonction de contraintes liées aux spécificités des métiers et des coûts.
Pour l’auteur, cette phase de production d’une stratégie de continuité nécessite cinq étapes : à partir de l’analyse d’impact, les besoins sont affinés, les solutions possibles et réalistes sont passées en revue, les délais inhérents aux solutions proposées sont déterminés, les coûts et la faisabilité sont calculés et il reste à documenter la stratégie.
Les critères d’évaluation suggérés par l’auteur portent sur la facilité ou la difficulté de mise en œuvre et d’activation, le coût total, le niveau de qualité, la degré de sécurité, la maîtrise opérationnelle et technique.
L’élaboration du plan de continuité proprement dit passe par trois domaines d’actions incontournables. D’abord, la définition des missions et des responsabilités des acteurs, ensuite, la planification des activités et, enfin, les tests.
Pour l’auteur, « l’approche la plus pragmatique et efficace que l’on puisse adopter consiste à aborder le problème sous deux angles : d’une part, les missions et les objectifs à atteindre (coordination, évaluation, intervention, communication…) et, d’autre part, les activités à mener pas à pas (notification du sinistre, processus d’escalade, expertise, sauvegardes et récupérations, période de transition vers un retour à la normale) ».
Pour affecter les différentes tâches, il convient, insiste l’auteur, de privilégier le réalisme, même si cela pose des problèmes d’arbitrage : « Un planning prévisionnel précis et figé est irréaliste en situation de reprise après sinistre. » Les tests constituent une brique indispensable de tout plan de continuité.
Sans eux, « le plan de continuité ne correspond qu’à une suite de travaux, de réflexions et de décisions synthétisés dans plusieurs documents ». Autant dire une pile de documents, dans lesquels se décline la théorie. Les tests permettent ainsi de valider, en grandeur réelle, « la stratégie, les hypothèses, l’attribution des missions et les recommandations. »
Et, surtout d’identifier en amont les difficultés. Faut-il pour autant ne pas annoncer les tests à l’avance ? Pour l’auteur, une telle attitude reste risquée : « Les tests réalisés à l’improviste ne sont recommandés que si l’entreprise possède une bonne maîtrise de son plan de continuité, acquise à la suite de tests annoncés. »
La phase de test se déroule en sept étapes : la revue des tests antérieurs (« Quand tout va bien, il faut le dire », conseille l’auteur), la description des objectifs, périmètres et contraintes, la définition de la tactique de test (scénario, méthode, date…), la mise en place de la logistique (équipes, moyens techniques, sites concernés), la définition du calendrier, la revue des risques et la documentation.
Lorsque les risques sont définis, que le plan de continuité est bâti, il reste à en assurer l’ingénierie au quotidien, avec les outils technologiques (disponibilité, stockage, réseaux, postes de travail…) et, d’une manière plus générale, la gouvernance.
« Pour toute orientation émanant de la direction générale, il convient de s’assurer que la réalité du terrain s’y conforme : c’est alors qu’intervient le contrôle. Toute politique s’accompagne d’une vérification de son exécution, et donc d’un système de contrôle. »
Pour l’auteur, ce système de contrôle consiste à définir une structure de référence (ensemble de bonnes pratiques, référentiel métier…) et à évaluer régulièrement le plan. De quoi vérifier que la volonté de la direction générale se décline bien sur le terrain…
Les idées à retenir
- Le vécu de la continuité d’activité en France reste largement insatisfaisant du fait d’une confiance exagérée dans la technologie et d’une défiance désabusée pour les dispositifs d’organisation.
- L’analyse des menaces est un sujet complexe qui ne se prête pas à une modélisation aisée. Toute modélisation suppose en effet une simplification qui peut se révéler préjudiciable à l’exhaustivité de la démarche.
- Le traitement du risque s’effectue en fonction de quatre options : accepter le risque, l’éviter ou le supprimer, réduire le risque (en jouant sur les paramètres d’impact et de probabilité d’occurrence) ou le transférer par la sous-traitance ou l’assurance.
- Certains responsables ne voient que le montant des pertes et oublient la faible probabilité d’occurrence : ils auront tendance à vouloir faire face aux risques rares mais induisant de forts coûts. D’autres, à l’inverse, sont sensibles surtout à la probabilité élevée et voudront supprimer des risques probables même si leurs conséquences sont faibles.
- Au-delà d’une vision générale technique, l’utilisateur derrière son bureau aura un tout autre point de vue sur ses outils et sa capacité à travailler dans la situation d’après sinistre.
- La dernière sauvegarde utilisable n’est pas forcément la dernière sauvegarde effectuée, notamment lorsque plusieurs traitements sont liés entre eux.
- Lors d’un sinistre, il doit être facile, c’est en tout cas un objectif, de savoir quels sont les processus métiers touchés et où sont les procédures de récupération et de continuité.
- L’absence d’un centre de gestion de crise, et donc de prise de décision centralisée, complique une situation de crise et ralentit les actions de reprise.
- Le planning des tests doit être considéré comme un engagement fort, à respecter absolument. Une erreur courante consiste à prolonger les tests rencontrant des difficultés : l’objectif du test est de mettre au jour la difficulté, pas de la résoudre.
- De par sa nature transverse, la continuité d’activité nécessité d’entreprendre des actions communes ou au moins coordonnées avec des organismes locaux ou nationaux, avec des prestataires ou d’autres entreprises.