Qu’elle soit stratégique, technique ou organisationnelle, la gestion de la continuité des activités et des services est un paramètre essentiel pour le bon fonctionnement d’une entreprise. Cependant, selon la taille des entreprises, les problématiques diffèrent considérablement.
Soumise à des contraintes réglementaires grandissantes et à des pressions d’organismes tiers (assurance, agences de notation), l’entreprise, quelque soit son secteur d’activité, doit optimiser sa continuité opérationnelle. Pour cela, le meilleur moyen est de se préparer au pire.
L’organisation globale au sein de la société doit permettre au management de garder les rênes de l’entreprise en faisant un état des lieux au niveau des ressources humaines, de la technique mais également par la communication et une circulation fluide de l’information. Il est nécessaire de fédérer l’ensemble de l’entreprise. Cependant, l’organisation doit être modulaire, adaptable aux divers scénarii de crise. Les moyens à mettre en place découlent de cette prise de conscience.
Des actions structurées
Si la crise est le fait d’une catastrophe naturelle, il est difficile de la maîtriser. Dans ce cas, il faut mettre en place des actions plus ou moins structurées afin de réparer les conséquences de la crise.
Dans ce cas, le plan de gestion de crise devient un outil. En revanche, si la crise est le fruit d’un dysfonctionnement temporaire du système d’information, plus ou moins long, appliquer un plan de gestion signifierait que la crise a été mal appréhendée. Dans ce cas, on peut tenter de juguler la crise puisque les évènements sont maîtrisables : il est possible de les anticiper . Un système se structure en permanence, par des principes de régulation.
Prévoir des issues de secours, en amont ou en aval, suppose de sensibiliser l’entreprise dans sa globalité, tant au niveau du personnel que de la logistique même si le tout est orchestré par la direction générale.
La communication de crise joue un rôle fondamental. Elle doit être externe (communiquer rapidement) et interne par le biais de protocoles de communication tels que des serveurs vocaux, le web, des canaux de communication multiples (téléphone fixe, mobile, satellite, opérateur alternatif, SMS, talkie-walkie) et de canaux bi-directionnels (du management au personnel et vice versa). Encore faut-il analyser la stratégie de communication à mettre en place, en dessinant une cartographie du système d’information avec une gestion des procédures de crise à suivre et réaliser de tests notamment avec des exercices de simulation de gestion de crise.
Dans les TPE, de simples sauvegardes de données sensibles
Toutes les entreprises doivent mettre en oeuvre un plan de continuité, quelle que soit leur activité ou leur taille. Il faut dresser une cartographie applicative complète, un inventaire des applications et des progiciels par degré de criticité (vitale pour l’entreprise, importante, triviale) afin de prendre conscience des risques encourus en cas de crise et d’agir en conséquence.
Pour les TPE, le plan de continuité des activités de l’entreprise est essentiellement axé sur les sauvegardes à réaliser. Mais, parfois, la sauvegarde partielle des données est suffisante. Pour cela, il convient d’envisager des supports magnétiques en les renouvelant périodiquement, puis de prévoir fréquemment la réitération de sauvegardes, des lieux de stockage divers, sur et hors site et/ou chez un prestataire sécurisé…
En résumé : il est bon d’envisager que diverses personnes en charge des opérations pour la maintenance des programmes, des bases de données, ou même des fournitures, rédigent une procédure décrivant bien les différentes étapes du plan de continuité affichent clairement les consignes en cas de sinistres (redémarrage…).
Une base de données ressemble à un organisme vivant. Plus une base est vivante, plus les risques existent. Plus les applications changent (versions, maintenance…) plus l’instabilité est grande et donc, plus les sauvegardes ou restaurations peuvent devenir complexes ou inopérantes. Ainsi, pour apprécier quantitativement et qualitativement les risques auxquels un système d’information peut être exposé, une approche pragmatique est encore la plus indiquée avec une fréquence de tests de restauration, etc.
Viser une approche globale de la sécurité
La sauvegarde ou la restauration des données doit s’insérer dans une politique globale de sécurité quelle que soit la taille ou la problématique de l’entreprise. Cependant, pour les structures moyennes ou grandes, cette approche reste insuffisante même si, pour les PME/PMI, sur le fond la démarche est à peu près identique à celle adoptée pour les petites entités. En règle générale, il y a souvent dans les PME/PMI une unicité de matériels (serveurs de toutes natures reliés ou non entre eux et servant au transport de l’information sur un site ou sur une multiplicité de sites via le réseau). Comme pour les très grandes entreprises, il s’agira quelquefois de choisir entre différentes solutions pour les aspects back-up de données, applications et programmes et leur traitement.
Pour les grandes entités, le schéma reste assez semblable mais beaucoup plus complexe. Il faut définir l’étendue du périmètre du plan à instaurer : maison mère, succursales, différentes filiales…Dans tous les cas, il faut toujours partir d’une analyse du risque sur l’organisation tout entière : les différents centres de traitement de l’information (éventuellement) et leurs liens (intranet, extranet), les gros systèmes (y compris leurs systèmes d’exploitation et sous systèmes d’exploitation), les serveurs de toutes catégories (dédiés ou non), les différents systèmes de gestion de bases de données, la sécurité de l’ensemble (plans, chartes…).
En règle générale, on trouve 3 types de plans de « back up » pour ces entreprises : la réciprocité entre la maison mère et ses filiales, des sites redondants (ou miroirs) avec les mêmes matériels et logiciels, solution qui demeure très onéreuse, et parfois un contrat avec un ou plusieurs prestataires externes (bénéficiant lui-même d’un site de secours).
Le directeur général reste le responsable n°1
Les règles essentielles pour tout plan de continuité sont la planification rigoureuse de toutes les ressources de l’entreprise et un plan de secours, ce qui est de la responsabilité première de la direction générale.
En effet, pour être efficace, un plan de secours suppose l’implication de la direction générale. Elle valide tout le processus de gestion de crise du stockage de secours des fournitures dans un site distant à la mise en place de scénarii de sinistres par une catégorisation des risques (critique, vital, sensible, non critique). Sans oublier aussi l’assurance du matériel, des locaux, des logiciels, des pertes de production et des documents de valeur, entre autres.
Reste alors à superviser les tests du plan de secours mis en place (les spécifications, l’exécution de tests, de pré-test, de tests théoriques sur papier, de tests réels partiels ou complets) et effectuer ensuite un bilan : analyse, durée, volume de travail nécessaire, pourcentage de réussite, exactitude. Enfin, sa tache consiste aussi à vérifier la maintenance du plan de secours qui inclut le suivi d’un agenda de révision périodique pour rester en adéquation avec l’évolution incessante des technologies.
Quelle que soit la taille de l’entreprise, le succès d’une reprise dépend de la mise à jour en temps réel, et c’est ce qui pèche le plus souvent, puis la prise en compte permanente par la direction générale de la dimension particulièrement stratégique du plan de continuité.