Inscrivez-vous gratuitement à la Newsletter BFM Business
Démarche incontournable avant toute mise en place de continuité d'activité, l'audit permet de construire le plan : il déterminera quoi protéger et comment, et il facilitera l'arbitrage des budgets.
Ce n'est pas un hasard si le terme plan de continuité d'activité (PCA) commence par le mot ' plan '. Car la continuité d'activité ne se satisfait pas uniquement de clusters, de
sauvegardes ou de répartition de charge. Elle commence avant tout par un état des lieux, et donc un audit. ' Il faut déterminer ce qui peut arriver à l'entreprise, quel impact cela peut avoir sur son métier et comment elle
peut se protéger ', résume Cyrille Nicolas, responsable des solutions de continuité (Business Resilience) chez IBM France. À suivre ce schéma, on se rend bien compte que la partie solution arrive bonne dernière. Avant cela,
l'entreprise aura dû évaluer ses risques puis modéliser et, enfin, prioriser ses processus métier. Ce n'est qu'après qu'elle pourra décider des technologies à mettre en ?"uvre pour les protéger, en fonction de ce que lui coûterait leur perte
éventuelle.
Première étape : on évalue les risques
Le rôle de l'audit consiste à déterminer ces solutions en fonction des exigences métier de l'entreprise, tandis que celui du plan est de documenter leur maintenance et leur activation en cas de sinistre. L'évaluation des risques
est donc la première étape de la réalisation du PCA. ' On s'appuie pour cela sur des méthodes connues telles que Ebios ou Mehari en France, ou bien sur la méthode Octave, du Cert ', explique Jérôme
Derouvroy, responsable réseau et sécurité chez MIBS Infrastructure & Services (IB Group).L'évaluation des risques peut cependant être simplifiée en ne considérant que la conséquence du risque et non ses causes. ' Bien souvent les clients ne dressent pas une cartographie complète des risques.
Ils prennent plutôt en compte des scénarios tels que la destruction de l'informatique ou l'impossibilité d'accéder aux locaux ', explique Olivier de Chantérac, directeur général d'Office Shadow, qui édite une solution de
planification de PRA (plan de reprise des activités) en mode hébergé. Peu importe alors de savoir si les locaux ou l'informatique sont inaccessibles à cause d'une crue centennale ou d'un incendie.Cette méthode, plus pragmatique, est souvent préférée à un audit des risques dans les règles de l'art, mais elle ne permet pas d'identifier les risques particuliers à l'entreprise (erreurs humaines, malveillance...).Une fois les risques identifiés, reste à estimer l'impact de leur occurrence sur l'activité de l'entreprise. Et là, il n'y a pas de raccourci possible : il est nécessaire d'auditer l'ensemble des processus métier et de
chiffrer le coût de leur indisponibilité, afin d'en déduire leur criticité (qui peut très bien ne pas être indexée sur le coût d'indisponibilité mais sur une obligation légale, par exemple).' Nous menons un tel audit avec deux consultants : l'un est un spécialiste du métier de l'entreprise, qui saura parler son langage et comprendre ses contraintes, et l'autre de la continuité
d'activité. Ils interviewent essentiellement les responsables métier, qui sont généralement assez haut dans la hiérarchie pour être en mesure de chiffrer les dégâts en cas de sinistre ', détaille Cyrille Nicolas.L'intérêt d'un audit, ici, est d'apporter une vision extérieure sur les procédures métier. ' On repère souvent des détails que l'entreprise n'avait pas identifiés, par exemple que tous les camions peuvent
être bloqués si l'imprimante qui édite les codes à barres ne fonctionne pas ', fait remarquer Philippe Roux, responsable marketing solutions d'entreprises chez HP.
Des choix en connaissance de cause
C'est donc à l'audit de déterminer ce qui est nécessaire au fonctionnement de l'entreprise et ce qui l'est moins. La prestation peut durer plusieurs semaines à raison de deux à trois jours par processus métier, et coûter de
quelques milliers d'euros (à partir de 6 000 euros environ pour une petite PME) à plusieurs dizaines de milliers d'euros pour un périmètre plus large. Idéalement, une fois les processus métier analysés et l'indisponibilité de chacun chiffrée,
l'entreprise peut faire des choix en connaissance de cause. ' Une fois les ateliers et les entretiens terminés, nous faisons une liste des processus métier jugés critiques, de leurs systèmes associés [informatiques,
téléphoniques, Ndlr] et de leurs dépendances, tels les routeurs par exemple. Nous les classons par ordre de criticité en fonction des résultats de l'étude d'impact, et nous présentons cela à la direction générale. Charge à elle de démarrer
le projet en fonction des scénarios qu'elle aura choisis et de son budget ', détaille Philippe Roux. Ce n'est qu'à cet instant que l'on pourra réellement penser aux solutions techniques, qui seront alors retenues afin de
protéger des chaînes métier spécifiques en fonction des pénalités exprimées par l'étude d'impact.Les deux critères essentiels que l'on retrouve à ce stade sont le DMIA (délai maximal d'interruption admissible, ou RTO, pour Recovery Time Objective) et la PDMA (perte de données maximale admissible, ou RPO, pour Recovery Point
Objective). Le premier indique combien de temps l'entreprise peut accepter de se passer d'un processus ou service donné, et le second va spécifier la ' fraîcheur ' des données sur lesquelles elle
accepte de redémarrer (factures, commandes, etc.). Ces deux notions sont différentes d'un processus à l'autre et vont déterminer, avec le budget, le panachage des solutions qui seront mises en ?"uvre : simple sauvegarde sur bande pour
certains processus ou réplication synchrone pour d'autres, site de repli utilisateur mutualisé pour certains collaborateurs ou dédié pour quelques personnels clés, etc. ' Une fois que la direction générale a arbitré, on rédige
les procédures d'exploitation et l'on forme les utilisateurs ', explique Bruno Hamon, directeur d'Exedis (Groupe Lexsi). Car, si l'audit essentiel au plan permet de déterminer les parades nécessaires, le plan lui-même va bien
plus loin : il organise la réaction au sinistre. Il indique qui prévenir, par quelle méthode, comment acheminer les collaborateurs vers le site de secours, comment communiquer vis-à-vis des clients et des partenaires. Le plan définit aussi
plusieurs cellules de crise ainsi que ses conditions de déclenchement. Il devient ainsi le vrai chef d'orchestre de l'entreprise lorsque le sinistre se produit.
Votre opinion