Audit : un préalable indispensable

22/05/2006 à 00h00

Démarche incontournable avant toute mise en place de continuité d'activité, l'audit permet de construire le plan : il déterminera quoi protéger et comment, et il facilitera l'arbitrage des budgets.

Ce n'est pas un hasard si le terme plan de continuité d'activité (PCA) commence par le mot ' plan '. Car la continuité d'activité ne se satisfait pas uniquement de clusters, de sauvegardes ou de répartition de charge. Elle commence avant tout par un état des lieux, et donc un audit. ' Il faut déterminer ce qui peut arriver à l'entreprise, quel impact cela peut avoir sur son métier et comment elle peut se protéger ', résume Cyrille Nicolas, responsable des solutions de continuité (Business Resilience) chez IBM France. À suivre ce schéma, on se rend bien compte que la partie solution arrive bonne dernière. Avant cela, l'entreprise aura dû évaluer ses risques puis modéliser et, enfin, prioriser ses processus métier. Ce n'est qu'après qu'elle pourra décider des technologies à mettre en ?"uvre pour les protéger, en fonction de ce que lui coûterait leur perte éventuelle.

Première étape : on évalue les risques

Le rôle de l'audit consiste à déterminer ces solutions en fonction des exigences métier de l'entreprise, tandis que celui du plan est de documenter leur maintenance et leur activation en cas de sinistre. L'évaluation des risques est donc la première étape de la réalisation du PCA. ' On s'appuie pour cela sur des méthodes connues telles que Ebios ou Mehari en France, ou bien sur la méthode Octave, du Cert ', explique Jérôme Derouvroy, responsable réseau et sécurité chez MIBS Infrastructure & Services (IB Group).L'évaluation des risques peut cependant être simplifiée en ne considérant que la conséquence du risque et non ses causes. ' Bien souvent les clients ne dressent pas une cartographie complète des risques. Ils prennent plutôt en compte des scénarios tels que la destruction de l'informatique ou l'impossibilité d'accéder aux locaux ', explique Olivier de Chantérac, directeur général d'Office Shadow, qui édite une solution de planification de PRA (plan de reprise des activités) en mode hébergé. Peu importe alors de savoir si les locaux ou l'informatique sont inaccessibles à cause d'une crue centennale ou d'un incendie.Cette méthode, plus pragmatique, est souvent préférée à un audit des risques dans les règles de l'art, mais elle ne permet pas d'identifier les risques particuliers à l'entreprise (erreurs humaines, malveillance...).Une fois les risques identifiés, reste à estimer l'impact de leur occurrence sur l'activité de l'entreprise. Et là, il n'y a pas de raccourci possible : il est nécessaire d'auditer l'ensemble des processus métier et de chiffrer le coût de leur indisponibilité, afin d'en déduire leur criticité (qui peut très bien ne pas être indexée sur le coût d'indisponibilité mais sur une obligation légale, par exemple).' Nous menons un tel audit avec deux consultants : l'un est un spécialiste du métier de l'entreprise, qui saura parler son langage et comprendre ses contraintes, et l'autre de la continuité d'activité. Ils interviewent essentiellement les responsables métier, qui sont généralement assez haut dans la hiérarchie pour être en mesure de chiffrer les dégâts en cas de sinistre ', détaille Cyrille Nicolas.L'intérêt d'un audit, ici, est d'apporter une vision extérieure sur les procédures métier. ' On repère souvent des détails que l'entreprise n'avait pas identifiés, par exemple que tous les camions peuvent être bloqués si l'imprimante qui édite les codes à barres ne fonctionne pas ', fait remarquer Philippe Roux, responsable marketing solutions d'entreprises chez HP.

Des choix en connaissance de cause

C'est donc à l'audit de déterminer ce qui est nécessaire au fonctionnement de l'entreprise et ce qui l'est moins. La prestation peut durer plusieurs semaines à raison de deux à trois jours par processus métier, et coûter de quelques milliers d'euros (à partir de 6 000 euros environ pour une petite PME) à plusieurs dizaines de milliers d'euros pour un périmètre plus large. Idéalement, une fois les processus métier analysés et l'indisponibilité de chacun chiffrée, l'entreprise peut faire des choix en connaissance de cause. ' Une fois les ateliers et les entretiens terminés, nous faisons une liste des processus métier jugés critiques, de leurs systèmes associés [informatiques, téléphoniques, Ndlr] et de leurs dépendances, tels les routeurs par exemple. Nous les classons par ordre de criticité en fonction des résultats de l'étude d'impact, et nous présentons cela à la direction générale. Charge à elle de démarrer le projet en fonction des scénarios qu'elle aura choisis et de son budget ', détaille Philippe Roux. Ce n'est qu'à cet instant que l'on pourra réellement penser aux solutions techniques, qui seront alors retenues afin de protéger des chaînes métier spécifiques en fonction des pénalités exprimées par l'étude d'impact.Les deux critères essentiels que l'on retrouve à ce stade sont le DMIA (délai maximal d'interruption admissible, ou RTO, pour Recovery Time Objective) et la PDMA (perte de données maximale admissible, ou RPO, pour Recovery Point Objective). Le premier indique combien de temps l'entreprise peut accepter de se passer d'un processus ou service donné, et le second va spécifier la ' fraîcheur ' des données sur lesquelles elle accepte de redémarrer (factures, commandes, etc.). Ces deux notions sont différentes d'un processus à l'autre et vont déterminer, avec le budget, le panachage des solutions qui seront mises en ?"uvre : simple sauvegarde sur bande pour certains processus ou réplication synchrone pour d'autres, site de repli utilisateur mutualisé pour certains collaborateurs ou dédié pour quelques personnels clés, etc. ' Une fois que la direction générale a arbitré, on rédige les procédures d'exploitation et l'on forme les utilisateurs ', explique Bruno Hamon, directeur d'Exedis (Groupe Lexsi). Car, si l'audit essentiel au plan permet de déterminer les parades nécessaires, le plan lui-même va bien plus loin : il organise la réaction au sinistre. Il indique qui prévenir, par quelle méthode, comment acheminer les collaborateurs vers le site de secours, comment communiquer vis-à-vis des clients et des partenaires. Le plan définit aussi plusieurs cellules de crise ainsi que ses conditions de déclenchement. Il devient ainsi le vrai chef d'orchestre de l'entreprise lorsque le sinistre se produit.

Interview fournisseur : Olivier de Chantérac (Office Shadow) : ' ce sera la direction générale qui tranchera "

Combien de processus métier rencontre-t-on dans une entreprise lorsqu'on met en place un PRA ?

C'est très variable. Dans une grande entreprise de 2 000 personnes, on a identifié jusqu'à 200 processus. Mais tous ne sont pas critiques. Il faut donc solliciter les responsables métier afin de leur demander de justifier leur criticité pour l'entreprise. Mais, en dernier lieu, ce sera la direction générale qui tranchera.

Comment évaluer la criticité d'un processus métier ?

Il y a plusieurs critères. Le chiffre d'affaires, par exemple : il faut avant tout déterminer de quel chiffre d'affaires l'entreprise peut assumer la perte, et pendant combien de temps. Elle peut également prendre en compte l'exposition au risque juridique : est-elle à risque vis-à-vis de ses clients ou de la réglementation si elle se trouve dépouillée de tel processus ? Enfin, il ne faut pas oublier l'image de marque : dans les services de loisirs, la protection de l'image de marque est aussi importante que la sécurité des personnes.

Interview fournisseur : Jérôme Derouvroy (MIBS) : ' direction générale et audit : des points de départ obligatoires "

' Impossible d'attaquer un plan par sa partie technique sans commencer par un audit. Pourtant, pour le responsable d'une petite entreprise, la continuité d'activité se limite le plus souvent à sauvegarder ! Et notre intervention consiste alors, au mieux, à mettre en ?"uvre du clustering ou du mirroring. Mais ce n'est pas cela un PCA ! ', martèle Jérôme Derouvroy. Le projet de PCA vient souvent uniquement de la direction informatique qui, culture technique oblige, exige avant tout des solutions techniques. ' Lorsqu'on explique alors qu'il faut impérativement débuter par un audit, les PME font souvent marche arrière. Pour revenir vers nous plus tard, lorsque le projet n'est plus à l'initiative de la seule DSI, mais qu'il est remonté jusqu'à la direction générale ', poursuit Jérôme Derouvroy. Lorsqu'audit il y a, il concerne souvent la partie informatique : ' Les questionnaires sont proposés tant à l'encadrement moyen qu'aux opérationnels de l'informatique, par exemple à lingénieur système qui connaît bien ses serveurs ', poursuit Jérôme Derouvroy. Mais il ne faut pas se fier aux apparences pour autant : ' Le PCA doit bien venir de la direction générale et ne pas être piloté par la seule direction informatique ', conclut Jérôme Derouvroy.

La rédaction