... il peaufine son plan de continuité d'activité

22/11/2007 à 00h00

Mise à jour des procédures, simulation de pannes, test des équipes, chronométrage des tâches... Pierre Hautefeuille, à la Caisse centrale de réassurance, surveille son PCA.

Le problème

La Caisse centrale de réassurance (CCR) veut être en mesure de continuer son activité même si son système d'information est victime d'un sinistre : un incendie touchant les équipements informatiques, une panne du central électrique, une inondation, une rupture de fibre optique, des émeutes, une catastrophe naturelle, etc.

La méthode

1. Établir le niveau de criticité des applicationsLa Caisse centrale de réassurance (CCR) a d'abord mené un diagnostic préalable de sécurité : un expert est passé à chaque étage pour dresser la liste de tous les sinistres auxquels l'entreprise pouvait être exposée. ' Cela nous a permis de connaître la potentialité des risques et notre vulnérabilité. Nous avons analysé chacun de ces risques, mesuré leurs conséquences sur le système d'information et sur la poursuite d'activité de l'entreprise ', explique Pierre Hautefeuille, en charge du plan de continuité d'activité à la CCR depuis 2000. Au total, 70 sinistres ont été recensés, allant d'un problème de serveur à une panne complète du système d'information. En parallèle, Pierre Haute-feuille, aidé d'un cabinet de conseil, s'est entretenu avec les différents responsables de service pour qu'ils évaluent l'influence d'un sinistre majeur sur leur travail. ' Ils ont dû nous dire quelle dégradation de service ils pouvaient accepter, en période de pointe et en période normale, au regard des coûts engagés. ' Les réponses ont été très variables : la comptabilité générale pouvait, si nécessaire, se passer de l'informatique pendant un mois, alors que le département commercial, lui, avait besoin de la messagerie dans les 24 heures. Pierre Hautefeuille a ainsi pu dimensionner son contrat de secours et indiquer au prestataire le nombre de serveurs et de postes de travail qui doivent être mis à sa disposition sur un site auxiliaire en cas de problème. ' Nous travaillons toujours à partir de l'hypothèse que le système d'information est totalement tombé, car qui peut le plus peut le moins ! Si nous savons gérer un sinistre total, nous saurons répondre à tous les autres. '2. Des procédures mises à l'abri dans trois clés USBLe PCA de la CCR compte aujourd'hui plus de 360 pages de procédures, régulièrement mises à jour. Elles sont consignées dans plusieurs clés USB. Pierre Hautefeuille en garde une avec lui, deux autres sont conservées dans le coffre-fort de la CCR et dans les locaux du prestataire, avec tous les CD nécessaires à la réinitialisation des serveurs. Les procédures ont été écrites de façon à ce que tout informaticien de la DSI soit capable de réinstaller tous les serveurs de l'entreprise, même s'ils ne font pas partie de son domaine de compétences. ' En cas de sinistre grave, nous ne savons pas qui sera en mesure d'aller jusque chez notre prestataire ', justifie Pierre Hautefeuille. Il a tiré les enseignements du 11 septembre 2001. A l'époque, nombre d'entreprises hébergées dans le World Trade Center avaient des PCA, mais n'ont pu les mettre en ?"uvre car les personnes compétentes avaient disparu.Pour chaque procédure, le détail des différentes tâches à mener a été formalisé. Le temps nécessaire à sa réalisation est indiqué afin de pouvoir planifier l'enchaînement des différentes actions. Aujourd'hui, à la CCR, un développeur peut réinitialiser un AS/400, et un administrateur AS/400 sait déployer un annuaire Active Directory. Pierre Hautefeuille le vérifie régulièrement par le biais de tests grandeur nature.3. Dix jours par an chez le prestataire' Il faut effectuer des tests réguliers, car un système d'information vit. De nouvelles applications sont régulièrement installées. Il faut pouvoir corriger les procédures et les incompréhensions ou imprécisions qui pourraient subsister ', explique Pierre Hautefeuille. Depuis 2000, il y a eu déjà huit versions successives des procédures. Chaque année, ses équipes partent donc deux fois trois jours et une fois quatre jours dans les locaux du prestataire pour simuler des pannes du système d'information. Chaque test se focalise sur un type de serveurs. Ils sont nécessaires, car les matériels que le prestataire met à disposition ne sont pas complètement identiques à ceux de la CCR. Des différences de versions exigent notamment d'adapter la procédure. Lors des tests, chaque tâche est chronométrée pour vérifier le bon enchaînement des procédures et qu'elles sont compréhensibles par un non-spécialiste. La mécanique semble bien rodée puisque 80 % des rapports de tests ne signalent plus aucune anomalie. Pendant plusieurs années, les utilisateurs de la CCR ont également été associés à certaines sessions de tests. Un aspect essentiel, mais lourd à gérer. Et, depuis deux ans, les chefs de service ont jugé que leurs équipes étaient suffisamment rôdées. Les 10 jours de tests ne concernent donc plus que les informaticiens.

Le plan de secours à la CCR

Assurer en cas de sinistre un fonctionnement en mode dégradé dans les 24 heures pour les applications stratégiques, et une reprise sous 48 heures pour les serveurs secondaires.

Le matériel de secours mutualisé est hébergé à Lognes (94) chez Sungard. La CCR y loue également une salle blanche.
Pour gérer son PCA et ses procédures, la CCR utilise le logiciel Risk Manager de Capgemini.
Capgemini a effectué les premiers audits. La SSII intervient encore chaque année une dizaine de jours pour aider à la mise à jour du plan et faire de la sensibilisation en interne.

Un quart des applications de l'entreprise sont prises en compte par le plan de continuité. Il englobe une partition pour chacun des deux AS/400 qui en comptent cinq, 14 serveurs sur la cinquantaine en service, et 50 des 270 postes de travail.
La mise en ?"uvre d'une salle blanche en 2008 permettra de disposer des applications stratégiques dans les 4 heures.

En prestation : 133 000 euros par an pour la salle blanche, la liaison de raccordement, et la réservation de serveurs.
En interne : de 60 à 70 jours/homme par an pour les tests et 120 jours/homme par an pour la mise à jour des procédures et les tests.

L'avis du consultant : Robert Bergeron, responsable de l'offre sécurité de Capgemini Finances et Services

Ce membre du Clusif (Club de la sécurité de l'information français) a mis au point une méthodologie de plan de continuité d'activité (PCA).

' Nous préconisons un minimum de trois tests par an '

' Mais cela peut être bien davantage pour des systèmes à haute disponibilité, comme les salles de marché. En général, les entreprises n'en font qu'un ou deux. C'est trop peu, les besoins métier et les configurations évoluent en effet très vite. Et, entre deux tests, il faut continuer à mettre à jour le PCA en intégrant tous les changements. Ce qui oblige à organiser un circuit pour remonter l'information. '

' Les entreprises vont rarement jusqu'au plan de reprise dactivité métier '

' Dans ce plan, qui ne dépend plus de la DSI, les utilisateurs doivent définir toutes les ressources ?" informatiques, humaines... ?" qui leur sont indispensables, prévoir les procédures à appliquer en mode dégradé, établir la liste des nouvelles priorités... Il est aussi nécessaire de se préoccuper du retour à la normale. '

Claire Chevrier

Votre opinion