Mieux assimiler les besoins des utilisateurs

• Réagir face au désastre
• Les entreprises s'y mettent doucement
• Plan de secours ou de prévention
• La virtualisation étend les possibilités
• Un état d'alerte conçu en sept étapes
• Un éventail large et non exhaustif
• Mieux assimiler les besoins des utilisateurs

Certaines entreprises pourront-elles échapper au plan de reprise d'activité ?
Bruno Hamon : Oui. Mais elles seront pénalisées. Dans les années à venir, avoir ou non un PRA sera un élément commercial différenciateur. Les entreprises à la pointe se prévaudront de disposer d'un plan de secours. Cela rassurera les clients, qui, spontanément, ne travailleront qu'avec elles. Les autres se feront taper sur les doigts, voire auditer par des organismes d'assurances ou autres, les obligeant à agir.Les entreprises qui n'ont pas les moyens de mettre en place un plan de reprise d'activité seront donc pénalisées d'office. N'est-ce pas élitiste ?
Le plan de continuité d'activité (PCA) inclut le plan de reprise d'activité (PRA). Les technologies liées au PCA vont-elles ou peuvent-elles changer ?
BH : A mon avis, il n'y aura ni rupture ni révolution technologique. Actuellement, la boîte à outils est pleine. Les technologies poursuivront certainement leur évolution, mais elles ne changeront pas fondamentalement. Le vrai bouleversement concernera essentiellement les coûts. Les entreprises auront la possibilité de faire du synchrone et de l'asynchrone sans se poser la question de la facture télécoms, du prix du disque, ou de celui des serveurs.Quels sont les freins à l'adoption d'un plan de continuité d'activité ?
BH : Il n'existe pas de normes bien définies. Aujourd'hui, la norme BS 7799 indique qu'il faut mettre en place un PCA, mais ne dit pas comment. En octobre 2005, l'Afnor a constitué un groupe de travail pour rédiger un guide des meilleures pratiques du plan de continuité d'activité. Ce guide est finalisé, et donnera lieu à une plate-forme d'échange d'ici au début 2008 avec des retours d'expérience d'entreprises. Celles qui le désirent pourront s'en inspirer afin d'installer leur propre PCA.Ce guide sera-il suffisant pour que les entreprises sautent le pas ?
BH : Non. Encore aujourd'hui, les normes n'ont généralement pas de caractère obligatoire. Les meilleures pratiques abordent le contexte normatif et réglementaire dans le cas d'une destruction totale ou partielle des locaux ou de l'informatique, ou encore d'une épidémie telle que la grippe aviaire. Elles indiquent comment gérer une cellule de crise ou bien traiter l'aspect légal des ressources humaines en cas de sinistre, par exemple. Elles constituent une aide précieuse, mais n'imposent rien.Les entreprises sont-elles prêtes à se doter d'un PCA ?
BH : Ces dix dernières années, un certain nombre d'entreprises ont construit des organisations résistantes sur le volet technique : archivage, redondance, mise en miroir, etc. Toutes ces technologies sont des composantes d'un plan de continuité d'activité. Mais les entreprises n'en avaient pas forcément conscience. Et à l'idée même de réaliser un PCA, la plupart paniquent. Le fait nouveau se révèle être le rapprochement des gens du métier et de ceux de l'informatique. Il est, en effet, admis aujourd'hui que la mise en place d'un PCA doit démarrer par les métiers, puis se poursuivre avec la technologie. Se doter d'un super-bunker informatique n'est pas suffisant.Ce changement culturel est-il difficile ?
BH : Il ne fait que débuter. Avec le temps, les choses deviendront plus faciles. Par ailleurs, le courant réglementaire qui arrive avec Sarbanes-Oxley, Bâle II, etc. va modifier la donne. Toutes ces normes, ces recommandations, voire, dans certains cas, ces obligations réglementaires, commencent à obliger les entreprises à penser au PCA en termes de métier.