La continuité d’activités : Enjeux, écueils et challenges
La Continuité d’Activités. Voilà un terme qui est désormais familier à tous les professionnels de la Sécurité et des Systèmes d’Informations. Pourtant, voilà seulement quelques décennies, ce concept était encore obscur, pour ne pas dire pratiquement inconnu, sauf peut être pour quelques grandes compagnies outre atlantique.
Le contexte est désormais très différent et de nos jours, l’essor de la Continuité d’Activités a été favorisé sur deux plans : D’une part, les besoins en continuité d’activité ont drastiquement changé : contexte mondial tendu sur le plan social, économique, même climatique. D’autre part, le développement des techniques de redondance et de réplication, l’amélioration exponentielle des débits d’interconnexion et l’apparition d’offres désormais mâtures pour l’externalisation d’une ou de plusieurs parties du Système d’Information avec le SaaS, le IaaS, le Housing, le Cloud, etc. ont simplifié la mise en œuvre de solutions de secours efficaces.
Tout cela a fait que disposer d’un Plan de Continuité d’Activités est devenu une préoccupation majeure pour tout Gérant, DSI et Responsable Sécurité qui se respecte.
L’anguille sous la roche, c’est que le fait de mettre en place et de maintenir un Plan de Continuité d’Activités représente souvent un parcours d’obstacles parsemé d’embuches, ce qui amène d’ailleurs souvent les organisations à faire appel à des cabinets de conseil spécialisés pour en minimiser les risques.
Citons tout d’abord le fait que malgré la vulgarisation du concept de Continuité d’Activités, une confusion est souvent faite entre deux notions différentes, à savoir la Continuité d’Activités et le Secours Informatique. Ce dernier n’est au fait qu’une partie de la Continuité d’Activités visant à assurer une continuité de service pour les équipements et applications informatiques. Un Plan de Continuité d’Activité lui représente une étude plus complète, mettant en jeu les aspects métiers à travers des études BIA et une analyse des risques, et complète les procédures de secours informatique par des procédures métier, un dispositif de crise, des procédures transverses, ainsi qu’un dispositif permettant de tester et de pérenniser le PCA.
Par ailleurs, nous citerons qu’un des facteurs de succès (ou d’échec) est le Sponsoring. En effet, il arrive que la mise en place d’un Plan de Continuité d’Activités soit une initiative isolée de la DSI et/ou de l’équipe Sécurité sans que la Direction n’y soit réellement impliquée. Ceci représente un risque majeur pour la réussite du projet, car nous ne dirons jamais assez qu’à l’instar d’un projet de gouvernance ou d’un SMSI, la mise en place et le maintien d’un PCA est un projet d’entreprise où tout le monde sans exception doit être impliqué, et particulièrement la Direction qui doit fournir un soutien sans faille d’une part en mettant à disposition toutes les ressources nécessaires pour le projet, et d’autre part en jouant le rôle d’arbitre dans plusieurs phases du projet ; sans oublier le fait qu’elle soit garante du niveau d’implication et de la disponibilité des équipes métier. D’ailleurs, cela a très bien été souligné dans le dernier standard défini pour la Continuité d’Activité (ISO 22301), où la Direction doit jouer un rôle prépondérant et constitue une clé pour la réussite de ce genre de projet.
Ainsi, ce dernier point permet généralement de surmonter plusieurs écueils qui apparaîtraient immédiatement en son absence et qu’il faut toujours suivre en permanence, comme le fait de s’assurer d’une disponibilité et d’un niveau d’implication satisfaisant de toutes les équipes, ou encore d’un financement correct du projet.
Ce point n’est pas non plus à prendre à la légère, car la mise en place d’un PCA peut être assez coûteuse, mettant en évidence des centres de coûts très variés qui peuvent mener à une addition salée si une démarche pragmatique n’est pas adoptée. Parmi ces centres de coûts, nous citerons succinctement les coûts de matériels informatiques de secours, les licences de logiciels, l’hébergement pour le secours informatique et le repli métier, les formations, les interconnexions, ou encore les consultations.
Ceci met en évidence une autre problématique qu’il faut étudier minutieusement dans ce genre de projet, à savoir le choix de la ou des solutions de secours et de repli métier. Il faudra alors trouver un compromis en prenant en compte plusieurs critères pour les solutions à mettre en œuvre, tels que les coûts de mise en œuvre et les coûts récurrents (CAPEX et OPEX), mais aussi les aspects géographiques, l’adéquation avec les besoins actuels, les aspects de maintenance ou encore certains aspects pratiques.
Nous rappellerons au passage qu’identifier les solutions adéquates est une chose, les budgétiser en est une autre. Il faut par ailleurs prendre en compte les délais de rédaction des cahiers des charges, de lancement de consultations ou d’appels d’offres, de dépouillement des offres, de livraison et d’installation qui peuvent parfois engendrer un retard de plusieurs semaines à quelques mois à la mise en œuvre du projet. Ces délais doivent donc pris en charge dans le roadmap du projet et d’autres actions prévues en parallèle.
Finalement, un dernier point non négligeable à prendre en compte, est d’une part la validation de l’opérabilité du PCA à travers un plan de test sur plusieurs années devant inclure les tests de crise, les tests de secours informatique et plusieurs tests métier, et d’autre part sa pérennisation à travers la formalisation d’un dispositif MCO, notamment à travers la nomination d’un Responsable du Plan de Continuité d’Activités (RPCA), l’identification périodique des changements techniques et organisationnels, et la mise à jour des procédures et des moyens de secours en conséquence.
Conclusion :
En conclusion, il apparait clairement que le PCA est un projet d’envergure qui dénote d’un certain niveau de maturité au sein d’une entreprise. En interne il peut impulser une collaboration active et transverse au sein de l’organisation, rapprocher le DSI et la Sécurité des métiers et aboutir à une meilleure compréhension des besoins des uns et des exigences des autres. En externe, il représentera indubitablement un atout commercial en plus de satisfaire à certaines exigences réglementaires. Il faudra noter que de par ses éléments, un PCA est voué à évoluer perpétuellement avec l’Organisation, d’où la qualification utilisée dans cet article de ‘projet d’entreprise’…