Il
faut anticiper l'incident grave ...
C'est la première étape de conception d'un Plan de
Continuité d'Activité (PCA)
Il faut parvenir à anticiper l'inimaginable, comme un sinistre
de grande ampleur; catastrophe naturelle par exemple, et pour
pouvoir imaginer un scénario de continuité de l'activité
métier.
On pense que ça ne peut pas
arriver et pourtant, c'est dans ces moment-là qu'il
faudrait avoir un plan de reprise d'activité progressif, en
mode dégradé à minima, voire un dispositif global de
continuité idéalement incluant l'IT mais au-delà les processus
vitaux de l'entreprise.
Prévoir des scenarii de
traitement de l'impact dans l'urgence
Un point capital de la mise en place d'un PCA voir d'un PRA
concerne la gestion humaine du risque.
Qui fait quoi en cas de problème ? Quelle est la
responsabilité définie de chacun ?
Souvent, ce ne sera ni le PDG ni le DSI qui vont devoir
intervenir dans l'urgence et gérer la crise.
Les personnes seront sélectionnées dans l'entreprise au
préalable et cela permettra généralement un gain de temps
appréciable en cas de problème: la constitution d'une cellule
de crise.
L'audit préalable à toute mesure
proactive
Chaque périmètre métier, processus, systèmes, module
applicatif doivent être évalués à travers un BIA (Business
Impact Analysis) afin d'en déterminer la "criticité" en cas de
crise et le traitement dont il doit faire l'objet pour le
préparer aux incidents.
Cette étape nous permet de connaître, par exemple au niveau
informatique, le besoin de sauvegarde et de restauration de
certaines données et continuité des services majeurs.
NOTA : Il faut bien prendre en compte que tout sauvegarder à
des fréquences quasi-continues n'est pas concevable en raison
des contraintes, budgétaires en 1er lieu.
Définir des priorités, des
techniques et budgéter
Il est bien clair que l'on ne souhaite perdre aucune donnée en
cas de crash...
Mais il faut se rendre à l'évidence : en fonction des secteurs
d'activité, des métiers, les exigences vis-à-vis du système
d'information seront diverses.
Il faut arriver à considérer que
l'indisponibilité va être nécessairement autorisée,
en fonction du degré de criticité des données métiers et des
données techniques: les concepts de RPO et RTO
(recovery point objective ET recovery time objective)
À partir de là seulement il y aura prise de considération, et
l'on pourra calculer et négocier avec les responsables "un
prix de mise en œuvre".
Par exemple, dans le cadre d'un PSI (plan de secours
informatique) ou PRA IT, si la sauvegarde et la reprise
d'activité doivent s'effectuer en moins d'une minute, on doit
mettre en place des environnements synchrones et le coût de
l'infrastructure monte de façon exponentielle.
Raison pour laquelle nous tendons à préconiser de systématiser
en termes techniques une réponse à travers une vision IT
résiliente sous forme de DC virtualisés,
La mise en place d'Infrastructures type Cloud (privés, mixtes)
via des technologies de réponse à la discontinuité sous forme
de Disaster Recovery as a Service ( "DRaaS")
Ceci, notamment permise à travers le produit VmWare SRM,
surcouche sécurisée à vSphere 6.x:
Il est à noter toutefois que nous sommes agnostiques à toute
solution basée sur un éditeur, un constructeur, aux
intégrateurs partenaires.
En fonction du contexte en présence, des architectures, de la
technologie sous-jacente (base Wintel Vs Unix, couche SGBDr,
SAN/NAS etc.) nous adaptons nos réponses de façon pragmatique
avec systématiquement en point "focus" une logique
qualité/prix dimensionnée en conséquence:
Double-Take, Symantec Volume Replicator Option, EMC
Replication Manager, Evidian SafeKit , NeApp SnapMirror (...)
Des équipements, procédure, organisation de crise adaptés
Au niveau IT, certains PRA prévoient la construction d'un site
distant, qui va prendre le relais en cas de catastrophe sur le
site principal.
Dans ce cas, la matériel de remplacement devra d'une part être
constamment prêt à l'emploi, mais aussi être adapté à cette
situation de crise, qui dans une majorité de cas, ne durera
que quelques temps.
Les performances du système d'information seront dégradées,
mais devront permettre d'assurer la poursuite de l'activité le
temps que tout rentre dans l'ordre.
Tester, tester et re-tester régulièrement son dispositif
d'ensemble
Une fois que le PRA est en place, l'importance de faire des
tests de manière régulière pour évaluer sa fiabilité est une
étape importante.
Il ne faut pas se dire simplement que l'on dispose d'une
solution de sécurité et considérer acquise la reprise
d'activité en cas de sinistre.
Sans quoi... on ouvre la
porte aux risques !
Faire évoluer le PRA en fonction des changements apportés
au SI
Le PRA est réalisé à un moment précis pour répondre aux
contraintes actuelles du parc informatique. Il faut donc que
les procédures rédigées permettent d'inclure au Plan de
Reprise d'Activité les évolutions postérieures du système
d'information.
Un travail compliqué, qui demande de mettre en conformité les
nouvelles applications avec le plan de relance déjà établi.
La prise en compte des contraintes légales, réglementaires et
sectorielles diverses
Le Plan de Reprise d'Activité est de plus en plus demandé et
tendra à être systématiquement imposé par le Législateur, les
assureurs, les partenaires divers en France.
Ceci permet d'assurer votre entreprise d'une reprise
d'activité et donc de vous garantir par la suite une aide de
la part de votre assurance.
Études Gamma se propose d'être votre partenaire dans toute la
chaine d'élaboration, mise en œuvre, tests et mesures,
amélioration continue
Nous avons initié avec un écosystème de partenaires
spécialisés et disposant chacun de références majeures depuis
des années dans la continuité d'activité "le Smart-PDCA" :
économique et simplifié, avec
pour objectif de répondre à vos besoins en ce sens et
"lancer les 1er tours de roue" !