Par François Tête et Loup Gronier XP Conseil

La recrudescence des perturbations climatiques et énergétiques peuvent mettre en péril l´économie ou avez-vous un plan de reprise d´activité en état de fonctionnement ?

Une augmentation des sinistres et donc des risques

On constate depuis quelques mois une recrudescence des sinistres tant au niveau des perturbations aléatoires qu´au niveau des sinistres provoqués. On peut identifier sur une période courte :
? Des perturbations climatiques à répétition (inondations, vents et tempêtes violentes, sécheresse et canicule, ...),
? Des perturbations énergétiques dans des pays proches (coupures électriques majeures aux USA et en Italie, discours alarmistes en France, ...),
? Une situation internationale qui a remis en visibilité le risque terroriste et en particulier les attentats et les accidents en zone urbaine,
? Une augmentation du nombre de virus et autres infections informatiques qui ont également défrayés la chronique de nombreuses fois depuis 2 ans.

Outre des impacts humains et environnementaux considérables, ces sinistres ont générés des interruptions de fonctionnement de ressources informatiques. Dans le même temps, dans le monde du flux tendu et de la relation permanente client-fournisseur, le système d´information est devenu de plus en plus vital pour les entreprises. La concentration au même endroit des moyens informatiques, justifiée par des raisons économiques, a également augmenté considérablement l´impact de ces sinistres.

Cette augmentation des risques est relevée par le Club des Utilisateurs de la Sécurité Informatique Français (CLUSIF) dans son étude et statistique sur la sinistralité informatique en France en 2002. Une étude récente d´origine américaine, réalisée par Contincency Planning Research (www.eaglerockalliance.com), en montre les conséquences dramatiques. Suite à la destruction de ces moyens informatiques et télécoms, une entreprise disparaîtra au delà d´un arrêt de 72 heures dans 40 % des cas.

Que faire pour se prémunir contre ces risques mettant en jeu la vie de l´entreprise ?

Les entreprises sont elles bien protégées contre ce type de risques ? Quelle est la solution pour garantir un redémarrage dans un délai inférieur aux 72 heures fatidiques, ou dans des délais plus courts compatibles avec les exigences de disponibilité exprimées par les utilisateurs et validées par la Direction Générale ?

Les évolutions de la technologie ont amené la plupart des entreprises à prendre en compte les sinistres partiels et localisés, sinistres identifiés comme plus fréquents. Une architecture de sauvegarde, la redondance de moyens et la technologie de haute disponibilité permettent de garantir la disponibilité d´une application face à de tels sinistres.

A contrario, la prise en compte de sinistres régionaux est en général délaissée alors qu´ils représentent 40 % des sinistres déclarés selon une étude de décembre 2001 du Gartner antérieure à la plupart des sinistres majeurs évoqués précédemment. Lors de la survenance de tel sinistre et dans la panique et le stress, il est évidemment trop tard pour se demander qui fait quoi, où et comment ? L´organisation de crise, les moyens nécessaires et les responsabilités de chacun doivent être clairement définis au préalable. Il faut donc anticiper l´arrivée du sinistre en prévoyant des plans de reprise d´activité informatique (DRP) et des plans de continuité d´activité (BCP), l´ensemble de ces plans constituant un plan de secours. Ces plans doivent être déclinés en fonction des sinistres qu´ils doivent pallier. Un plan de secours « viral » n´aura pas les mêmes caractéristiques qu´un plan de secours « inondation ».

Les moyens de secours ou de sites de repli équipés pour héberger des ressources et des utilisateurs sinistrés existent. Il existe même, comme aux Etats Unis et en Grande Bretagne, des sites de secours enterrés. Mais, cela ne suffit pas, un plan de secours n´est, en effet, pas seulement composé de moyens techniques de secours (ordinateurs, équipements de réseau, accès à la messagerie, bureaux équipés, ...). Il doit comprendre également une structure de gestion de crise, la planification des différentes actions prêtes à être exécutées, des procédures formalisées et testées, ... Tout cet ensemble est vivant au même titre que l´entreprise elle-même. Les collaborateurs peuvent changer de poste et de responsabilité voire quitter l´entreprise. Les contraintes techniques, les versions, les données associées à l´une ou l´autre des applications changent. Le plan devra refléter ces évolutions.

Le plan de secours est un ensemble de documents et de procédures décrivant des opérations complexes. Le plan doit être vérifié et testé régulièrement par un collaborateur plutôt que par le titulaire d´une responsabilité qui a écrit la procédure, qui sait parfaitement faire, mais qui sera en vacances, lui, le jour du sinistre.

Le plan de secours, une affaire de méthode, épaulé par un logiciel

Un plan de secours se révèle vital, en cas de sinistre. C´est un projet structurant et il représente un coût de 5% à 10% du budget informatique. Pour le bâtir, une méthodologie et une expérience sont indispensables. La méthodologie pour ne pas oublier la procédure d´escalade ou celle de choix des applications vitales. L´expérience pour détecter rapidement si une procédure sera ou non exploitable par le collaborateur qui aura à la dérouler ou pour rappeler que l´accès à une messagerie, à un téléphone, voir à un bureau est souvent plus importante et plus structurante pour redémarrer une activité que l´accès à l´ensemble des applications informatiques.

Les plans de secours se traduisant par beaucoup de documents liés entre eux, un logiciel de gestion de plan de secours est rapidement indispensable. Il assure d´avoir sous la main, au moment du sinistre, tout ce qui est nécessaire. Il facilite aussi grandement le maintien en condition opérationnelle du plan. Par exemple, il évite d´avoir à changer manuellement un nom et un numéro de téléphone dans tous les documents, suite au départ d´un collaborateur. Sans ce type d´outil, le plan de secours devient rapidement obsolète et non effectif. L´investissement réalisé pour le construire est alors partiellement voir totalement perdu. Un logiciel de plan de secours présente un ROI pour le maintien en condition opérationnelle du plan. Ce logiciel diminue la durée de toutes les tâches de mises à jour et de suivi. Il permet également un suivi et un pilotage efficace lors des exercices de validation, améliorant leurs résultats et réduisant ainsi le nombre de tests à réaliser pour maintenir le plan.

Un constat alarmant

Au même titre que le Gartner, nous avons constaté que les plans de secours lorsqu´ils existent, sont en général mal testés, irrégulièrement ou pas du tout. Un plan, non suffisamment testé, reste une « coquille vide » et un danger puisqu´il fait naître l´illusion de la sécurité. La raison principale invoquée par les entreprises est bien entendu le budget nécessaire. Mais que de budget gaspillé si ce plan n´est jamais testé, ni mis à jour et qu´il s´avère certainement inefficace en cas de sinistre. Peut on à la vue de tels enjeux, ne rien faire ? S´il manque souvent la volonté de faire aboutir un tel projet qui représentera souvent 5 à 10% du budget informatique, que dire de la capacité à le suivre et à le gérer dans le temps.

En conclusion, au vu de l´augmentation des sinistres régionaux, à la montée en puissance des réglementations des organismes de tutelle (par exemple, Bale2 pour les banques), à la demande de plus en plus pressante de clients inquiets quant à la disponibilité des services produits par leurs fournisseurs, la mise en place et le maintien en condition opérationnelle d´un plan de secours devient une urgence pour toutes les entreprises



Autres News PMSI

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143933
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI