29/03/2011
Elaborer un plan de continuité d'activité en huit étapes
|
Les plans de reprise doivent être élaborés en suivant une méthodologie de projet rigoureuse. Voici comment. |
Aujourd'hui, il est difficile d'imaginer une société poursuivre ses activités
sans son infrastructure informatique et notamment ses applications de gestion.
Dans le même temps, les risques susceptibles d'engendrer une chute des systèmes
n'ont pas faibli.
Situations
météorologiques pour l'heure considérées comme exceptionnelles mais qui pourraient
tendre à devenir des phénomènes habituels dans un futur proche (on pense aux
crues notamment) ; coupures de courant de grande ampleur, engendrées
par la complexification des réseaux électriques issues de l'ouverture
du marché à la concurrence (on se rappelle des problèmes survenus en
Italie ou aux Etats-Unis il y a quelques années, qui avaient laissé
plusieurs millions de personnes dans le noir) : autant de risques qui, au
delà des accidents plus communs comme les incendies, imposent d'élaborer
un plan de secours pour le cas où l'informatique tombe, plan qui consiste
à assurer la continuité d'activité.
D'où notion de plan de continuité des activités (PCA)
dont ce qui suit donne les étapes-clés conditionnant son bon
fonctionnement.
1) La nomination d'un chef de projet indépendant de la DSI
Dans l'idéal, le responsable nommé pour prendre la direction
du projet de PCA doit jouir d'une certaine indépendance vis-à-vis
de la direction des systèmes d'information (DSI), par rapport à
laquelle il est en effet censé réaliser des préconisations
organisationnelles et technologiques avec statut de consultant, au même
titre que d'autres départements de l'entreprise jugés critiques
d'ailleurs. Il peut être par exemple détaché par la direction
générale auprès du département de gestion des
risques (Risk Management).
2) L'audit des activités critiques de l'entreprise
En amont de l'élaboration du plan de continuité, il est important de commencer
par lister les activités de l'entreprise considérées comme critiques, c'est-à-dire
sans lesquelles elle ne peut poursuivre sa ou ses missions principales. "Dans
ce but, il est conseillé d'interviewer les responsables de chaque activité,
en vue de cerner leurs besoins en termes humains et de reprise applicative",
explique Sébastien David, consultant plan de continuité chez XP Conseil (groupe
Devoteam). Une démarche qui permettra de sensibiliser les responsables
à la démarche tout en faisant le point sur leur niveau d'exigence.
Prendre en compte les forces politiques |
3) La réalisation d'un document de synthèse
Suite à cette enquête, un premier document est réalisé.
Il formalise une classification des activités par niveau d'exigence
(ou niveau de criticité), en précisant également les
liens existant entre elles pour en assurer le bon fonctionnement. "Les
forces politiques existantes dans l'entreprise doivent absolument être
prises en compte dans cette hiérarchisation pour éviter tout
blocage managerial lors de la phase de mise en oeuvre", souligne Sébastien
David.
4) La validation des niveaux d'exigence
La classification des activités est validée par un comité de pilotage. Un
groupe composé du responsable du projet, de représentants de la direction
générale et de la DSI, ainsi que de responsables des directions administratives
et financières, sans oublier les départements correspondant aux activités
jugées critiques.
5) L'élaboration d'un cahier des charges
Sur la base de ce premier document de synthèse, un cahier des charges est
réalisé. Pour chaque activité, il passe en revue les éléments nécessaires
au plan de reprise, en termes d'infrastructure logicielle et matérielle (nombre
de positions de travail, de serveurs, d'accès réseau, etc.), d'applications
(outils métier, etc.), mais aussi de ressources humaines (compétences,
effectif à mobiliser au moment où intervient le sinistre, etc.).
Des niveaux de tolérance sont établis, en termes de temps de
reprise (maximum) par applications et de pertes de données. Et les
interdépendances entre applicatifs formalisées.
6) Le choix d'un prestataire
Il est conseillé de s'appuyer sur un prestataire pour toutes les questions
de mise en oeuvre. Beaucoup plus onéreuse qu'une prise en charge par les équipes
internes, cette solution n'en présente pas moins des garanties d'application
plus nombreuses, du moins sur le papier. "Externaliser permet de mutualiser
les coûts, mais aussi de bénéficier d'un contrat engageant la
société de services. On est sûr que les ressources seront
allouées aux bons endroits, ce qui n'est pas forcément le cas
pour un PCA couvert en interne", plaide t-on chez Devoteam.
Description des processus et des profils nécessaires |
7) La formalisation du plan
La formalisation du plan de continuité consiste à décrire
clairement les processus à mettre en place sur le site de repli, ainsi
que les profils humains et les moyens techniques nécessaires pour les
supporter. Afin d'assurer la transition vers la nouvelle organisation, des
processus de gestion de crise sont également définis. Il s'agit
notamment de détailler la cascade d'alertes à activer lors de
l'incident, ainsi que les différentes étapes visant à
mettre sur pied la cellule de crise, et la campagne d'information clients
et partenaires qui s'impose.
"En général, une bonne gestion de crise réduira l'impact sur les métiers,
notamment dans la mesure où l'entreprise est plus réactive sachant mieux anticiper
les actions à mettre en oeuvre - en particulier en termes de coordination
et de communication", note Sébastien David.
8) La phase de test et la maintenance
En vue d'assurer leur passage sans encombre en phase de production, il est
bon de soumettre les processus du PCA à une batterie de tests visant
à cerner les difficultés techniques et humaines qui pourraient
subvenir lors de l'activation. Autre condition de réussite : la
maintenance du plan en situation opérationnelle, c'est-à-dire
son adaptation (à la fois technique et humaine) au fil de l'eau en fonction
des évolutions de l'activité de l'entreprise. "Tests et
configurations successives doivent être clairement historisés",
recommande ainsi le consultant de XP Conseil.
|