Journal du Net > Solutions > Sécurité >  Elaborer un plan de continuité d'activité en huit étapes
Dossier
 
29/03/2011

Elaborer un plan de continuité d'activité en huit étapes

Les plans de reprise doivent être élaborés en suivant une méthodologie de projet rigoureuse. Voici comment.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Aujourd'hui, il est difficile d'imaginer une société poursuivre ses activités sans son infrastructure informatique et notamment ses applications de gestion. Dans le même temps, les risques susceptibles d'engendrer une chute des systèmes n'ont pas faibli.

Situations météorologiques pour l'heure considérées comme exceptionnelles mais qui pourraient tendre à devenir des phénomènes habituels dans un futur proche (on pense aux crues notamment) ; coupures de courant de grande ampleur, engendrées par la complexification des réseaux électriques issues de l'ouverture du marché à la concurrence (on se rappelle des problèmes survenus en Italie ou aux Etats-Unis il y a quelques années, qui avaient laissé plusieurs millions de personnes dans le noir) : autant de risques qui, au delà des accidents plus communs comme les incendies, imposent d'élaborer un plan de secours pour le cas où l'informatique tombe, plan qui consiste à assurer la continuité d'activité.

D'où notion de plan de continuité des activités (PCA) dont ce qui suit donne les étapes-clés conditionnant son bon fonctionnement.

1) La nomination d'un chef de projet indépendant de la DSI
Dans l'idéal, le responsable nommé pour prendre la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis de la direction des systèmes d'information (DSI), par rapport à laquelle il est en effet censé réaliser des préconisations organisationnelles et technologiques avec statut de consultant, au même titre que d'autres départements de l'entreprise jugés critiques d'ailleurs. Il peut être par exemple détaché par la direction générale auprès du département de gestion des risques (Risk Management).

2) L'audit des activités critiques de l'entreprise
En amont de l'élaboration du plan de continuité, il est important de commencer par lister les activités de l'entreprise considérées comme critiques, c'est-à-dire sans lesquelles elle ne peut poursuivre sa ou ses missions principales. "Dans ce but, il est conseillé d'interviewer les responsables de chaque activité, en vue de cerner leurs besoins en termes humains et de reprise applicative", explique Sébastien David, consultant plan de continuité chez XP Conseil (groupe Devoteam). Une démarche qui permettra de sensibiliser les responsables à la démarche tout en faisant le point sur leur niveau d'exigence.


Prendre en compte les forces politiques

3) La réalisation d'un document de synthèse
Suite à cette enquête, un premier document est réalisé. Il formalise une classification des activités par niveau d'exigence (ou niveau de criticité), en précisant également les liens existant entre elles pour en assurer le bon fonctionnement. "Les forces politiques existantes dans l'entreprise doivent absolument être prises en compte dans cette hiérarchisation pour éviter tout blocage managerial lors de la phase de mise en oeuvre", souligne Sébastien David.

4) La validation des niveaux d'exigence
La classification des activités est validée par un comité de pilotage. Un groupe composé du responsable du projet, de représentants de la direction générale et de la DSI, ainsi que de responsables des directions administratives et financières, sans oublier les départements correspondant aux activités jugées critiques.

5) L'élaboration d'un cahier des charges
Sur la base de ce premier document de synthèse, un cahier des charges est réalisé. Pour chaque activité, il passe en revue les éléments nécessaires au plan de reprise, en termes d'infrastructure logicielle et matérielle (nombre de positions de travail, de serveurs, d'accès réseau, etc.), d'applications (outils métier, etc.), mais aussi de ressources humaines (compétences, effectif à mobiliser au moment où intervient le sinistre, etc.). Des niveaux de tolérance sont établis, en termes de temps de reprise (maximum) par applications et de pertes de données. Et les interdépendances entre applicatifs formalisées.

6) Le choix d'un prestataire
Il est conseillé de s'appuyer sur un prestataire pour toutes les questions de mise en oeuvre. Beaucoup plus onéreuse qu'une prise en charge par les équipes internes, cette solution n'en présente pas moins des garanties d'application plus nombreuses, du moins sur le papier. "Externaliser permet de mutualiser les coûts, mais aussi de bénéficier d'un contrat engageant la société de services. On est sûr que les ressources seront allouées aux bons endroits, ce qui n'est pas forcément le cas pour un PCA couvert en interne", plaide t-on chez Devoteam.

Description des processus et des profils nécessaires

7) La formalisation du plan
La formalisation du plan de continuité consiste à décrire clairement les processus à mettre en place sur le site de repli, ainsi que les profils humains et les moyens techniques nécessaires pour les supporter. Afin d'assurer la transition vers la nouvelle organisation, des processus de gestion de crise sont également définis. Il s'agit notamment de détailler la cascade d'alertes à activer lors de l'incident, ainsi que les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'information clients et partenaires qui s'impose.

"En général, une bonne gestion de crise réduira l'impact sur les métiers, notamment dans la mesure où l'entreprise est plus réactive sachant mieux anticiper les actions à mettre en oeuvre - en particulier en termes de coordination et de communication", note Sébastien David.

8) La phase de test et la maintenance

 
En savoir plus
 
 
 
En vue d'assurer leur passage sans encombre en phase de production, il est bon de soumettre les processus du PCA à une batterie de tests visant à cerner les difficultés techniques et humaines qui pourraient subvenir lors de l'activation. Autre condition de réussite : la maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois technique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise. "Tests et configurations successives doivent être clairement historisés", recommande ainsi le consultant de XP Conseil.
JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages