de Ravel. 37-39
19/09/05
15:15
Page 37
GESTION DE CRISE
Construire et maintenir un plan de continuité d’activité Construire un plan de continuité d’activité est indispensable… Encore faut-il le maintenir au fil du temps en état opérationnel. Des outils de plus en plus performants peuvent aider les entreprises dans cette tâche. es exemples de sinistres majeurs qui ont récemment défrayé les chroniques, sont aujourd’hui sérieusement considérés par les entreprises, dans le cadre de leur stratégie et de leur résilience. La mise en œuvre d’un programme de continuité d’activité (PCA) fait à ce titre partie de leurs priorités. Confrontées à des besoins d’adaptation permanente, de productivité, de rentabilité et de pérennité, les entreprises doivent se doter de moyens de plus en plus sophistiqués pour garantir le succès de leur développement.
L
Un PCA au cœur du métier de l’entreprise Un PCA repose sur un ensemble de processus qui consiste à étudier et à développer à l’avance des dispositifs et des procédures permettant à une organisation de faire face à des événements invalidants qui peuvent survenir par malchance ou lors de circonstances imprévisibles, voire inconcevables. Il vise l’adoption de solutions de repli efficaces et appli-
cables en toutes occasions d’une manière telle que les fonctions critiques de son activité puissent être continuées sans interruption notable ou changement radical ou essentiel. Cet enjeu stratégique se décline pour nos entreprises, dans une démarche qui décrit avec précision : ❚ le modèle organisationnel associé à la gestion de la continuité d’activité dans son cycle de vie, ❚ les étapes, procédures et tâches à réaliser lors de l’apparition d’un incident ou d’un sinistre, ❚ la mise en place des solutions de secours ou de repli afin de permettre la restauration de l’environnement et la poursuite de l’activité en régime normal ou dégradé Il met en œuvre notamment les éléments de documentation, de simulation, de tests, de formation et d’entretien des connaissances et de maintien en condition opérationnelle des différents plans élaborés (gestion des changements).
Au-delà d’une sauvegarde informatique La portée d’un PCA dépasse largement la simple mise en œuvre d’une sauvegarde de données informatisées. L’entreprise dans le cadre de son PCA doit également englober les activités métiers critiques et les ressources humaines, sans oublier tous les services délivrés par ses prestataires. La maîtrise de la continuité d’acti-
vité au sein des établissements financiers est devenue un axe stratégique, tant sous les pressions réglementaires (Bâle II par exemple) que sous les obligations du chef d’entreprise vis-à-vis de ses employés, de ses actionnaires et clients. Mais si la majorité des entreprises s’active sur la création et la mise en œuvre de leurs plans, bien peu nombreuses sont celles qui ont les moyens et la volonté, de s’attacher à la maintenance en condition opérationnelle de leur continuité d’activité.
Thierry de Ravel Directeur associé
OfficeShadow France
La maintenance de la continuité d’activité La maintenance en condition opérationnelle (MCO) de la continuité d’activité est un exercice difficile car la fréquence et l’importance des changements imposés à l’entreprise pour rester performante et compétitive, conduisent à des évolutions permanentes de son dispositif de continuité et de reprise d’activité en général et de ses plans d’actions en particulier. De nombreux clients se sont retrouvés en situation de crise ou lors d’exercices de simulation, complètement démunis car les responsabilités et tâches affectées aux uns et aux autres, ne correspondaient plus à la situation du moment. Une politique outillée de gestion des changements s’impose alors dans la stratégie de l’entreprise.
Hors-série « Informatique et nouvelles technologies » – octobre 2005 ■ Revue Banque
37
de Ravel. 37-39
19/09/05
15:15
Page 38
R É G L E M E N TA T I O N &
L’apparition de canevas méthodologiques tels qu’ITIL (promu par l’ITSMF), le COBIT (de l’ISACA) ou l’émergence d’outils de nouvelle génération, ont indéniablement œuvré en ce sens et contribué à rendre plus mature la gestion des systèmes d’information (SI) au profit de la performance de l’entreprise en général et de sa continuité d’activité en particulier. Ainsi la CMDB (Configuration Management Data Base), référentiel de données de configuration des ressources du SI de l’entreprise est une base de données née de l’avènement du canevas de bonnes pratiques ITIL. Elle répertorie les éléments tels que les incidents, problèmes, erreurs, demandes de changement, gestion des versions, distribution, éléments de mesure, données contractuelles, achats, éléments matériels et logiciels, annuaires, ressources humaines, données financières… Elle s’affirme comme le “réservoir” du patrimoine de l’ensemble des ressources qui vont potentiellement nourrir et intéresser la continuité d’activité. Par ailleurs, la CMDB orchestre l’ensemble des relations (logiques ou physiques) entre les divers éléments qui la composent. Les ressources ou les actifs technologiques ou humains de l’entreprise sont souvent gérés dans des bases de données hétérogènes dont le processus de mise à jour n’est pas toujours garanti. Au sein de grands groupes, il est même assez courant de voir chaque filiale, division, département ou entité, disposer de sa propre base RH, de gestion de ses actifs mobiliers et immobiliers, ou des éléments de son infrastructure IT. Considérée comme un référentiel maître dans l’entreprise, la CMDB est le candidat idéal pour alimenter le référentiel de l’outil de gestion de la continuité d’activité. Compte tenu du rôle fédérateur et du renforcement de ce référentiel unique, normalisé et consolidé au
38
SÉCURITÉ
PRINCIPES DE DÉCLENCHEMENTS DES PLANS Equipes de gestion et des incidents, des mesures conservatoires et de la crise
Equipes de supervision
Activité ou processus métier
BAM
Infrastructure IT
SLM
Bâtiments ressources
GTC
Outils de supervision
Gestion des incidents et des sinistres
Equipes opérationnelles et fonctionnelles
Plans d'actions
Outils de gestion des incidents et des sinistres
Outils de gestion des plans
GTC, SLM, BAM sont des producteurs d'alertes au secours de la prise de décision des cellules de crises.
sein des organisations, la gestion des changements sera donc grandement facilitée.
Un nouveau client pour les outils de supervision…
“La maintenance en condition opérationnelle de la continuité d’activité est un exercice difficile car la fréquence et l’importance des changements imposés à l’entreprise, conduisent à des évolutions permanentes de son dispositif.”
Au même titre que la CMDB apporte sa contribution au management des systèmes d’information, les outils de supervision de gestion d’infrastructure IT, électrique et de climatisation sont les mieux placés pour gérer des alertes techniques (Supervision technique – FM, Gestion technique centralisée – GTC), ou applicatives (Gestion des niveaux de services – SLM, Supervision des activités métiers - BAM) émises par les divers composants du SI. Ces outils vont grâce à leurs capacités, permettre d’alimenter en information pertinente l’outil de gestion de la continuité d’activité, module gestion des incidents et des sinistres ou à défaut directement la cellule de gestion de crise. Les équipes de gestion de crise disposent alors d’informations agrégées et pertinentes qu’elles pourront alors corréler et analyser dans leur vision et leur perspective de la continuité d’activité de l’entreprise (encadré 1). En effet une grande difficulté face à un incident ou un sinistre, consiste à aller activer
Revue Banque ■ Hors-série « Informatique et nouvelles technologies » – octobre 2005
les plans d’actions adaptés à la situation dans le respect de la stratégie de continuité qui a été analysée et définie. Les bons plans d’actions et les bonnes procédures associées pourront alors être activés de façon plus efficiente et efficace.
Des progiciels métiers dédiés à la continuité d’activité La gestion du cycle de vie de la continuité d’activité est aujourd’hui supportée par des outils progiciels éprouvés et adaptés aux grandes comme aux petites entreprises, notamment par le truchement de mécanismes hérités des vues utilisés dans le monde des bases de données. Certains de ces outils, comme Shadow-Planner, dispose d’un référentiel centralisé et ouvert garantissant la cohérence globale des données et fournissant une intégration native aux diverses fonctions de la continuité d’activité qu’ils couvrent, comme par exemple : ❚ l’analyse des risques pouvant affecter les actifs et les processus critiques, ❚ l’analyse d’impact métier permettant la mesure de la vulnérabilité de l’entreprise au travers d’une analyse fine de ses processus métiers, ❚ le développement et la maintenance des plans,
de Ravel. 37-39
19/09/05
15:15
Page 39
❚ la gestion de crise et de la communication lors de la mise en œuvre des actions pendant la crise, ❚ le test et la simulation de scénarios dans le cadre d’opérations normales, ❚ la mesure du respect des règles de conformité définies au sein de l’entreprise ou imposées par son environnement (Sarbanes-Oxley Act, HIPAA, CRBF 97-02, article 43, PAS 56, Méhari, BS7799-2…). ❚ la fourniture d’un tableau de bord, permettant un pilotage effectif des rôles, tâches, responsabilités et fonctions du personnel concerné par la continuité d’activité. Ces progiciels de nouvelle génération disposent d’une interface utilisateur web graphique et intuitive, d’une sécurité renforcée de bout en bout, et pour les plus performants d’entre eux sont disponibles en mode ASP (fourniture d’application hébergée). Ce mode est particulièrement prisé par les établissements financiers tant pour son caractère opérationnel immédiat que pour sa capacité à offrir une résilience indépendante du SI de l’entreprise.
Des mécanismes de workflow, garants de la fraîcheur des données Dans le cadre du MCO, le défi de tous les responsables PCA est de disposer d’une solution de continuité opérationnelle à jour, alignée sur les changements opérés au sein de l’entreprise. Les principaux changements concernent notamment les processus métiers vitaux, l’organisation, pour toutes les ressources mobilières dans leur caractéristique et leur localisation, le SI et les projets de changements, les services métiers et IT délivrés par des prestataires/fournisseurs. Dès lors qu’un changement est pris en charge par le système d’information automatisé, y compris ceux liés aux composants du SI dans l’entreprise (voir la CMDB), il est possible d’alimenter la solution logi-
“Une grande difficulté face à un incident ou un sinistre, consiste à aller activer les plans d’actions adaptés à la situation dans le respect de la stratégie de continuité qui a été analysée et définie.”
cielle de gestion de continuité d’activité en utilisant des mécanismes d’import/export ou de passerelle d’intégration applicative via des procédures manuelles ou automatisées. En revanche, il s’avère beaucoup plus difficile de gérer les changements qui échappent au système d’information automatisé de l’entreprise. Il s’agit principalement des informations identifiées par l’entreprise mais conservées exclusivement sur du papier, volontairement ou par erreur. De plus, envisager de systématiser la prise en compte de tous les changements de l’entreprise dans la solution de gestion de continuité représenterait un projet complexe techniquement, coûteux en temps et en charge. La définition de tâches préprogrammées associées à chacun des composants constitutifs de la continuité d’activité et affectées à une ou plusieurs personnes responsabilisées permet de gérer ce problème dans la durée. Le recours à des principes utilisés dans les systèmes de workflow et d’ordonnancement permet ainsi de réviser régulièrement des tâches programmées portant sur des composants constitutifs de la continuité d’activité. Par exemple, la mise à jour de tous les documents utilisés (plans, procédures, annexes…), de la stratégie de l’entreprise (règles métiers, stratégie…) de la gestion des rôles et des responsabilités, ou la mise à jour des données personnelles ou en cas d’urgence, nécessite une révision régulière, Le maintien en condition opérationnelle de la continuité d’activité de l’entreprise fonctionne de façon efficiente et efficace au travers d’une mise à jour permanente des plans et procédures qui la composent.
Un système d’information dédié à la gestion de la continuité Le sinistre n’arrive jamais au bon moment, n’a jamais la forme attendue, n’intervient jamais juste après
la constitution des plans et n’a ni la forme étudiée dans les phases d’analyse de risque ou d’analyse d’impact métier ni la forme évaluée dans les phases d’exercices. Les récents exemples de catastrophes naturelles, comme le tsunami en Indonésie ou Katrina à la Nouvelle-Orléans, ou le moins récent exemple de l’incendie du Crédit Lyonnais en mai 1996, encore présent à l’esprit de tous, nous le montrent encore au quotidien… Les exercices mêmes s’ils restent obligatoires et nécessaires, mettent en œuvre des scénarios aux contours bien définis. La réalité des crises est malheureusement toute autre. De plus, le temps, les budgets, et la charge de travail nécessaire, ne permettent pas la mise en place quotidienne du test de tous les éléments au regard de l’ensemble des menaces potentielles susceptibles d’affecter le fonctionnement de l’entreprise.
Un choix plus professionnel Entre le sinistre et les scénarios de crises potentielles, entre la théorie et la pratique, alignement et réconciliation de la préparation et réaction à la crise ne sont plus des options. Face à cela, méthodologie, organisation, expérience, expertise, volonté de direction générale, exercices, formations, entretien des connaissances sont nécessaires… Mais ce ne sont pas les seuls éléments indispensables à la survie de l’entreprise… La mise en œuvre d’un système d’information dédié à la gestion de la continuité d’activité interfacé avec le système d’information de l’entreprise doit permettre de s’inscrire dans une démarche de changement d’une continuité d’activité industrialisée et pérenne. Les entreprises, évoluent enfin d’un outillage rudimentaire sur Word ou Excel vers un choix plus professionnel. De gros établissements sur la place de Paris ont déjà fait le pas. ■
Hors-série « Informatique et nouvelles technologies » – octobre 2005 ■ Revue Banque
39