Ce n'est pas dans l'urgence qu'il
faut penser à établir un plan de secours. L'informatique n'échappe
pas à cette règle : étudiez minutieusement toutes les activités
de votre entreprise pour savoir comment les redémarrer en cas de sinistre.
|
|
Assurer les rentrées financières
: le premier objectif du plan de continuité d'activité.
© Dmitri M Ikitenko - Fotolia.com |
|
Les coûts
liés à l'indisponibilité du système d'information
d'une entreprise peuvent être très élevés. La perte
des données stratégiques et d'exploitation d'une entreprise se traduit
par de lourdes pertes financières. Dans 50% des cas, un sinistre grave
(incendie, vol, destruction virale, panne hardware), mène en moins de deux
ans les entreprises à la faillite.
L'entreprise doit pouvoir faire
face à ces situations en mettant au point un plan de continuité
d'activité (PCA). Quelles en sont les grandes lignes ?
Nommer un chef de projet indépendant
de la DSI. Dans l'idéal, le responsable nommé pour prendre
la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis
de la direction des systèmes d'information (DSI) : il est en effet censé
réaliser des préconisations organisationnelles et technologiques
avec un statut de consultant. Il peut par exemple être détaché
par la direction générale auprès du département de
gestion des risques.
Auditer les activités critiques
de l'entreprise. En amont de l'élaboration du plan de continuité,
il faut lister les activités de l'entreprise sans lesquelles elle ne peut
poursuivre ses missions principales. Cette démarche permettra de sensibiliser
les responsables de chaque activité tout en faisant le point sur leur niveau
d'exigence.
Réaliser un document de synthèse.
Ce premier document formalise une classification des activités par niveau
d'exigence (ou niveau de criticité), en précisant également
les liens existant entre elles pour en assurer le bon fonctionnement.
Valider les niveaux d'exigence.
La classification des activités est validée par un comité
de pilotage. Un groupe composé du responsable du projet, de représentants
de la direction générale et de la DSI, ainsi que de responsables
des directions administratives et financières, sans oublier les départements
correspondant aux activités jugées critiques.
Elaborer un cahier des charges.
Sur la base du premier document de synthèse, un cahier des charges est
réalisé. Pour chaque activité, il passe en revue les éléments
nécessaires au plan de reprise, en termes d'infrastructure logicielle et
matérielle (nombre de positions de travail, de serveurs, d'accès
réseau, etc.), d'applications (outils métier, etc.), mais aussi
de ressources humaines (compétences, effectif à mobiliser au moment
où intervient le sinistre, etc.). Des niveaux de tolérance sont
établis, en termes de temps de reprise (maximum) par application et de
pertes de données. Et les interdépendances entre applicatifs sont
formalisées.
Formaliser le plan.
Il faut décrire clairement les processus à mettre en place sur le
site de repli, ainsi que les profils humains et les moyens techniques nécessaires
pour les supporter. Afin d'assurer la transition vers la nouvelle organisation,
des processus de gestion de crise sont également définis. Il s'agit
notamment de détailler la cascade d'alertes à activer lors de l'incident,
ainsi que les différentes étapes visant à mettre sur pied
la cellule de crise, et la campagne d'information clients et partenaires qui s'impose.
On pourra éventuellement s'appuyer sur un prestataire.
Effectuer des tests et gérer
la maintenance. Pour s'assurer de sa validité, il faut soumettre
les processus du PCA à une batterie de tests : on cernera ainsi les difficultés
techniques et humaines qui pourraient survenir lors de l'activation. Autre condition
de réussite : la maintenance du plan en situation opérationnelle,
c'est-à-dire son adaptation (à la fois technique et humaine) au
fil de l'eau en fonction des évolutions de l'activité de l'entreprise.
Découvrez les
solutions de téléphonie sur IP de Bouygues Telecom Entreprises