|
|
Sécurité |
Comment
monter un plan de continuation en cas de catastrophe ? |
A l'heure où les risques d'attaques terroristes sont pointés du doigt, retour sur les bonnes pratiques à adopter pour faire face aux conséquences des destructions massives. (Jeudi 4 juillet 2002) |
|
Selon
un rapport publié récemment par le FBI (et
rapporté par le Washington Post), des actions terroristes,
menées notamment par les réseaux Al Qaeda,
sont à craindre dans les mois qui viennent aux
Etats-Unis... et dans le reste du monde. Une menace qui
pourrait prendre la forme d'attaques ciblant diverses
infrastructures : des centres téléphoniques,
des plates-formes financières, des systèmes
de génération électrique - comme
des centrales nucléaires par exemple... mais également
des cyberattaques lancées par le biais d'Internet :
des opérations qui viseraient notamment à
prendre le contrôle de certains dispositifs tels
que des lignes à hautes tensions ou des barrages.
C'est
dans ce contexte que l'état fédéral
américain a décidé de lancer un appel
à 150 sociétés du secteur informatique
pour mettre en place un plan d'urgence. Objectif affiché :
tenter d'améliorer le plus rapidement possible
le degré de sécurisation des systèmes
d'information fédéraux en vue de faire face
aux dangers potentiels.
Suite aux événements du 11 septembre dernier,
ces mises en garde remettent plus que jamais sur le devant
de la scène les précautions à prendre
pour prévenir les conséquences de tels événements
sur l'activité d'une entreprise, sa structure
financière et ses systèmes de production
notamment.
La
définition d'un plan de continuité
Dans une récente note
méthodologique, le Gartner revient sur les bons
usages à suivre pour définir un plan de
continuation des activités suite à un désastre.
Selon l'institut, ce plan s'articule en six points :
Evaluation des risques : entendez par
là l'identification des vulnérabilités dont souffre un
système d'information, et des menaces qui en découlent.
Cette phase préliminaire inclut la définition de recommandations
d'actions permettant de réduire ces risques et rétablir
rapidement le processus de production en cas d'interruption.
Analyse des
impacts métier : cette étape
consiste à déterminer quels fonctions, systèmes
et processus sont essentiels à la poursuite de
l'activité de l'entreprise.
Plan de rétablissement : il s'agit
ici d'élaborer un guide passant en revue, dans
l'ordre, l'ensemble des actions à appliquer dans
l'immédiat à la suite d'un désastre.
Plan de continuité : ce document
décrit en détail les procédures nécessaires
pour assurer la poursuite des livraisons de produits et
services en cas de dérangement des fonctions informatiques
critiques de l'entreprise, de ses applications et de ses
processus.
Plan de maintenance : Cette feuille
de route fixe pour finir à quelle date doit être
mis à jour le plan de continuité des activités.
Vers
la nécessité de cerner tous les scénarios
La
principale difficulté de ces chantiers réside
dans le besoin de prendre en compte l'ensemble des scénarios
catastrophes que l'entreprise est susceptible de vivre...
Rappelons que plusieurs sociétés installées
dans les Twins Towers, parmi lesquelles des sociétés financières,
avaient défini des listes de procédures de sauvegarde
d'informations, incluant dans certains cas la prise en
compte des toutes dernières
transactions effectuées. Certaines n'hésitant
pas, à la demande de leur assurance, à faire
appel à des sociétés spécialisées
dans ce domaine pour stocker leur base de données
dans de véritables bunkers.
On se rappelle également
de l'incendie qui a ravagé le siège du Crédit Lyonnais
à Paris. Nous sommes en 1999 : quelques années auparavant,
cette banque s'est équipée d'une nouvelle salle
des marchés. Installée dans l'immeuble historique de la
banque (Boulevard des Italiens), elle fait l'objet d'une
infrastructure identique en région parisienne. Raison
invoquée alors : la nécessité d'assurer la poursuite du
travail dans le cas où des piquets de grève bloqueraient
l'une des deux entrées du siége. Une décision qui
permettra finalement aux traders de bénéficier dès le
lendemain de l'incendie de postes de travail équivalents
à ceux qu'ils connaissaient...
|
|
|