 |
|
|
| |
|
|
| Sommaire DSI |
|
| Jean-Louis Gross (CSC) : "Si un DSI se laisse surprendre, il est presque aussi coupable que son prestataire défaillant" |
| Mesure de la criticité et de la tolérance aux pannes, plans de continuité, back-up des prestataires, normes ISO... Analyse des principaux points à prendre en compte pour éviter le pire.
(02/05/2006) |
|
Jean-Louis Gross est vice-président chez CSC. Il détaille sa vision de la gestion des risques opérationnels appliquée aux prestataires informatiques critiques.
JDN Solutions. Comment prévenir la défaillance d'un prestataire sensible ?
Jean-Louis Gross. Toute entreprise possédant des dispositifs informatiques critiques devrait mettre en place un plan de poursuite d'activités. Cela nécessite de mesurer la criticité et la tolérance aux pannes, et notamment les impacts business. Si l'un de mes prestataires est "critique", il faut lui demander de prévoir un plan de continuité ou des prestataires de back-up.
Cette démarche dépasse le domaine informatique. Il faut que les processus métiers soient prêts à se transférer d'un prestataire vers un autre. Et cela, en envisageant tous les cas de figure, notamment le fait d'appeler EDF pour qu'ils vous apportent un camion avec un générateur en bas de chez vous.
Tout le monde connait la fragilité des systèmes informatiques mais c'est à l'entreprise de prendre ses risques. En travaillant à l'économie, elle prend un risque qui est ce qu'il est. Et le risque arrive aussi quand on laisse des applicatifs sans TMA, sans trop surveiller ce qui se passe, avec des niveaux de service moyens.
Dans quelle mesure peut-on limiter les risques ?
Si vous identifiez qu'un prestataire risque de vous faire défaut, il faut changer, en prendre un deuxième en back-up ou l'obliger à en prendre un autre en back-up, avec des normes ISO, des normes européennes.
| "On peut facilement "scorer" un partenaire. Les questionnaires ISO sont faits pour cela" |
Ces situations ont été rencontrées des centaines de fois. Il existe des normes précises, des check-list de tout ce que l'on doit vérifier, depuis la zone inondable jusqu'au taux de couverture de son personnel.
Est-il aisé de réaliser le scoring de ses partenaires ?
On peut facilement "scorer" un partenaire sur les aspects informatiques. Les questionnaires ISO sont faits pour cela. On en tire un niveau de maturité du prestataire qui est tolérable ou non, en fonction du taux de risque que l'on est prêt à accepter. Il existe également des sociétés dont c'est le métier de scorer les partenaires.
Prévenir la défaillance d'un prestataire sensible fonctionne comme une assurance. C'est de la gestion du risque opérationnel, d'ailleurs obligatoire dans le secteur des banques et des assurances, moins dans le secteur tertiaire. C'est d'ailleurs là qu'on trouve le plus de catastrophes.
C'est aussi une démarche où il faut régulièrement s'entraîner, répéter et faire des vérifications. C'est une culture a acquérir mais elle est normalement connue de tous les DSI. Et si un DSI se laisse surprendre, il est presque aussi coupable que le prestataire défaillant.
|
| |
| |
|
|
|
|
|
|
