Bruno Hamon (Exedis) :"Le PCA est un moyen et non une finalité"

Lors de la conférence consacrée au plan de continuité d'activité du Forum Eurosec, vous avez beaucoup insisté sur la terminologie même, pourquoi ?

Selon la population à laquelle on s'adresse, on constate que la terminologie est très différente, souvent galvaudée, au dépend de la cohérence. Exemple type, entretenez-vous avec des gens du stockage. Ils parleront beaucoup de PRA, de plan de reprise d'activité. Pour eux la définition de la continuité d'activité, c'est la reprise à partir de bandes ou de disques. Or, cela n'englobe pas la totalité de ce que recouvre le PCA.

Selon la terminologie, telle que nous l'avons adoptée chez Exedis et comme elle est employée par l'AFNOR, un PCA se compose de deux volets : Le premier, c'est le PCO ou plan de continuité opérationnelle. Ce PCO a pour objectif, au travers d'entretiens de définir les exigences métiers de la continuité de l'activité de l'entité concernée, avec toujours en arrière plan, l'impératif de satisfaire la promesse client.

Le secteur de la finance ou des télécommunications mettent en place des infrastructures très complexes de cluster, redondantes, parce qu'ils ne peuvent se permettre de ne pas fournir un service client durant 1 ou 2 heures. En revanche dans le tourisme, il sera question de reprise d'activité. C'est-à-dire qu'on s'accordera un délai de reprise.

Existe-t-il des confusions analogues au niveau même des objectifs constitutifs du PCA ?

Il existe un même souci de terminologie. Le PCA est composé de deux objectifs principaux qui doivent impérativement être clairement identifiés - ce qui ne signifie pas qu'il n'en existe pas d'autres toutefois. Il s'agit de la PDAM et de la DMIA.

La PDAM, c'est la perte de données maximale admissible. En clair, quelle est la perte acceptable pour un service quel qu'il soit : qu'est-ce que l'on s'autorise à perdre ? On introduit en outre une notion de fraîcheur des données. En redémarrage après sinistre, les données peuvent-elles dater de la veille, de la dernière heure, d'une minute ? La traduction anglophone pour PDAM est RPO, pour Recovery Point Objective.

Second objectif, tout aussi important : la DMIA ou DIMA, qui signifie durée maximale d'indisponibilité admissible. C'est à ce niveau qu'est déterminé l'objectif de délai de reprise. Au travers d'entretiens avec les directions métiers, on définit pour chacune d'elles, mais également pour les différents processus, le délai au terme duquel l'activité doit avoir redémarré avant que l'impact ne soit jugé grave. La traduction anglophone de la DMIA est RTO : Recovery Time Objective.

Qu'en est-il de la normalisation en France et des démarches engagées par l'AFNOR ?

Le référentiel de bonnes pratiques en matière de PCA, défini au sein d'un groupe de travail à l'AFNOR, groupe dont j'ai été le président, est disponible depuis février 2007. C'est donc un guide, fruit d'un an de travail, dont le but est d'assister les entreprises dans l'élaboration et la mise en place d'un PCA, en définissant ce qui est essentiel pour elles et les méthodes pour parvenir.

A terme, l'AFNOR souhaite s'orienter vers une norme. Norme qui à l'heure actuelle n'existe pas, aussi bien sur le plan national, qu'international. Le dépôt d'une proposition de norme devrait pouvoir se faire en 2008.

Où en sont les entreprises françaises par rapport aux démarches PCA ?

Ce que l'on constate depuis ces 10 dernières années, c'est que la description même du plan de continuité a évolué. Je ne parle évidemment pas des entreprises du CAC, qui ne nous ont pas attendu pour mettre en place des PCA. Fin des années 90, début 2000, le PCA suivait le chemin inverse de ce qu'il est désormais.

Les gens se posaient en effet d'abord la question de l'informatique. Après s'être prioritairement préoccupés de ce volet, ils se sont rendu compte que cela ne suffisait pas et qu'ils devaient rencontrer les métiers pour étendre le périmètre. La consolidation de l'outil informatique ne permet pas de faire face à tous les sinistres, ne serait-ce que par exemple l'accès aux locaux. Il a fallu remonter d'un cran.

C'est donc désormais à la direction générale de fixer des priorités et de les hiérarchiser, afin de définir ce qui doit être redémarré ou non et sous quels délais. La vraie cohérence dans la conception d'un PCA est donc de partir des directions métiers pour descendre ensuite à la technique.

Et qu'est-ce qui a motivé ce changement ?

Ce qui a fondamentalement changé ces cinq dernières années, c'est d'abord un fort courant réglementaire. C'est un certain nombre de recommandations et d'obligations d'origine externe, qui peuvent être statutaires, fiscales, juridiques ou réglementaires : ISO 27001, Sarbanes-Oxley, Bâle II, la LSF et CRBF-9702 [ndlr pour Comité de la réglementation bancaire et financière].

Dans le cas précis de CRBF, cela impose à un certain nombre d'organismes assujettis de se mettre en conformité et pour cela d'assurer la maîtrise de leurs activités essentielles et des risques attachés. Ce qui est très intéressant, c'est que CRBF indique également que si une activité opérationnelle et/ou de support est sous-traitée - fournisseur régulier, infogérance par exemple -, cette activité est elle-même impactée.

Cela signifie qu'il y a un rebond au niveau de la conformité de l'entreprise concernée et des sous-traitants assurant la prise en charge de ces activités essentielles. Un transporteur fournissant par exemple des prestations à une banque pourra être lui aussi amené à se mettre en conformité avec CRBF. La richesse du PCA réside dans le fait qu'il ne concerne pas l'entreprise uniquement, mais rayonne dans tout son écosystème.

Quelles situations permet de couvrir un PCA ?

Il est impossible de faire face à tous les types de risques. Ce dont on doit se préoccuper par conséquent, c'est de couvrir les conséquences. Lorsque vous tenez compte de ce raisonnement, vous constatez qu'il existe en réalité 2 cas de figure : les locaux sont partiellement ou totalement détruits, que faire ? L'autre cas est comment repartir avec une informatique partiellement détruite ou inaccessible durablement ?

J'attire toutefois l'attention sur une troisième situation, qui est actuellement de plus en plus demandée dans le cadre d'élaboration de PCA : l'informatique et les locaux sont intacts, mais vous n'êtes plus en mesure de travailler du fait de contraintes externes. Il peut s'agir par exemple de grèves dans les transports, d'un mouvement social ou d'une pandémie. C'est une problématique très complexe à gérer. Intervient notamment ici la notion de télétravail.

En règle générale, lorsque vous avez balayé ces 3 cas, vous avez traité l'essentiel. Mais cela représente un vaste chantier. Par conséquent une entreprise peut tout à fait décider de séquencer la mise en place d'un PCA.

Elle peut par exemple traiter le plan de continuité des métiers et décider de laisser en suspend l'informatique, ou à l'inverse traiter exclusivement le système d'information. La règle est de se tenir à ce qui est essentiel à l'activité. Le PCA est un moyen et non une finalité.

Quels sont justement les étapes qui permettent d'atteindre ces objectifs ?

Un PCA c'est tout d'abord deux chapitres : disposer et formaliser. Disposer d'outils nécessaires à la gestion de crise, d'une organisation permettant le pilotage, le suivi des différentes actions engagées dans le cadre de l'activation et/ou de l'exécution du PCA. Enfin, disposer de moyens techniques répondant au besoin.

Formaliser ensuite les procédures fonctionnelles et techniques nécessaires au pilotage du PCA, comme à la reprise et/ou à la continuité des activités. Formaliser l'annuaire des acteurs pouvant être impactés dans le cadre de l'activation du PCA et leur backup, c'est-à-dire leur soutien ou remplaçant. Et enfin, formaliser leur formation et celles des personnes définies comme backup.

La méthode de construction d'un PCA repose sur 4 grandes phases : le cadrage de ce qu'on appelle les objectifs du PCA. On identifie notamment à ce niveau la chronologie de reprise des métiers. La phase suivante recouvre la définition des moyens du PCA : moyens métiers et aussi informatiques.

Viennent ensuite l'implémentation du PCA et la formation des acteurs. Cela n'aurait absolument aucun sens de faire un plan de continuité sans communiquer auprès des personnes concernées et sans les former aux procédures. Une fois bâti, le PCA sera soumis à des tests unitaires ou globaux.

L'étape ultime consiste en le management du PCA, l'élaboration de sa charte de management et surtout du MCO. Le maintient en condition opérationnelle définit que toute évolution de l'entité concernée doit être prise en compte dans le MCO.

Vous introduisez une nouvelle application, quel est son impact sur le PCA ? Une personne faisant partie de la cellule de gestion de crise quitte l'entreprise, que se passe-t-il ? En l'espace de quelques semaines, voire quelques jours, un PCA peut ne plus être exploitable.

Quel dernier conseil souhaiteriez-vous adresser à des entreprises envisageant un PCA ?

Un signal que j'envoie aux entreprises souhaitant mettre en place un PCA, c'est de faire appel à des gens indépendants. En outre, la demande est forte actuellement, et vous voyez de nombreuses sociétés décider de faire du PCA. La première question que doivent poser les entreprises aux prestataires, c'est combien avez-vous de PCA en maintenance ?