Evaluer régulièrement votre PRA pour faire face à l’imprévu
Face à l’accélération de l’évolution informatique et la généralisation des contraintes réglementaires, les DSI ont aujourd’hui l’obligation et surtout le devoir de tester deux à trois fois par an leur Plan de reprise d'activité.
Quand survient un incident important voire
une catastrophe, le Plan de Reprise d’Activité (PRA) doit garantir de relancer
rapidement le système d’information et les moyens informatiques nécessaires à
l’activité de l’entreprise concernée. Il en va, de même, pour le Plan de
Continuité de Services (PCS), qui doit, quant à lui, assurer la disponibilité
des applications et des données de l’entreprise, quels que soient les dysfonctionnements
ou problèmes rencontrés. Au delà du diagnostic et de la mise en place d’un PRA
ou PCS, de l’organisation aux moyens adéquats, les DSI omettent, pour des
raisons de temps ou de budget, de réaliser des tests de bascule « en
situation réelle » pour évaluer concrètement la fiabilité de ces derniers,
et cela en dépit des risques encourus. Des chiffres de Forrester/Disaster Recovery Journal l’illustrent : plus de 50 % des
entreprises mènent un seul test de bascule par an voire moins, et 17% des
entreprise n’en effectuent jamais.
Se
mettre en situation « critique » au minimum deux à trois fois par an pour mettre
à jour son PRA !
Lors de toute mise en place d’une
infrastructure de haute disponibilité, associant serveur de production, serveur
de secours (back up) et solution logicielle de haute disponibilité, un test de
bascule « réel » s’avère une étape clé. Les ressources sont mobilisées,
les experts présents, les procédures suivies et l’enveloppe budgétaire prévue.
Sur le long terme, on constate cependant que le PRA se dégrade progressivement
en raison des évolutions constantes du SI et de l’infrastructure informatique,
de la non-transmission des méthodes voire du turn-over des collaborateurs
informatiques. Quelques mois après, 60% des tests de PRA échouent.
Afin de contrer de manière efficace cette dégradation du PRA, les DSI doivent effectuer, deux à trois tests par an, des tests « réel » de bascule de la machine de production vers la machine de back-up afin de détecter les anomalies ou faiblesses, repenser le scénario et cela en vue de remplir leurs engagements de continuité de services. Ces tests de bascule, considérés à tort comme contraignants, sont souvent synonymes au sein des DSI de « tâches sensibles » qui mobilisent les ressources informatiques et représentent des coûts élevés. Halte aux idées reçues ! Avec une solution logicielle de haute disponibilité adéquate, gage d’automatismes, un scénario éprouvé d’opérations manuelles avec l’ensemble des intervenants, des tests de PRA ne représentent que quelques heures par trimestre voire une demi-heure par mois pour les DSI particulièrement aguerries dans ce domaine.
Ce qui augure d’un temps de bascule
négligeable en cas de sinistre effectif, et c’est tout le but recherché ! Plus que jamais les DSI doivent avoir
conscience que des tests sont incontournables dans le cadre d’un PRA, en regard
des risques encourus en cas de dégradation de ce dernier ! On comprend bien maintenant que le test
« à blanc », ou virtuel, ou même un simple contrôle périodique de l’égalité
des deux systèmes ne peut remplacer le test en « réel ».
Promouvoir
le PRA et le traduire « en situation terrain » !
La régularité des tests se révèle également capitale
pour évaluer « en situation réelle » l’ensemble des acteurs
impliqués. Le dimension humaine, et en particulier les interlocuteurs clés qui
interviennent dans le PRA, est souvent sous-estimée. En effet, un PRA dépasse
le simple cadre de l’infrastructure informatique et nécessite de mobiliser et
surtout d’entraîner « à la situation de crise » les collaborateurs
concernés. A cela s’ajoute l’obligation, très souvent oubliée, de documenter
les procédures de reprise en vue de partager les retours d’expérience et de lister
les problèmes rencontrés afin d’en tirer les enseignements. Quel que soit le « turn-over
des équipes », le PRA, avec des tests réguliers, vit et évolue selon une
organisation bien définie, dans le respect des engagements de continuité de services
de la DSI.
Répondre
aux contraintes réglementaires et se prémunir des risques opérationnels
Enfin, le Plan de Reprise d’Activité (PRA) s’impose
de plus en plus comme une exigence dans de nombreuses réglementations (BâleIII,
Solvency, SOX…), dans différents secteurs d’activités tels la Banque &
l’Assurance, et un incontournable dans les meilleures pratiques comme ITIL (Information Technology Infrastructure Library). De nombreuses
entreprises doivent aujourd’hui démontrer qu’elles ont pris toutes les
précautions nécessaires pour assurer le bon fonctionnement et surtout la
continuité de services de leur système d’information en cas de
problèmes. Mieux vaut donc prévoir dans les conditions optimales, via des tests
réguliers, la reprise d’activité de l’infrastructure informatique et du système
d’information après incident pour se prémunir des risques opérationnels qui
engagent la responsabilité de l’entreprise !
A nos yeux, les tests réguliers et en
situation réelle, s’avèrent la dernière étape clé d’un Plan de Reprise
d’Activité (PRA). Ces tests opérationnels, souvent négligés, sont primordiaux
pour que l’entreprise soit véritablement prête à faire face à l’inattendu, et
cela en pérennisant ses investissements dans la sécurité informatique. Qu’elle
les réalise elle-même ou via un partenaire IT voire son hébergeur, l’entreprise
ne peut aujourd’hui faire l’impasse des tests « grandeur nature » de
haute disponibilité qui donnent du sens au PRA !