Thierry Feillaut (Prosodie) : "Le PCA s'intègre dans la politique globale de sécurité et de gestion des risques"

Réponse au risque d'un arrêt de l'entreprise, le PCA est porté par la direction générale. Sa mise en œuvre pourra s'appuyer sur la virtualisation en raison de ses atouts, dont la maîtrise des coûts.

On entend beaucoup parler de PCA, mais finalement qu'est-ce que ça recouvre ?

Le PCA, ou Plan de Continuité d'Activité recouvre deux grands champs d'application : le PCO (Plan de continuité organisationnel et le PCI (Plan de Continuité Informatique). Au niveau du PCI, on retrouve un état des lieux des ressources vitales Informatique et Telecom, les plans d'alerte et de secours ainsi que les procédures de reprise d'activité et de gestion du risque.

La continuité d'activité c'est une bonne chose, mais vous ne pensez pas qu'un tel projet reste limité aux grandes entreprises et grosses PME ?

Tout dépend de la criticité du business pour l'entreprise. Une grande société peut sacrifier le budget du PCA sur l'autel des budgets. En revanche, une petite entreprise dans le domaine du e-commerce, par exemple ne renoncera pas à cet investissement car un arrêt informatique peut entrainer un arrêt de la société.

Bonjour, ne prend-on pas souvent le risque de préparer son PCA seul dans son coin ? La virtualisation ne permet-elle pas d'inclure plus aisément les partenaires (fournisseurs, clients... trop souvent oubliés) de l'entreprise dans ce type de projets ? Quelle collaboration entre DSI peut-on envisager pour des PCA "transverses" ?

Bonne remarque. Le PCA ne doit jamais être préparé dans son coin. Il s'intègre dans la politique globale de sécurité et de gestion des risques de l'entreprise et à ce titre, il est porter par la Direction Générale.

La virtualisation ne sert pas vraiment ce but, mais a le gros avantage d'une mise en œuvre réduite et plus aisée. L'association des partenaires est primordiale dans l'approche globale de gestion des risques.

0806 thierry feillaut debise 006r
"La virtualisation présente le gros avantage d'une mise en œuvre réduite et plus aisée" © Cécile Debise / Benchmark Group

Pourquoi faire appel à un hébergeur pour son PCA, plutôt que de prendre en charge soi-même son infrastructure ? Quelle est votre valeur ajoutée ?

Le recours à son hébergeur se justifie pour plusieurs raisons :

- l'expertise technique et la disponibilité 24/24 de ses personnels

- l'étude comparative coûts d'investissement / coûts de fonctionnement. Les coûts d'investissement d'une salle informatique à l'état de l'art n'ont pas de sens pour le seul périmètre d'un PCA.

- L'infrastructure réseau entre les sites : le site principal déjà hébergé et le site de secours que l'on peut monter sur un deuxième site de l'hébergeur comme c'est le cas pour Prosodie.

Quelles sont les règles d'or de préparation d'un PRA/PCA ? Y-a-t-il de votre point de vue UNE erreur à ne pas commettre ?

- Qualifier le plus précisément possible la criticité d'une application et mesurer les conséquences de son indisponibilité

- Mesurer la durée maximale d'interruption admissible (RTO en anglais)

- déterminer le RPO (Recovery point objective : point de redémarrage sur sauvegarde)

Les erreurs possibles sont :

- Une mauvaise identification du couple RTO / RPO

- Un budget mal défini

- L'absence de définition des tests annuels

Combien avez-vous de PCA en maintenance actuellement ?

Les données sont confidentielles mais Prosodie s'est spécialisé dans ces domaines en associant justement les techniques de virtualisation afin de minimiser les coûts et les phases de mises en œuvre. On peut tout de même évoquer une trentaine de belles références.

Vous proposez des prestations autour du PCA. Mais vous-même avez-vous un PCA ? Quelles en sont les grandes lignes ?

Côté infrastructures, nous disposons de quatre centres d'hébergement répartis en France, interconnectés par un backbone en boucles Fibre Optique. Ces centres nous permettent de répondre à des problématiques de gestion en mode actif/secours et en mode actif/actif. Nous hébergeons ainsi des plateformes critiques pour lesquelles les architectures à tolérance de panne nous permettent de délivrer une réelle continuité. Nos infrastructures sont calées sur cette organisation.

0806 thierry feillaut debise 016r
"Au delà de l'Europe, nous pouvons aisément faire le lien avec nos infrastructures de Floride" © Cécile Debise / Benchmark Group

Etes vous capable de proposer des prestations de PRA sur plusieurs pays : un site principal en France et un site de secours dans un autre pays européen, par exemple ?

A ce jour, Prosodie est présent en Espagne et aux US. Le site espagnol est relié à notre backbone européen et à ce titre il peut accueillir un PCA. Nous sommes du reste à l'étude avec un de nos gros clients pour installer son PRA à Madrid. Au delà de l'Europe, nous pouvons aisément faire le lien avec nos infrastructures de Floride.

Quel éclairage pouvez-vous nous apporter sur les solutions que vous avez mises en place pour réduire les risques de panne informatique ?

En tant qu'hébergeur d'applications en ligne, pouvoir apporter une disponibilité 24/7 est une composante intrinsèque des services que nous délivrons à nos clients. Comme nous l'avons évoqué, Prosodie s'appuie sur ses propres infrastructures. Elles nous permettent de répondre sur différents scénarii tant en sister site que sur des répartitions plus éloignées au-delà du périmètre en termes de risque en cas de sinistre majeur.

De plus, l'apport des technologies de virtualisation associées à des infrastructures de stockage facilite la réplication de machines et de données en cas de crash. Le fait de traiter des configurations machines comme de simples fichiers et de pouvoir procéder à des bascules très rapidement permet de garantir un retour "à la normale" optimisé pour nos clients et les utilisateurs.

Il y a deux ans, lors d'une conférence, un porte-parole d'un hébergeur expliquait que la virtualisation ils n'en voulaient pas. Qu'est-ce qui a changé depuis pour que les hébergeurs en découvrent les vertus ?

De notre côté nous assumons nos choix. Nous avons investi lourdement dans les technologies de virtualisation il y a maintenant un peu plus de trois ans et très vite nous les avons associées à la problématique de secours. Aujourd'hui nous ne pouvons que nous en féliciter. Nous avons déployé de très nombreuses plateformes en environnement virtuels (VMware, mais aussi Microsoft, Xen, et IBM) tant pour la production que pour la pré-production, le développement et l'intégration.

Prenez-vous des engagements en termes de PDAM (perte de données maximale admissible) et de RPO ?

Sur la plateforme de production hébergée, les engagements de service sont de plus en plus forts (SLA : service level Agreement). On ne peut pas imaginer ne pas faire de même sur la plateforme de secours qui contribue activement (si elle est active) à la disponibilité globale. Les engagements sont variables et peuvent porter sur le RTO. Ils peuvent également porter sur le délai de mise à disposition de la plateforme et des données. Une notion importante intervient alors : la "fraicheur" des données. On peut en effet récupérer des données correspondant à la dernière sauvegarde ou à la dernière transaction.

0806 thierry feillaut debise 010r
"Tout dépend si la plateforme de PCA est active ou dormante, mais dans tous les cas, la notion de tests annuels est primordiale" © Cécile Debise / Benchmark Group

Intervenez-vous également dans le maintien en condition opérationnelle du PCA ? De quelle façon ?

Tout dépend si la plateforme de PCA est active ou dormante. Dans tous les cas, la notion de tests annuels est primordiale. Il y a un audit préalable afin de préparer et "designer" la plateforme, une phase de mise en œuvre et surtout une phase récurrente dans laquelle est intégrée la notion de MCO : exploitation et supervision 24/7, sauvegarde, administration corrective et évolutive.

Quelle est votre position par rapport aux normes ISO 27001 et ISO 27002 dont certains chapitres concernent précisément les PCA ?

Sans rentrer précisément dans les chapitres, rappelons que ISO 27001 est en quelle que sorte la réunion de la norme qualité ISO 9001 et les best practices ITIL. Nous avons fait le choix de respecter l'une et l'autre. Nous sommes aujourd'hui certifiés ISO 9001 et tous nos collaborateurs sont formés ITIL. La délivrance même de nos services est calée sur ITIL. Cela nous permet d'envisager la généralisation d'ISO 27001 avec sérénité.

J'entends beaucoup parler de risques de sécurité au sujet de la virtualisation. Quel est votre sentiment ?

En termes de sécurité, il y a parfois quelques querelles d'experts mais la virtualisation n'est pas en tant que telle une faille supplémentaire. Il faut respecter quelques règles :

- Définition et montage de l'infrastructure virtuelle

- Audit approfondi englobant la sécurité

- Gestion du SAN

- Structuration de l'approche en intégration d'un consulting sécurité en amont

Vous avez des idées pour un plan de continuité d'activité de l'équipe de France à l'Euro de football, histoire qu'elle arrive en finale ?

Pas simple mais précisons tout de même que nous n'avions pas la responsabilité du plan de secours de Roger Federer. Cela étant, un peu d'optimisme, nous ne sommes pas en phase de sinistre : allez les bleus.

Au revoir et bonne réflexion