Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Christian Rolland*, manager chez Devoteam Consulting : Quelques conseils pour réussir son premier exercice de PRA…

décembre 2009 par

Réaliser un premier exercice de PRA (Plan de Reprise d’Activité concernant l’environnement informatique d’une entreprise) est la phase finale d’un projet de PRA. C’est au cours de cette étape clé que les principaux acteurs mobilisés par le Responsable PRA (RPRA), de la construction des plans et procédures à la réalisation des tests partiels, voient la concrétisation de leur travail. C’est également une phase critique pour le RPRA, les résultats du projet étant particulièrement attendus par la direction générale qui souhaite mesurer le retour sur investissement des sommes et du travail investis. Dès lors, il est pertinent de s’interroger sur les différentes démarches à appliquer, afin de réaliser dans les meilleures conditions son premier exercice.

1. Préparer un test ou bien un exercice ?
La validation d’un PRA doit s’effectuer à travers des tests techniques et des exercices.
• Les tests techniques valident un point particulier du PRA, comme l’accès au réseau sur le site de reprise de l’activité. Toujours planifiés et préparés en amont, ils visent à vérifier ou à développer le projet mis en place.
• Les exercices simulent quant à eux un scénario de sinistre et valident une partie significative du PRA (les cellules de crise, les services logistiques...). Un exercice implique la participation de plusieurs métiers et peut revêtir différentes formes : simulé ou réel, préparé ou impromptu. C’est à l’issue du premier déploiement d’un PRA et des nombreux tests techniques qui l’accompagnent que le RPRA peut alors procéder à son premier exercice.

2. Se concentrer sur l’essentiel
Pour le premier exercice, il convient de définir un périmètre d’action raisonnable.

Il s’agit de démontrer sa capacité à :
o appliquer une stratégie de redémarrage des applications, afin de pouvoir anticiper un éventuel scenario de sinistre,
o conduire les arbitrages techniques et organisationnels adaptés au contexte de l’exercice. On cherchera donc principalement à s’assurer que :
o la reprise technique est opérationnelle,
o les procédures PRA sont efficaces et bien adaptées,
o les ressources humaines sont aptes à réagir en situation de PRA,
o la reprise des activités vers une situation normale se déroule correctement.

Et ce, dans les délais impartis. Pour la première expérience, un galop d’essai « à blanc », c’est-à-dire sans conséquence sur les données en production, est fortement recommandé.

3. Se donner du temps pour mieux déterminer ses objectifs
Le premier exercice nécessite en moyenne une semaine d’exécution. Il est cependant, nécessaire de prévoir un timing plus large pour parer aux impondérables et prendre en compte les nouvelles informations et tâches inhabituelles qui seront à vérifier dans le détail.
Pour cette raison le temps passé ne sera pas calculé « au réel » : les heures d’interruption de nuit ne seront pas prises en considération dans le décompte temps. Des process de traitement pourront en effet s’activer la nuit, mais le personnel n’interviendra pas. Cela présente l’avantage d’impliquer des équipes vigilantes et dédiées à l’exercice. N’oublions pas que la production se déroule en parallèle et nécessite du personnel.
Les cellules de crise correspondant aux scenarii d’exercice pourront être activées. Mais elles ne devront pas découvrir le PRA à cette occasion ! Des formations et des entrainements auront été prodigués précédemment aux cellules afin qu’elles n’entravent pas le bon déroulement du scénario par des réactions trop lentes ou inadaptées.
Le scénario d’exercice sera défini avec une grande précision technique et organisationnelle, ceci afin de pouvoir s’adapter au mieux à toute situation de crise à laquelle l’entreprise pourrait être confrontée. La qualité de l’exercice dépendra avant tout de son caractère plausible. En effet plus le scénario sera proche d’une situation réelle, moins les acteurs seront dans l’interrogation lors de l’exécution du Plan.
Ce synopsis devra être connu de tous les intervenants, qu’il s’agisse des personnes astreintes aux alertes, des membres des cellules de crise activées, des intervenants en production, ou encore du personnel qui pourrait intervenir dans le cadre d’une éventuelle démarche d’infogérance. A noter que chacun des acteurs devra disposer d’un remplaçant, prêt à être opérationnel le cas échéant.

4. Se préparer à une crise réelle lors de l’exercice !
En amont de l’exercice, sera réalisée une analyse de risques dont les résultats devront être communiqués à la Direction. Il s’agit de certifier que l’exercice n’aura pas d’effets collatéraux sur la production et les entités métiers, mais également que les ressources « de production » ne seront pas mobilisées et qu’elles pourront bien intervenir en cas de crise réelle. Par ailleurs, le RPRA doit se préparer à affronter une situation de crise réelle lors de l’exercice. En fonction des éléments identifiés il lui faudra afficher un plan d’action permettant de répondre à :
o des incidents pendant l’exercice,
o des procédures de PRA manquantes,
o des personnes indisponibles…

Par conséquent, un correspondant Système d’Information et un correspondant Métiers seront sensibilisés à l‘exercice afin de pouvoir être joints rapidement pour pouvoir réagir à un problème pouvant impacter la production. C’est pourquoi, dans la mesure du possible, les personnels d’astreinte, les locaux de gestion de crise, les procédures d’alerte « réelles »… ne seront pas ceux concernés par l’exercice.

Le RPRA sera donc d’une vigilance extrême le jour J, et s’assurera, avant de donner le « GO » de l’exercice, qu’il n’y a pas eu d’incidents en production, de sauvegardes interrompues ou tout fait pouvant contrecarrer le début de l’exercice.

5. Former et communiquer à bon escient sur l’exercice
Un exercice de PRA nécessite une formation spécifique sur plusieurs jours des protagonistes. Cette formation de une à deux heures permettra de passer en revue les principales interrogations et de fournir des éléments de réponses : détails concernant l’organisation, usage des documents, planning et rôle de chacun… Pour les membres des cellules de crise, il est cependant préférable d’organiser une formation spécifique.
N’oublions pas non plus de mentionner les observateurs ; présents sur site et répartis entre les cellules de crise, l’infogérance et les salles d’exercice. Ils auront pour mission de prendre note de l’utilisation de la documentation PRA, de rapporter les délais des principales étapes, de tenir une main courante locale, mais aussi de faire état des incidents et dysfonctionnements observés. A noter que ces observateurs ne devront à aucun moment intervenir dans le déroulement de l’exercice.
La communication quant à elle pourra s’effectuer à travers un intranet d’entreprise, grâce à des messages collectifs donnant ponctuellement un aperçu de l’avancement de la préparation jusqu’au jour J.

6. Déployer efficacement la logistique
Pour ne pas être pris au dépourvu, il est important de définir plusieurs mois à l’avance les locaux qui seront réquisitionnés pour l’exercice. Il s’agit principalement de la salle de pilotage, des salles de crise et d’une salle commune pour les réunions ponctuelles des différents acteurs. Il est néanmoins préférable que la majorité des intervenants puisse réaliser l’exercice depuis le poste de travail habituel, afin d’être au plus près d’une mise en situation réelle.
Concernant le pilotage de l’exercice, un logiciel de gestion des plans de secours apparait aujourd’hui indispensable au maintien opérationnel d’un PRA ou d’un PC (Plan de Continuité). En effet, des plans sous Word, sous Excel ou MS Project se trouvent vite limités. Un outil de pilotage en réseau sera capable de donner en temps réel l’avancement de la situation, l’exécution de plans, de procédures, et permettra de prévenir d’éventuels incidents. La communication pendant l’exercice constitue l’une des principales préoccupations du RPRA. L’outil de gestion des plans de secours lui apportera en ce sens une aide précieuse, mais sera néanmoins accompagné des réseaux habituels de communication (messagerie d’exercice, lignes téléphoniques dédiées, présence de conférenciers dans chaque salle…). Il faut également intégrer à la logistique de l’exercice tous les moyens « techniques » spécifiques à celui-ci, tels que le réseau LAN (dédié aux environnements de reprise dans le cas d’un exercice indépendant de la production) ou les ressources informatiques réquisitionnées pour l’occasion (souvent des moyens utilisés en préproduction), ce qui implique :

o Le recensement des ressources d’exercices,
o Un planning de mise à disponibilité de ces moyens,
o Un déploiement des configurations adaptées à l’exercice,
o Des tests unitaires de bon fonctionnement avant l’exercice…

Il ne faut absolument pas négliger l’importance de la charge de travail correspondant à cette phase préparatoire. C’est pourquoi, afin de gérer l’ensemble des actions nécessaires à la mise en œuvre d’un exercice, il est nécessaire que le RPRA constitue un comité de préparation, cellule qui l’assistera ainsi dans l’organisation, la logistique et la communication.

7. Suivre l’exercice avec vigilance
Ca y est, c’est le jour J !
Le PRA suivra en permanence l’évolution de l’exercice. Au début, sa place sera dans la salle de pilotage, où il s’assurera du bon démarrage des opérations et de la bonne tenue de la main courante dans laquelle toutes les informations pertinentes y seront notifiées par un « secrétaire ». Ensuite, une fois les opérations initiées et la Direction informée du démarrage des opérations, il fera rapidement un contrôle de chaque cellule prenant part au PRA.
Il est important de pouvoir s’entretenir avec les responsables d’équipes et les observateurs, et de mesurer à la fois la qualité et l’atmosphère du travail. Le RPRA devra modérer, rassurer et aider dans la prise de décisions, ce qui aura pour objectif de fédérer l’équipe assignée à l’exercice. Le RPRA supervisera ensuite au quotidien les points de situations en salle de pilotage en s’appuyant sur les informations collectées et répertoriées dans « la main courante ». Cependant, si la logistique de communication est opérationnelle, un point midi et soir sera suffisant. A l’issue, un message sera transmis à la Direction pour l’informer des principales tâches, et notamment de l’état d’avancement sur le planning initial.
Chaque fin de journée donnera lieu à un débriefing qui sera fait oralement, à chaud, en salle de pilotage. Le RPRA donnera les principaux éléments d’information de la journée et demandera aux responsables ayant éprouvé des difficultés de faire part de leurs analyses.
Le dernier jour de l’exercice, un ultime débriefing sera réalisé, avec cette fois-ci plus de participants, dont les observateurs, les responsables d’équipes et les membres de la cellule de crise de la Direction.

8. Terminer et « archiver » l’exercice

Dernière étape et non des moindres, le RPRA veillera à ce que les acteurs restent mobilisés. A l’issue de l’exercice, l’environnement de secours doit en effet être remis à disposition, tel qu’à l’origine. Il faut donc suivre ces opérations de remise en état jusqu’au bout et s’assurer que la production retrouve l’ensemble de ses moyens.

Dans la mesure du possible, les sauvegardes seront également conservées quelques temps pour une éventuelle analyse post-exercice. Il faut également penser au traitement de l’ensemble de la documentation générée lors de l’exercice, de préférence via un logiciel de pilotage, ce qui simplifiera la tâche. Les mains courantes, les rapports, les notes des différents intervenants et les messages devront être récupérés, analysés et complétés pour ensuite faire l’objet d’un rapport détaillé.

o Un compte rendu global sera adressé aux responsables, quelques jours après l’exercice. Il permettra de fournir rapidement un retour d’expérience et fournira aussi l’occasion de leur (re)demander les informations qu’ils ont également à retransmettre au RPRA pour établir le rapport final.

o Un compte rendu détaillé sera transmis à la Direction et aux responsables impliqués afin qu’ils puissent mettre en œuvre, si besoin, les recommandations issues de l’analyse de l’exercice et nécessaires à un PRA opérationnel.

Une fois l’exercice terminé et « historisé », les informations qui en seront extraites le feront entrer dans une nouvelle phase, celle dite de « Maintien en Condition Opérationnelle ». Une autre histoire, pour un autre projet…




Voir les articles précédents

    

Voir les articles suivants