Daniel Guinier, Expert près la Cour Pénale Internationale de La Haye, Lieutenant-colonel (RC) de la Gendarmerie nationale, souligne, dans un premier temps, la différence entre PRA et PCA. L’objectif du Plan de Reprise d’Activité (PRA) est de savoir comment assurer la reprise des activités après un sinistre ou un incident, jusqu’à atteindre un retour à la normal. Le Plan de Continuité d’Activité (PCA) vise, quant à lui, plus largement à assurer une continuité de l’activité, quels que soient les événements. Toutefois, qu’il s’agisse de l’un ou l’autre, les démarches sont globalement communes, et nécessitent une préparation conséquente.

Un PCA nécessite l’implication des métiers

Claire Bernisson est Consultante en sécurité et gestion des risques chez LEXSI. Les différentes missions sur lesquelles elle est intervenue lui permettent aujourd’hui de partager ses retours d’expérience et de mettre en avant les points clés concernant la démarche de mise en œuvre d’un PCA ou PRA. Elle remarque que la plupart des clients pensent souvent à tort qu’il suffit seulement de faire un copier/coller d’une méthode d’expert. Alors que ce sont des projets complexes qui nécessitent de respecter un certain nombre d’étapes. Ce type de projet ne se fait pas non plus du jour au lendemain. Il demande, en effet, du temps, ce qui permettra, en outre, d’y impliquer les bonnes personnes. Pour elle, il est essentiel d’impliquer les différents métiers dans ce projet, afin de définir les besoins terrain de l’entreprise en matière de continuité d’activité. Cela permettra aussi de leur faire prendre conscience des enjeux. Une fois cette implication effectuée, l’entreprise pourra clairement définir sa stratégie. Ensuite, viendra la phase de tests. Souvent les clients sont frileux sur cette dernière étape, pourtant un PCA n’est éprouvé qu’après avoir été testé. Enfin, il ne faut pas perdre de vue que ce ne sont pas des projets « one shot ». Ils nécessitent une implication des équipes sur le long terme, car un PCA efficient aujourd’hui ne le sera pas forcément demain.

Parmi les principaux écueils, elle note, entre autres, l’absence d’implication des métiers en amont, le fait de ne pas tester son PCA ou PRA, mais aussi de ne penser le projet que comme quelque chose de technique. En outre, l’entreprise ne doit pas perdre de vue que ce type de projet nécessite un certain budget ; elle doit donc y être préparée.

La certification inévitable à terme…

Paul Theron, Expert en cyber-résilience et en gestion de crise chez Thales, met, quant à lui, l’accent sur la norme internationale ISO 22301 régissant les PCA. Cette norme, publiée en 2012, prépare à la certification en la matière. Il estime que toute entreprise doit aujourd’hui s’y préparer car, de toute façon, la certification va s’imposer tôt ou tard. La pression réglementaire, mais aussi assurantielle… sont autant de raisons qui font que la certification sera, à terme, inévitable pour toutes les entreprises. Par contre, il déplore que la norme ne prenne pas en compte l’ensemble des risques et des tendances actuelles. La cybermenace, le Cloud Computing… soulèvent, par exemple, des problématiques qui ne sont pas toujours prises en compte dans la certification PCA.

Première étape : cartographier l’infrastructure

D’un point de vue plus terre à terre, la société Voyages SNCF.com a décidé de mettre en œuvre un PCA il y a plus de deux ans maintenant. Comme l’explique Philippe Vilandrau, Directeur des opérations du groupe, « Voyages SNCF.com représente chaque jour près d’un million de visiteurs uniques sur le site, sans compter les nombreuses transactions d’achats qui se font désormais via Internet, et sur les Smartphones. Nous avons une véritable pression pour assurer une continuité d’activité, afin de satisfaire nos clients. Un besoin de disponibilité, qui sera d’autant plus prégnant avec l’ouverture à la concurrence ». Au même titre que n’importe quel e-commerçant, l’entreprise doit également pouvoir répondre aux pics de trafic sur le site, certaines périodes étant beaucoup plus chargées que d’autres. 1 800 interventions techniques sont, en outre, effectuées chaque année sur le site et ne doivent pas altérer l’activité.

Face à ces enjeux, l’entreprise a décidé de mettre en œuvre un PCA il y a plus de deux ans, et de redonder toute l’infrastructure au sein de deux Data Centers. La première étape a consisté à cartographier l’ensemble de l’infrastructure, mais aussi à définir le criticisme des différentes applications. Pour Philippe Vilandrau, il est essentiel dans cette démarche d’avoir une politique claire en matière de continuité d’activité, mais aussi de simplifier au maximum les infrastructures et les applications, sans oublier les solutions. D’ailleurs, plus vous aurez de serveurs, de Data Centers… plus les certifications seront difficiles à obtenir.

La cartographie est, en effet, la première étape de ce type de projet, remarque Emmanuel Winckler, Expert sécurité chez Sogeti ESEC. C’est la plus difficile, d’autant que l’architecture évolue en permanence, et pourtant ô combien essentielle. Selon lui, il est primordial d’impliquer les métiers dans un tel projet, mais aussi d’être très précis. Il faut aller dans le détail, inventorier le moindre PC sur chaque site… Cette problématique est d’autant plus importante dans le cadre de structures internationales et multi-sites. Afin de simplifier la démarche, il est important, dans ce cas, d’avoir un correspondant sur chaque site qui vous servira de relai.

La mise en œuvre du PCA permet de simplifier le SI et de rationaliser les processus métiers

Claire Bernisson constate que, de manière générale, la mise en œuvre d’un PCA s’avère bénéfique pour l’entreprise. En effet, il fait aussi partie de la stratégie marketing de l’entreprise, et lui permettra de se distinguer par rapport à ses concurrents. Il permet également de simplifier au maximum le SI et de rationaliser les processus métiers. Souvent on s’aperçoit que certaines choses pourraient être simplifiées dans les processus métiers ou être faites différemment, de manière à accroître la productivité.

Pour Paul Theron, l’aspect humain est tout aussi important, au final, que les aspects matériels. De la même manière qu’une entreprise cartographie ses applications, elle doit revoir et repenser ses processus, de manière à améliorer la sécurité du SI. Cela ne sert, en effet, à rien de dépenser des mille et des cents en redondance d’infrastructures si en quelques clics on peut porter atteinte à la sécurité. L’humain est, en ce sens, essentiel et ne doit donc pas être négligé.

En conclusion, ils déplorent toutefois souvent un manque de relations entre les équipes SSI et PCA. Les grands comptes disposent, en effet, généralement, d’une personne en charge des problématiques liées à la continuité : il s’agit du RPCA (Responsable du Plan de Continuité des Activités). Pour les différents experts, il est essentiel que celui-ci échange en permanence avec le RSSI, sans oublier aussi les équipes business. Malheureusement, dans une majorité des cas, la collaboration ne se fait uniquement en cas de crise, ce qui est bien trop tard !