Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PCA : Cher, mais indispensable

septembre 2008 par Marc Jacob

La conférence organisée par le CLUSIF sur « le Plan de Continuité d’Activité (PCA), Retours d’expériences » a démontré qu’un PCA est sans doute couteux, mais sans aucun doute indispensable.
Ainsi, trois responsables de Plan de Continuité d’Activité issus de secteurs différents ont accepté de témoigner sur leurs expériences de PCA. Un débat animé par Fred Messika, fondateur de Sekoia, auquel ont aussi participé Bruno Hamon du Lexsi et Jacques Pignault de PEA Consulting, a fait suite à ces présentations.

Le PCA est un document vivant

Le premier témoignage, présenté par un responsable PCA d’une grande banque française, a insisté sur le fait que les principales motivations pour mettre en œuvre un PCA doivent être la satisfaction de la clientèle et la réduction des pertes financières engendré par un éventuel incident. La contrainte réglementaire ne vient qu’en second. En effet, la question majeure qui préside à cette démarche est la question de « la date à laquelle va se produire un incident » plutôt que « est-il possible que l’on subisse un incident ? ». Pour ce responsable, le véritable sponsor de cette démarche doit être la Direction Générale qui doit aussi organiser des relais dans toutes les directions opérationnelles. Bien entendu, les utilisateurs seront mobilisés autour d’un projet. Ce projet devra avoir un budget afin de lui donner « corps ». Lors de la période d’analyse, il sera primordial d’évaluer les risques et leurs impacts : grippe aviaire, inondation, incendie, coupure de courant… Puis, il s’agit de définir une stratégie claire et documentée de couverture de risques. Il faut avoir un bon document sur ce que l’entreprise décidera de ne pas couvrir et faire un point annuel. Un plan de secours doit inclure une salle de replis pour les utilisateurs, une salle technique. Il ne faut pas oublier de tester régulièrement les équipements, vérifier qu’ils sont toujours compatibles aux nouveaux équipements et ne pas oublier de vérifier que les firewalls sont paramétrés correctement. Si l’on a recours à un prestataire externe, il faut bien lire le contrat et vérifier le taux de mutualisation en cas de « colocation ». Bien entendu, une procédure d’escalade doit être envisagée. Lors des tests, il faut déterminer le zoning sur le site de secours. Il est important dans un premier lieu de tester le plan par partie : technique, fonctionnelle avant de faire un test global. Il faut se méfier des plans qui fonctionnent à 100%. Bien former les utilisateurs tout en se rappelant que la formation n’exclut pas les tests ! Si l’on fait appel à un prestataire extérieur pour construire le plan, il faut que les utilisateurs se l’approprient. Enfin, il faut insister sur le fait qu’un PCA est un document vivant. Pour conclure son intervention, elle a tenu à rappeler qu’un plan coûte sans doute cher à son entreprise, mais est une nécessité. En effet, en cas de sinistre l’économie peut se mesurer parfois en millions d’euros.

Le MCO est un impératif

Pour ce responsable PCA d’un industriel du secteur de l’énergie, la mise en œuvre d’un plan de continuité a été menée à l’initiative du Président. Après la définition des principaux concepts, il a expliqué qu’il y avait plusieurs plans dans son entreprise du fait de son secteur. Il s’est donc attaché à décrire celui de l’informatique. Il a mis en avant l’importance de mettre en œuvre des systèmes redondants et d’effectuer des tests en grandeur nature afin de se préparer à toutes éventualités, même si une part d’imprévisible est toujours présente. Trois types d’environnements ont été définis : ceux qui nécessitaient une très haute disponibilité avec une reprise en 4H, ceux avec du secours à chaud (reprise en 12 à 36H) et enfin ceux avec de la sauvegarde à froid (reprise en 48H à 5 jours). Dans cette entreprise deux exercices sont effectués tous les ans. Une vigilance particulière concerne la politique de Maintien en Condition Opérationnelle (MCO).

Pour garantir une reprise en 1 heure

Le troisième intervenant appartenait au secteur routier. Dans son entreprise la sécurité fait partie aussi de la culture d’entreprise. Elle fait même partie du contrat cadre qui la lie à l’Etat. Sa contrainte est une reprise en 1 heure. Donc son entreprise lui a donné tous les moyens techniques et humains pour atteindre cet objectif. Pour lui, toutes les mesures concernant un PCA doivent être imaginées dés la phase de conception. Il a mis en place entre ces différents centres un principe de « solidarité » qui permet à chaque site de pouvoir reprendre en quasi temps réel l’activité d’un autre site sinistré. Au niveau technique, il a eu recours à de la virtualisation, des SAN et des Clusters. Pour lui, la virtualisation pour fonctionner doit être faite de « bout en bout ». Entre ses sites, il utilise de la fibre optique que son entreprise a déployée sur son réseau. Son entreprise s’est aussi mise en conformité PCI-DSS en s’aidant du système de management issue de la norme ISO 27001.

Puis le débat a été lancé par Fred Messika. Pour ce représentant d’une banque française le PCA permet une amélioration de la production au quotidien et donc permet de faire progresser l’entreprise. Ce doit être un état d’esprit ! Pour Bruno Hamon, les incidents n’arrivent pas qu’aux autres. La bonne question que doit se poser tout dirigeant est : « si demain je ne peux pas accéder à mes locaux, que faire ? » Le PCA peut être un élément différenciateur par rapport à la concurrence. Jacques Pignault de PEA Consulting a rappelé que la dimension juridique fait obligation de moyen aux dirigeants. Par contre l’assurance ne couvre pas tous les sinistres Effectivement, a repris Pascal Lointier, n’oublions pas que les primes sont fonctions de la nature des mesures de protection mises en œuvre. On ne peut pas laisser bruler son entreprise sans rien faire en attendant que l’assureur paie la reconstruction. Ainsi, l’assurance peut devenir plus chère que le PCA. Tout est une question de compromis.

Les tests sont-ils efficaces en cas de sinistre ?

Les tests sont une bonne préparation, mais durant un sinistre, il faut aussi compter sur la chance et le système « D » reprend ce responsable PCA d’une banque. Pour Bruno Hamon, lors de la détermination des risques, il ne faut pas être trop exhaustif, mais plutôt se focaliser sur leurs conséquences.

Quid du télétravail, comme site de reprise ?

Pour Bruno Hamon, c’est effectivement une piste à retenir en cas d’inaccessibilité, mais qui pose des problèmes en regard du droit du travail.

Faire un test global, n’est-il pas dangereux ?

Pour ce responsable d’une banque, le test global a pour intérêt de mettre en avant tous les grains de sable qui peuvent entraver le bon déroulement du PCA. Il rappelle que lors d’un des premiers tests grandeur nature qui s’était déroulé durant l’hiver les portes manteaux avaient été oubliés ce qui avaient induit l’occupation de bureaux par les manteaux du personnel. Les poubelles avaient été aussi oubliées et le PABX avait subi des problèmes suite à la surcharge d’appels. Durant ces tests, intervient Bruno Hamon, il faut aussi mettre les utilisateurs en situation de communication de crise face à des journalistes dont l’objectif sera de mettre la pression sur la cellule de crise…

Pour en savoir plus : www.clusif.asso.fr


Voir les articles précédents

    

Voir les articles suivants