Le secours informatique SaaS, une responsabilité du fournisseur à formaliser

Un service SaaS (Software as a Service) est un logiciel mis à disposition et directement consommable depuis Internet. Il est géré et administré par un ou plusieurs fournisseurs.  Le client n’a donc pas la latitude nécessaire pour opérer le secours (pas d’accès aux données brutes, pas d’accès aux codes sources, ni aux applicatifs pour dupliquer l’infrastructure…), il doit donc s’en remettre au bon vouloir de son fournisseur.

Un niveau de couverture du secours informatique pour SaaS variable suivant la maturité du fournisseur

Trois grandes tendances se dessinent :

• Les fournisseurs qui disposent d’un plan de secours informatique inclus
  Dans le cadre de l’offre standard, le fournisseur assure un secours sur un datacenter distant, complété généralement par des sauvegardes externalisées. Il ne s’engage néanmoins que rarement sur les délais de reprise.
  Ex : les grands acteurs du SaaS (ex : Office 365, SalesForce, SAP…) , ainsi que certains acteurs de taille intermédiaire (ex : Evernote, Xero…) ;

• Les fournisseurs qui disposent simplement d’une sauvegarde externalisée
  En tant que tel, aucun plan de secours informatique n’est clairement établi. Le client doit alors s’interroger sur la capacité du fournisseur à restaurer les sauvegardes en cas de sinistre global sur le site principal.
  Ex : Des fournisseurs de taille intermédiaire (ex : Zervant, Sellsy…) ;

• Les fournisseurs qui ne communiquent pas ou n’en disposent pas
  Le sujet du secours informatique n’est pas abordé, il est donc préférable de considérer que rien n’est fait.
  Ex : Les acteurs de petite taille sont généralement dans ce cas.

L’importance de l’aspect contractuel

Dans la très grande majorité des cas, les fournisseurs SaaS ne s’engagent pas dans leur contrat sur leur façon de gérer le secours ; même lorsque ceux-ci mettent en avant leur capacité à traiter cette problématique. En effet, les contrats comportent généralement par défaut des clauses de Force Majeure stipulant que le fournisseur n’est pas responsable de manquement aux obligations du contrat dans la mesure où ce manquement est causé par un évènement en dehors de leur contrôle raisonnable. Le risque juridique doit donc être traité lors de la souscription et ces clauses supprimées pour s’assurer un bon niveau de couverture.

Lors de la souscription, comme pour des contrats classiques, les clients doivent s’assurer que figure bien des engagements de service, en particulier pour les secours informatiques :

• Le délai de reprise (Durée Maximale d’Interruption Acceptable ou DMIA) et les pertes de données (Perte de Données Maximale Acceptable ou PDMA) en cas de sinistre;
• Le plan de secours informatique du fournisseur incluant les modalités de gestion de crise ainsi que l’obligation de conduire plusieurs tests probants par an de ce plan avec la possibilité pour le client d’accès au rapport des tests ;
• Les pénalités financières et le droit de résilier le contrat (avec en particulier la récupération des données exploitables) en cas de manquement aux engagements.

Le secours informatique du IaaS/PaaS, une mise en oeuvre et une responsabilité du client

Le IaaS (Infrastructure as a Service) est une offre standardisée et automatisée de ressources de calcul, de moyens de stockage et de ressources réseau détenus et hébergés par un fournisseur et mis à disposition au client à la demande. L’offre PaaS (Platform as a Service) est similaire à celle du IaaS, à la différence près qu’elle ne concerne que les infrastructures applicative (définitions Gartner) Contrairement au cas du SaaS, le secours reste sous la responsabilité du client dans les deux cas : les fournisseurs IaaS/PaaS mettent à disposition des ressources dans différents datacenters et le client est responsable de l’usage et de la configuration qu’il en fait. Deux solutions s’offrent aux clients utilisant ces services : confier à un prestataire son secours ou bien le gérer lui-même.

Avoir recours à un prestataire de secours, un marché peu mature

Les prestataires de secours dans le Cloud sont désignés par l’acronyme « DRaaS » pour Disaster Recovery as a Service. Initialement, les fournisseurs DRaaS proposaient d’assurer dans le Cloud le secours de votre SI « on-premise ». Mais ils proposent également aujourd’hui d’assurer le secours de vos infrastructures déjà dans le Cloud, AWS ou Azure par exemple. La maturité reste très variable selon les fournisseurs et le cloud utilisé. Certains fournisseurs DRaaS imposent que le Cloud de destination du secours soit le leur, ne permettant pas ainsi de couvrir le secours de service PaaS.

Comme avec le SaaS, pas de garanties incluses par défaut quant aux pertes de données ou au délai de reprise, il faut les négocier. Les fournisseurs promettent de pouvoir s’adapter aux exigences du client ! Pour s’assurer que le secours fonctionne, le client doit prévoir la réalisation régulière de tests probants du secours (recommandation d’une fois par an).

Réaliser soi-même son secours en utilisant les outils proposés par le fournisseur

Comme sur une infrastructure « on-premise », il est nécessaire de réfléchir et définir sa stratégie de secours dès la conception. Cette stratégie doit intégrer la capacité de réaliser des tests probants permettant d’assurer un niveau de confiance suffisant dans son plan.

La mise en place est simplifiée par les outils mis à disposition par les fournisseurs Cloud et la forte standardisation des environnements Cloud. Les grands acteurs publient dans des livres blancs les grandes lignes directrices pour mettre en place un tel projet (par exemple AWS ou Azure).

Les concepts des stratégies du secours informatique restent proches de celles pour les datacenters on-premise.

On peut en dénombrer quatre principales :

• la sauvegarde et restauration: simple sauvegarde des données et images des machines sur un site distant, restaurées en cas de sinistre ;
• la veilleuse: réplication des bases de données et mise à disposition des machines sous forme d’images prêtes à être démarrées en cas de sinistre ;
• le secours à chaud: réplication complète du site primaire (données et machines), le site de secours est sous-dimensionné en termes de performances et est prêt à monter en charge en cas sinistre ;
• le multi site (ou actif-actif): les deux sites sont identiques et se partagent la charge des utilisateurs. En cas de sinistre, le site restant peut monter en charge pour accueillir la totalité des utilisateurs.

Des solutions hybrides pouvant mieux s’adapter aux exigences de délai de reprise, coût et complexité de la solution peuvent être envisagées.

Le véritable apport du Cloud pour le secours concerne les nombreux outils mis à disposition simplifiant la mise en œuvre et le déclenchement.

La réplication des données est ainsi simplifiée pour les options de géo-réplication asynchrones (plusieurs copies répliquées dans d’autres régions). La PDMA est variable en fonction des types de données et des outils proposés. Au-delà de cette option, une redondance locale des données est presque systématiquement incluse.

La forte standardisation permet également d’automatiser la reprise : les scripts ou API mis à disposition par les fournisseurs permettent d’automatiser le déploiement des infrastructures, le redimensionnement des instances en fonction de métriques précédemment définies, la répartition des charges et du trafic ou, l’adressage IP etc… afin d’accélérer de façon significative l’activation d’un site de secours.

Les outils de surveillance et alerte qui sont également proposés visent à faciliter le Maintien en Conditions Opérationnelles (MCO) du secours et peuvent être utilisés pour détecter au plus tôt un incident voire, dans certains cas, automatiser partiellement le déclenchement du secours.

Enfin la capacité à provisionner des nouvelles ressources en quelques minutes permet de limiter l’OPEX. A stratégie équivalente, il est ainsi possible d’avoir des gains de 40 à 70% sur le coût du secours !

Vers une plus grande prise en charge par le fournisseur ?

Azure prévoit une option, courant 2017, pour assurer le secours des machines virtuelles hébergées au sein de leur plateforme via la complétion de leur service « Site Recovery ». En effet, « Site Recovery » propose à l’heure actuelle de prendre en charge le secours de site traditionnel en utilisant le cloud Azure pour accueillir le site secondaire, mais Microsoft souhaite étendre ce service au secours de leurs propres infrastructures. Cet outil permettrait un déploiement automatique du site secondaire (de type actif-passif), une réplication automatique des données et une mise en place de tests facilitée.

Cette option est passée en « public preview » fin mai 2017. Un projet équivalent n’est pas d’actualité chez les autres principaux fournisseurs IaaS/PaaS.

Le cloud face au risque systémique des fournisseurs

Le secours informatique des services hébergés dans le cloud s’aborde différemment selon le type de service utilisé. Le secours du SaaS doit être géré contractuellement et est sous la responsabilité du fournisseur tandis que le secours du IaaS/PaaS, simplifié par les outils, reste sous la responsabilité du client.

Le risque de défaillance généralisé d’une région d’hébergement d’un fournisseur existe comme le montre les derniers incidents. Même si aujourd’hui, les incidents ont été de courte durée ou avec des impacts fiables, une défaillance généralisée ne peut pas être ignorée. Reste donc à traiter la problématique de cyber-résilience. L’utilisation d’un 2^ème fournisseur cloud permet de couvrir le risque de destruction ou d’indisponibilité majeure des infrastructures du premier. Cette solution reste très complexe car la portabilité d’un fournisseur à un autre est délicate. Pour l’instant, peu d’entreprises s’y sont risquées, même si l’on peut citer l’exemple de Snapchat qui utilise le cloud Google pour sa production et prévoit d’utiliser celui d’Amazon pour son secours d’ici à 5 ans.

Cet article Le Cloud, la fin ou renouveau du secours informatique ? est apparu en premier sur RiskInsight.

Face à la multiplicité des événements, les entreprises prennent de plus en plus conscience des enjeux de la gestion de crise et certaines font le choix d’investir dans un outillage dédié. Ces outils permettent d’industrialiser la gestion de crise via de nombreuses fonctionnalités.

Pour autant, avant de s’outiller, l’entreprise doit au préalable avoir mis en place un dispositif de gestion de crise préparé, testé et viable dans la durée, l’outil permettra uniquement d’accompagner ce processus, mais il ne doit pas être utilisé dans le but de le définir sous peine de prendre de mauvaises orientations.

Le choix d’un outil peut s’avérer parfois compliqué. De nombreuses solutions existent, souvent complexes et peu ou mal utilisées. Comment choisir ? Voici quelques conseils qui vous guideront dans votre état des lieux pour vous permettre de définir au mieux votre besoin et de cibler les critères d’évaluation.

Définir ses besoins en matière d’outillage…

La gestion de crise un processus dynamique qui évolue rapidement et qui peut être définie selon 3 phases temporelles :

• La phase d’alerte : détection d’une situation de crise et remontée de l’information aux instances décisionnelles ;
• La phase de pilotage : évaluation de la situation, mobilisation de la cellule de crise en cas de crise avérée, gestion de la crise;
• La phase de sortie de crise : évaluation de l’expérience vécue pour permettre à la cellule de crise de capitaliser les acquis et comprendre les défaillances.

Au fil des années, différents types d’outils ont émergé permettant d’accompagner les organisations sur chacune de ces phases. Le marché s’est initialement développé dans les années 2000 aux États-Unis, sous l’impulsion de réglementations fédérales, avec des acteurs connus tels que Everbridge, AtHoc (racheté par Blackberry en 2015), Mir3, ou encore RSA Archer. En Europe le marché se développe de plus en plus avec Fact24 en Allemagne, Iremos en France, et on voit de plus en plus apparaitre sur le marché des outils d’alerte, surtout depuis les derniers attentats, des acteurs de télémarketing ou de relation client qui ont su adapter leurs plateformes à la transmission d’alertes (avec par exemple : Retarus et Gedicom).

Certaines de ces éditeurs proposent des solutions “tout-en-un” intégrant sous forme de modules les fonctionnalités suivantes :

• Veille : Un dispositif de veille permet à l’entreprise d’être informé en temps réel sur la survenue d’événements de toute nature susceptible d’affecter ses sites (alertes météo), ses actifs (cyber veille), ou encore son image (veille médiatique). La prise en compte des signes avant-coureurs d’une crise fait partie intégrante de la phase de veille et permet d’apporter aux cellules décisionnelles une vision globale de la situation.

• Remontée d’incidents : Les informations, souvent incomplètes, remontent de manière désordonnées et rendent d’autant plus difficile la compréhension de la situation, ce qui se répercute au moment des prises de décisions. Certains outils de gestion de crise proposent pour cela un module dédié à la déclaration d’incident. Les collaborateurs peuvent déclarer en quelques clics un événement sur des formulaires pré formatés, ce qui permet ainsi d’automatiser et centraliser la remontée d’incidents, d’accéder à l’information en temps réel et d’alerter automatiquement les bonnes personnes en fonction de la nature et de la gravité de l’événement.

• Coordination :

 – Mobilisation de(s) cellule(s) de crise: Les outils de coordination permettent à l’entreprise de définir des schémas d’alertes avec le contenu du message à envoyer selon la nature de la crise, la liste les personnes à contacter avec l’éventuelle escalade en cas de non réponse et les moyens de communications à utiliser (SMS, mail, serveur vocal interactif, etc…).

– Espace d’échange et de communication : Le recours à une cellule de crise virtuelle est utilisé pour permettre le rassemblement virtuel des membres de la cellule de crise où qu’ils soient dans le monde et ainsi optimiser la rapidité des échanges et le partage de l’information au bon moment.

– Suivi des événements : Les éditeurs proposent des modules de suivi des événements permettant la tenue d’échanges entre plusieurs cellules de crise constituées pour le traitement d’un même événement. Ces solutions proposent également de centraliser la documentation nécessaire à la gestion de crise (BIA, procédures, annuaires,…).

• Alerte en masse : Dans certains types de crise (incendie, inondation, attentat, etc…), l’entreprise doit pouvoir alerter largement et rapidement une population plus ou moins importante (collaborateurs, clients, fournisseurs, etc.). Pour se faire, il est possible de faire appel à un outil d’alerte en masse, aussi appelé « EMNS » (pour Emergency Mass Notification System). Comme pour la mobilisation de la cellule de crise, un système d’alerte va permettre de mettre en place des scénarios d’urgences afin d’alerter des milliers de personnes dans des délais très courts.

Avant un lancement de projet, ces fonctionnalités doivent être passées au crible pour distinguer celles qui serviront à accompagner la gestion de crise de celles qui constitueront uniquement un plus. Il ne faut pas négliger que la mise en place d’un outil de gestion de crise est un réel investissement. Le prix des solutions packagées varie suivant le mode de licence et le nombre d’utilisateurs : soit en achat unique de licences (compter entre 50 et 70 k€) , soit avec des abonnements de l’ordre de 5 k€ / mois auquel il faudra ajouter des frais d’implémentation (~6 k€).

… pour choisir l’outil le plus adapté

Après avoir défini ses besoins en matière d’outillage et les principaux cas d’usage, il va maintenant falloir faire un choix parmi toutes les solutions proposées sur le marché. Bien choisir son outil est donc une étape essentielle et peut se réaliser à partir d’une méthodologie de sélection basée sur les 4 étapes suivantes :

La première étape consiste à lister les caractéristiques essentielles que l’outil devra posséder pour atteindre les objectifs fixés. Il existe plusieurs critères permettant de choisir son outillage. Le premier, et peut être le plus important, est les fonctionnalités attendues entre la veille, la remontée d’incident, l’alerting ou encore la coordination. Viennent ensuite la simplicité et l’accessibilité d’utilisation, facteur clé d’adoption de la solution. La robustesse de l’outil devra également être évalué, il ne faudrait pas que l’outil ne soit pas utilisable le jour d’une crise. Ce critère est particulièrement important pour les crises cyber qui peuvent mettre à mal la grande partie du SI de l’entreprise, il faut alors prévoir de pouvoir faire fonctionner le système en dehors de l’entreprise. Et à la vue des données manipulées et de leur sensibilité, des éléments quant à la confidentialité (authentification, chiffrement…) et à la sécurité de la solution doivent aussi être pris en compte.

Finalement, comme pour tout projet d’acquisition de logiciel, il faudra être attentif au coût total de la solution (acquisition mais aussi maintenance), aux références de l’éditeur, à sa maturité et à sa solidité financière.

Une fois les critères définis, la deuxième étape concerne l’évaluation des solutions disponibles sur le marché. Il faudra alors construire la grille d’analyse qui permettra de valider l’adéquation de la solution avec les besoins exprimés et d’évaluer la capacité de l’outil à s’intégrer dans le système d’information. Il s’agira ensuite de mettre en concurrence les différents éditeurs et de dresser une liste restreinte de solutions qui répondra le mieux aux besoins et aux exigences définies durant la phase de recherche. Afin de garantir une liste pertinente, les critères d’évaluation seront pondérés pour refléter l’importance relative accordée à chacune des exigences techniques et fonctionnelles.

À cette phase, il est pertinent d’organiser des démonstrations avec les éditeurs short-listés afin d’évaluer la manière dont l’outil fonctionne sur des cas concrets. Après avoir procédé à la qualification des solutions et après avoir rencontré les éditeurs, on peut considérer que tous les éléments sont réunis pour pouvoir apprécier les outils sélectionnés et procéder au choix final.

Ces différentes étapes pourront être suivies par un groupe de travail transverse mobilisant les équipes de gestion de crise évidemment mais aussi les responsables sécurité de l’information et la DSI.

Investir dans un outil, un effort à maintenir dans la durée pour en tirer toute la valeur

Usuellement cette démarche de choix d’outillage nécessite un délai d’approximativement 3 mois dans les grandes entreprises. La mise en œuvre complète de l’outil peut-elle nécessiter jusqu’à 6 mois, en particulier lorsqu’un grand réseau d’acteurs devra être formé à utiliser l’outil.

Mais attention à bien prendre en compte que cet outillage doit vivre dans le temps. C’est un point important à ne pas négliger au risque de voir les investissements initiaux perdus au bout de quelques mois.

Cet investissement dans la durée devra être réparti entre tous les acteurs de la gestion de crise, pour qu’ils restent familiers avec l’outillage et se l’approprient. Point clé également, utiliser l’outil lors des exercices. Même si cela peut paraître évident, c’est parfois négligé.

Cet article Comment évaluer et choisir son outil de gestion de crise ? est apparu en premier sur RiskInsight.

Au vu de ces multiples impacts, une simple réponse « individuelle » de chaque organisation – bien que nécessaire – n’est pas suffisante. Une réponse collective doit également être apportée pour adresser l’ensemble des problématiques. En effet, au niveau individuel, chaque acteur doit se préparer à la crise à travers la mise en place d’un Plan de Continuité d’Activité dédié, adapté à ses métiers et aux spécificités de la crue centennale.

Focus sur la préparation individuelle : les quatre volets du Plan de Continuité d’Activité « choc extrême »

Nombreuses sont les entreprises disposant d’un Plan de Continuité d’Activité pour faire face à différents sinistres ou événements pouvant impacter leur fonctionnement : indisponibilité d’un site, panne de SI, grève de collaborateurs… La crue centennale de la Seine a la particularité de toucher toutes ces ressources en même temps. Il est donc indispensable d’adapter les PCA habituels pour prendre en compte les particularités d’une crue.

Ressources humaines

La crue centennale aurait un impact important sur la disponibilité des salariés des entreprises en Île-de-France.

Tout d’abord, la conséquence directe de l’indisponibilité des transports en commun et des axes routiers entraînerait de grandes difficultés de déplacement pour les collaborateurs. À noter qu’au pic de crue, l’Île-de-France serait scindée en trois zones « infranchissables ».

Il faut également prendre en compte les situations particulières et personnelles des collaborateurs qui auraient un impact sur leur capacité à rejoindre les locaux ou les sites de repli (logements inondés, écoles fermées…).

L’indisponibilité des moyens de circulation et les contraintes personnelles des salariés entraîneraient donc un impact fort sur le taux d’absentéisme dans les entreprises, qui pourrait atteindre entre 50% et 70%. Ainsi, le sujet de l’organisation et de la gestion du personnel doit être étudié en prenant en compte l’aspect dynamique de l’absentéisme (un collaborateur absent un jour donné pourrait être présent le jour suivant et inversement) :

• déterminer les fonctions et hommes clés nécessaires à la continuité d’activité et instaurer leur suppléance (sous-traitance, intérim…) ;
• acheminer le personnel mobilisé sur les sites de repli ;
• prévoir hébergement et restauration…

Prestataires de Services Essentiels Externalisés

Comme les autres acteurs économiques, les Prestataires de Services Essentiels Externalisés (PSEE) verraient eux aussi leurs activités compromises par la crue. Il est donc primordial de ne pas négliger la dépendance vis-à-vis de ces fournisseurs, aussi bien en amont de l’activité (matières premières, services…) qu’en aval (distribution…). Des engagements contractuels visant à garantir l’acheminement des biens ou la fourniture de services en cas de sinistre doivent donc être définis et contrôlés (audit, contrôle qu’un test annuel a été réalisé…)

Sites / Locaux / Logistique

Les locaux des entreprises (siège, agences…) pourraient être rendus indisponibles pendant plusieurs semaines. Il est donc indispensable de mettre en place une stratégie de repli prenant en compte les spécificités de la crue : séparation de l’Île-de-France en trois zones, difficultés de déplacement, perturbation des accès télécoms… une crise pouvant durer plus d’un mois. Ainsi, la stratégie de repli doit :

• identifier des sites à risque ;
• choisir un site de repli accessible aux collaborateurs ;
• définir des ressources matérielles indispensables pendant la durée de crise ;
• assurer l’acheminement des ressources pendant la durée de la crise…

Systèmes d’information

Le Plan de Continuité Informatique est une des composantes essentielles du PCA. Données, serveurs d’application, infrastructure réseau… le secours de ces ressources critiques potentiellement menacées par une crue de la Seine est également une priorité.

Nombreuses sont les entreprises qui disposent de datacenters en dehors de l’Île-de-France. Toutefois deux éléments majeurs sont à prendre en compte lors d’une crue. Tout d’abord, la capacité des collaborateurs à se connecter aux ressources informatiques de chez eux ou des sites de repli compte tenu des perturbations télécoms susmentionnées. D’autre part la sécurisation des ressources informatiques locales (applications locales, serveurs de fichiers…) stockées dans les sièges des entreprises qui seront inondées.

Focus sur la préparation collective : l’exercice « EU SEQUANA 2016 », simulation d’une crue centennale de la Seine grandeur nature

Présentation de l’exercice EU SEQUANA 2016

L’exercice EU SEQUANA 2016 est un exercice « grandeur nature » qui met l’accent sur la coordination entre les différents secteurs d’activités de la vie économique francilienne ainsi que sur la coordination des organes de gestion de crise publics qui seront activés pour l’occasion (les collectivités territoriales locales, le niveau zonal/régional/départemental, le niveau national et l’Union Européenne via son Mécanisme Européen de Protection Civile).

L’exercice mobilisera donc de nombreux acteurs publics et privés pour un exercice inédit avec plus de 90 entités participantes : secteur financier, assureurs, opérateurs télécom, transports, énergies, forces armées, administrations…

Il consistera en un déploiement simultané des Plans de Continuité d’Activité et des dispositifs de gestion de crise de chaque participant. L’objectif est de simuler la réponse à la crise de la manière la plus réaliste possible, les opérateurs des réseaux vitaux (transports, énergie…) alimentant directement les participants en stimuli.

Déroulé et objectifs de l’exercice

L’exercice aura lieu en mars 2016 et se déroulera sur 14 jours calendaires. La première semaine – du 8 mars au 11 mars 2016 – aura lieu la phase « Crue » de l’exercice. Chaque journée sera dédiée à un niveau d’eau différent, les participants devront évaluer les impacts et prendre les décisions adéquates pendant cette phase. Objectifs principaux pour les participants : anticiper la montée des eaux à venir et gérer les premiers impacts constatés.

Le weekend du 12 et 13 mars 2016, le pic de crue sera atteint, ce qui déclenchera les dispositifs opérationnels prévus en cas de crue de la Seine, notamment la collaboration européenne.

La seconde semaine – du 15 au 18 mars 2016 – aura lieu la phase « Décrue » de l’exercice. Objectifs principaux des participants : travailler sur le retour à la normale et la résilience des réseaux.

La différence sur l’organisation des deux phases de l’exercice tient dans les hypothèses de travail dont disposeront les différents acteurs. En effet, de nombreuses simulations et études ont permis d’établir des hypothèses de travail à partir desquelles évaluer de façon réaliste les impacts d’une crue de la Seine. A l’opposé, la phase de « Décrue » ne dispose pas de travaux aussi poussés en la matière.

Cet exercice est donc une occasion inédite pour l’ensemble des participants de relever 3 défis majeurs :

• réussir la coordination des cellules de crise internes de chaque participant avec les cellules de crise externes qui seront activées ;
• mobiliser l’ensemble des acteurs pour produire un scénario le plus réaliste possible ;
• nouer des relations entre acteurs de secteurs différents pour faciliter la coordination de la réponse.

Mais il faut bien être conscient que SEQUANA ne sera pas forcément un aboutissement en tant que tel mais bien le début d’une prise de conscience généralisée qui aura des effets bénéfiques sur les années à venir.

Le scénario de crise d’une crue centennale est un excellent scénario pour renforcer la résilience de son entreprise, des processus et des collaborateurs tant les impacts sont globaux et la complexité des solutions à mettre en œuvre est importante. Toutefois, malgré toutes les préparations et anticipations possibles, il faut rappeler que ce scénario dispose de nombreux aléas et d’inconnues imposant à chaque acteur d’adapter les dispositifs si la crise survenait. Ainsi, une stratégie d’exercices doit être mise en place afin de tester les PCA, mais également pour renforcer la résilience de l’organisation et des personnes qui devront, le jour de la crise, adapter les dispositifs prévus.

Cet article Choc extrême : comment se préparer à une crue centennale en Île-de-France ? (2/2) est apparu en premier sur RiskInsight.

La crue centennale, plus qu’une simple inondation

Le choc extrême le plus probable

La crue centennale en Île-de-France est la conséquence d’une crue de la Seine, de l’Yonne et de la Marne avec les conditions météorologiques adéquates (températures négatives, gel progressif des couches supérieures des sols, précipitations importantes) entraînant une montée progressive des eaux.

La dernière catastrophe de ce type remonte à 1910. La Seine atteignit son niveau maximal de 8,62m en une dizaine de jours, avant de revenir à son niveau initial après 35 jours de décrue. Cette inondation causa d’importants dommages à l’économie locale, pour un coût total avoisinant les 15 milliards d’euros.

Le scénario d’une crue centennale identique ou supérieure à celle de 1910 est aujourd’hui le scénario de catastrophe majeure le plus probable en Île-de-France (probabilité de 1/100 chaque année).

Une menace avérée et des faiblesses identifiées

Les dernières crues importantes connues en Europe ont contribué à révéler la nécessité de mieux se préparer et de renforcer la résilience des villes. Ainsi cette menace en Île-de-France est désormais au centre des attentions depuis plusieurs années, avec notamment :

• un contexte réglementaire fort de l’Union Européenne via la directive 2007/60/CE, qui enjoint les États membres à établir des Plans de Gestion des Risques d’Inondation (PGRI) ;
• un rapport de l’OCDE – « Étude de l’OCDE sur la gestion des risques d’inondation : la Seine en Île-de-France 2014 » – qui évalue à plus de 50 milliards d’euros l’impact d’une crue centennale. Elle souligne les faiblesses multiples de la France pour se préparer et faire à face à la crue, notamment sur le déficit de gouvernance, une résilience inégale ainsi que l’absence de vision stratégique globale et commune entre les acteurs concernés. La mise en place d’objectifs précis en termes de résilience et la responsabilisation des acteurs font partie de ses recommandations principales.

Même si Paris est maintenant mieux protégée qu’en 1910, elle est également plus vulnérable sur certains aspects. En effet, l’urbanisation croissante et l’interdépendance des infrastructures critiques ont largement accentué les impacts potentiels d’un tel scénario.

Des impacts multiples sur les ressources des entreprises

Cette crise, multiple et complexe, couperait l’Île-de-France en trois zones isolées, affecterait plus de 300 communes et toucherait tous les réseaux d’opérateurs essentiels pour la vie économique et sociale de l’Île-de-France qui seraient rendus en grande partie indisponibles : distribution d’électricité, distribution d’eau, opérateur télécom, assainissement, transports routiers, transports en commun…

Les conséquences de la crise seraient renforcées par un véritable « effet domino » lié à l’interdépendance des entreprises et des réseaux, une rupture de service en entraînant une ou plusieurs autres.

Le fonctionnement de l’État, des institutions et de l’activité économique en général sera fortement perturbé et près de 5 millions de citoyens seront affectés, directement ou indirectement.

Anticiper la crue : une préparation en deux volets

Au vu des multiples impacts régionaux d’une crue centennale de la Seine, une simple réponse « individuelle » de chaque organisation – bien que nécessaire – n’est pas suffisante. Une réponse collective doit également être apportée pour adresser l’ensemble des problématiques.

En effet, au niveau individuel, chaque acteur doit se préparer à la crise à travers la mise en place d’un Plan de Continuité d’Activité dédié, adapté à ses métiers et aux spécificités de la crue centennale. Celui-ci doit intégrer les dépendances aux réseaux et autres structures impactées par la crise : télécommunications, fournisseurs, transports… Mais sans la mise en place d’une stratégie partagée, ces plans individuels ne seront pas efficaces. Une approche globale constitue l’un des principaux enjeux de la prévention des risques d’inondation. En effet, les adhérences entre les entreprises sont de plus en plus importantes, notamment avec les fournisseurs de transports ou de utilities (télécom, énergie…) qui sont indispensables à l’ensemble des entreprises en Île-de-France, nécessitant par conséquent une collaboration très rapprochée en cas de crise.

Aujourd’hui, un réel dynamisme multi-acteur est impulsé par le Secrétariat Général de la Zone de Défense et de Sécurité (SGZDS) de Paris autour du futur exercice EU SEQUANA 2016.

Dans le prochain article, nous ferons un focus sur la préparation individuelle et les quatre volets du Plan de Continuité d’Activité « choc extrême » et nous reviendrons sur la préparation collective avec l’exercice « EU SEQUANA 2016 »,la simulation d’une crue centennale de la Seine grandeur nature.

Cet article Choc extrême : comment se préparer à une crue centennale en Île-de-France ? (1/2) est apparu en premier sur RiskInsight.

Une relation de longue date avec l’ISO 27001

L’évolution de l’ISO 27001:2005 vers l’ISO 27001:2013 a changé le regard de la continuité d’activité dans les Systèmes de Management de la Sécurité de l’information. Alors que dans sa version précédente (2005), l’ISO 27001 évoquait la mise en place d’un PCA pour l’ensemble de l’organisation, la version actuelle (2013) ne parle de continuité d’activité uniquement pour les activités liées à la sécurité de l’information. La nuance est très importante et souvent mal interprétée ; il n’est donc plus question dans un Système de Management de la Sécurité de l’Information d’implémenter un PCA pour l’ensemble de l’organisation (il est toutefois compliqué de prévoir la continuité des activités sécurité en l’absence de PCA global…). Désormais, c’est bien l’ISO 22301 qui porte le sujet de la continuité dans les normes ISO existantes.

Construite exactement sur la même structure que l’ISO 27001, l’ISO 22301 préconise une démarche similaire : approche par processus, cycle de vie « Plan » « Do » « Check » « Act » (PDCA), implication du top management etc. mais elles portent également les mêmes travers ; les deux normes décrivent « ce qu’il faut faire » sans dire « comment il faut le faire ».

Une norme ISO 22301 qui ne se suffit pas à elle seule…

Contrairement à l’ISO 27001 qui possède une annexe apportant des recommandations concrètes sur la mise en place, l’ISO 22301 ne dispose pas de guide permettant de s’appuyer sur un socle solide « de fond » permettant de guider la définition et la mise en place des chantiers autour du Plan de Continuité d’Activité. Toutefois, on peut mentionner l’ISO 22313 : « Business Continuity Management System – Guidance ». Cette norme qui se veut être un guide soutenant l’ISO 22301 reste cependant assez haut niveau et n’apporte que peu de réponses méthodologiques concrètes.

Il ne faut donc pas appréhender l’ISO 22301 avec pour objectif d’y trouver des réponses sur l’implémentation de son Plan de Continuité d’Activité, mais bien pour y trouver des réponses quant à son pilotage. La norme va plutôt s’adresser à ceux qui ont déjà trouvé des réponses sur le fond de l’implémentation de leur Plan de Continuité d’Activité.

…mais qui possède une véritable force

Le problème récurrent des Plans de Continuité d’Activité réside dans leur maintien à jour dans le temps. Souvent construit en mode projet, ils deviennent vite obsolètes une fois en phase de run, faute de maintien à jour. Le projet se lance dans une période où il est considéré comme prioritaire (survenance d’un incident majeur, prise de conscience de la direction des risques encourus…). Avec le temps, la priorité bascule vers un autre projet au détriment du PCA, sur lequel il est difficile de mesurer les bénéfices ; l’éternel débat du « tant que ça n’arrive pas… ».

La force de la norme réside dans la construction d’un SMCA avec pour pilier central l’amélioration continue : le PCA doit s’inscrire dans le quotidien des activités qu’elles soient SI ou métiers. Intégrer dans les tâches de tous les jours, le PCA n’est alors plus perçu comme un projet à part. Par ailleurs, mettre en place une organisation dédiée au PCA peut s’avérer complexe et particulièrement lourd. Le sujet du PCA doit s’inviter aux différentes instances existantes (comités sécurité, revue de direction qualité / sécurité, comité d’architecture…) : Le PCA n’est plus un sujet à traiter à part, il doit faire partie de tous les sujets.

Pour que ce principe soit vrai, l’implication du top management est indispensable pour légitimer les actions entreprises et être garant du planning PDCA : Le rythme des exercices, les revues de direction, les campagnes de sensibilisation sont autant de rendez-vous qui vont contribuer au Maintien en Condition Opérationnelle du PCA. L’intérêt de la norme est ici la formalisation de toutes ces pratiques de maintien en condition opérationnelle dès la phase projet. Formaliser en amont ces pratiques vont permettre d’être applicables avant même la fin de la phase projet. Les chances de survies du PCA vont donc être augmentées de par l’absence de discontinuité entre la phase projet et la phase de run.

Doit-on aller jusqu’à la certification de son SMCA ?

Au-delà de son rôle de référence en matière de bonnes pratiques, la norme peut conduire jusqu’à une certification du Système de Management de la Continuité d’Activité. Aujourd’hui, l’intérêt d’aller jusqu’à la certification ne concerne pas tous les acteurs du marché. Les premiers intéressés vont être ceux dont le métier est celui-là même de la continuité, c’est-à-dire par exemple les hébergeurs de services informatiques ; afficher sa capacité de résilience aux sinistres majeurs à travers un label mondialement reconnu constitue un élément différenciateur indéniable. Souvent déjà certifiés sur d’autres Système de Management (qualité, sécurité) et adoptant déjà des bonnes pratiques en matière de continuité d’activité, la marche à franchir jusqu’à la certification n’est pas nécessairement haute. C’est le cas par exemple de « TelecityGroupe », fournisseur de DataCenter qui a obtenu sa certification ISO 22301 sur ses activités d’hébergement en France, ou encore « Melbourne », société Britannique d’hébergement cloud.

Outre les aspects de disponibilité et redondance des systèmes, la disponibilité des données est également un enjeu porté directement par les PCA. Les acteurs dont le métier est la sauvegarde de la donnée vont également trouver un intérêt à implémenter l’ISO 22301 dans un objectif de certification. C’est le cas par exemple de « Wanbishi Archives », société Japonaise spécialisée dans la gestion de l’information, certifiée ISO 22301.

Mais les sociétés sont encore peu nombreuses à viser la certification, celle-ci ne représentant pas aujourd’hui un élément déterminant de leur stratégie. Reste à savoir si les années à venir rendront l’ISO 22301 aussi incontournable que l’ISO 27001.

En synthèse : être mature et en tirer un réel bénéfice économique

La certification ISO 22301 s’adresse à des contextes matures dans la gestion de leur continuité d’activité, pourvu d’un management convaincu du bien-fondé de la démarche de certification et doté d’un intérêt économique certain légitimant le projet. Si la marche à franchir entre les pratiques actuelles et la certification est grande, alors mieux vaut ne pas se lancer dans un projet de certification. Là où les projets SMSI peuvent viser la certification en partant de zéro, les projets de continuité nécessitent une première maturité opérationnelle. La course à la certification ISO 22301 est encore loin d’être engagée mais l’intérêt d’y prendre part commence à se faire sentir. Les « fournisseurs de disponibilité » sont en train d’ouvrir la marche, la vie de l’ISO 22301 ne fait que commencer.

Cet article Continuité d’Activité : faut-il se doter d’un label reconnu ? est apparu en premier sur RiskInsight.

Les cyberattaques mettent en lumière les limites de la résilience actuelle et des plans de continuité d’activité

La continuité d’activité est souvent présentée comme un des éléments majeurs de la stratégie de résilience des organisations. Ainsi, face à des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs, les organisations se sont dotées de plans de continuité d’activité (PCA) de manière à assurer leur survie.

Or les cyber-attaques, dans leur forme moderne, n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers focalisés sur un enjeu de disponibilité, n’appréhendent pas la problématique de perte de confiance dans le SI induite par les cyber-attaques.

De plus, les dispositifs de continuité du SI, le plus souvent intiment liés aux ressources qu’ils protègent, sont également affectés par ces attaques. En effet, depuis plus d’une décennie, les dispositifs de continuité (repli utilisateurs ou secours informatique) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide des métiers et au besoin d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyber-attaques. A titre d’exemple, les postes de secours dédiés et connectés des sites de repli sont aujourd’hui très souvent exposés aux mêmes risques de contamination (et destruction) que les postes nominaux.

Les historiques plans de reprise/secours « à froid » (consistant souvent à activer les systèmes de secours en cas d’incident) concernent désormais de moins en moins d’applications, et il s’agit souvent d’applications secondaires.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI. Malheureusement, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments de compromission : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants.

La gestion de crise et les dispositifs de continuité doivent être repensés

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes (autorités, fournisseurs…) eux-mêmes souvent peu préparés sur ce sujet. Ces éléments démontrent qu’il est nécessaire d’ajuster les dispositifs existants. Un des thèmes vise à anticiper des astreintes et des rotations des personnels clés. Au-delà de l’aspect interne, il faudra s’assurer de disposer également des expertises en SSI (investigation numérique, méthode d’attaque…) et de l’outillage de recherche et d’assainissement requis pour comprendre la position prise par l’attaquant dans un SI toujours plus grand et dont les frontières sont de plus en plus difficiles à déterminer. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise et anticiper certaines réponses, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Dans ce contexte, les dispositifs de continuité doivent également évoluer, voire être complètement repensés. Les solutions possibles sont nombreuses, nous pouvons citer en particulier la construction de chaînes applicatives alternatives (non similar facilities), visant à « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. Il s’agit là d’une solution ultime, envisagée pour certaines applications critiques dans le monde de la finance. D’autres solutions, moins complexes, comme l’ajout de contrôle fonctionnel d’intégrité dans le processus métier pour détecter rapidement une attaque (multi-levels controls) ou encore la définition de zone d’isolation système et réseau (floodgate) sont possibles.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilence n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Responsable du Plan de Continuité d’Activité (RPCA) sera alors un plus ! Il est aujourd’hui impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RPCA prendra tout son rôle.

Protéger, détecter, réagir, assainir et reconstruire, voilà donc les piliers d’une cyber-résilience solide. Cyber-résilience qui ne pourra être atteinte que si le RPCA et le RSSI travaillent main dans la main !

Cet article Cyber-résilience : allier les forces du RPCA et du RSSI pour franchir une nouvelle étape est apparu en premier sur RiskInsight.

Le repli croisé est défini comme le repli de collaborateurs d’un site sinistré sur un ou plusieurs autres sites de l’organisation. Généralement les sites sont « appairés » entre eux d’où la notion de repli « croisé » Il s’appuie le plus souvent sur la réquisition de salles de réunion, de salle de formation ou de bureaux.

Cette stratégie intéresse vivement les organisations, dans une optique de valorisation de son patrimoine immobilier et de maîtrise des coûts du PCA. En effet, la souscription à une position de secours chez un prestataire spécialisé peut paraître en comparaison onéreuse : de quelques centaines d’euros par an pour une position dite mutualisée à une dizaine de milliers d’euros par an pour une position dédiée du niveau d’une position de salle de marché.

 Si les avantages de coût, bien qu’indéniables, méritent d’être discutés, la complexité et les contraintes (organisationnelles et techniques) de construction et de maintien en conditions opérationnelles du repli croisé sont souvent sous-estimées et doivent être soulevées.

Comment concevoir son repli de manière efficace ? Quels sont les facteurs clés de succès ?

Afin d’anticiper au mieux la préparation du repli croisé dans le cadre d’une stratégie de continuité d’activité, il convient de répondre à plusieurs problématiques et traiter le repli de bout en bout :

Dans la pratique, cela revient à lancer les trois chantiers majeurs.

 1. Maîtriser le potentiel de repli en relation étroite avec les Moyens Généraux

Ce potentiel doit être maîtrisé avant qu’une situation de crise ou de sinistre ne se produise : la constitution d’un référentiel de positions de repli sur l’ensemble du parc de sites de l’organisation  y contribue. Plus précisément, il s’agit de :

• Cartographier les salles de réunion des différents sites, ainsi que leur capacité d’accueil, et maintenir à jour cette cartographie, ce qui en soit est complexe dans une organisation ou les déménagements intra et inter sites et les réaffectations de locaux sont fréquents.

• Définir, en collaboration avec les IRP, le taux de remplissage envisageable des salles, dans l’esprit des règlementations applicables aux conditions de travail (locaux en lumière naturelle, espace alloué  par personne dans un bureau collectif) mêmes si des conditions dégradées sont envisageables.

Cette étape permet de disposer d’un nombre « réel » de positions de repli à proposer aux Métiers en cas de crise.

2. Opérationnaliser le repli croisé

Il est ensuite nécessaire de s’assurer de la capacité du site de repli à pouvoir accueillir une population productive. Cette opérationnalisation passe par des actions logistiques :

• Permettre l’accès aux locaux : prévoir des moyens ou des procédures d’accès au site : via un stock de badges si le système de badge est différent entre les sites, ou une gestion élargie des droits d’accès en cas de gestion centralisé et de système de badge unique.
• Préparer la démultiplication des prises électriques, pour pallier à un nombre de raccordements en général limité. Pour cela, on peut notamment constituer un stock de matériel requis.
• Les salles de réunion étant par principe réquisitionnées, il est nécessaire de pré-identifier des moyens alternatifs à la tenue de réunions. On peut notamment penser à des réservations (déclenchées le jour J) d’espaces collaboratifs chez des prestataires de proximité ou des hôtels.

L’opérationnalisation s’appuie également sur des actions portées par la filière informatique :

• Fournir des postes de travail aux collaborateurs repliés, du fait de l’indisponibilité des postes de travail nominaux. Pour assurer une réponse rapide, il est nécessaire de pallier au délai d’acquisition de nouveaux postes via l’augmentation du fond de roulement de postes de travail sur un site alternatif.

En cas de crise, ces postes de travail seront réquisitionnés et délivrés aux premiers  collaborateurs repliés. Pour ce faire, il est nécessaire de prévoir :

– La définition d’un master de secours embarquant le maximum de logiciels requis et déployable industriellement.

– La mise en place et le dimensionnement d’une solution de masterisation rapide des postes de travail compatible avec le besoin de repli des collaborateurs sans quoi il ne sera pas possible d’y répondre opérationnellement !

Les deux schémas ci-dessous illustrent les deux cas de figure possibles :

• Démultiplier la capacité de raccordement au réseau : de la même manière que pour le raccordement électrique, il est nécessaire de fournir aux collaborateurs repliés une connexion au réseau. Ce sous-chantier passe par le dimensionnement des liens d’interconnexions des sites, l’anticipation du nombre de ports réseaux complémentaires et au besoin la constitution d’un stock (propre à chaque site et à sa capacité d’accueil) de câbles réseaux et de switchs supplémentaires.

 3. Préparer les aspects pratiques

Le déclenchement du repli croisé va changer les conditions de travail des collaborateurs repliés et des collaborateurs du site d’accueil. Il est donc indispensable de :

• Faciliter la vie sur le site d’accueil : ne pas oublier de fournir les accès nécessaires à la restauration, aux parkings, aux sanitaires, aux distributeurs d’eau, etc. afin de minimiser l’impact de changement de site pour les collaborateurs repliés !

• Prendre en compte les changements affectant les conditions de travail des employés « sinistrés ». Le repli croisé induit des contraintes RH  qu’il convient d’adresser.

• Communiquer sur les impacts du sinistre ainsi que sur l’état d’avancement de remise en service du site sinistré.

Le métier de l’organisation n’est pas de faire du secours : porter le secours en interne nécessite des moyens dédiés et une organisation forte afin de garantir le caractère opérationnel et pérenne du PCA.

Par conséquent, le repli croisé nécessite la mobilisation indispensable des Moyens Généraux et de la DSI, tant dans son élaboration que dans son maintien en conditions opérationnelles dans le temps.

Cet article Continuité d’activité : le repli croisé, pas si simple ! est apparu en premier sur RiskInsight.

Comment construire sa stratégie de repli ? Quelles solutions retenir ?

Connaître ses Métiers critiques

Il est tout d’abord nécessaire de réaliser un Bilan d’Impact d’Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographiquement), quantifier l’impact de l’interruption de ces activités dans le temps sur un référentiel partagé (Le BIA permet donc la définition d’un chronogramme de reprise des activités du site en cas de sinistre), et enfin de connaître les spécificités opérationnelles des Métiers afin d’identifier les contraintes techniques qui devront être prises en compte lors d’un éventuel repli (poste de travail spécifique, téléphonie enregistrée, équipement call-center pour les centres de relation client, lecteur de chèques, …)

Identifier exhaustivement les solutions à envisager

Une multitude de solutions permettant un repli de collaborateurs existent à l’heure actuelle :

• Site de repli interne dédié : bâtiment possédé par l’organisation et dédié au PCA
• Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon 2 modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de position souscrites en cas de choc extrême touchant simultanément plusieurs structures)
• Repli croisé entre les sites de l’organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux collaborateurs repliés par l’organisation.
• Le Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux collaborateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adaptée aux métiers « prédisposés » au travail à distance, avec une faible spécificité opérationnelle (par ex. les populations commerciales.

La stratégie de repli : un portefeuille de solutions à orchestrer

La confrontation des solutions de repli (capacité d’activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d’une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l’organisation. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d’activités.

On peut donc, par exemple, envisager une « fusée à 2 étages ».

Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h)

En général, la reprise de ces activités s’envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l’organisation ou chez un prestataire.

On peut notamment penser à des activités de front office, de call center, ou encore de fonctions supports très sensibles, alliant au besoin de reprise fort des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée).

Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines

Le panel de solutions est large : si le repli chez des prestataires reste d’actualité, on peut dorénavant penser à des solutions moins couteuses, mais nécessitant un certain temps de déploiement opérationnel : repli croisé, nomadisme ou encore déport d’activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l’on se tourne vers des solutions « internes »  (accès réseau, fourniture de postes de travail, …).

Cette première réflexion permettra de donner naissance à plusieurs scénarios de repli, qu’il conviendra d’évaluer selon des critères choisis : coûts de la solution de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d’activation, …), couverture de risque : capacité à être utilisable sur plusieurs scénarios de risques (par ex. perte d’un bâtiment, pandémie, …), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles (MCO) (complexité et charge du MCO, maintien de la situation dans le temps, …), testabilité de la solution (bascule, ouvertures des accès, …)

A titre d’exemple, on peut imaginer les analyses comparatives représentées ci-dessous :

Enfin, dans le cadre de la mise en place d’une solution s’appuyant sur du repli, un point d’attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s’inscrire en situation de crise.

Cet article Indisponibilité d’un site utilisateur : quelle(s) stratégie(s) de repli ? est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

La mise en place d’un Plan de Continuité Informatique est souvent vue comme un poste de coût supplémentaire, une forme d’assurance pour couvrir des évènements rares. Dès lors, le bon sens conduit souvent à vouloir en réduire les coûts et donc à favoriser le secours sur des serveurs existants « hors production »  (développement, recette, qualification, intégration, test, formation, pré-production) et notamment ceux de pré-production (plus proches de l’environnement réel).

Mettre ainsi à profit des ressources qu’on ne juge pas essentielles en cas de crise semble permettre d’optimiser leur usage – et au final les coûts du PCI. Cette assertion mérite cependant d’être confrontée au contexte de chaque organisation. Un tel secours est-il vraiment une source d’économie ? Réellement plus simple à mettre en œuvre ? Éligible pour toutes les applications ?

Prendre en compte les contraintes applicatives pour évaluer la complexité de mise en œuvre

Les environnements « hors-production » peuvent présenter des enjeux aussi forts pour les Métiers que leur environnement de production, notamment lorsque :

• les applications doivent évoluer rapidement ou régulièrement,
• les incidents applicatifs nécessitant correctifs sont fréquents.

Ces besoins métiers entrent ainsi en concurrence avec ceux liés à la mise en place du secours (construction du PCI, recette, tests, etc.). Si le métier est en charge de définir les priorités d’utilisation de ces environnements, il y a fort à parier que le planning de mise en œuvre du PCI devra être défini en fonction des plages d’usage laissées vacantes par les autres besoins.

Autant dire que pour les applications évoluant souvent ou victimes d’incidents à répétition, le projet de secours sera complexifié ; les phases de construction et de test du secours ne pouvant être déroulées, le métier exigeant la disponibilité de ces ressources pour d’autres besoins plus prioritaires à ses yeux. Contrainte d’autant plus forte dans un contexte au sein duquel la mise en production (MEP) ne serait pas complètement industrialisée.

Dès lors, la mise en œuvre d’un secours sur pré-production ne peut être envisagée sereinement que pour des organisations au sein desquelles la DSI priorise seule l’accès et l’utilisation des ressources hors-production. Il conviendra alors de privilégier les applications les mieux maîtrisées et les plus stables, afin de réduire au maximum les conflits avec les chantiers d’évolution applicative ou de correction de problèmes.

Ne pas conclure trop vite à une économie substantielle en évaluant les coûts cachés

Si le secours sur pré-production est considéré comme moins coûteux, c’est qu’il réduit le volume des investissements et la mise en œuvre de serveurs. Mais cette vision apparaît réductrice dès qu’on identifie les autres coûts à prendre en considération.

En effet, la majeure partie des coûts d’un projet de secours informatique réside souvent dans le pilotage, les études, les travaux d’infrastructures et le secours des données. Au final, les serveurs ne représentent parfois que 10 à 20% de l’investissement total. L’économie réalisée n’est donc pas nécessairement conséquente.

Par ailleurs, le secours sur pré-production peut également impliquer des coûts spécifiques. Bien souvent il s’agira de déménager les serveurs de pré-production, en général situés à proximité de ceux de production, et de les mettre à niveau en termes de configuration avec ces derniers. Il s’agira également d’études techniques complémentaires (ex : comment faire cohabiter des environnements de pré-production et de secours sur un même serveur?) pouvant nécessiter des enveloppes de charges supplémentaires. Enfin, en cas de coordination avec les métiers pour prise en compte de leurs contraintes (application en cours d’évolution, correction de bugs récurrents, …), des charges de gestion de projet complémentaires sont à prévoir.

Autant de points pouvant rendre le secours sur pré-production aussi voire plus onéreux qu’une solution dédiée de secours. Il convient donc de bien évaluer son coût en fonction de ces différents paramètres et de le comparer aux coûts des autres solutions envisagées.

Ne pas réduire le secours sur pré-production à sa composante économique

« La solution du bon sens est la dernière à laquelle songent les spécialistes » citait l’éditeur Bernard Grasset.

Nous l’avons vu, et contrairement à ce que le bon sens nous le laissait imaginer, le secours sur pré-production n’est pas une garantie d’économie.

Cette solution est à privilégier dans des contextes matures (maîtrise forte du processus de mise en production et des environnements hors production par la DSI), pour des applications stables (n’évoluant pas ou peu) et des environnements techniques adaptés.

Autant d’éléments à prendre en compte avant d’acter ou non la mise en œuvre de cette solution, notamment à l’aide de projets de virtualisation des environnements…

Cet article La pré-production constitue-t-elle la meilleure solution de continuité informatique ? est apparu en premier sur RiskInsight.

Une précédente tribune a rappelé l’importance de formaliser sa documentation PCA en fonction de ses finalités, afin de la rendre réellement opérationnelle.

Reste alors à assurer l’accessibilité de ces documents – au quotidien mais aussi et surtout en cas de crise : processus de mise à jour, multiplicité des acteurs, périodicités et responsabilités variables,…

En un mot, se pose la question de la gestion documentaire du corpus PCA, avec en creux celle du recours à un outillage spécifique.

La gestion documentaire : socle historique mais perfectible de l’outillage PCA

Le PCA a toujours été un grand producteur de documents : en faciliter la gestion a donc naturellement été un des premiers objectifs des progiciels PCA, parmi lesquels on trouve LDRPS, PARAD et frontGRC en France, Shadow Planner, INONI BCP Pro, MyCoop, ResilienceOne, Business Protector, RevoverPlanner sur les marchés anglo-saxons. Ces outils ont, dans les grandes lignes, des fonctionnalités similaires : décrire l’organisation (acteurs, processus, ressources, etc.), y associer un certain nombre de propriétés (notamment les DIMA et PDMA) et les plans à déclencher lorsqu’une ressource ou un processus est touché. Des mécanismes de workflow plus ou moins élaborés sont également disponibles : possibilité de définir des responsables pour chaque document, des dates de revues régulières, voire de lancer automatiquement des campagnes BIA (Bilan d’Impact sur l’Activité).

Si une telle approche et de telles fonctionnalités peuvent paraître séduisantes, elles doivent être considérées avec prudence. En effet, chaque progiciel est construit selon un schéma de pensée (modèle de données, typologie et approche des traitements, hiérarchie des habilitations) qui ne sont pas toujours transposables dans le contexte des organisations. En conséquence, l’usage d’un outil demande soit d’en contourner le fonctionnement optimal, soit de revoir son organisation voire son processus de continuité d’activité. In fine, le recours à un outil doit être envisagé en connaissance de cause, conscient de son potentiel facilitateur sur certains aspects (revue des risques, mesure des impacts, recensement des processus, annuaires), mais aussi des lourdeurs et contraintes qu’il va imposer, notamment dans son usage de référentiel documentaire.

Viser un mode de gestion documentaire simple, déjà ancré dans le fonctionnement de l’organisation

A défaut d’outil PCA, on pourra dans un premier temps s’appuyer  sur une gestion documentaire traditionnelle : dépôt des documents sur un répertoire partagé et sécurisé, triés selon leurs finalités et accessibles quelques soient les conditions rencontrées. Charge alors à l’équipe PCA de piloter la maintenance et la révision des documents en mobilisant les différents contributeurs.

Les organisations plus complexes pourront envisager le recours à un outil de Gestion Électronique de Documents (GED).  Ce type d’outil facilite la gestion documentaire en délivrant une meilleure gestion du contenu (méta-informations), de ses révisions et de son indexation. Il fournit également des fonctionnalités plus fines de partage et de modification des documents. Il propose enfin des possibilités de workflow contribuant aux cycles de validation et de révision des documents.

Attention toutefois à éviter l’écueil de bâtir une GED (Livelink, Sharepoint,…) spécifiquement pour le PCA : on s’appuiera plutôt sur un outil existant, déjà adopté par les utilisateurs. Un tel outil étant consulté régulièrement pour d’autres besoins, il facilitera la mise à jour des documents PCA.

Comment s’assurer de disposer des procédures en cas de crise ?

Au-delà de la mise à jour des documents, l’outillage doit être pensé pour la mise à disposition des documents le jour J. Il faut dès lors s’assurer, quel que soit le mode de gestion choisi, de sa disponibilité en cas de sinistre.

De prime abord, on pourrait penser faire de la solution de gestion documentaire la première application à remonter, à l’aider d’une procédure qu’elle ne doit pas héberger… Tentation à repousser tant cette solution crée un important point de blocage potentiel dans le déroulement du plan de continuité !

Mieux vaut faire bénéficier la solution de gestion documentaire (outil PCA ou GED) des mêmes garanties de disponibilités que les applications les plus critiques, soit en recourant à une solution hébergée (ce qui nécessite de traiter les problématiques de la confidentialité des données et de la dépendance à l’éditeur), soit en tirant partie d’un hébergement sécurisé (bi-site ou datacenters éloignés).

Il y a toutefois fort à parier que l’émergence des offres SaaS par les éditeurs de GED (ex : Sharepoint Online pour Office 365) va certainement modifier en profondeur le mode d’hébergement des bases documentaire PCA (hors outils spécifiques).

Quel que soit l’hébergement, une garantie complémentaire pourra enfin être offerte par la copie régulière sur support amovible, voire l’impression, de l’ensemble des plans (du moins pour les documents qui ne sont pas souvent modifiés).

Un outil pour accompagner un processus rodé

En synthèse, qui dit gestion de documentation PCA et mise à disposition le jour J ne dit pas nécessairement outil PCA : comme d’habitude, il convient de prendre garde à ne pas se laisser guider par l’outil !

Avant d’envisager un outillage plus évolué que le répertoire partagé, il est nécessaire de roder le cycle de vie du PCA et notamment la mise à jour de sa documentation, qu’il sera toujours temps d’industrialiser à l’aide d’un outil. A contrario, le choix précoce d’un outil pourra contraindre toute la mise en œuvre du PCA et obérer les chances de déployer un processus véritablement en ligne avec son organisation.

Cet article Documentation PCA : comment passer d’un corpus bien pensé à un corpus bien géré est apparu en premier sur RiskInsight.

Alignement ou certification : quelle stratégie retenir ?

L’alignement consiste à en adopter les principes fondamentaux et les principales exigences. Il permet à la fois de donner une cohérence globale à la démarche, d’impliquer les acteurs et d’offrir de la visibilité en interne tout en offrant de la souplesse sur le périmètre (identique  celui du PCA de l’organisation ou plus restreint), les processus à mettre en place, et les exigences à intégrer (mener les actions sans s’astreindre à disposer de preuves auditables).

Le piège à éviter est dès lors celui de trop limiter le périmètre et le nombre d’exigences à respecter, et de perdre ainsi de l’intérêt de l’alignement. La souplesse prise dans la mise en place du SMCA doit pouvoir être argumentée, et toujours ramenée aux intérêts et enjeux de l’organisation.

Si la certification laisse toujours la capacité à l’organisation de choisir le périmètre le plus opportun en fonction des enjeux métier et de la maturité de l’organisation, ce choix est néanmoins plus engageant dans la mesure où il implique l’application de l’ensemble de la norme, et ce dans la durée.

Elle présente cependant plusieurs atouts. Le premier étant qu’elle apporte une valorisation vis-à-vis des clients externes pouvant aller jusqu’à constituer un élément différenciant sur le marché.

Le second avantage de la certification est qu’elle constitue une preuve de l’effort engagé par l’organisation dans leur PCA, un effort qui peut être mis en avant vis-à-vis d’autorités ou d’auditeurs. Cet avantage prend tout son sens pour les organisations soumises à des exigences réglementaires.

Enfin, une certification peut également donner un nouveau souffle au PCA, qu’elle redynamise en introduisant une dimension projet supplémentaire

3 étapes pour mettre en œuvre un SMCA (Système de Management de la Continuité d’Activité)

Qu’il s’agisse d’un projet d’alignement ou de certification, un projet de mise en place d’un Système de Management de la Continuité d’Activité se réalise en trois principales étapes :

Évaluer et Cadrer

L’évaluation et le cadrage constituent une première étape clé. L’enjeu principal, outre celui de disposer d’une image réaliste de la situation en termes de PCA, est celui de déterminer le périmètre du SMCA.

Construire les processus et piloter les projets d’alignement

Définir un processus, c’est en déterminer les acteurs, les composants, les activités à mener et comment le faire. Pour exemple, définir le processus de gestion de crise implique d’identifier les critères de déclenchement d’une crise, les acteurs à impliquer, les interactions avec les parties prenantes (autres directions de l’organisation, clients, autorités,…), les messages et outils de communication à utiliser et plus généralement les moyens.

Outre « l’installation » des processus, cette phase est celle de la mise en œuvre des projets identifiés, telle que la mise en place de dispositifs de continuité pour des périmètres jugés critiques lors du BIA et qui ne sont pas « secourus ».

Réaliser un cycle complet « Plan-Do-Check-Act »

Réaliser un cycle complet, c’est installer les processus et s’assurer de leur bon fonctionnement. Ainsi la phase de « check », de vérification, réalisée par un audit interne, permet-elle de vérifier que les processus sont pertinents, que le SMCA est efficace, et le cas échéant mener les actions correctives nécessaires. Point clé de cette étape : la revue de direction. C’est elle qui permet la mobilisation régulière du management sur les sujets de la continuité.

Une fois seulement ces actions réalisées, il est possible d’envisager un audit de certification pour ceux qui auront choisi cette voie…

 3 facteurs clés de succès : mobilisation, pragmatisme et projection dans le futur

Mettre en place un SMCA est donc un projet à part entière dont les clés de la réussite résident dans trois facteurs clés de succès.

• Mobiliser les acteurs, en particulier le Top Management, indispensable pour le lancement même du projet et tout au long de sa mise en œuvre, mais également les acteurs opérationnels qui doivent se sentir responsabilisés, valorisés… Mettre en place un SMCA est fédérateur du moment que la conduite du changement est bien menée.
•  Adopter une démarche pragmatique et partagée … Mieux vaut viser une première étape réaliste se couronnant rapidement par des succès plutôt qu’une démarche trop large.
• Construire pour le futur : l’engagement sur la mise en place d’un SMCA est pluriannuel, la définition de la cible initiale doit prendre en compte cet aspect pour garder, au fil des années, des actions d’évolutions et d’améliorations qui permettent de maintenir la mobilisation.

ISO 22301 : et après ?

La continuité d’activité a gagné en maturité et la parution de la norme apporte un nouveau regard.  Quel usage les organisations peuvent-elles en faire ? Profiter de cette parution pour dresser un bilan sur leurs dispositifs PCA… pourra se poser ensuite la question de l’alignement, voire de la certification lorsque les enjeux de continuité le justifient !

Cet article ISO 22301 : Comment passer de la théorie à la pratique ? est apparu en premier sur RiskInsight.

Pour faire face aux sinistres majeurs, de nombreuses organisations se sont dotées de Plans de Continuité d’Activité. Ils sont aujourd’hui opérationnels et répondent aux besoins métiers. L’enjeu actuel consiste à l’inscrire dans un processus d’amélioration continue tel que prôné par l’ISO 22301, afin d’en conforter le caractère opérationnel.

La documentation PCA, pierre angulaire de tous ces dispositifs, est la première concernée par ce processus d’actualisation.

Il est fréquent de constater que la documentation PCA est particulièrement chronophage dans sa mise à jour et souvent peu opérationnelle. L’écueil le plus fréquent est de ne pas différencier l’information utile en temps de crise de celle « pédagogique », et en conséquence de ne pas organiser les documents en fonction de leur finalité.

Savoir différencier l’information utile en temps de crise de l’information « pédagogique »

Le réflexe premier est de viser l’exhaustivité pour sa base documentaire PCA afin de retrouver l’ensemble des informations relatives au sujet : stratégie, périmètre couvert, solutions mises en œuvre, outils de gestion de crise, responsabilités, etc. On assiste alors souvent au regroupement au sein d’un même document des informations utiles en temps de crise avec d’autres informations.

Ce premier écueil s’accompagne souvent d’un second : la répétition d’une même d’information dans plusieurs documents (n° de téléphone, effectifs de reprise, coordonnées du site de repli, …). Si cette façon de faire permet de disposer de documents PCA autoporteurs et répondant à plusieurs problématiques (auditabilité, valorisation des travaux, etc.), elle conduit souvent à une documentation PCA complexe à maintenir à jour et en conséquence peu viable.

Ne faut-il pas alors en revenir aux fondamentaux : pourquoi produit-on ce document, pour qui et pour quelle situation d’usage (conduite de projet, gestion de crise, sensibilisation,…) ? Le numéro de téléphone du manager d’astreinte pourra ainsi disparaître de la politique générale PCA ou des plaquettes de sensibilisation…

Se focaliser sur la finalité pour réorganiser sa documentation

En premier lieu, le RPCA doit référencer l’ensemble de sa documentation et s’interroger sur ses usages. Classiquement, il rencontrera pour le PCI et le PCO les typologies suivantes : politique et stratégie PCA, documentation de gestion de crise, documentation de maintien en condition opérationnelle, procédure d’activation globale et procédures opérationnelles.

Pour chacune des typologies, le RPCA pourra chercher à identifier la cible du document (management, équipe opérationnelle, auditeur, …) et déterminer l’usage qui en sera fait (piloter le PCA, sensibiliser, réaliser un reporting, accompagner la mise en œuvre d’une action de secours, …).

Pour chacun des documents, deux finalités d’usages principales vont se dégager :

• La consultation en situation « hors crise » : documentation de management du PCA ou documents de sensibilisation / pédagogie autour du PCA

• L’utilisation en situation de crise : procédures d’activation globale et opérationnelles, modalités d’activation du processus, …

Une fois les finalités identifiées, le RPCA pourra alors réorganiser sa documentation en fonction. Finies les 20 pages de définition du PCA en introduction d’un document de gestion de crise ou les 80 pages avant de trouver un numéro de téléphone : place à une documentation resserrée sur son objectif !

La base documentaire PCA doit viser l’opérationnalité avant tout

« Du jour où nous oublions que nous fabriquons des objets qui ont une finalité de service, nous faisons une erreur qui peut être mortelle.» Cette maxime de François Michelin semble aujourd’hui des plus appropriés aux projets de revue documentaire.

Faire évoluer les corpus documentaires PCA consistera ainsi à concevoir des documents opérationnels et utiles à la gestion des risques de continuité. Il restera alors à adresser la question de leur évolution et de l’outillage associé.

À suivre…

Cet article Viser l’efficience de sa documentation PCA ! est apparu en premier sur RiskInsight.

Préparer les dispositions RH applicables en anticipant les changements des conditions de travail en situation de crise

Au-delà du sinistre lui-même et de ses éventuelles conséquences sur les personnes physiques, qui réclament naturellement un accompagnement particulier des Ressources Humaines, la Continuité d’Activité appelle une contribution importante de leur part.

Il est en effet primordial de retenir le postulat suivant : le déclenchement d’un PCA entraîne très souvent des modifications des conditions de travail des collaborateurs de l’organisation sinistrée ; repli sur un lieu différent du site habituel, maintien à domicile de collaborateurs, pic d’activité ou réaffectation de personnels sur des activités, etc. Ces modifications nécessitent d’être anticipées, a minima préparées et idéalement validées par la filière RH.

Plusieurs thématiques, le plus souvent liées au contrat de travail des collaborateurs, sont à traiter. En voici quelques illustrations :

Nouveau lieu d’exercice d’activité pour les collaborateurs

La continuité d’activité peut être assurée au travers d’un dispositif de repli sur un site alternatif plus ou moins éloigné du site nominal, auquel cas les problématiques de lieu de travail (prévues ou non dans le contrat de travail), de transport, de gestion de frais (liés au déplacement, à la restauration et à l’hébergement des collaborateurs mobilisés), d’assurance et d’éloignement vis-à-vis des familles doivent être abordées et arbitrées.

Ex : On pourra envisager, pour les fonctions considérées comme « critiques », l’intégration de clauses spécifiques à la continuité d’activité au sein des fiches de poste ou des contrats de travail concernés.

Solution de travail à distance depuis le domicile

Dans des circonstances exceptionnelles évoquées par l’article 46 de la Loi Poisson cette solution ne relève plus du « télétravail » et de ses conditions d’exercice très encadrées. Néanmoins, le décret d’application associé n’étant jamais paru, les RH sont pertinentes pour adresser les aspects juridiques de cette solution.

Modification du temps de travail

L’exercice d’une activité secourue, parfois en mode dégradé, amène le plus souvent une modification du temps de travail. La prise en compte de ces changements est une attente forte des collaborateurs concernés et doit être anticipée (primes exceptionnelles, paiement des heures supplémentaires, etc.).

Interruption d’activité prolongée

Par construction, le PCA n’assure le maintien que des activités les plus critiques. Dès lors, des activités resteront interrompues de manière plus ou moins prolongées. Les personnels concernés seront de fait sans activité, à moins d’avoir été mobilisés sur d’autres activités. Se posent les questions du maintien de salaire, de l’exploitation des mécanismes de RTT ou de congés payés, du recours au chômage partiel dans des conditions parfaitement définies, etc. Là encore, les RH seront force de proposition sur les dispositions à appliquer et sur les conditions de leur mise en œuvre.

Construire la boite à outils RH du PCA

Une bonne pratique consiste à constituer, pour et avec les acteurs des Ressources Humaines embarqués dans la gestion de crise, une « boîte à outils » regroupant toutes les informations utiles à la mise en œuvre les dispositions RH d’accompagnement du PCA.

Sous la forme de fiches pratiques, de procédures et de modèles types, cette « boîte à outil RH » vise à accroître l’efficacité et la sensibilité des acteurs RH et de leurs suppléants et, plus largement, à renforcer le dispositif de continuité élaboré :

• Procédures de mise à jour des intranets, extranets, numéros verts sous la responsabilité de la filière RH, dans le cadre de la communication de crise
• Procédures d’extraction et des coordonnées personnelles des collaborateurs
• Liste et coordonnées des partenaires sociaux, IRP
• Liste et coordonnées des partenaires externes et conseils RH
• Démarche de mise en place d’une cellule de soutien psychologique
• Courriers, lettres de mission et modèles d’avenants types
• Support type pour les communications auprès des IRP
• Procédures dérogatoires types à communiquer à l’Inspection du Travail ou aux IRP
• Etc.

Impliquer et sensibiliser le management et les instances représentatives du personnel (IRP)

Au regard des impacts potentiels des différentes dispositions RH envisageables, il convient de présenter et d’arbitrer avec le management les modes de réponse à retenir dans le contexte de l’organisation. Par ailleurs, la substance de ces dispositions devra être évoquée aux Instances Représentatives du Personnel (IRP) afin de clarifier les principes RH pressentis en cas de déclenchement du PCA.

Ces présentations constituent pour le Responsable PCA une très belle opportunité de sensibilisation au PCA et à ses enjeux, étant entendu qu’il ne s’agit pas de modifier les conditions de travail mais d’identifier les ajustements provisoires déployés pour contribuer à assurer la survie de l’organisation. L’expérience montre que, même si les collaborateurs font souvent preuve de compréhension et d’empathie lors de sinistres, l’anticipation et la préparation des situations facilitent le traitement de la crise.

In fine, la mobilisation de la filière RH permet d’affiner si nécessaire la stratégie de continuité en l’alignant avec la règlementation et les pratiques RH de l’organisation mais surtout de la légitimer auprès de l’ensemble des collaborateurs. Enfin, cette contribution doit s’inscrire dans la durée, en impliquant la filière RH dans la gouvernance dela Continuitéd’activité.

Cet article Continuité d’activité : n’oubliez pas d’impliquer les ressources humaines ! est apparu en premier sur RiskInsight.

La panne logicielle : un incident complexe à diagnostiquer et à traiter

Les pannes logicielles sont difficiles à diagnostiquer du fait d’interconnexions toujours plus importantes au sein des systèmes d’information, d’une supervision plus complexe et plus « spécifique » que pour les problèmes matériels ainsi que d’impacts plus diversifiés et difficilement prévisibles.

Le PRA se focalise bien souvent sur les pannes matérielles, dont le traitement suit un principe simple : un matériel de secours remplace, de façon plus ou moins automatique, un matériel défaillant.

Ce principe n’est généralement pas applicable pour les pannes logicielles, plus complexes à traiter, à différents niveaux de la chaîne de liaison applicative :

• Données : la réplication fréquemment utilisée pour traiter des pannes matérielles entraîne la propagation rapide de données corrompues vers les infrastructures de secours. Afin de s’en prémunir, des mécanismes de réplication logicielle peuvent être mis en place afin de pouvoir revenir à des états cohérents exempts de données corrompues. En dernier ressort, la restauration de clones ou de sauvegardes (plus longue) peut être utilisée.
• Systèmes applicatifs : développés en interne par l’entreprise ou par des éditeurs tiers, ils visent à répondre à certains besoins métiers précis. Leur déploiement peut ainsi être limité, ce qui réduit les expertises existantes et le nombre de tests conduits lors des changements, pour raisons économiques. Les premiers à migrer en font parfois les frais ! Par ailleurs, le fait de les placer sur des infrastructures de haute-disponibilité de type cluster ne change pas le problème : si le logiciel dysfonctionne, ce sera sur l’ensemble de l’infrastructure, car il n’est souvent pas possible de faire cohabiter plusieurs versions d’un logiciel sur un même cluster.
• Frontaux : ils utilisent souvent des logiciels largement répandus, extrêmement stables, et sont assez peu souvent à l’origine de problèmes logiciels. Des effets de bord sur les systèmes applicatifs peuvent néanmoins apparaître.

Toutefois, l’entreprise n’est pas totalement démunie face à ce type d’incidents, et peut en réduire le nombre en respectant quelques principes évoqués ci-après.

Porter une grande attention à la gestion des changements critiques

Les incidents récents le confirment une nouvelle fois : la majorité des pannes logicielles majeures interviennent lors de changements. Outre les bonnes pratiques généralement évoquées (tester largement et sur des infrastructures proches de la production, préparer le retour arrière sur les aspects techniques et organisationnels, renforcer les équipes et définir des astreintes, …), l’entreprise doit porter une attention particulière aux changements critiques. Elle doit ainsi :

• Identifier ces changements et les partager largement au sein des équipes ;
• Réduire le nombre de changements critiques simultanés (a fortiori s’ils présentent des interdépendances), afin de ne pas accroître les risques et complexifier le diagnostic ;
• Renforcer le contrôle des opérations très sensibles (deux personnes pour une même manipulation par exemple).

Privilégier les architectures asynchrones

Une certaine dichotomie existe pour le traitement des pannes matérielles et logicielles. Si les architectures synchrones sont bien adaptées aux premières, un asynchronisme peut grandement faciliter le traitement des pannes logicielles.

Les architectures asynchrones permettent en effet de ne pas propager immédiatement les erreurs et de revenir plus facilement dans des états cohérents, puis de rejouer les transactions jusqu’à l’instant de la panne. Le découpage du SI qu’elles induisent permet également d’éviter la panne globale des systèmes, en rendant possible l’interruption de certains composants sans impact immédiat pour les autres.

Se mettre en capacité de gérer les erreurs de manière pro-active

L’incident d’Orange l’a montré : les pannes logicielles peuvent se produire de manière progressive, en surchargeant peu à peu le SI.

La mise en place de systèmes de mesure et de supervision, la définition de valeurs de charges et de temps de réponse normatifs et leur comparaison régulière avec l’état actuel des systèmes peut permettre de prévenir les incidents avant que des indisponibilités majeures ne surviennent.

Orange a en ce sens, contrairement à ce qu’évoquent certains observateurs, bien assuré sa gestion de crise. Nombre de ses ingénieurs ont été mis en alerte après les premiers signes de fléchissement du réseau, et la communication qui a accompagné et suivi la panne a été bien maîtrisée.

Utiliser des méthodes de validation formelle ?

Des méthodes reposant sur la preuve formelle permettent d’assurer la sûreté logicielle. Elles nécessitent des expertises pointues et un processus de développement bien plus lourd et long que les méthodes traditionnelles, et restent aujourd’hui confinées aux systèmes embarqués critiques.

Leur utilisation pour d’autres usages pourra être envisagée, mais le compromis entre coûts de développement et couverture de risques s’avèrera difficile à trouver !

Cet article Pannes logicielles : la zone d’ombre du PRA (Plan de Reprise d’Activité) est apparu en premier sur RiskInsight.

« Allo Bernard ? C’est Jacques ! Ton pro est sur répondeur, heureusement Philippe avait ton perso.

Désolé de te réveiller, mais  notre SI est tombé. Apparemment, une mise en production s’est mal passée. Quelle application ? Aucune idée.

Philippe m’a chargé de mobiliser la cellule de crise. Du coup, tu peux regarder la procédure et appeler Simone avant de venir s’il te plait ? Rappelle-moi si tu ne retrouves pas le numéro. J’espère qu’elle sera là, c’est vraiment la galère on est en pleine clôture.

Envoie-moi un SMS pour me dire quand  tu arrives. Au fait, tu sais où on se retrouve ? Non ? À l’Atlantis, salle du conseil. On verra en arrivant comment on prévient les collaborateurs.»

Bien que fictives, ces quelques lignes – qui évoqueront peut-être à certains des souvenirs – mettent en évidence les points clés d’un début efficace de gestion crise et les difficultés afférentes.

En effet, les différents acteurs doivent réussir à se contacter, relayer une information exacte, obtenir de la visibilité sur les disponibilités et, éventuellement, alerter massivement les collaborateurs ; alors même qu’ils sont en situation de stress, pas ou peu préparés, que les procédures et annuaires sont oubliés voire non mis à jour et que les moyens de communication habituels ne sont pas forcément disponibles.

Impossible dès lors de s’assurer que l’alerte a été correctement transmise jusqu’aux derniers maillons et que la mobilisation suffit à adresser la crise rencontrée. Sans parler de la probable difficulté à informer l’ensemble des collaborateurs de l’organisation.

Au vu de ces difficultés, le recours à un outillage spécifique à ces premières phases de crise peut se révéler pertinent.

Industrialiser l’alerte : des outils offrant de nombreuses fonctionnalités couvrant différents aspects de la gestion de crise

On distingue classiquement deux besoins d’alerte distincts lorsqu’une organisation doit faire face à une crise. Le premier est de monter le plus rapidement possible la cellule de crise appropriée à la nature du sinistre. Le second est d’alerter largement ses collaborateurs –  éventuellement organisés en différentes populations – de façon pro active, tout en s’enquérant de leur condition (ce que ne permet pas l’usage d’un numéro vert).

Pour ce faire, il est possible de recourir à ce que les américains appellent un EMNS : Emergency Mass Notification System, ou outil d’alerte et de communication d’urgence, qui vise à éviter les écueils décrits plus haut grâce à différentes fonctionnalités.

En amont, un tel outil permet de définir des schémas d’alerte, listant les personnes à prévenir (sans limitation de nombre), l’éventuelle escalade, les moyens de communication à utiliser (mail, téléphone, serveur vocal interactif, sms voire fax, en distinguant les canaux principaux de ceux à activer en cas d’échec), et enfin la teneur du message, qui peut bien sûr être adaptée le jour J.

En cas d’alerte à déclencher, la personne d’astreinte dispose de différents moyens d’activation. Le principal est un portail internet, mais il est aussi possible de lancer une activation par d’autres médias (téléphone, sms, etc.).

Une fois l’alerte lancée, l’outil permet de suivre la progression du processus : échec ou succès des appels, retours des personnes contactées, etc.

Cette richesse fonctionnelle a pour contrepartie l’exploitabilité de la solution. Les interfaces sont riches et leur maitrise n’est pas immédiate, du moins en ce qui concerne le paramétrage.

La mise en place d’un tel outil peut aussi demander un investissement non négligeable, voire un développement spécifique pour assurer l’interface avec des éléments du SI de l’organisation comme l’annuaire des contacts. Les coûts d’entrée peuvent donc être élevés.

Au quotidien le coût est principalement constitué de l’abonnement, ces outils étant le plus souvent proposés en mode SaaS, notamment pour ne pas les exposer aux mêmes risques que ceux des clients. Les communications sont facturées à l’usage.

Un marché des EMNS loin d’être uniforme à travers le monde

Ces outils se sont principalement développés aux Etats-Unis, sous l’impulsion de réglementations fédérales (NFPA 72 2012 et DoD UFC 04-021-01). En mars dernier, le Gartner a mené une revue des EMNS présents sur le marché américain, qui a recensé plus de 50 fournisseurs ; 13 ont fait l’objet d’une étude détaillée, et 4 ont été positionnés dans le quadrant des leaders : Everbridge, MIR3, SendWordNow et AtHoc .

Pour autant, aucun de ces acteurs majeurs n’est présent en Europe, où l’on trouve généralement un acteur prépondérant par pays : Fact24 en Allemagne, AlarmTilt au Luxembourg, DolphinSystemsSikado en Suisse, etc.

Certains, comme Fact24 et AlarmTilt sont néanmoins présents sur le marché français, mais celui-ci reste atypique. Peu développé, il est en effet essentiellement adressé par des acteurs du telemarketing ou de la relation client qui ont su adapter leurs plates-formes à la transmission d’alertes (par exemple la solution GALA, qui équipe la majorité des préfectures, basée sur l’offre ContactEveryOne d’Orange ou la solution push SMS de Jet Multimedia).

Se positionnent également des acteurs issus de la surveillance et de l’alerte industrielle, avec des outils en mesure de s’interfacer avec différents canaux de communication pour proposer un service équivalent à un EMNS.

Consulter le marché pour trouver l’outil qui saura accompagner une organisation de crise définie au préalable

Avant d’envisager le recours à un EMNS, il est nécessaire d’être au clair sur sa gestion de crise et sur les modalités d’alerte et d’information de ses collaborateurs : acteurs mobilisés, messages délivrés, information avec acquittement de collaborateurs, etc. Comme à chaque fois, l’outil doit venir accompagner un processus en place, et non pas permettre de le définir.

Une fois ce pré-requis atteint,  le recours à EMNS est de nature à accélérer les phases d’alerte et accompagner le dispositif de crise. Ceci est d’autant plus vrai pour les organisations de grande taille, géographiquement réparties ou ayant des modalités d’astreinte complexes.

Reste dès lors à trouver le bon outil, qui saura répondre au besoin, être disponible le jour J, et dont on est sûr que les communications seront transmises, le tout à un coût raisonnable. Pour y parvenir, il faudra se demander quelles sont les fonctionnalités qui serviront à accompagner la gestion de crise, et être en mesure de les distinguer de celles qui constitueront un plus. Puis consulter le marché sur cette base pour trouver l’outil adéquat.

Cet article Alerter en cas de crise : faut-il passer par un EMNS (Emergency Mass Notification System)? est apparu en premier sur RiskInsight.

Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l’AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l’ISO22301 est le nouveau – et seul – standard international en la matière. S’aligner sur ses recommandations, c’est inscrire les Plans de Continuité d’Activités (PCA) dans un véritable cycle de vie et réussir, au-delà de l’avancement des actions relatives à sa construction, son maintien en conditions opérationnelles !

En quoi la norme peut-elle appuyer la pertinence des investissements nécessaires à la mise en place d’un PCA ?

La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international.

Par exemple, l’un des points structurants de la norme est de saisir les besoins de l’organisation par la conduite d’un Bilan d’Impacts sur Activité ou Business Impact Analysis (BIA). Cette étape consiste en l’identification des activités clés, l’analyse de l’impact d’une indisponibilité, et donc la priorisation des efforts à  mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management.

Par ailleurs, l’analyse de risques, telle que requise par le standard, permet de s’interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables ? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées ?  Ces éléments doivent être validés par le management.

Si les BIA ont généralement déjà été effectués dans les organisations,  la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d’aborder les PCA.

Ceux-ci traitent aujourd’hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques ? Un exemple ? Les cyber-attaques doivent-elles être considérées dans le cadre d’un PCA ? Les synergies sont en effet nombreuses : processus de gestion de crise, communication… Mais c’est aussi un risque dont le traitement dépasse la problématique de la continuité.

BIA et analyse de risques sont donc des exercices d’argumentation des coûts qui doivent être vus également comme un axe d’optimisation des investissements ! Mais une fois ces investissements consentis par le Management, l’enjeu est d’en prouver l’efficacité…

En quoi fournit-elle des clés permettant d’inscrire les PCA dans la durée ?

Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d’Activité, le fameux SMCA. Il s’agit d’évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien.

Il s’agit de répondre à la question « les processus sont-ils fonctionnels et sont-ils efficace ? ». La norme est bien explicite sur ce point, l’évaluation de la performance doit porter sur  « la pertinence, l’adéquation, et l’efficacité » des procédures du PCA.

Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d’ailleurs d’ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l’analyse des exercices et des plans de tests, s’aligner à la norme nécessite de s’interroger sur les revues à conduire, d’analyser les incidents et d’évaluer la performance des solutions.

Ainsi la norme motive la mise en place des principes qui permettent d’argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience.

L’investissement déclenché doit-il aller jusqu’à la certification ?

L’alignement peut aisément s’imposer comme une évidence pour tout  responsable des risques ou de continuité d’activité. En effet, il offre ainsi la garantie d’appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité.

L’émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur.

Cet article Continuité d’activité : ISO 22301, une norme faite pour convaincre ? est apparu en premier sur RiskInsight.

Lire la tribune.

Cet article Comment se préparer à une crue exceptionnelle ? est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.

Aujourd’hui, les conséquences d’une crue similaire seraient diverses : arrêt des transports et difficultés de circulations, absentéisme dans les entreprises et les services publics, coupures électriques, eau non potable, etc.

Face à ces impacts variés, l’arrêt d’une grande partie des activités des entreprises est inéluctable. Mais les responsables de la continuité de l’activité des entreprises ne sont pas totalement démunis. Une inondation se déroule en trois temps : montée des eaux, pic de crue, décrue. Cette progressivité permet d’anticiper les impacts et donc les solutions à mettre en place.

Avant la crue et jusqu’à la montée des eaux, scénariser la crise et adopter les mesures de sauvegardes

« Quand on commence avec des certitudes, on termine avec des doutes ». La crue exceptionnelle illustre parfaitement cette maxime de Francis Bacon. Il est certain qu’elle arrivera, sans qu’on sache exactement à quoi nous attendre à ce moment-là.

Pour éclairer les zones d’ombres, de nombreuses études sont toutefois disponibles (études DIREN, PPRI des communes…). Malgré tout, des questions resteront posées. Paris ne présente plus le même visage qu’au début du siècle dernier. L’évolution des sols et sous-sols rend partiellement caduques les cartes de 1910. Les modélisations existantes ne tiennent pas compte de tous les paramètres (remontées d’eau dans les sous-sols notamment), de sorte qu’il n’est pas possible d’anticiper précisément les impacts.

Enfin, et surtout, la crue pourrait être bien plus virulente, comme ce fut le cas à Prague en 2002, invalidant toutes les prévisions basées sur les hauteurs d’eau de 1910.

En tenant compte de tous ces paramètres, et en acceptant de ne pas tout maîtriser, le responsable de la continuité d’activité pourra réaliser son analyse d’impact. Suite à celle-ci, il sera en mesure de lancer immédiatement des actions conservatoires (remontée ou déménagement de ressources clés) et de bâtir un scenario de crise en plusieurs étapes (vigilance, alerte, mobilisation, …) en fonction de la montée des eaux et de la chronologie des évènements associés

Cette scénarisation permettra de définir une procédure « crue » à dérouler lorsque les eaux monteront.

Pour chacune des étapes anticipées lors de la montée des eaux, un ensemble d’actions sera mis en œuvre pour se prémunir au mieux des conséquences sans perturbation de l’entreprise au quotidien : pré-mobilisation de la cellule de crise, remontée d’équipements dans les étages, vérification des dispositifs de secours et de sauvegarde, installations de batardeaux…

Adapter au mieux son PCA pendant le pic et la décrue

En situation de « pic de crue », certainement deux à trois semaines, les impacts sur l’entreprise mais plus globalement sur l’ensemble de la région Ile de France seront extrêmement conséquents. Impossible dès lors de couvrir le risque comme avec un PCA classique.

Le Plan de Continuité d’Activité « crue » devra savoir s’adapter à cette situation exceptionnelle, et ne plus chercher à couvrir toutes les fonctions critiques de l’entreprise mais bien uniquement les fonctions absolument vitales et les organes de crise auxquels devront être dédiés tous les moyens disponibles. Le RPCA doit faire son deuil d’une continuité de l’ensemble des activités, même celles habituellement reprises.

Les solutions classiques des PCA devront également être évaluées au regard des contraintes spécifiques du « pic de crue » : le nomadisme repose sur des infrastructures dont rien ne garantit le bon fonctionnement en situation de crue, le repli doit prendre en compte le lieu d’hébergement des collaborateurs (la Seine et la Marne ne pouvant être franchies)…

La décrue des fleuves peut durer plusieurs semaines (35 jours en 1910), et durera a minima plusieurs mois pour les entreprises touchées : nettoyage des bâtiments, consolidation des fondations, remise en état d’équipements, réapprovisionnements…

Pour autant, les actions à mettre en œuvre au cours de ces étapes ne peuvent être formalisées de façon précise tant que la crue ne s’est pas déroulée. Le RPCA devra plutôt s’attacher à dégager les grands principes qui guideront la reprise progressive des activités durant cette étape : abandon/remise en fonction des bâtiments, activités à reprendre en priorité, pré-contractualisation de stock de reprise, etc.

Se focaliser sur l’essentiel pour faire face à la crue

Il est impossible de prévoir et traiter intégralement une crue exceptionnelle. Toutefois, aborder la problématique en amont permettra de scénariser la crise et de prévoir les actions de limitation de ses conséquences.

Les impacts résiduels seront traités par des solutions PCA « plus classiques », couvrant ce qui ne peut être protégé, mais doit être préservé.

In fine, se préparer à faire face à la crue, c’est initier la prise en compte des chocs extrêmes, sinistres pour lesquels tous les impacts ne peuvent être couverts, rendant la hiérarchisation des activités vitales encore plus essentielle à la continuité.

Cet article Les entreprises face à une crue exceptionnelle est apparu en premier sur RiskInsight.

En effet, la réflexion autour des systèmes de management de la continuité d’activité n’est pas récente : de nombreux guides nationaux sont apparus ces dernières années, notamment dans les pays les plus mûrs sur le sujet de la continuité.

Parmi ce foisonnement de publications, la BS 25999 (publiée en 2007) a pris un rôle de premier ordre. Or l’ISO 22301 partage de nombreux points communs avec cette norme, et notamment les notions relatives aux Systèmes de Management : amélioration continue, implication du management, pilotage par les risques et les enjeux Métiers, etc.

S’inscrire dans une démarche de progression continue

Il s’agit là d’un point-clé : inscrire le Plan de Continuité des Activités (PCA) dans un Système de Management, c’est entre autres réfléchir à sa politique de couverture de risque et aux moyens affectés au PCA, impliquer le management et délimiter un périmètre en s’assurant de son adéquation avec les enjeux Métiers ; et tout cela de façon récurrente, de façon à garantir in fine l’alignement du PCA avec les objectifs de l’organisation.

Le point de départ est donc la réalisation d’une analyse de risques et d’un Bilan d’Impact sur l’Activité (BIA). Si ce dernier point est fortement détaillé dans la BS 25999, allant jusqu’au cadrage des critères d’expression des besoins et assez largement répandu dans la pratique, l’analyse de risques est quant à elle plus rarement revue aujourd’hui. Or les dispositifs de secours ont vocation à couvrir des périmètres et des risques de plus en plus larges… mais surtout en permanente évolution : réaliser ou revoir l’analyse de risques qui supporte le PCA, c’est aussi apporter un regard critique sur son PCA.

Le contrôle, point clé de l’amélioration

Le deuxième point à souligner est celui du contrôle du PCA, afin d’en mesurer la pertinence et l’efficacité opérationnelle. À cet égard, la réalisation régulière de tests et exercices PCA est nécessaire mais pas suffisante, car sauf remise en question très régulière du scénario de test, la pertinence du PCA n’est pas analysée. Par ailleurs, force est de constater que la mobilisation des acteurs peut être difficile à maintenir dans le temps et que les tests peuvent  perdre leur statut de preuve du caractère opérationnel du PCA. En outre, la mise en place d’un processus de contrôle force à s’interroger sur les indicateurs de mesures d’efficacité du PCA, utiles notamment pour le reporting auprès du management, et sur la politique d’audit du PCA.

Sensibiliser pour ne pas oublier l’humain

Enfin, peu déployée mais pourtant d’une nécessité évidente, la sensibilisation des collaborateurs permet d’assurer que le PCA n’est pas qu’un plan « sur le papier », et que son exécution dans la « vraie vie » est crédible. En ciblant le management, elle s’assure de son sponsorship, et peut l’aider dans la prise de décision le moment venu. En touchant les acteurs au quotidien du PCA, elle peut être d’une réelle aide dans le maintien de leur implication. Et surtout, en ciblant les collaborateurs concernés lors du déclenchement des dispositifs, elle permet de renforcer le caractère opérationnel du PCA !

Au-delà de l’aspect médiatique, une évolution naturelle pour un sujet de plus en plus sensible

Le caractère international de l’ISO ne manquera pas de redonner un réel engouement pour le sujet, et lui permettre de s’inscrire dans la lignée de ses glorieux aînés concernant la qualité (ISO9001) et la sécurité de l’information (ISO27001). Un intérêt qui viendra accompagner la maturité croissante des PCA des organisations, qui ont ces dernières années lancé de nombreux projets de mise en place, en réponse aux menaces qui pèsent sur leurs activités et aux exigences de disponibilité de leurs métiers.

Mais le PCA est plus qu’un projet. Le principal enjeu, plus que de le mettre en place, est bien de le maintenir en conditions opérationnelles, et c’est sur ce point que la norme peut apporter : par l’inscription du PCA dans un processus récurrent, dans un cycle de vie calé sur l’évolution de l’organisation.

Sans oublier que cette norme sera certifiante : pour ceux souhaitant aller au-delà d’une simple utilisation de ces bonnes pratiques, la certification permet d’afficher l’existence et l’importance du PCA de manière externe, vis-à-vis de clients, de partenaires, voire d’autorités réglementaires… Autant de bonnes raisons pour adopter cette norme au plus tôt !

Cet article ISO 22301 : un nouvel élan pour la Continuité d’Activité ? est apparu en premier sur RiskInsight.

Si la continuité d’activité fait partie depuis longtemps des préoccupations de bon nombre d’entreprises, elle demeure néanmoins un sujet d’actualité pour 2011. Même sur le volet informatique, souvent le plus mûr, des évolutions sont à prévoir. Quasiment tous les grands comptes disposent aujourd’hui d’un plan de continuité informatique (PCI) performant, bâti à l’initiative des DSI pour répondre à la dépendance croissante des organisations au SI. Mais cela n’est plus suffisant.

Un PCI soumis aux innovations et aux nouvelles menaces

Le PCI se doit de suivre l’évolution rapide de la production informatique, pour en profiter au mieux. Parmi les innovations marquantes figurent la virtualisation et le cloud computing. La première peut faciliter grandement les opérations de bascule et de redémarrage, parfois même « à chaud » et sans interruption de service. Le second, par la révolution qu’il impose au SI, nécessite la révision intégrale du dispositif de secours.

Au-delà, le cloud computing peut également constituer une solution de secours en soi, alternative aux sites de secours classiques. Mais comme pour la production, il induit des risques pour la sécurité des données, et est souvent encore insuffisamment rassurant quant à la capacité réelle de reprise qu’il apporte.

Parallèlement, les exigences envers les PCI évoluent : en effet, de nouvelles menaces apparaissent régulièrement et ne sont pas couvertes par les plans actuels. La plus prégnante aujourd’hui est sans doute le risque de cyber attaque, choc « extrême » à propos duquel la réflexion s’engage à peine.

Faire mûrir le volet opérationnel

La continuité d’activité ne se limite pas à celle de l’informatique : les réflexions sur la continuité des opérations progressent également. Là encore, les chocs extrêmes constituent une limite forte aux plans actuels. La plupart des organisations savent faire face à l’indisponibilité d’un bâtiment, mais restent souvent démunies face à un sinistre de plus grande ampleur, type crue de Seine. Le traitement de cette problématique sera un des enjeux des années à venir.

Les prestations de services externalisées constituent également un sujet d’attention, compte tenu de leur importance majeure pour la plupart des organisations : comment identifier les prestations réellement clés, quelles exigences fixer aux prestataires, et comment s’assurer du respect des engagements ?

Enfin, la capacité à maintenir dans le temps les plans de continuité d’activité (PCA) est une problématique majeure : adapter en permanence le plan aux évolutions rapides des organisations et du SI nécessite une méthodologie rigoureuse pour capter l’évolution des besoins et des solutions, et vérifier en permanence leur adéquation.

Le déploiement progressif d’une norme ISO sur le sujet en serait-il un levier ? Largement issue de la norme BS 25999, elle adapte la notion de système de management aux processus de continuité d’activité. Les responsables PCA devront bientôt choisir entre se contenter de suivre les bonnes pratiques, ou aller jusqu’à l’alignement voire la certification.

Ne pas oublier les fondamentaux

Bien entendu, ces sujets d’actualité ne doivent par occulter les problématiques classiques de la continuité. Du bilan d’impact sur l’activité au maintien en condition opérationnelle en passant par le choix de la stratégie, le PCA doit rester un processus vivant, sous peine de disposer d’un plan inutile le jour J. Le maintien de cet effort dans un contexte budgétaire contraint est capital. Outre qu’il permettra d’assurer la continuité de l’activité au besoin, ce souci constant offre  aux organisations l’opportunité de progresser sur un sujet de plus en plus sensible, la connaissance et la maîtrise de leurs risques. A ce titre, le PCA est bien plus qu’une simple assurance, et doit rester un sujet d’attention majeur pour les années à venir.

Cet article La continuité d’activité : de nouveaux défis pour 2011 est apparu en premier sur RiskInsight.