Les coûts liés à l'indisponibilité du système d'information d'une entreprise peuvent être très élevés. La perte des données stratégiques et d'exploitation d'une entreprise se traduit par de lourdes pertes financières. Dans 50% des cas, un sinistre grave (incendie, vol, destruction virale, panne hardware), mène en moins de deux ans les entreprises à la faillite.
L'entreprise doit pouvoir faire face à ces situations en mettant au point un plan de continuité d'activité (PCA).
Quelles en sont les grandes lignes ?
Nommer un chef de projet indépendant de la DSI
Dans l'idéal, le responsable nommé pour prendre la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis de la direction des systèmes d'information (DSI). Il est en effet censé réaliser des préconisations organisationnelles et technologiques avec un statut de consultant. Il peut par exemple être détaché par la direction générale auprès du département de gestion des risques.
Auditer les activités critiques de l'entreprise
En amont de l'élaboration du plan de continuité, il faut lister les activités de l'entreprise sans lesquelles elle ne peut poursuivre ses missions principales. Cette démarche permettra de sensibiliser les responsables de chaque activité tout en faisant le point sur leur niveau d'exigence.
Réaliser un document de synthèse
Ce premier document formalise une classification des activités par niveau d'exigence (ou niveau de criticité), en précisant également les liens existant entre elles pour en assurer le bon fonctionnement.
Valider les niveaux d'exigence
La classification des activités est validée par un comité de pilotage. Un groupe composé du responsable du projet, de représentants de la direction générale et de la DSI, ainsi que de responsables des directions administratives et financières, sans oublier les départements correspondant aux activités jugées critiques.
« La perte des données stratégiques et d'exploitation d'une entreprise se traduit par de lourdes pertes financières. »
Elaborer un cahier des charges
Sur la base du premier document de synthèse, un cahier des charges est réalisé. Pour chaque activité, il passe en revue les éléments nécessaires au plan de reprise, en termes d'infrastructure logicielle et matérielle (nombre de positions de travail, de serveurs, d'accès réseau, etc.), d'applications (outils métier, etc.), mais aussi de ressources humaines (compétences, effectif à mobiliser au moment où intervient le sinistre, etc.). Des niveaux de tolérance sont établis, en termes de temps de reprise (maximum) par application et de pertes de données. Et les interdépendances entre applicatifs sont formalisées.
Formaliser le plan
Il faut décrire clairement les processus à mettre en place sur le site de repli, ainsi que les profils humains et les moyens techniques nécessaires pour les supporter. Afin d'assurer la transition vers la nouvelle organisation, des processus de gestion de crise sont également définis. Il s'agit notamment de détailler la cascade d'alertes à activer lors de l'incident, ainsi que les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'information clients et partenaires qui s'impose. On pourra éventuellement s'appuyer sur un prestataire.
Effectuer des tests et gérer la maintenance
Pour s'assurer de sa validité, il faut soumettre les processus du PCA à une batterie de tests : on cernera ainsi les difficultés techniques et humaines qui pourraient survenir lors de l'activation. Autre condition de réussite : la maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois technique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise.
