×
×

Dossier

Filtrage de Nouvelles par :

Continuité d’activité

Dossierpar One magazine11/03/2015

Votre entreprise est exposée à toutes sortes de dangers. Il faut donc y faire face. «Au lieu de courir des risques inconsciemment, il faut prendre des risques en connaissance de cause.» Nous vous proposons donc une feuille de route.

Dans le jargon spécialisé, il est souvent question de continuité d’activité (business continuity) pour désigner une réalité très simple: veiller à ce que l’entreprise continue à tourner (aussi bien que possible). Cette considération n’est pas neuve dans le monde des aff aires mais, actuellement, elle fait l’objet d’un intérêt accru. La continuité d’activité couvre les activités eff ectuées quotidiennement pour assurer autant que possible la prestation de service, la constance et la résilience de votre organisation. C’est évidemment plus vite dit que fait. Les étapes suivantes constituent une bonne feuille de route.

1 Privilégiez la prévention des risques
Lorsque Leon Jorissen, IT Manager du grossiste en matériel sanitaire Lambrechts, est arrivé il y a quelques années dans l’entreprise pour restructurer tout son département informatique, il a trouvé le serveur, un AS/400, assorti d’une imprimante à papier perforé dans le fond d’un débarras. La réponse à sa première question concernant la continuité d’activité («Que se passe-t-il si ce local prend feu?») lui a permis de mesurer immédiatement l’ampleur de la prise de conscience qu’il devait engendrer: «Nous sommes assurés!».

Pour commencer, il faut bien comprendre ce qu’est la continuité d’activité. Il s’agit en fait pour une organisation de réaliser qu’il vaut mieux prévenir que guérir. Cela peut sembler évident mais cette petite anecdote montre que cette étape n’est pas superfl ue.

Le grossiste en matériel sanitaire Lambrechts a, depuis, parcouru un long chemin. Jorissen: «Notre système est maintenant entièrement dédoublé avec un serveur au siège et un serveur déporté dans un centre de données (data center) externe, mis à jour en permanence. En cas de défaillance du serveur, nous ne perdons pratiquement rien.» L’investissement total dans la continuité d’activité sur les quatre premières années est de l’ordre de €120.000 à €130.000 en comptant le matériel, les logiciels et les services externes. «Actuellement, tout le monde est parfaitement conscient de ce qui aurait pu se passer si nous n’avions pas fait cet investissement: 54 personnes du département logistique en chômage technique. Le système actuel fait une copie des données dans les deux secondes et, en cas de défaillance, nous pouvons rapidement passer sur un serveur externe.»

Cette histoire illustre deux caractéristiques fondamentales de la continuité d’activité. Premièrement, sans un investissement adéquat dans l’infrastructure (centre de données externe ou système redondant avec sauvegarde, alimentation de secours et climatisation pour un centre de données personnel), il est impossible de mettre un plan de continuité d’activité en oeuvre. Deuxièmement, vous devez être en mesure de poursuivre vos activités en toutes circonstances. Il ne s’agit donc pas seulement de veiller à ce que l’infrastructure continue à tourner. La continuité d’activité implique aussi que vos collaborateurs puissent accéder n’importe où, à partir de n’importe quel terminal, à l’ensemble des applications du bureau (découvrez comment en page 17).

2 Comprenez votre entreprise
Le moyen le plus élémentaire de maintenir la continuité d’activité à un niveau abordable consiste à évaluer correctement votre entreprise, ses activités et ses processus. Une estimation objective de l’importance de chaque activité et processus peut engendrer de sérieuses économies. Si tout est considéré comme critique pour l’entreprise, les investissements dans l’infrastructure nécessaire pour tout maintenir en fonctionnement, même en cas de catastrophe, doivent être à cette mesure.

Quand une entreprise comme Koramic, productrice de matériaux de construction, a examiné ses processus, il s’est avéré que le système de production était crucial alors que les services connexes ne l’étaient pas. Le défi auquel elle était confrontée dans le cadre de la continuité d’activité concernait les fours: ceux-ci devaient absolument continuer à fonctionner.

Lors de l’évaluation des processus et activités critiques pour l’entreprise – qui dans un contexte de continuité d’activité s’appelle généralement l’analyse d’impact opérationnel ou «business impact analysis», BIA – il faut aussi tenir compte d’éléments auxquels on ne songe pas nécessairement: quelle est l’importance de vos collaborateurs pour l’entreprise (bien plus grande pour une entreprise de services que de production), quel impact aurait une défaillance des lignes téléphoniques etc. Les RTO et RPO doivent également être déterminés. Le RTO est un «recovery time objective», le délai de rétablissement souhaitable d’une application ou d’un processus pour que l’impact sur l’entreprise soit minimal (voire nul dans le meilleur des cas). Le RPO est un «recovery point objective». Cet indicateur précise le délai maximum pouvant s’écouler entre le dernier backup et la survenue de la crise.

3 Comprenez les risques
Cette étape est la suite logique de la précédente: si vous savez quels sont les processus et les activités les plus critiques pour l’entreprise, vous savez aussi quels risques pourrait engendrer leur défaillance. «Au lieu de courir des risques inconsciemment, il faut prendre des risques en connaissance de cause», explique Alex Vanzegbroek de Beltug, l’association belge des utilisateurs d’ICT. Cependant, l’exercice exigé par cette étape est moins évident qu’il n’y paraît. Certains processus sont peut-être moins cruciaux pour la survie même de votre entreprise mais doivent néanmoins être protégés davantage pour répondre à des obligations légales. D’autres processus, a priori moins importants, peuvent entraîner la défaillance de processus critiques pour l’entreprise, ce qui accroît subitement les risques qui y sont liés.

Il faut donc aussi bien saisir les différents liens entre les processus de l’entreprise pour évaluer correctement les risques. Les entreprises utilisent souvent une sorte d’échelle des risques: quel serait, selon vous, l’impact du risque en question sur l’activité ou la réputation de l’entreprise, par exemple. Et, bien sûr, quelles sont les chances que ce risque se matérialise. Les entreprises proches de Zaventem, par exemple, doivent davantage tenir compte du fait qu’un avion puisse s’écraser sur leur site que les entreprises de la région namuroise.

4 Etablissez un plan de continuité d’activité
Une fois que tous les risques possibles ont été définis, il reste à déterminer la réponse adéquate pour chaque risque. L’adéquation de la réponse dépend non seulement de l’impact du risque mais aussi de sa probabilité. Pour une entreprise, la probabilité de destruction complète du bâtiment est relativement faible mais, si elle se produit, la crise engendrée est de niveau maximum. La faible probabilité combinée à un impact extrême engendre un risque de niveau moyen. La réponse adéquate ne peut être déterminée qu’après cette évaluation du risque.

Cette procédure permet d’élaborer un plan de continuité d’activité prévoyant un scénario pour tous les risques possibles, pour chaque département et pour chaque processus ou activité. Le plan tient aussi compte des priorités définies par l’analyse d’impact sur l’activité. Il définit également la procédure à suivre en cas d’incident: comment et à qui un incident doit être rapporté, comment il doit être évalué et traité par une équipe de gestion de crise, qui gère la crise, comment les lignes de communication vers le gestionnaire de crise doivent être établies, où les collaborateurs peuvent-ils se rendre en cas d’indisponibilité du bâtiment etc.

Il est intéressant de noter que les priorités peuvent varier en fonction du moment où un incident se produit. Si, par exemple, le logiciel calculant les salaires tombe en panne au début du mois, la priorité de l’incident sera plus faible qu’en fin de mois.

5 Documentez et communiquez le plan
Une fois le plan de continuité d’activité élaboré, il doit être communiqué et les documents nécessaires mis à disposition des membres concernés du personnel. Certaines entreprises disposent par exemple d’un manuel de gestion de crise circulant sous diverses formes: une feuille A3 pour chaque manager qui doit rester à portée de main, une copie du manuel conservée à l’extérieur du site (au cas où le bâtiment serait entièrement dévasté) et des copies du manuel sur un support mural à chaque étage.

6 Testez le plan de continuité
d’activité Quand l’infrastructure est pourvue d’un scénario de reprise acceptable pour tous les risques possibles et les manuels sont répartis sur tout le site, la tâche n’est pas terminée. Vient alors une nouvelle étape cruciale pour le plan de continuité d’activité: le test. Le test est souvent la phase la plus sous-estimée, négligée voire contestée de tout le processus de mise en oeuvre du plan de continuité d’activité. Et pourtant, un test peut fournir des informations extrêmement précieuses et parfois inattendues. «Les tests fournissent des informations intéressantes car il se produit toujours quelque chose d’inattendu», explique Alex Vanzegbroek.

Les tests sont également importants pour vérifi er la faisabilité du plan de continuité d’activité car un tel plan est généralement conçu par une équipe de deux à trois personnes et ne tient donc pas toujours compte de toutes les données pratiques pouvant entraver la mise en oeuvre du plan.

Il peut arriver qu’un rétablissement des ressources ou la récupération des données sauvegardées prenne bien plus de temps que prévu. Il arrive aussi que les tests du matériel ainsi que le basculement sur le système de secours se passent bien alors que les tests des procédures à suivre en cas d’incident échouent.

7 Recommencez tout
A intervalles réguliers et lors de chaque changement important au sein de l’entreprise, une nouvelle analyse d’impact sur l’activité doit être eff ectuée et le plan de continuité d’activité doit être mis à jour en conséquence.

Dans une entreprise comme Ontex qui fabrique des produits d’hygiène personnelle, le comité de pilotage de la continuité d’activité se rassemble à intervalles de plusieurs semaines (voire plus rapidement si la situation l’exige) pour voir si le plan ou l’infrastructure a besoin d’une mise à jour. «Pourtant, nous avons aussi commencé en tant que petite entreprise dans un seul bâtiment à Buggenhout », remarque Patrick Pittoors, manager ICT d’Ontex.

Ontex est un bon exemple pour petites et grandes entreprises. L’importance de la continuité de l’activité y a augmenté progressivement «non seulement suite à la première défaillance mais aussi à la croissance même de l’entreprise», explique Pittoors. «Car les conséquences d’une défaillance deviennent dès lors de plus en plus importantes pour l’entreprise.»

Continuité d’activité de l’entreprise: glossaire

1 Quelle est la différence entre la continuité d’activité (Business Continuity) et la reprise d’activité (Disaster Recovery)?
Alors que la question centrale de la reprise d’activité après sinistre (Disaster Recovery) est de savoir à quelle vitesse l’infrastructure peut redevenir opérationnelle après une catastrophe, la question posée par la continuité d’activité (Business Continuity) est de savoir comment garder l’entreprise opérationnelle en cas de catastrophe.

2 Quelle est la différence entre backup et stockage?
Backup et stockage sont souvent utilisés comme des synonymes alors qu’ils couvrent des réalités diff érentes. Un backup est une copie de secours d’un fi chier, d’un programme, d’un disque dur ou même de tout un système. Vous pouvez faire appel à cette copie de secours quand les données originales ont été corrompues ou perdues. Le stockage est le terme générique pour désigner la conservation des données (originales et des copies de secours) dans une partie de l’infrastructure informatique.

One

One

Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME. 

Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME. 


Partagez votre avis sur cette nouvelle

Vous souhaitez partager votre avis ou commenter cette nouvelle?

Pour commenter veuillez vous loguer sur facebook.