Le risque pandémique de fin 2009 est loin, mais les questions autour du PCA/PRA restent toujours d'actualité au sein des entreprises. En témoigne une table ronde très intéressante organisée fin mai sur le sujet dans le cadre des rencontres organisées par 01 Informatique. Elle a parfaitement illustrée les mécanismes à mettre en œuvre, les axes de réflexion associés aux deux grandes questions sur le sujet :
Suis bien protégé ?
Comment prendre les bonnes décisions en période de stress ?
En effet, comment mener à bien un projet visant à construire un plan de secours pour l'entreprise. Les solutions techniques sont nombreuses, la virtualisation peut apporter une grande souplesse, mais au-delà de l'aspect technique, quels seront les processus à mettre en œuvre, et quelle sera la place du facteur humain ?
Le facteur humain, voilà la pierre angulaire d'une réflexion PCA/PRA.
A partir de quand un incident devient un sinistre, et quel risque cela représente pour l'entreprise ? Tout démarrage en PCA/PCA a une incidence et des impacts sur le SI, les infrastructures, les utilisateurs. Ces éléments doivent être mis en balance avec le risque encouru : intervient alors la prise de décision lourde de conséquences, décision qui ne peut être qu'humaine.
Les grands axes pour mener à bien ce type de projet :
- les études seront menées par une équipe pluridisciplinaire et transverse.
- la mise en place d'un PCA/PRA sera faite par « temps calme » afin de bien qualifier les besoins, les risques et les contre mesures à mettre en place
- le plan ne doit pas être seulement la réponse à un sinistre particulier, mais s'insérer dans une approche globale.
- Il faut déterminer les services essentiels au fonctionnement de l'entreprise à travers une réflexion sur les métiers et processus
- la réponse aux sinistres éventuels doit être progressive : ce qui est critique de maintenir/redémarrer à quelques heures, quelques jours, quelques semaines...
- les plans de secours/reprise prendront en compte les infrastructures centrales (PCA/PRA du SI), mais également les points de replis : les points de connexions et les postes clients (PCA utilisateur)
- la composante géographique est importante :
- pour une entreprise worldwide : comment un passage en PRA sur une zone Europe va-t-elle impacter la zone Asie
- pour une entreprise locale, comment un sinistre sur un site nécessitant un plan de reprise va-t-il impacter des autres antennes distantes.
- qualifier les coûts associés au montage de l'infrastructure, à l'activation du plan, au retour à la normale
- mettre en œuvre la communication avant, (surtout) pendant et après un sinistre
- définir et prévoir le retour à la normale
Une des phases principales sera la qualification des processus
- mettre en œuvre régulièrement des simulations qui permettront d'acquérir les bons réflexes en période à risque
- tester les infrastructures et leurs activations
- tester le workflow organisationnel
- tester l'humain dans sa démarche
- d'analyse
- de qualification d'évènements (incident ou sinistre ?)
- de prise de décision
En résumé, la démarche PCA/PRA est une bonne opportunité pour connaître les réelles activités et ressources techniques et humaines d'une entreprise. En dehors des contraintes purement légales, l'efficacité du plan de reprise traduira fortement la dynamique d'une société, son degré d'autocritique, et sa faculté d'adaptabilité à l'imprévu.
Patrice Boukobza