Les clefs du PCA/PRA

Nous avions vu précédemment que le facteur humain était au centre de la problématique PCA/PRA (voir l'article). L'épisode "terreur pandémique" de l'année passée a été une source formidable de révélateurs de difficultés et erreurs stratégiques à surmonter. Quelles sont les recommandations pour réussir un PCA/PRA ? 

Essayons ensembles d'en aborder les aspects clefs.

Il y a premièrement souvent confusion entre PRA et PCA.
  • Le Plan de Reprise d'Activité permet en cas de crie majeure ou sinistre, de pouvoir reconstruire ou de basculer sur un système de relève qui fournira les services nécessaires à la survie de l'entreprise. Il est souvent lié à un risque défini de perte de données et durée d'interruption acceptable. Exemple, basculement d'un datacenter  complet sur un site de secours en cas de feu.
  • Le Plan de Continuité d'Activité permet lui de continuer en cas de crise l'activité sans perte de service, ou avec une légère dégradation acceptable. Exemple, pourvoir proposer à des utilisateurs de travailler à distance en cas de grève persistante des transports.

Des objectifs clairs
Une fois le bon mode défini, il est important de cadrer l'objectif précis à atteindre.
Le PCA doit de permettre la réalisation des tâches critiques de l'entreprise, une analyse et bonne connaissance des activités primordiales pour elle sont donc fondamentales. Inutile par exemple de maintenir en activité des applications de formation bureautique si le cœur de métier est la location de véhicules automobiles.
Lors du montage il est nécessaire de garder une vision globale, en établissant des plans à réponse graduée reflétant le niveau de criticité, et non pas l'inquiétude associée. La cartographie des services à fournir et leur éligibilité sont le premier axe stratégique à adopter lors du montage d'un PAC/PRA.
"Il faut à tout prix que nous puissions accéder aux applications x,y,z sinon nous ne pourrons pas continuer les développements"; cela est vrai, mais peut-être n'est ce critique qu'au bout de 15 jours, dans ce cas cette requête n'est pas éligible au PCA mais plutôt au PRA.

La réflexion ne doit pas être seulement technique
Un PCA est un ensemble d'outils, de procédures et mécanismes dont le but est de rendre le service critique utilisable. Vous devez transmettre des données critiques et l'application ou la connexion est inopérante, peut être une copie des données sur un disque dur externe transmis par coursier fera l'affaire.

Coordination et transversalité au cœur du dispositif
La décision de passage en PCA/PRA n'est jamais sans conséquences, et doit être murement réfléchie en regard des risques associées (voir article précédent). Toutefois, sa mise en œuvre est tout aussi difficile. Il faut en effet sortir des processus habituels et activer/mobiliser toute une chaîne d'acteurs qui n'ont peut être pas l'habitude de travailler ensembles ou qui peuvent ne pas percevoir l'importance de leur tâche. Une communication importante et la mise en œuvre de process stricts et clairs avec une visibilité commune de la cible à atteindre doivent être au cœur du plan. 

Identifier les postes clefs
Dans ce plan, certaines personnes ont des postes clefs pour la mise en activation d'un PCA/PRA, il est vital de les identifier, de les responsabiliser, et peut-être de prévoir un renforcement à ces niveaux/ J'ai personnellement vu un test PCA partir en mode panique car dans le mécanisme une personne recevait des coordinateurs une liste d'utilisateurs et devait les habiliter à accéder à la plate-forme de PCA; la veille du test cet individu était malade et personne ne l'avait remplacé dans sa fonction.

Tester la solution et le dispositif
D'où le besoin de tester à la fois les moyens techniques mis en œuvre, mais aussi les process associés. En effet l'activation d'un PCA/PRA se fait généralement en période de crise, et à ce moment, il n'y a que peu de place pour la réflexion, le maître mot étant alors : Action!
Ces simulations de démarrage en PCA/PRA aident à prendre les bonnes décisions, à apprendre à évaluer la criticité, à mettre en place et à connaître tous les rouages de la procédure. Ils rassurent, mettent en confiance les différents acteurs tout comme le "Codir "qui a massivement investi dans la solution.

Actualiser et remettre en question la solution
Attention toutefois, le meilleur des plans de continuité ou de reprise n'est rien sans son actualisation constante. 
Premièrement en données, car pour être opérant votre plan doit être à jour et représentatif de l'activité de l'entreprise (réplication des données, installation des nouvelles applications, déclarations des nouveaux utilisateurs...)
Deuxièmement, il est important de maintenir l'infrastructure mais aussi de challenger la solution. Même si l'infrastructure peut être dormante, il faut mettre à jour les serveurs et OS, renouveler le matériel obsolète. La solution conçue il y a 3 ans est elle toujours la meilleure, couvre-t-telle tous les besoins actuels ?

La mise en place d'un PCA/PRA n'est donc pas aisée, car c'est un effort important demandé à l'entreprise, et ce sur le long terme. Jouant de plus sur les notions de risque, criticité, crise, en bousculant les règles de gestion habituelles, ces chantiers demandent un cadrage et un recul important pour aboutir à des solutions réellement fonctionnelles, opérationnelles et pérennes.
 
Patrice Boukobza

Patrice Boukobza
Aujourd'hui consultant en virtualisation, et cela depuis plus de 12 ans avec une forte expérience des grands comptes, Patrice a commencé l'informatique au siècle dernier, quand internet n'existait pas encore et que les premiers réseaux de PC commençaient à voir le jour. Il a vu l'avènement de ces PC et de Microsoft en entreprise puis chez les particuliers, et a connecté les premiers modems pour surfer sur internet. 
Il garde un souvenir suranné des années "internet" avec le fameux bug de l'an 2000 où il a fait partie des équipes luttant contre cette crise potentielle, comme 10 ans plus tard il fût acteur sur le sujet de la pandémie H1N1.
Habitué des blogs (il en possède 3 personnels), il est un des contributeurs principaux du blog virtualisation d'Orange.