Les PRA (suite): les plans de reprise d’activité crédibles?

Que faire en cas de sinistre ? Les entreprises s’inquiètent des conséquences financières qui pourraient suivrent un sinistre, mais aussi en cas de manque de préparation. Les nouvelles directives de gouvernance viennent appuyer cette préoccupation, mais la seule prise de conscience ne suffit pas !

Pourquoi la majorité des PRA échouent-ils ? L’expérience d’HP, qui dispose de 55 centres de secours dans le monde, dont un en France, à l’Isle d’Abeau, nous éclaire sur les erreurs récurrentes dans la mise en oeuvre d’un PRA. Avec quatre interventions de secours en 2004 pour 80 clients, on pourrait croire que les techniciens d’HP passent leur temps à attendre ! Il n’en est rien, 95% de leur temps est consacré aux tests. Les tests sont essentiels, mais dans 60% des PRA, ils sont périmés, voire non opérationnels. Cette insuffisance de tests est préjudiciable aux services informatiques de l’entreprise, mais aussi à tous ses services, car elle remet en cause la disponibilité et la sécurité des systèmes. Les tests participent aussi à la validation et à la mise à jour de la documentation afférente aux environnements. Cette documentation doit évoluer au rythme de l’activité et des besoins de l’entreprise, mais aussi de ses fournisseurs et clients. Quelle devra être la réaction de l’entreprise si le sinistre intervient dans la chaîne logistique, mais hors de la couverture de son PRA ? Et l’impact d’une défaillance d’un fournisseur augmente à mesure que l’entreprise externalise ses processus métiers ! Autre problématique très concrète des PRA, la protection inappropriée contre les attaques malveillantes. Hack (attaque directe d’un pirate), virus, spywares, rootkits, spam, autant de menaces qui pèsent sur l’entreprise et son PRA, et que les responsables des projets doivent prendre sérieusement en compte. Autre problématique purement matérielle, la trop forte centralisation des opérations. Répliquer les équipements et le stockage à proximité immédiate de la salle informatique de l’entreprise entraîne deux dangers sérieux : les menaces sont généralement locales, et le risque est trop grand d’exploiter un matériel par essence inactif pour d’autres tâches, ce qui en interdira l’usage en secours lors du sinistre ! Ces problèmes soulèvent aussi la question du local où exercer à l’issue du sinistre. Cela semble évident, mais la mise à disposition de bureaux mobiles et de connexions à distance est indispensable pour maintenir l’activité de l’entreprise. Enfin, l’expérience d’HP révèle l’importance de la prise de conscience du rôle essentiel du PRA, assurance sur l’activité de l’entreprise et sur ses revenus. Le PRA doit être perçu comme un bénéfice stratégique pour l’activité de l’entreprise, et non comme une simple fonction de support des équipes informatiques. Le PRA doit s’accompagner de l’intégration du responsable des équipes informatiques avec le conseil d’administration. Il doit être une stratégie intégrée, et faire partie de la culture de l’entreprise, car l’erreur humaine reste la première cause d’interruption de service ! De même, le service informatique de l’entreprise doit se fixer un objectif de performance et de disponibilité, ainsi que de se donner les moyens d’une gestion proactive A partir de ces retours d’expériences, le plan de reprise d’activité peut devenir le véritable outil d’assurance de la continuité des activités et revenus de l’entreprise, ce que l’on est en droit d’attendre d’un PRA !