Gestion de crise,continuité d’activitéet continuité informatique

Frontières et interfaces entre les 3 projetsMardi 9 octobre 2012

Véronique DEMACHY, Directrice MICA, experte en continuité d'activitéCatherine PIEDNOEL, experte en gestion de criseSerge BACCOU, BACCOU BONNEVILLE Consultants, expert en continuité informatique

Un vocabulaire impréciset des amalgames

2

Gestion de Crise

PSI

DRP

Disaster Recovery (DR)

PCAPRA

PGC

PCO

PRAI

IT Service Continuity (ITSC)

BCM

BCP

Repli utilisateur

IMSIncident Management System

P.O.I

PCI

En amont, l’analyse des risques

3

Recensement des

risques

Analyse et mesure

des risques(risk

mapping)

Risque d’indisponibilité à l’environnement

de travail (bâtiments)

Développementdu PCA

Risque X

Risque Y

Dispositifs deTraitement des

Risques X

Dispositifs deTraitement des

Risques Y

Risque Z

Dispositifs deTraitement des

Risques Z

Quels dispositifs pour couvrir quels risques ?

Définition des 3 métiers

5

Plan de continuité informatique

Dispositifs documentés pour assurer que les services

informatiques peuvent être secourus et reprendre lors d’un

incident majeur.

Plan de continuité informatique

Dispositifs documentés pour assurer que les services

informatiques peuvent être secourus et reprendre lors d’un

incident majeur.

Plan de continuité des activités

Dispositif permettant d’assurer la continuité des activités vitales dans un autre lieu à partir d’une stratégie

et de procédures préalablement déterminées

Plan de continuité des activités

Dispositif permettant d’assurer la continuité des activités vitales dans un autre lieu à partir d’une stratégie

et de procédures préalablement déterminées

Dispositif de gestion de crise Définit les modalités d’alerte , d’organisation et de prise de décision des équipes dirigeantes

Vise à optimiser la direction des opérations sur les différents plans : technique, juridique, commercial, RH, communication interne et externe, …

Dispositif de gestion de crise Définit les modalités d’alerte , d’organisation et de prise de décision des équipes dirigeantes

Vise à optimiser la direction des opérations sur les différents plans : technique, juridique, commercial, RH, communication interne et externe, …

Evénement majeur impactantles systèmes informatiques

Evénement privant l’entreprise de son environnement de

travail habituel

Tout événement susceptible d’impacter la sécurité des hommes, des biens, le fonctionnement, ou la réputation de l’entreprise.

Les chefs de projets

6

Projets pilotés par des interlocuteurs souvent différents

et en « mode silo. »

Pilotage : Direction sécurité,qualité, communicationgestion de crise

Gestion de crisePCA

PCIPilotage : Direction Informatique

Pilotage :Risk Manager

Responsable PCA

Métiers

Enjeu :

Créer des ponts entre les 3 démarches pour garantir une bonne coordination des opérations en cas de crise.

Comment s’assurer de l’efficacité des dispositifs ?

1. Le contenu des dispositifs La stratégie, et les procédures du PCA /PCI ont elles été construites à partir

d’entretiens avec les responsables de services? La direction a-t-elle bien validé les stratégies de continuité (activités critiques et délai

maximum d’interruption ? Les procédures sont elles opérationnelles et à jour ? Les acteurs impliqués sont ils nommés ? La procédure d’alerte et de remontée d’information est-elle définie ? Le processus de décision d’activation des PCA/PCI ou cellule de crise est-il clairement

défini ?

2. L’appropriation de la stratégie et des procédures par les acteurs La stratégie et les procédures sont elles testées régulièrement ? Les acteurs au sein de chaque projet sont informés et entraînés Tests et exercices

3. La transversalité des procédures et la gestion des interfaces7

Point-clé n°1 : Mise en cohérence sémantique des PCA et PCILa mise en place des passe par l’identification des processus et outils critiques pour assurer la continuité.

Or, les métiers et l’informatique définissent souvent les outils informatiques (applications, données, communication) à partir d’une terminologie qui leur est propre.

Conséquences : incompréhensions, oublis, doublons et difficultés pour construire des PCI et des PCA représentatifs et exhaustifs .

Les experts PCA et PCI pourront :

Faire un contrôle de cohérence entre les 2 listes d’outils informatique critiques

Construire une table de correspondance entre les 2 terminologies pour s’assurer de la bonne prise en compte des outils critiques dans les PCI et les PCA

Quelles sont les spécificités de la continuité informatique ?

La continuité informatique possède des caractéristiques propres(par rapport au PCA) :

Forte composante technologiqueLe jargon et les problématiques sont spécifiques

Les « sachants » sont les informaticiens de la DSI

Ils doivent faire face à une complexité grandissante, difficile à gérer

Interdépendance fortes des systèmes entre eux, virtualisation, cloud computing, etc.

9

L’application vue par les Métiers

Le système informatiquenécessaire

10

L’efficacité de la gestion de crise repose sur la capacité de l’organisation à : Détecter les signes avant coureurs de tout événement pouvant conduire à une crise, Éviter qu’un incident ne dégénère en crise, Mobiliser rapidement les ressources décisionnelles et opérationnelles lorsque la

crise survient,

Pour les équipes dirigeantes, être informé le plus tôt possible de tout incident susceptible d’escalader conditionne la réussite de la gestion de crise.

Cela permet :

- d’évaluer précisément les enjeux touchés

- de décider du niveau de mobilisation requis (ressources humaines)

- de répartir les missions (coordination équipes opérationnelles et corporate)

- d’anticiper la communication

=> Valider la cohérence de la procédure d’alerte des différents dispositifs

Point-clé n°2 : La procédure d’alerte

11

S’assurer que le PCI intègre les éléments permettant aux experts informatiques d’informer les équipes dirigeantes d’une situation à potentiel de crise :

Quand passe-t-on de l’incident informatique à la crise informatique ? Quels sont les critères à prendre en compte ? Qui alerter ? Dans quels délai ? Par quel moyens ? Quelle lien entre les astreintes techniques et astreintes dirigeantes ?

Point-clé n°2 : La procédure d’alerte

Application pour le PCI :

Lien entre Gestion des incidents et Gestion de crise

Temps

Qualitéde service

Niveaude serviceattendu

Premières alertes(supervision, alerting fonctionnel)

Gestiond’incidents

Escalade et déclenchementde la gestion de crise

Activation du plan

Seuilà déterminer

Point-clé n°3 : test des interfaces entre les 3 projets

L’exercice est la seule preuve que les plans fonctionnent.

En cas de crise, un PCA ou un PCI jamais exercé a de grandes chances de ne pas fonctionner et les opérationnels hésiteront à le déclencher.

L’exercice vise l’entraînement des équipes et permet de détecter des anomalies que l’on va pouvoir corriger.

Tout exercice de plan de continuité comporte des risques mais ne pas faire d’exercice du tout est un risque encore plus grand.

Les exercices des dispositifs opérationnels (PCA, PCI) ne suffisent pas car ils omettent le plus souvent la dimension communication et la pression du corporate en cas de crise.

13

Les exercices

Progressivité des exercices :

Démarrer par des exercices sur table hors production puis en production,

Pour le PCI, commencer par tester le restauration d’une application critique, puis l’ensemble des outils informatiques critiques.

Pour le PCA, commencer par tester la continuité des activités de quelques services, puis de tous les services critiques depuis le(s) site(s) de repli,

Pour le dispositif de crise une présentation de l’organisation intégrant un exercice sur table. Puis des exercices dédiés à la cellule de crise avec un scénario technique se déroulant fictivement, avant l’exercice en vraie grandeur.

Exemple d’exercice intégrant les 3 dispositifs

Un incendie a détruit l’étage du service de …. Les matériels informatiques sont gravement endommagés. Les locaux indisponibles pour plusieurs jours.

Les employés arrivant sur leur lieu de travail, patientent sur le trottoir. L’information diffuse instantanément sur les réseaux sociaux…

L’indisponibilité des locaux nécessite le déplacement des équipes sur le site de repli et le basculement du système informatique.

Les opérations du service sont interrompues durant ce processus. Les clients doivent être informés. ..

Un tel exercice se prépare longtemps à l’avance pour valider : les objectifs assignés : quels processus et quelles activités veut-on

tester ? le périmètre de l’exercice : qui participe ? Quelles équipes techniques,

métiers/cellules de crise seront mobilisées ? ce qui sera testé en réel, ce qui sera simulé le scénario technique et le scénario relationnel

Un niveau de maturité suffisant sur les 3 projets est requis pour un exercice visant à tester PCA, PCI et cellule de crise.

Gestion de crise et continuité des activités : les enjeux de demain

Evolution des techniques facilitant le travail à distance

Evolution dans la nature des sites de repli

Implication plus grande des directions des ressources humaines dans la mise en œuvre des plans de continuité pour cadrer le recours au travail à distance.

Nous contacter

Continuité d’Activité (PCA)Véronique DEMACHY06 80 57 20 01veronique.demachy@mica.frwww.mica.fr

Continuité Informatique (PCI)Serge BACCOU07 77 37 57 24

serge.baccou@baccoubonneville.com www.baccoubonneville.com

Gestion de criseCatherine PIEDNOEL06 16 96 37 60

catherine.piednoel@noos.fr