Quel que soit le secteur, le temps où l’activité d’une entreprise pouvait se poursuivre malgré un problème informatique majeur est désormais révolu. Aussi, la pérennisation du Plan de Continuité d’Activité (PCA) revêt un caractère stratégique pour les directions générales face à la montée des risques, qu’ils soient d’origine criminelle, technologique, climatique ou encore terroriste.

Dans le cadre du Plan de Continuité d’Activité, le Plan de Reprise d’Activité (PRA) a pour objectif de poursuivre les activités informatiques avec un temps d’interruption minimum. Les contraintes propres à chaque entreprise sont généralement mesurées avec l’aide de deux indicateurs : le RTO (Recovery Time Objective) qui traduit le temps maximal admissible avant reprise, et le RPO (Recovery Point Objective) qui spécifie la fraicheur minimale des systèmes restaurés.

Reprise sur sinistre, un saut dans l’inconnu

Si la formalisation d’un PRA est une chose plutôt bien maîtrisée par la plupart des entreprises, le déclenchement des activités de reprise peut très souvent relever d’un grand saut dans l’inconnu. Une étude réalisée par le cabinet d’analyse Forrester et le Disaster Recovery Journal en 2017 donne un éclairage intéressant sur le niveau de préparation des entreprises face à une reprise sur sinistre :

  • Seulement 18 % des entreprises interrogées s’estiment parfaitement préparées au déclenchement des processus de reprise ;
  • Plus de 45 % des organisations indiquent qu’elles ne disposent pas d’une coordination centrale des processus de reprise ;
  • Seulement 19 % des entreprises sont en mesure de tester leurs processus de reprise plus d’une fois par an, et près de 21 % ne les testent jamais.

Pourtant, lors de l’occurrence d’un sinistre, c’est bien le temps de réaction de l’organisation, le fameux RTO, qui va déterminer le niveau de l’impact sur les activités métier. Temps de détection des problèmes, temps de prise de décision, temps d’exécution des procédures de reprise, temps de contrôle des systèmes après reprise…, la durée cumulée de toutes ces opérations doit être inférieure au RTO qui a été défini dans le cadre du PRA.

On comprend très bien que la condition du succès d’une reprise sur sinistre repose principalement sur la capacité à dérouler rapidement et sans erreur les différentes étapes formalisées dans le PRA. Il faudra ainsi contrevenir à tout risque de ralentissement ou de blocage des processus de reprise.

Les 3 défis du Recouvrement d’Activité

  • Les hommes

On sait que le propre d’un sinistre, c’est qu’il se produit toujours au moment où on ne l’attend pas. Il faut donc rester prudent, et surtout très réaliste, quant à ses capacités de réunir les bonnes compétences, au bon endroit, au bon moment. Catastrophe naturelle ou épidémie de grippe, l’expérience a montré que les systèmes d’astreinte les plus élaborés peuvent être pris en défaut. Lors d’incendies ou d’inondations majeures notamment, une partie significative des équipes impliquées dans l’exécution du PRA peuvent en effet être concernées par des évacuations obligatoires. Ces défections imprévisibles par nature sont susceptibles de ralentir les processus de reprise, faute d’avoir sous la main le spécialiste indispensable à une opération ou tout simplement le détenteur d’un mot de passe.

  • Les changements

Le meilleur ennemi du PRA, c’est probablement le changement. Ou du moins, les changements qui sont apportés aux infrastructures et applications postérieurement à l’établissement du PRA. Si le plan n’est pas mis à jour régulièrement, des inconsistances critiques peuvent apparaître dans les procédures de reprise, et mettre en échec le redémarrage des activités. La difficulté principale va donc reposer sur la centralisation de ces changements dans le but de mettre à jour les procédures du PRA. C’est une problématique qui dépasse souvent les limites d’une gouvernance classique basée sur une CMDB, puisque l’on traite de procédures opérationnelles très granulaires, comme des scripts de nettoyage ou de redémarrage. Le plus souvent dispersées dans l’ensemble du système d’information, ces procédures sont fréquemment mal référencées.

  • Les priorités

Il est nécessaire de focaliser ses ressources sur ce qui est réellement important. Cela parait être une évidence car toutes les activités de l’entreprise n’ont pas la même valeur, pas la même criticité. Pourtant les systèmes sont aujourd’hui de plus en plus complexes, interconnectés et dépendent les uns des autres comme cela n'avait jamais été envisagé auparavant. Il est donc difficile de piloter efficacement les équipes techniques dans la période de stress intense que constitue une reprise d’activité. C’est une phase qui nécessite une parfaite visibilité sur l’ordonnancement et l’avancement des opérations pour permettre de faire des choix judicieux, mais aussi d’informer en continu les équipes de management.

L’automatisation du Plan de Recouvrement d’Activité

Une étude réalisée par Gartner en 2017 sur le recouvrement d’activité indique que près de trois quarts des entreprises n’ont pas encore automatisé les procédures de reprise impliquées dans le PRA. Ce sont donc des entreprises qui dépendent presque entièrement du facteur humain pour redémarrer leurs activités. Pourtant, l’automatisation reste une solution de choix pour pallier à l’indisponibilité des équipes, centraliser les changements et gérer efficacement la priorisation des redémarrages en fonction des dépendances entre systèmes, quelle que soit leur complexité. L’automatisation des processus permet en outre de soulager les différents intervenants des tâches manuelles et répétitives, offrant de meilleures perspectives pour tester régulièrement les procédures de reprise.

Face à la multiplication des risques en tous genres, les organisations informatiques doivent à l’instar du phénix veiller à assurer leur résilience. Si le PRA formalise les moyens et les objectifs, il ne faut pas néanmoins sous-estimer la difficulté des aspects opérationnels dans un moment de grande tension. Comme souvent, l’automatisation y trouve toute sa place.

Source : Yann Guernion, Product Marketing Director d’Automic