Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Comment perdre du temps dans une démarche PCA


Nous sommes quelquefois appelés "parce que la mise en place du PCA n'avance pas".

Nous rencontrons alors les divers intervenants et constatons une situation qui provoque des allongements de délais au-delà de ce que les responsables envisageaient pour la mise en place de PCA.

Il est possible d'y détecter des caractéristiques communes qui peuvent expliquer -au moins en partie- ces retards.

Petit florilège.



droits E.Besluau
droits E.Besluau

Le BIA hyper-détaillé

Premier constat fréquent, le processus d'analyse d'impact (BIA en anglais) entre dans un niveau de détail très fin et consommateur (en temps et jxh de prestations).

Tous les processus et sous-processus et activités de l'entreprise sont analysés. Qu'ils soient tournés vers le client ou vers l'interne, qu'ils soient opérationnels, en support ou de niveau stratégique, tous les processus sont analysés de la même manière.

Or il faut raison garder !

La question à laquelle le BIA doit répondre est ; "quelles sont les activités qui doivent continuer et/ou reprendre vite en cas de sinistre ? et dans quels délais et avec quels moyens ?". Un premier tri rapide se fait en discutant avec les responsables.

Il faut très vite se concentrer sur deux catégories d'activités :
  • les activités qui fournissent un bien ou un service au marché ou aux clients
  • les activités internes vitales

Les activités candidates sont assez vite sélectionnées (env. 15 à 25% du total ?) et c'est sur elles que l'on va approfondir la démarche.

Ce tri ou ce zoom doit se faire avec des responsables plutôt d'assez haut niveau ; leur responsabilité joue dans les choix ainsi faits. L'idée est de se focaliser sur ce qui est important.

Les analyses de risques non ciblées

Un peu moins courante que la précédente, cette manière de faire peut retarder la démarche générale.

Pour la démarche de continuité d'activité, on doit se focaliser sur les risques d'interruption d'activité qui représentent un sous-ensemble des risques auxquels l'entreprise est exposée.

Il ne s'agit pas de revoir l'ensemble des risques (type EBios par exemple d'avantage ciblé sur la sécurité) ni d'étudier des risques de type financier, marché, taux de change etc.

Une liste de risques couramment admise en analyse pré PCA fera l'affaire. L'essentiel est d'arriver à une liste de scénarios qui nécessitent traitement. Il en sortira un plan d'action pour améliorer la résilience de l'entreprise.

On pourra toujours repasser avec une liste plus fine ultérieurement, le principal est de connaître et traiter les risques les plus handicapants.


La prise de décision vacante

C'est le point central du dispositif d'élaboration de PCA en entreprise. Certains points demandent une décision et ne coulent pas de source comme certains peuvent le croire.

Par exemple :

  • suite au BIA quelles activités prioritaires retient-on ?
  • le plan d'action de traitement des risques : qui le finance ? qui le mène ?
  • dans telle équipe en cas de sinistre, combien garde-t-on de personnes au travail ?
  • tel serveur doit il être secouru ou mieux, mis en cluster actif-actif ?
  • faut-il prévoir des postes de travail de repli chez un prestataire ou organiser le travail à distance occasionnel ?
  • que dire aux salariés qui rentreront chez eux suite à tel sinistre ?
  • comment communiquera-t-on ?

La liste est longue et si aucun dispositif n'a été mis en place pour décider, cela peut durer longtemps, car cela ne concerne souvent personne en direct.

Ce dispositif de comité décideur ou Codir est à envisager très tôt avec un sponsor dans la Direction Générale.

Rien n'est automatiquement dicté par l'analyse, il faut choisir.


La documentation envahissante

C'est aussi un travers que nous rencontrons : la procédure obèse.

L'essentiel, la partie utile du "qui fait quoi, comment et quand" est noyé dans une multitude de pages qui enfilent des perles sur des détails et des réflexions diversement appropriées.

Non seulement cette manière de faire est très coûteuse en temps, mais elle donne l'impression que l'objectif est de créer une documentation sur étagère, alors que le but est de redémarrer assez vite après sinistre !

Il faut donc au moins opérer une distinction entre :

  • la documentation de préparation (BIA, risque, stratégie) qui est de type rapport d'étude,
  • et la documentation opérationnelle de réponse aux sinistres qui est de type check-list et pense-bête opérationnel.

Là encore, il faut aller à l'essentiel. Et savoir qu'il faudra le tenir à jour...


Moralité : se souvenir des fondamentaux

Avoir une démarche efficace de Continuité d'Activité, c'est avant tout :

  • Connaître l'entreprise et savoir quelles activités il faudra redémarrer en premier puis en deuxième, etc.

  • Améliorer la résilience de l'entreprise en se couvrant face aux risques de pertes ou interruptions les plus vraisemblables.

  • Améliorer la réactivité sur sinistre en préparant une réponse adaptée.

  • Documenter cela de manière pragmatique puis tester et sensibiliser.

Avec un Comité décisionnaire de bon niveau et réactif, qui se réunit régulièrement.
Emmanuel Besluau
Jeudi 10 Décembre 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter