Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Comment sommes-nous préparés au sinistre ?


"Toutes les tuiles du toit ont été posées par beau temps" dit le proverbe. Lorsque le sinistre arrive il est trop tard pour se préparer.

Dans nos entreprises, il est bon -hors sinistre- de se poser quelques questions pour s'organiser. Voici un inventaire, qui est un extrait de ce que nous abordons dans nos formations et étudions dans nos missions d'accompagnement.



Comment sommes-nous préparés au sinistre ?
Bien sûr il est important de connaître ses risques et d'en atténuer les effets par de la prévention ou de la redondance par exemple.


Bien sûr aussi il faut connaître les activités critiques prioritaires de l'entreprise et savoir ce qui nécessitera reprise.


Cela ayant été vu, n'oublions pas qu'il faudra faire face au sinistre (prévu ou pas...) et que pour cela, il faut aussi avoir couvert un certain nombre de points.


Voici quelques questions sur notre préparation au sinistre.

Comment gérerions nous la crise ?

Qu'on l'appelle "gestion de crise" ou "Plan de crise", il est nécessaire en cas de sinistre, de mettre en place un dispositif approprié et efficace de prise de décision et de représentation de l'entreprise face aux autorités.

Listons ci-dessous quelques questions à voir.

Sur la cellule de crise :
  • qui fait partie de la cellule de crise chez nous ? sur tel ou tel site ?
  • comment cette cellule se constitue-t-elle en cas de sinistre ? est-ce déjà au point ?
  • qui est le back-up de qui ?
  • les délégations de pouvoirs (signatures) sont-elles appropriées ?
  • comment communique-t-on avec les autorités (Maire et Préfet) ?
  • savons-nous quoi leur dire ? quoi leur demander ?

Mais aussi sur son activation :
  • comment la cellule de crise se réunit-elle ? et où ?
  • les moyens pour avertir ? et si cela ne marche pas ?
  • avons-nous une salle de gestion de crise ? comment est-elle équipée ?
  • qui sait où elle est ?
  • comment l'active-t-on ?
  • avons-nous testé l'activation de la cellule de crise ?

et la communication nécessaire :
  • comment est faite la communication ? entrante ? sortante ?
  • qui est responsable de communiquer avec qui, et pour dire quoi ? et comment ?
  • quelle structure de communiqué a-t-on ?
  • savons-nous faire face à une panne de la téléphonie (sur IP par exemple) ?
  • qui porte la relation avec les médias dans les cas de sinistre ?

Normalement si la démarche PCA est correcte, ces questions doivent avoir déjà trouvé des réponses. En effet, ces points sont à aborder lors de la construction du PCA.

Quelles missions et responsables en cas de sinistre ?

Il est très important d'avoir défini -avant tout sinistre- qui est responsable de quoi (au moins à minima) en cas de survenance de sinistre, voici une liste indicative de points à prévoir.

Pour l'organisation de la réponse au sinistre :
  • quels groupes d'intervention avons-nous préparés ?
  • la cellule de crise ? et quoi d'autre ?
  • avons-nous prévu des représentants des métiers critiques ?
  • avons-nous des acteurs des moyens (généraux, IT, logistique, etc.) prévus pour réagir au sinistre ?
  • savons-nous joindre les spécialistes techniques ? chez nous ? ailleurs ?

Pour la reprise des divers moyens critiques :
  • comment se procurer les moyens prévus ? (ex : pompes, camionnettes, etc.)
  • qui s'occupera de protéger les moyens vitaux ? de sortir les sauvegardes,...
  • qui interviendra sur le site sinistré pour évaluer les dégâts ? avec quels moyens ?
  • quel reporting ou check-list est prévu pour évaluer ?
  • qui active les moyens de secours (bureaux, IT, autre) ?
  • et d'abord, ont-ils été définis ?

Mais aussi l'ordonnancement de tout cela :
  • qui prépare quoi sur le ou les sites de secours ?
  • qui sait ce qu'il faut faire en premier ? puis après ?
  • qui suit tout ce qui se passe ? la cellule de crise normalement ? mais comment ?
  • qui veille aux données confidentielles ? et d'abord : où sont-elles ?

En résumé, il est fondamental d'avoir défini les missions et les responsabilités en cas de survenance de sinistre et de pouvoir les affecter efficacement en fonction du sinistre lorsqu'il est là.

Tout ceci doit avoir été réfléchi avant ! Il est bien évidemment impossible de tout prévoir, mais ne rien préparer est très risqué...surtout pour une entreprise qui veille à son image et ne souhaite pas être taxée d'irresponsable !

A quoi ressemble notre PRA ?

Il existe un grand nombre d'actions à ordonnancer suite à suspicion de sinistre...on peut laisser cela ouvert à l'improvisation...mais on peut aussi structurer les déroulements pour gagner en efficacité.

Quelques points concernant le planning :
  • avons-nous défini un planning général, tout au moins un squelette ?
  • disposons-nous d'une liste de tâches structurée ? de check-lists ?
  • avons-nous des éléments dimensionnants ? (telle action prendra trois heures,...)

Sans oublier les éléments dont on aura besoin :
  • avons-nous accès aux bonnes compétences ? aux listes de contacts ?
  • savons-nous accéder aux -bonnes- procédures ?
  • connaissons-nous les contrats de secours ? qui les a ?

et puis aussi le suivi , l'intendance et le nécessaire réglementaire ou contractuel...
  • pouvons-nous suivre l'exécution des tâches ? ce qui est dans les temps ou hors délai ?
  • avons nous pensé aux assurances ? à la préservation de preuves ?
  • quid du respect du droit du travail ? droit de retrait ou de réquisition : sait-on gérer ?
  • et les contrats avec les clients ? ne spécifient-ils pas une alerte diligente ?
  • etc.

C'est tout ces éléments et d'autres qui doivent être l'objet de préparation.

Une fois préparés, il faudra les tenir à jour, mais c'est une autre préoccupation -très importante- à assumer.

Apporter progressivement des réponses à ces points permettra de faire progresser concrètement et efficacement la démarche de PCA dans l'entreprise.

Sans ces éléments en effet, le PCA reste théorique ou abstrait.
Emmanuel Besluau
Jeudi 20 Juin 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter