Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


La continuité d'activité : les pistes de progrès




La continuité d'activité : les pistes de progrès

Un défi organisationnel difficile

Un RPCA ou un manager qui vient de se voir confier des responsabilités de continuité d’activité dans une grande entreprise se trouve souvent face à un défi complexe et difficile.

Le problème majeur ne se situe pas au niveau méthodologique. Des méthodologies détaillées sont disponibles pour préparer des PCA et des PRA, et un corpus de bonnes pratiques se constitue. Les organisations professionnelles - comme le DRI aux Etats-Unis, le BCI en Grande Bretagne ou encore le CCA en France - facilitent le partage du savoir faire et des retours d’expérience.

La difficulté principale n’est pas non plus au niveau informatique. Depuis longtemps les DSI et leurs prestataires prennent en compte les objectifs et les contraintes de continuité d’exploitation informatique. Certes, les architectures techniques modernes (n-tiers, …) rendent la tâche plus difficile qu’auparavant, mais les technologies récentes comme la virtualisation (voire le « cloud computing ») apportent des éléments importants pour mettre en place de nouvelles solutions techniques.

Le vrai défi se situe au niveau de l’organisation. En effet, il s’agit de faire rentrer et de faire vivre dans une organisation un véritable processus de management de la continuité d’activité, avec l’engagement indispensable de tout un ensemble d’acteurs différents, chacun avec ses missions, ses responsabilités et ses points de vue.

La problématique est d’autant plus compliquée qu’on part souvent d’une situation insatisfaisante, qui est le produit d’une histoire dont on ne fait que rarement table rase. En effet, les préoccupations de type « continuité d’activité », sous plusieurs formes, ont connu une fortune diverse en entreprise. Plus au moins superposées à des approches de gestion des risques ou de la sécurité, des situations complexes, coûteuses voire inopérantes ont souvent fini par s’installer.

Dans ce genre de contexte assez courant, on se pose forcément des questions basiques. Par quel bout prendre le problème, et avec quels appuis ? Quelle est la cible prioritaire à viser ? Et quels sont les facteurs clés du succès ?

Dans cette note d’analyse, Duquesne Research propose quelques pistes de réponse, simples et pragmatiques, à ces questions, que nous appelons les pistes de progrès. Avant de ce faire, revenons brièvement sur la genèse de la situation souvent complexe d’aujourd’hui.

La genèse de la situation

Il est possible schématiquement de distinguer trois vagues successives de mise en place d’actions de « continuité d’activité » dans l’entreprise :

• La première vague que l’on peut caractériser par les mots « gestion de crise » : une Direction générale met en place un dispositif minimal pour pouvoir prendre des décisions en cas de coup dur. Cela ne concerne pratiquement pas les opérationnels et reste confidentiel.

• La vague « PRA, plan de secours informatique », etc. arrive ensuite : elle concerne à l’inverse les opérationnels, qui cherchent à pallier une perte ou une destruction. Cette approche est tournée vers les moyens, qui sont assez souvent vus comme monolithiques (un centre, un mainframe, toutes les applications) avec des solutions plus techniques qu’organisationnelles. Des investissements parfois coûteux sont consentis lors de cette deuxième vague.

• Enfin, la vague « Gestion de la Continuité » actuelle commence tout juste son arrivée en France. Souvent initiée par des réglementations, elle apporte comme nouveauté principale une préoccupation portant sur les activités critiques de l’entreprise : il convient de les déterminer et de les rendre plus résilientes. Elle donne un rôle essentiel aux « business owners » ou responsables d’activité métier. La nomination d’un RPCA est souvent la caractéristique de cette vague.

Ces trois vagues sont encore présentes à des degrés divers en entreprise et y ont laissé leurs sédiments plus ou moins épais et superposés. La première vague a laissé le culte du secret et de l’échange des numéros de téléphones privés des dirigeants, la seconde a fait réaliser des investissements technologiques pour la continuité des moyens (mais pour quoi faire en fait ?) et la dernière enfin, replace au centre de la scène ce qui aurait toujours dû y être : les activités critiques.

De plus, à côté de la « continuité d’activité », on a aussi vu progressivement apparaître des approches connexes, ayant une intersection non nulle avec elle. On notera en particulier :

• La démarche sécurité souvent concrétisée par la nomination d’un responsable RSSI qui se focalise en premier lieu sur les systèmes d’information et met en place des outils et procédures. Les approches « sécurité de l’information » englobent souvent une préoccupation « continuité » parmi tous les sujets abordés. Celle-ci passe très souvent à l’arrière plan mais n’en demeure pas moins un paragraphe dans les Plans de sécurité et un point à l’ordre du jour des comités sécurité.

• La démarche « risque » qui fournit une autre occasion d’aborder la continuité d’activité au travers des sinistres qui peuvent arrêter les activités de l’entreprise et dont il faut se prémunir. On notera que la manière d’aborder le risque peut être très différente selon qu’on est une banque (on le provisionne), une industrie (on le réduit ou l’élimine) ou une société de service (on s’assure).

Ainsi l’entreprise peut avoir trois organisations fonctionnelles qui s’intéressent à la continuité d’activité avec des approches différentes mais connexes et juxtaposées. Les intersections entre ces entités s’expriment autant en terme de missions que de responsabilités et posent réellement problème dans l’exécution et –ce qui n’est pas sans importance- dans la motivation des responsables en place ou nouvellement nommés.

Bilan : une situation complexe

  • En termes d’organisation

La situation de départ est donc souvent assez complexe. Elle se caractérise par un nombre important de cellules « continuité d’activité » dans l’entreprise souvent peu coordonnées ou focalisées sur des problèmes locaux et partiels.

On peut relever aussi une imbrication souvent difficile à vivre avec les cellules « sécurité » de l’entreprise ; parfois un RPCA apparait dans la cellule sécurité, ce qui est un moindre mal ; parfois le RPCA est indépendant et peut avoir des recouvrements, voire des conflits avec la cellule sécurité qui s’occupe aussi de continuité...

Dans ce type de contexte organisationnel, la vision d’ensemble n’existe pas et lorsqu’une Direction générale veut enfin nommer une direction fonctionnelle « continuité d’activité », celle-ci a du mal à délimiter ses attributions.

  • Au niveau des informaticiens

Les informaticiens (et plus particulièrement les exploitants) ont leur propre sensibilité au risque et mettent en place des dispositifs variés pour assurer la continuité en fonction de leur propre perception à la fois des risques et des activités de l’entreprise. D’ailleurs, ceci est vrai aussi d’autres populations chargées de gérer les moyens de l’entreprise, par exemple les bureaux ou la logistique.
Il n’est pas rare de voir des investissements coûteux qui présentent deux défauts importants :
• Les solutions choisies permettent de se protéger de sinistres qui n’ont pas été vraiment étudiés. Autrement dit, la protection mise en place ne répond pas exactement à la menace qui n’est pas bien cernée.
• Les activités de l’entreprise qui bénéficient de ces protections ne sont pas forcément celles qui en ont le plus besoin. En effet aucune analyse d’impact ou de criticité des activités n’a été faite.

Telle une « ligne Maginot » dans l’entreprise, cette situation provoque des surinvestissements inutiles et n’assure pas de protection efficace.

  • Les grands oubliés : les métiers

L’entreprise justifie son existence par ses cœurs de métiers, ses activités dites critiques. Dans les approches décrites plus haut, l’entreprise se focalise sur les moyens qu’elle utilise et non sur ses fins.
Or, les nouvelles approches insistent sur les activités d’affaires et sur leurs responsables business owners. Les nouvelles normes (telle la BS25999 britannique) insistent sur le fait que les business owners doivent exprimer leurs exigences en termes de continuité, et que les moyens doivent s’adapter en conséquence.

Dans la situation actuelle, les métiers et leurs responsables ne sont souvent pas à l’origine des actions de continuité décrétées dans l’entreprise. Cela peut conduire à des incohérences où par exemple l’informatique cherche à mettre en place un PRA pour la messagerie alors que les métiers ont conclu un contrat avec un prestataire externe en cas de défaillance de la messagerie interne !

Une méthode simple pour démarrer et avancer

Face à la situation que nous avons décrite plus haut et pour répondre aux questions de base que se pose un RPCA ou un manager nouvellement nommé, nous proposons ici trois pistes de progrès.
D’abord, une méthode simple – et éprouvée - qui permet de démarrer et avancer.

  • Exprimer une volonté venant d’en haut

La Direction générale doit exprimer sa politique en termes de Continuité. Il est de sa responsabilité d’exprimer des orientations fortes, dans une « déclaration de politique de continuité » qui devrait au moins statuer sur les trois aspects suivants :
• Les opérationnels métiers sont ceux qui définissent et décident des contraintes de continuité de leurs activités.
• Un cadre organisationnel doit être mis en place pour lancer un Plan de continuité et le maintenir : le RPCA en fait partie.
• Un référentiel de bonnes pratiques doit être créé, dont on cherchera à se rapprocher.
Doté de ce viatique, le RPCA pourra entamer des actions d’amélioration cyclique vertueuses.

  • Evaluer/corriger

Dans le cadre de la politique définie ci-dessus, le RPCA aura intérêt à considérer que les dispositifs déjà en place ne sont pas mauvais en eux-mêmes, mais qu’ils nécessitent une évaluation par le management opérationnel lui-même.

Doté par exemple de questionnaires simples et bien conçus, il peut faire évaluer l’écart qui existe entre la pratique connue des opérationnels terrains et la cible souhaitée par la Direction générale.

Des plans d’actions d’amélioration peuvent alors être définis, puis faire l’objet d’arbitrage et de décision de financement au sein des comités adaptés.

  • Recommencer

Les approches britanniques et américaines recommandent le cercle à la Deming : PDCA (pour : plan, do, check, act) courant dans les normes de qualité et de sécurité, tout comme en continuité.

Cela consiste à recommencer le point précédant : refaire l’évaluation, redéfinir des écarts et décider à nouveau d’actions d’amélioration. Chaque année ces activités sont donc à planifier et faire réaliser par le RPCA dans le cadre d’un cycle d’amélioration continu.

Le choix d'une cible prioritaire

Notre deuxième piste de progrès est le choix clair d’une cible prioritaire à atteindre.

En effet, la méthode que nous avons proposée s’appuie sur un choix de priorités, autrement dit, d’une cible. La déclaration de politique de continuité doit statuer sur ce point qui est fondamental pour orienter le travail du RPCA ou du manager responsable.

Ici nous évoquons trois possibilités :

  • Les normes ou directives

Dans un environnement international, s’appuyer sur une norme par exemple britannique peut être intéressant. Lorsque la norme est internationale (ISO) c’est encore mieux.

Il est vrai que pour le moment, les normes tournant autour de la continuité d’activité sont assez nombreuses et peu praticables en l’état, car leur approche est souvent mixte (continuité dans la sécurité par exemple).

Un grand groupe pourra trouver utile d’écrire sa propre directive interne, quitte à s’inspirer d’une norme existant dans un pays où il opère. Cette manière de faire donne de bons résultats.

  • Les zones de douleur à supprimer

La cible désignée comme devant être atteinte peut aussi s’exprimer en creux, comme étant la suppression de situations difficiles vécues. Cette approche peut trouver de l’intérêt dans le cas de difficultés vécues par l’entreprise dans ses moyens ou son organisation.

Cette approche est en général temporaire ou locale, pour sortir de situations de crise et positionner l’entreprise dans une situation de meilleure résilience.

  • Ou bien rien au début

Il est aussi possible de ne rien fixer au début, mis à part un cadre minimal pour structurer l’analyse. Ce cadre peut être fourni par un cabinet spécialisé.

Avec ce cadre, l’analyse de l’existant en auto-évaluation peut être réalisée. La politique de l’entreprise peut alors se définir en termes d’axes de progrès par rapport à l’existant constaté.

La cadre en question peut fort bien être compatible avec la structure d’une norme.

Les éléments clés de succès

Troisième piste de progrès : face à la complexité de départ, il est indispensable d’identifier et de garder à l’esprit des éléments clés de succès.

En effet, on voit bien que certains points permettent le succès de la démarche et on note en particulier :

• La clarification des rôles

La clarification des différents rôles (RSSI, risk manager, RPCA) doit être exprimée au plus haut niveau pertinent de l’entreprise.

• La collaboration avec les métiers

Il s’agit notamment de l’exercice réalisé ensemble d’analyse des risques et de détermination des activités critiques. Cette exercice fait jouer aux directions métiers leur vrai rôle et l’organisation y gagne en compréhension d’elle-même.

• La permanence de la tâche

Il faut faire naitre une prise de conscience progressive par tous les acteurs impliqués que la continuité d’activité est une construction permanente.
E Besluau et D Callahan
Mercredi 28 Octobre 2009

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter