Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Le BIA n'est pas la lettre au Père Noël !

Prenons la réalité pour nos désirs !


Souvent dans nos missions on nous demande d'émettre un avis sur des tableaux que l'on nous présente comme étant le résultat d'une étude d'impact sur les métiers : le BIA.

Or, il arrive que le contenu de ces tableaux -même s'il est techniquement rigoureux- soit en partie irréel...car déconnecté de la vision du métier en situation de sinistre.

C'est donc un véritable "BIA -lettre au Père Noël" que l'on obtient. Commentaires...



droits DR
droits DR

Une étude menée en chambre sur un modèle

La plupart du temps, ces situations apparaissent lorsque des experts en modèles de processus ont rempli des tableaux sans trop en référer aux opérationnels.

Rappelons-le, dans un BIA il faut évaluer entre autre un DMIA : 'Délai Maximum d'Interruption Admissible' pour chaque activité. La bonne pratique veut que l'on se concentre - bien évidemment- sur les DMIA les plus courts et donc les plus exigeants.

Or, le junior réfléchissant en chambre sur le modèle de processus va émettre des avis 'au mieux' avec sa vision. On pourra voir ainsi des listes comprenant des activités comme :
  • gérer le personnel : 4 heures
  • assurer la qualité : 4 heures
  • mener les entretiens d'embauche : 1 jour

On voit clairement dans ces exemples la difficulté de raisonner hors contexte opérationnel !

La zone est inondée : venez-vous vraiment au bureau ?

Question fondamentale, que nous posons souvent en entretien de BIA lorsque nous sentons que la personne rencontrée met la barre trop haut !

Il faut se mettre en situation de sinistre. Il faut imaginer ce qui provoquera la crise qui déclenchera le Plan de Continuité : "tout est inondé, je n'ai même pas pu venir au travail...dois-je exiger d'assurer la qualité dans les quatre heures ? Non, cela attendra bien une semaine...quant aux entretiens d'embauche, on pourra les replanifier !"

Savoir si l'on est confronté à une inondation ou à une coupure de courant longue par exemple est important pour déterminer ce que l'on va exiger en tant qu'opérationnel. Dans un cas on restera chez soi et on s'organisera ; dans l'autre on peut exiger de faire un peu de prévention et d'acquérir un générateur.

Il apparaît clairement sur ces exemples que l'analyse de BIA et l'analyse des risques de sinistre ne sont pas indépendantes dans une approche de la Continuité d'Activité.

Il est important aussi de se détacher des approches de type ITIL avec des SLA (ou conventions de service) qui fort heureusement sont prévues pour les situations normales et excluent souvent expressément les sinistres ou cas de force majeure.

La description du processus est-elle valable après sinistre ?

Autre phénomène intéressant : le responsable métier va assez souvent demander une refonte de ses activités par rapport au modèle, lorsqu'il se place en situation de sinistre.

En effet, il faut trier le plus important et cela peut exiger de quitter le modèle, surtout s'il est trop abstrait.

Exemple : "recevoir les appels téléphoniques" va devoir être redécoupé, car en situation de sinistre il faut donner l'absolue priorité aux "appels de demande de prise en charge des hôpitaux" (exemple réel).

Dans ces cas là, nous préférons toujours la formulation des processus faite par les responsables métiers qui ont intégré le fait qu'ils sont en situation de sinistre et que cela change les choses.

La démarche de BIA doit donc prendre des libertés avec les modèles conçus pour une situation courante.

Des activités apparaissent qui ne sont pas dans le modèle.

Prenons encore un exemple : un centre de formation organise des cours. Le processus "donner un cours" est crédité d'un délai DMIA de 4 heures par notre junior en chambre sur modèle.

Le responsable rencontré demande, lui, que l'on arrête les cours et va ajouter un processus "évacuation des locaux" à faire de toute urgence suite au sinistre.

Ainsi la démarche de BIA fait apparaître des actions de crise à mener immédiatement après sinistre. Ces actions sont à collecter spécifiquement bien évidemment. Elles ne sont pas des activités courantes, mais "de crise".

Il en va de même des modes dégradés ou du service minimum acceptable (ex : on fonctionne sur du papier, sans informatique) et autres dispositif permettant de continuer à minima suite à sinistre et qui doivent avoir droit de cité dans un BIA.

Que peut-on demander au Père Noël ?

On peut lui demander d'offrir un peu plus de réalisme dans les approches de PCA chez ceux qui les mènent :

  • de laisser les vrais opérationnels faire leur découpage de tâches comme ils l'entendent
  • de bien penser à rappeler la réalité du sinistre ("inondation" et non "perte de site")
  • de se concentrer sur ce qui est critique, sans aller tout analyser...tout en notant ce que l'on écarte

On évitera alors les BIA excessifs qui durent douze mois et décrédibilisent la démarche...




Emmanuel Besluau
Vendredi 16 Septembre 2016

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter