Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


N'attendez pas la tempête pour revoir vos PRA !


Qu'ils s'appellent PRA ou Plan de Secours ou tout autre nom, ils sont nombreux en entreprise, encore faut-il les identifier...car ils sont souvent dispersés et incomplets. Puis, il convient d'y jeter un oeil raisonnablement critique : sont-ils encore utiles à quelque chose ?

Les constats réalisés permettrons d'améliorer tant des solutions techniques que les attributions de responsabilités.



N'attendez pas la tempête pour revoir vos PRA !

Recenser les plans existants

A l'approche du cyclone Earl, des responsables de production informatique américains cherchent à mettre la main sur leurs Plans de secours et à les remettre à jour en quatrième vitesse...

Ce cas extrême et désespéré nous montre qu'il est intéressant, même quand tout va bien, d'avoir à disposition les divers PRA ou PSI en vigueur. Il faut donc rechercher ce qui y ressemble de près ou de loin.

Cela peut sembler curieux à certains, mais ce travail d'identification ne va pas toujours de soi. En effet, l'appellation PRA n'a pas toujours été accolée aux divers travaux faits pour assurer une reprise en cas d'arrêt.

Souvent, des procédures ont été mises en place il y a un certain temps et n'ont pas été maintenues. Certaines ne méritent pas entièrement l'apellation de PRA, d'autres sont des PRA honnêtes pour des matériels qui n'existent plus... Certaines pourraient encore servir, alors que d'autres sont entièrement passées.

Un travail de recensement est donc nécessaire, le mieux est de le confier à un responsable d'exploitation qui mènera des recherches sans a priori. Il pourra par exemple commencer par regarder les diverses sauvegardes car souvent les PRA commencent par cela.

Certains PRA génèrent des coûts récurrents : une ligne de télécommunication est payée, un test chez un prestataire est facturé...mais même là, l'identification peut s'avérer malaisée si l'entité facturée est loin de la production...et la facture réglée par un administratif comme chaque année.

Ce paysage peut sembler révolu et appartenir au passé de la mauvaise gestion...voire.

Comprendre à quoi ils servent théoriquement

A l'origine ces divers Plans ou morceaux de Plan servaient à quelque chose. On peut déterminer trois types de Plans :

Les Plans simples qui servent par exemple :
  • à conserver un vidage ("dump") complet d'un système simple
  • à sortir d'un site des sauvegardes sur bandes considérées comme utiles
  • à préparer un transfert de fichiers vers une autre application
Le problème de ces Plans est qu'ils ne sont qu'un maillon très insuffisant d'un PRA digne de ce nom.

Les Plans plus sophistiqués à visée de reprise, qui permettent par exemple :
  • de reconstruire un environnement système sur un autre site
  • de prendre un point jugé "propre" des données d'une application
  • de basculer des éléments techniques (de type réseau souvent ou SAN) vers des éléments de secours
Ces Plans sont plus élaborés mais restent incomplets la plupart du temps.

Enfin, les Plans les plus riches (et les plus rares) qui permettent de reconstruire des moyens techniques de bon niveau, assortis d'un système et de sous-systèmes à jour et accueillant des sauvegardes de points propres actualisés de données réellement utiles. Le tout connectable aux utilisateurs qui vont bien sur différents sites.

Leur affecter un bénéficiaire métier

Le postulat de base est qu'un Plan qui ne bénéficie à personne dans l'entreprise est une perte d'argent.

Il est donc important de trouver un bénéficiaire (ou plusieurs) à tout Plan digne de ce nom. Il est très souvent nécessaire pour cela d'associer une MOA ou MOE intermédiaire qui portera la connaissance applicative indispensable.

Une fois ce bénéficiaire identifié, il faut mettre en place un cercle vertueux :
  • le bénéficiaire exprime ses exigences en terme de reprise (quel délai d'interruption maximal admissible ? pour quelles activités ? sur quels éléments ?)
  • l'ingénierie MOA-MOE et la production comparent ces exigences avec ce que le Plan permet de réaliser
  • une analyse d'écart et un plan d'amélioration sont alors produits

L'ensemble de ces analyses permet la plupart du temps de détecter des mutualisations intelligentes, d'identifier des Plans utiles à compléter, de voir ce que l'on peut arrêter (ou résilier) tout de suite. Bref de mettre sur pied une stratégie ou pour le moins une tactique.

Systématiser la démarche

Cette démarche salutaire permet de "nettoyer le passé" et d'investir pour l'avenir là où c'est utile pour les métiers.

Lorsqu'elle est pratiquée pour la première fois, elle débouche souvent sur des actions d'améliorations pluri-annuelles qui vont nécessiter des investissements ciblés. En contrepartie, des coûts inutiles vont être supprimés.

Un autre avantage de cette démarche est une meilleure sensibilisation des exploitants à la raison d'être des moyens exploités.

Il est très important de mettre en place en parallèle des actions de test des ou du PRA ainsi constitué. Ces tests n'ont pas besoin d'être trop sophistiqués, il faut prouver la marche en marchant.

Enfin, il est bon de recommencer chaque année cette démarche afin d'éviter le vieillissement prématuré des PRA, et de s'assurer que tous les PRA ont au moins un bénéficiaire.

On mettra donc sur pied une "revue annuelle des PRA" à cette fin à la DSI. Ainsi quand le cyclone approchera, la préparation sera meilleure.
Emmanuel Besluau
Jeudi 2 Septembre 2010

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter