Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


PCA: bâtissons des scénarios de sinistre !


L'appréciation des risques permet de déterminer des actions de réduction, mais aussi de se préparer à faire face au sinistre craint.

Pour se préparer à affronter les conséquences du sinistre, il faut le décrire un minimum. Il faut présenter une situation de sinistre "réaliste" et "vraisemblable". Bref, il faut un scénario.



D.R.
D.R.

L'analyse des risques est primordiale mais ne suffit pas

Il est clair pour tous que connaître son exposition aux risques d'interruption est important, puisque justement on cherche à lutter contre l'interruption.

Il faut sur ce sujet avoir des démarches simples et proches du réel :
  • identifier les aléa majeurs qui peuvent vous mettre à l'arrêt en étudiant des listes allant des catastrophes naturelles, à la malveillance humaine en passant par la défaillance technique,
  • analyser en fonction de votre situation, de vos moyens de parade déjà en place, de la manière dont vos biens sont exposés
  • enfin apprécier ces risques sur deux axes : leur impact pour vos activités (insignifiant, faible, moyen, fort ?) et leur vraisemblance d'apparition chez vous (là encore en quatre degrés par exemple).

A la suite de cette appréciation, des décisions sont prises pour (je simplifie exprès) réduire ces risques ou laisser les choses en l'état.

En gros cela se termine sur quelques actions de réduction de risque et sur un "paysage" de risques qui regroupe les événements indésirables qui peuvent nécessiter de votre part la préparation d'un Plan de reprise.

Ces événements indésirables peuvent vous toucher de manière diverses et il est bon d'avoir des scénarios pragmatiques pour au moins deux raisons :

  • que la préparation du PRA donne une réaction efficace.
  • que le scénario corresponde à la réalité la "plus probable".

Étudions ces deux points d'un peu plus près.

Aboutir à des PRA efficaces

Vos PRA (Plan de reprise d'activité) sont des actions prévues à l'avance pour vous sortir de la crise dans laquelle le sinistre risque de vous plonger.

On cite souvent l'exemple du centre informatique qui prévoit, en cas de perte, de redémarrer dans un autre centre assez proche. En y regardant de plus près, on constate que ce centre de secours se situe dans la même zone inondable que le centre à secourir. En cas d'inondation donc aucun secours ne serait possible !

Une bonne connaissance des scénarios de sinistre permet d'éviter ces situations. Il ne suffit pas de dire que l'on craint la perte du site, encore faut-il savoir comment on le perd pour s'assurer que le secours, lui, ne sera pas perdu.

Autre exemple : tel PRA prévoit d'amener une structure mobile (genre pod ou conteneur) près d'un site sinistré. Il a été oublié de préciser le sinistre... s'il s'agit d'inondation, la solution n'est absolument pas viable.

C'est pourquoi nous demandons toujours à nos clients de nous "camper le décor du sinistre" : lorsque vous aurez à déclencher votre PRA, jusqu'où l'eau sera-t-elle montée ? est-ce que la voie d'accès au secours sera praticable ? votre secours sera-t-il alimenté en courant ? etc...

"Camper le décor du sinistre" permet de jouer le PRA dans le décor ! Dire "nous avons perdu le site" ne suffit absolument pas !



Eviter les scénarios invraisemblables

Une autre difficulté apparaît aussi quand on s'arrête à des analyses de risques trop "techniques" et que l'on cumule les risques. Le manque de réalisme menace.

Tel client imaginait à la fois des parades contre la perte de bureau, contre la perte de sa messagerie et contre la perte du SAP central etc. Or, dans son contexte, tout cela ne pouvait pas se produire en même temps. Car ses bureaux étaient à Paris, sa messagerie et bureautique dans un Data Center dans le Nord et son SAP hors des frontières. Imaginer un scénario qui tue à la fois ces trois éléments est assez difficile. Et y faire face en simultané est acrobatique pour pas grand chose.

Sous couvert de "worst case scénario" on imagine alors l'impossible.

Restons réaliste :
  • Si tout (bureaux, bureautique et SAP) est sous le même toit, alors oui, il faut un scénario de perte concomitante
.
  • Si les trois types de biens sont séparés, il faut élaborer des scénarios de perte un à un, moins graves avec des modes dégradés possibles.

La leçon de l'analyse de risque d'ailleurs sera de séparer un peu tous ces éléments (version moderne de l'adage "on ne met pas tous ses œufs dans le même panier"). Ainsi le SAP sera externalisé et la messagerie/bureautique un peu sortie des locaux.

On le voit, au-delà de l'appréciation des risques et de leur traitement, l'élaboration des scénarios de sinistre "en réel" est un passage obligé pour pouvoir derrière élaborer des PRA sensés.


Elaborons quelques scénarios de sinistres

L'analyse des risques dans un contexte de Plan de continuité et les décisions qui s'en suivent mérite que l'on se mette sérieusement "en situation de sinistre".

La préparation des PRA doit tenir compte de la situation réelle redoutée du sinistre (on ne traite pas de la même manière un panne de courant de deux jours et une inondation de trois semaines).

Il est donc intéressant en fin d'appréciation des risques de "camper le décor du sinistre" en le décrivant pour tenir compte de la réalité du terrain et de l'organisation de la société.

Les actions à préparer apparaissent alors plus clairement et sont vraisemblablement jouables dans ce décor.
Emmanuel Besluau
Lundi 9 Février 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter