Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Responsable PCA : comment délimiter son territoire ?


Lorsque les approches continuité d’activité (ou « PCA ») sont introduites en entreprise, elles n’arrivent pas sur un terrain vierge. Il existe déjà des disciplines qui ont la continuité plus ou moins dans leur champ d’action et qui sont en place depuis quelque temps.

Pour un RPCA nouvellement nommé, le tour de piste est un peu compliqué : comment faire le partage ? Faut-il tout revoir ? Comment répartir les rôles ? Voici des éléments de réponse.



crédits DR
crédits DR

Le terrain est déjà en partie occupé

De nombreuses disciplines déjà en place en entreprise ont abordé des sujets que la « Continuité d’activité » couvre aussi. Citons sans être exhaustif :

  • la sécurité des personnes au travail et le traitement des risques menaçant le personnel (le fameux « document unique ») qui se préoccupe de la sûreté de la personne au travail et est gérée par la DRH ;

  • les approches de type « risk management » qui passent en revue divers types d’événements nocifs à l’entreprise et nuisibles à l’accomplissement de sa mission ou à sa santé financière, c'est le domaine du « risk manager » ;

  • la sécurité de l’information (avec la norme ISO 27001) pour laquelle la disponibilité du service (informatique) est un paramètre un peu marginal certes mais cité tout de même, cela concerne le RSSI ;

  • les disciplines de production informatique de type ITIL dans lesquelles la gestion d’incidents joue un rôle majeur avec comme objectif le rétablissement du service, la production informatique est en première ligne, ainsi que la « gestion des services » ;

  • enfin plus généralement en informatique, les ingénieurs de production n’ont pas attendu la « continuité d’activité » pour mettre en place des clusters là où il le fallait et faire des sauvegardes régulièrement sorties du site (au fait : c’est vrai ?)…et en production industrielle, il y a longtemps que les stocks ne sont plus en zone inondable (quoique ?) et que la traçabilité dans l’usine est sûre…

Le terrain n’est donc pas vierge ! L’intersection avec le domaine du RPCA est non nulle, et elle est souvent sensible. Comment le RPCA peut-il délimiter son territoire ?

Constat fondamental : l’approche « Continuité d’activité » apporte un autre regard

Dans l’esprit des normes ISO (ici citons 22301 et 22313) il est clair que la « Continuité d’activité » oblige à regarder l’entreprise sous un nouvel angle qui diffère des autres approches ; notons quatre points significatifs :

  • Elle se focalise en premier lieu sur la production des biens et services de l’entreprise et sur les processus qui la permettent. On y ajoutera quelques processus vitaux.

  • Elle demande que l’on considère les « disruptive incidents » (difficile à traduire ; disons les incidents interruptifs) qui interrompent la production de biens ou de services ;

  • Elle veut que l’on étudie comment continuer ou reprendre la production des biens et services (éventuellement en mode dégradé pendant un certain temps) si un « disruptive incident » se produit en se focalisant sur les activités prioritaires.

  • Bien évidemment elle exige que l'on décide et mette en place des dispositifs divers pour décider en cas de sinistre. Cela inclut des cellules de crise et des plans de continuité (PCA), mais aussi de la prévention pour éviter les arrêts ou limiter les effets des sinistres divers.

En somme, on voit clairement que l’approche Continuité d’Activité :

  • ne se limite pas exclusivement aux gros sinistres, même si elle demande qu’on les considère. Tout ce qui interrompt la production de biens et services est à voir ;

  • se focalise sur ces métiers de production de biens et services (les autres métiers ne sont à considérer que s’ils servent à cela) ;

  • raisonne autant prévention (sur les moyens des activités prioritaires) que réaction (pour redémarrer au mieux ces activités prioritaires) ;

  • pense plus redémarrage de service que reconstruction de moyens, ce qui peut être très différent !

  • exige des dispositifs de reprise effectifs avec des procédures concrètes et testées. L’objectif est d’être plus efficace que si l’on n’avait pas de PCA !

De ces lignes de force on peut déduire une attitude du RPCA vis-à-vis de ses collègues.

Le partage des tâches et responsabilités

Regardons les divers acteurs en périphérie de la Continuité d’activité :

Avec le Risk Manager (RM) : regarder la cartographie faite par le RM et ne retenir que les risques d’interruption de la production de biens et de services. Si cela semble complet, c’est parfait. Mais c’est très rarement le cas. Le RPCA est alors amené à développer sa propre approche risque d’interruption qu’il partage bien sûr avec le RM.

Avec la DRH : le "document unique" recense des risques sur les personnels ; parmi ceux-ci, certains peuvent avoir une portée importante qui va interrompre des activités de production de biens et service : il faut alors les retenir et les traiter avec une vue RPCA, c’est-à-dire orientée vers le redémarrage des activités prioritaires arrêtées (après avoir pris soin des personnes évidemment) ; la pandémie entre couramment dans ce cas. Des mutualisations (de moyens de travail ou de cellule de crise, …) sont envisageables.

Avec le RSSI : c’est une frontière importante à définir et nous proposons là une collaboration en particulier pour ce qui concerne l’informatique. En effet, les exigences de sécurité risquent de ne pouvoir être toutes tenues en cas de sinistre fort ; cela ne doit pas non plus devenir une situation de non sécurité ; par ailleurs des éléments techniques de sécurité (ex : pare-feu) ont des exigences évidentes de continuité. Il faut concilier dans les choix et les procédures continuité et sécurité. Faire participer le RSSI aux choix de stratégie de continuité est nécessaire.

Avec la gestion de service (et d’incidents et problèmes type ITIL) : si ces aspects sont développés, il existe déjà des conventions de service (SLA) qui donnent des délais de reprise en cas d’incident. Le RPCA en tiendra compte. Si ce n’est pas le cas, le RPCA doit s’en préoccuper et construire un minimum. Par ailleurs, il doit aussi considérer les chocs forts (extrêmes) qui sont très souvent exclus des SLA. Une zone de flou existe dans les contrats bien souvent que nous étudierons dans une autre note. La ligne de partage est à définir en tout cas. Toutes les situations de sinistre rendant impossibles les circuits de résolution d’incident sont du ressort du RPCA. Toutes les situations gérables par le circuit incident doivent l’exploiter. Le RPCA n’a pas à construire un circuit parallèle, mais doit savoir exploiter ce qui existe et voir si cela marchera en cas de sinistre. On voit là que la frontière peut être très différente selon les degrés d’implémentation de l’approche ITIL dans l’entreprise.

Enfin, faisons une note spéciale vis-à-vis de la Qualité : il faut mentionner ici le responsable qualité pour les organismes qui en sont dotés. Si un « système de management de la qualité » a été mis en place, le terrain est très favorable pour mettre en place un « système de management de la continuité d’activité », les deux approches comportant bien des similitudes. Se reporter pour cela à la norme ISO 22301 et à nos diverses notes sur le sujet.

Conclusion : cohabitation et apport spécifique

Le RPCA nouvellement nommé devra faire un tour de ses voisins de palier pour déterminer ce sur quoi il doit prendre le leadership et ce qui est à laisser là où c’est déjà bien géré.

A chaque fois qu’il rencontre quelque chose d’utile à l’approche continuité, il faut le noter et statuer sur sa prise en compte et sa gestion.

Il doit cependant s’assurer que l’ensemble des situations d’incidents ou sinistres amenant à interrompre la production de biens et services est couvert par un dispositif de reprise du prioritaire, accepté par le management.

Il doit veiller à la continuité et/ou reprise avec une vision « business » qui souvent dépasse les visions « gestion de moyens » déjà en place.

Il introduit ainsi une vision transverse majeure : celle du service au client.


Emmanuel Besluau
Mardi 6 Mai 2014

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter