Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Sans vision de la Direction Générale, peut-on parler de Continuité d'Activité ?

Evitons de planifier le chaos !


On voit apparaître de nombreuses démarches dans l'entreprise sous le thème de la continuité : PCA, PRA, PCIT, etc. sont des approches partielles et souvent indépendantes.

L'absence de vision au niveau de la Direction Générale laisse se développer des situations cloisonnées néfastes : en cas de sinistre, l'entreprise est-elle prête ? Rien n'est moins sûr...



D.R.
D.R.

Exemple N°1 : les PCA 'tables et chaises'

Nous avons déjà traité ce point dans un autre article, car nous le voyons très souvent.

Il s'agit d'une approche focalisée exclusivement sur les ressources humaines et leur environnement "tables et chaises". Cela consiste :

  • à considérer un scénario dit "perte de site" : le lieu de travail habituel est devenu inaccessible (sans que l'on sache pourquoi);

  • à déterminer l'ordre et la cadence avec laquelle les personnels seront relogés ailleurs.

Lorsque cette approche est ainsi isolée, elle présente très vite les défauts suivants :

  • Un manque de réalisme : on prévoit que les personnels iront sur un autre site, sans considération aucune pour le contexte réel : est-ce une inondation ou un incendie qui nous oblige à opérer ces réaffectations ? Pourront-elles réellement être effectuées si les routes sont coupées et si personne n'est prévenu ?

  • Une coordination infaisable avec l'informatique en cas d'application : il est prévu que les personnels trouvent sur place un PC en arrivant : est-ce suffisant ? Certes non ! comment se fait la connexion au SI de l'entreprise ? Quel est l'état de santé du réseau ? Qui s'en préoccupe ? Cette zone de flou est dangereuse. Cette absence de coordination peut concerner bien évidemment d'autres moyens que l'informatique.

  • Un découplage de fait des vrais besoins métier mis en situation de sinistre : tel service prévoit de déplacer cinq personnes en quatre heures sur un site de repli. Or, ce service assure la maintenance des applications...est-ce vraiment utile de le reloger aussi vite si toute la région est bloquée sous la neige ?

Bref, cette vision trop isolée ne permet pas de planifier un repli réaliste et efficace. Elle risque de développer des montages coûteux qui décrédibiliseront la démarche de continuité.

Il est important de considérer les besoins métiers en situation de sinistre : cela changera la vision radicalement.

Exemple N°2 : les PCIT "tours d'ivoire"

Autre situation, autres effets, mais les causes sont les mêmes : l'absence de vision d'ensemble.

Le service informatique est dépositaire (espérons-le !) de la plupart des moyens informatiques : serveurs, stockages, systèmes d'exploitation, applicatifs divers, éléments de réseau etc.

Dans sa vision propre, l'informatique aura une tendance naturelle (et louable) à faire la chasse à la panne ou à en compenser les effets. Ainsi seront développés au sein d'un PCIT :

  • des systèmes de mise en cluster de serveurs dits actif/actif
  • des réplications de données d'une salle sur une autre
  • des mécanismes divers de snapshot et sauvegarde sur les disques, etc.

Cette approche indispensable, soulignons-le, risque cependant faute de coordination de tomber dans quelques travers :

  • Un manque de réalisme : on prévoit des serveurs actifs en cas de "perte de la salle". Par absence de vision sur les risques, on ne se rend pas compte que la salle de secours risque de subir le même sinistre car elle est proche du même fleuve...

  • Une approche trop large et non ciblée : on va tout répliquer. Ce qui se trouve sur la baie de stockage va être intégralement copié quelle que soit la criticité réelle des données qui s'y trouvent. Cette approche -plus simple pour un exploitant- va pousser à réaliser des sur-investissements. Pas moyen de faire autrement, cette criticité n'est pas connue...

  • Une coordination très délicate avec les métiers qui pose des questions graves comme : les serveurs résilients correspondent-ils aux métiers critiques ? Les sauvegardes sont-elles les bonnes ? Pourrait-on redémarrer à partir de ces sauvegardes ? Sont-elles prises au bon moment ? Assez fréquemment ? faut-il se coordonner avec d'autres applications qui, elles, n'ont pas leurs sauvegardes au même moment ? faut-il échanger avec le reste du monde ? (ex : systèmes d'échange, de compensation, etc.) et comment ?

Comme on le voit dans ces quelques exemples, le splendide isolement du PCIT, s'il pouvait se justifier dans les années 60 (une seule machine avec des batchs) est en 2012 inapproprié.

Il convient de rendre les PCIT dépendant du contexte de sinistre et des exigences des métiers.

Exemple N°3 : la cellule de crise miracle

Au début de la "continuité d'activité" était la "cellule de crise".

Face à des situations de sinistre graves, il fallait réunir des responsables pour essayer de se sortir au mieux du désastre.

Comme la préparation était faible, la réaction devait être forte.

De nos jours, la préparation s'améliore mais reste cloisonnée et manque de coordination par le haut : cela oblige à une gestion de crise malheureusement sophistiquée :

  • il faut résoudre en crise les incohérences non vues en préparation
  • il faut traiter les situations réelles qui empêchent le fonctionnement des plans irréalistes mis sur pied en les ignorant
  • il faut communiquer pour apaiser (il y a de quoi !)

Ainsi la gestion de crise sert en partie à pallier les travers de la préparation !

Dans nos missions de conseil, lorsque le mot "gestion de crise" apparaît trop souvent, cela nous met la puce à l'oreille.

Attention ! cela ne veut pas dire qu'il ne faut pas de cellule de crise ! Il faut une cellule qui gère l'imprévu, mais il ne faut pas que l'imprévu soit dû à une absence de vision générale ayant conduit à mal prévoir !

Moralité : vision globale et réalisme sont indispensables

Quelques grands principes se dégagent clairement, listons-les, ils ne sont pas nombreux :

Le réel prime sur le théorique : je prévois ce qu'il faudra faire en cas d'inondation du site par exemple et non pas en cas de perte abstraite du site.

Il faut viser la continuité ou le redémarrage des métiers critiques qui le demandent ; on ne vise pas à récupérer les moyens coûte que coûte chacun dans son coin, mais uniquement s'ils servent à un métier critique.

La cellule de crise est là pour assurer la responsabilité d'orchestrer des actions qui ont été préparées et dont la partition est en partie écrite. Elle n'est ni une improvisation, ni une cacophonie ! L'imprévu existera toujours, mais il sera limité par une préparation correcte.

Ces trois principes doivent être édictés et la Direction Générale doit veiller à leur respect.

Emmanuel Besluau
Mardi 20 Janvier 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2