Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Analyse des risques : penser aussi à se préparer au sinistre


Dans le cadre d'un Plan de continuité, la raison d'être d'une analyse de risque est de le réduire et de connaître les risques résiduels qui constituent le décor du sinistre.

Quoi qu'il en soit, il faut préparer ce que l'entreprise fera en cas de survenance du sinistre prévu ou d'un autre...le décor ne suffit pas. Il faut écrire la pièce et attribuer les rôles.



Analyse des risques : penser aussi à se préparer au sinistre
De nombreuses sociétés lancent des études de risques dans le cadre de leur démarche PCA. Elles analysent leur contexte de menaces, leurs vulnérabilités et leur exposition. Elles décident éventuellement d'actions de réduction, voire d'évitement du risque.

Tout ceci est nécessaire, mais c'est une première étape. En effet, quand le sinistre se produira malgré tout, il faudra réagir. Que ce sinistre ait été prévu ou pas. Et pour réagir il faut se préparer.

Au-delà d’une bonne analyse des risques, il faut aussi prévoir de manière structurée et rigoureuse les actions qui seront à mener. On entre alors dans d'autres travaux de préparation qui complètent l'analyse de risque au sein du Plan de Continuité d’Activité (PCA). Il est important alors de bien positionner cette analyse de risque dans l'ensemble.

Comprendre l'intérêt - mais aussi les limites - de l'analyse des risques

Bien sûr les analyses de risques sont indispensables. Toutefois il faut garder à l'esprit ce pour quoi elles sont faites.

Une bonne analyse de risque permet deux choses :
  • de diminuer rationellement les risques auxquels l'entreprise est exposée
  • de connaître en partie les risques résiduels (ce qui reste après action de réduction)

En revanche il faut aussi prendre en compte les points suivants, qui sont encore plus forts lorsqu'il s'agit de risques de type externe et que les bons spécialistes doivent rappeler :
  • l'analyse de risque ne permet pas de se préparer au sinistre, ce n'est pas son rôle
  • l'analyse schématise et simplifie le réel et peut aller jusqu'à la caricature dans certains cas
  • les menaces sont souvent considérées une par une et la simultanéité est souvent écartée
  • l'exhaustivité est bien évidemment impossible
  • l'analyse peut donner une impression de maîtrise et endormir l'attention de certains managers

Cela est encore plus vrai lorsque l'on regarde les risques externes ou les sinistres de type catastrophe naturelle où l'humilité doit rester de mise...

Quel devrait être l'objectif de la Direction Générale ?

A ce point de la discussion, une prise de recul est nécessaire : quel objectif assigner à une analyse de risque ?

Il est courant de voir des responsables se satisfaire d'une simple amélioration de leur prise de conscience des risques qui les concernent. On connaît mieux donc on maîtrise mieux. Ce n'est pas faux mais si l'on veut mieux maîtriser il faut aussi se préparer.

Là encore, pour des risques de type externes (les sinistres par exemple) le raisonnement nous semble devoir être complété par une réflexion sur l'entreprise elle-même.

Nous préconisons une réflexion en deux étapes :
  • connaître et maîtriser les risques qui sont aujourd'hui cernables
  • se préparer un minimum à la survenance d'un sinistre

D'où la question : comment se préparer ? C'est là que la réflexion de l'entreprise sur elle-même est importante.

Qu'est-ce qui est le plus important pour l'entreprise ?

Imaginons : un sinistre très sévère s'est produit. Le site informatique par exemple est sous deux mètres d'eau. Ou bien l'usine voisine a explosé détruisant tous les vitrages à trois kilomètres à la ronde...Fiction complète ? Non ! rappelons-nous Xynthia ou AZF par exemple en France, ou les pluies sur l'Allemagne il y a quelques mois.

Les responsables métiers se posent alors naturellement des questions :
  • pouvons-nous fonctionner sans informatique ?
  • combien de temps cela va durer ?
  • qu'est-ce qui est important à faire aujourd'hui ? demain ?
  • comment malgré tout poursuivre mes activités critiques ? et d'abord quelles sont-elles ?
  • comment redémarrer mes activités ?
  • mes contrats avec mes clients m'obligent à quoi ?
  • comment communiquer ?
  • où aller ? que faire de mes employés ?

Les responsables informatiques de leur côté se demandent :
  • qui a le plus besoin de l'informatique dans l'entreprise ?
  • la salle est inutilisable : où allons-nous ?
  • le réseau marche-t-il encore ?
  • quels sont les serveurs à sauver et/ou redémarrer en premier ?
  • le stockage est-il accessible ? quel sous-ensemble faut-il remettre à disposition ?
  • qui sont les utilisateurs à traiter en priorité ?
  • où vont se trouver ces utilisateurs ? quel poste de travail ont-ils ?

On le voit ces questions sont cruciales et il est utile d'y avoir pensé avant, quel que soit le sinistre.
L'analyse de risque doit donc être complétée par des études sur les métiers critiques (BIA), des Plans de Reprise ou de Continuité d'Activité qui essaient de répondre à ces questions.

L'importance d'une réflexion PCA structurée

L'analyse de risque est effectivement utile pour diminuer -raisonnablement- les risques et connaître - avec humilité- les scénarios de risques résiduels. Elle fait partie d'une démarche de PCA raisonné.

Elle ne suffit toutefois pas ! L'entreprise doit se préparer au sinistre (prévu par l'analyse de risque ou pas !) en menant une réflexion structurée :
  • elle doit savoir ce qui est le plus important en terme d'activité à redémarrer au plus vite, au bout d'une heure, de quatre heures, un jour, deux jours, etc...
  • elle doit connaître les moyens sous-jacents à ces activités critiques (PC, bureau, serveurs, etc.) et préparer leur reprise ou leur remplacement.
  • elle doit organiser un mécanisme ad-hoc de prise de décision suite à sinistre ("cellule de crise")

C'est toute cette démarche qu'il faut organiser et animer et qui va constituer le coeur du Plan de Continuité d'Activité.

Emmanuel Besluau
Samedi 1 Juin 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter