D.R.
L'analyse des risques est primordiale mais ne suffit pas
Il est clair pour tous que connaître son exposition aux risques d'interruption est important, puisque justement on cherche à lutter contre l'interruption.
Il faut sur ce sujet avoir des démarches simples et proches du réel :
A la suite de cette appréciation, des décisions sont prises pour (je simplifie exprès) réduire ces risques ou laisser les choses en l'état.
En gros cela se termine sur quelques actions de réduction de risque et sur un "paysage" de risques qui regroupe les événements indésirables qui peuvent nécessiter de votre part la préparation d'un Plan de reprise.
Ces événements indésirables peuvent vous toucher de manière diverses et il est bon d'avoir des scénarios pragmatiques pour au moins deux raisons :
Étudions ces deux points d'un peu plus près.
Il faut sur ce sujet avoir des démarches simples et proches du réel :
- identifier les aléa majeurs qui peuvent vous mettre à l'arrêt en étudiant des listes allant des catastrophes naturelles, à la malveillance humaine en passant par la défaillance technique,
- analyser en fonction de votre situation, de vos moyens de parade déjà en place, de la manière dont vos biens sont exposés
- enfin apprécier ces risques sur deux axes : leur impact pour vos activités (insignifiant, faible, moyen, fort ?) et leur vraisemblance d'apparition chez vous (là encore en quatre degrés par exemple).
A la suite de cette appréciation, des décisions sont prises pour (je simplifie exprès) réduire ces risques ou laisser les choses en l'état.
En gros cela se termine sur quelques actions de réduction de risque et sur un "paysage" de risques qui regroupe les événements indésirables qui peuvent nécessiter de votre part la préparation d'un Plan de reprise.
Ces événements indésirables peuvent vous toucher de manière diverses et il est bon d'avoir des scénarios pragmatiques pour au moins deux raisons :
- que la préparation du PRA donne une réaction efficace.
- que le scénario corresponde à la réalité la "plus probable".
Étudions ces deux points d'un peu plus près.
Aboutir à des PRA efficaces
Vos PRA (Plan de reprise d'activité) sont des actions prévues à l'avance pour vous sortir de la crise dans laquelle le sinistre risque de vous plonger.
On cite souvent l'exemple du centre informatique qui prévoit, en cas de perte, de redémarrer dans un autre centre assez proche. En y regardant de plus près, on constate que ce centre de secours se situe dans la même zone inondable que le centre à secourir. En cas d'inondation donc aucun secours ne serait possible !
Une bonne connaissance des scénarios de sinistre permet d'éviter ces situations. Il ne suffit pas de dire que l'on craint la perte du site, encore faut-il savoir comment on le perd pour s'assurer que le secours, lui, ne sera pas perdu.
Autre exemple : tel PRA prévoit d'amener une structure mobile (genre pod ou conteneur) près d'un site sinistré. Il a été oublié de préciser le sinistre... s'il s'agit d'inondation, la solution n'est absolument pas viable.
C'est pourquoi nous demandons toujours à nos clients de nous "camper le décor du sinistre" : lorsque vous aurez à déclencher votre PRA, jusqu'où l'eau sera-t-elle montée ? est-ce que la voie d'accès au secours sera praticable ? votre secours sera-t-il alimenté en courant ? etc...
"Camper le décor du sinistre" permet de jouer le PRA dans le décor ! Dire "nous avons perdu le site" ne suffit absolument pas !
On cite souvent l'exemple du centre informatique qui prévoit, en cas de perte, de redémarrer dans un autre centre assez proche. En y regardant de plus près, on constate que ce centre de secours se situe dans la même zone inondable que le centre à secourir. En cas d'inondation donc aucun secours ne serait possible !
Une bonne connaissance des scénarios de sinistre permet d'éviter ces situations. Il ne suffit pas de dire que l'on craint la perte du site, encore faut-il savoir comment on le perd pour s'assurer que le secours, lui, ne sera pas perdu.
Autre exemple : tel PRA prévoit d'amener une structure mobile (genre pod ou conteneur) près d'un site sinistré. Il a été oublié de préciser le sinistre... s'il s'agit d'inondation, la solution n'est absolument pas viable.
C'est pourquoi nous demandons toujours à nos clients de nous "camper le décor du sinistre" : lorsque vous aurez à déclencher votre PRA, jusqu'où l'eau sera-t-elle montée ? est-ce que la voie d'accès au secours sera praticable ? votre secours sera-t-il alimenté en courant ? etc...
"Camper le décor du sinistre" permet de jouer le PRA dans le décor ! Dire "nous avons perdu le site" ne suffit absolument pas !
Eviter les scénarios invraisemblables
Une autre difficulté apparaît aussi quand on s'arrête à des analyses de risques trop "techniques" et que l'on cumule les risques. Le manque de réalisme menace.
Tel client imaginait à la fois des parades contre la perte de bureau, contre la perte de sa messagerie et contre la perte du SAP central etc. Or, dans son contexte, tout cela ne pouvait pas se produire en même temps. Car ses bureaux étaient à Paris, sa messagerie et bureautique dans un Data Center dans le Nord et son SAP hors des frontières. Imaginer un scénario qui tue à la fois ces trois éléments est assez difficile. Et y faire face en simultané est acrobatique pour pas grand chose.
Sous couvert de "worst case scénario" on imagine alors l'impossible.
Restons réaliste :
La leçon de l'analyse de risque d'ailleurs sera de séparer un peu tous ces éléments (version moderne de l'adage "on ne met pas tous ses œufs dans le même panier"). Ainsi le SAP sera externalisé et la messagerie/bureautique un peu sortie des locaux.
On le voit, au-delà de l'appréciation des risques et de leur traitement, l'élaboration des scénarios de sinistre "en réel" est un passage obligé pour pouvoir derrière élaborer des PRA sensés.
Tel client imaginait à la fois des parades contre la perte de bureau, contre la perte de sa messagerie et contre la perte du SAP central etc. Or, dans son contexte, tout cela ne pouvait pas se produire en même temps. Car ses bureaux étaient à Paris, sa messagerie et bureautique dans un Data Center dans le Nord et son SAP hors des frontières. Imaginer un scénario qui tue à la fois ces trois éléments est assez difficile. Et y faire face en simultané est acrobatique pour pas grand chose.
Sous couvert de "worst case scénario" on imagine alors l'impossible.
Restons réaliste :
- Si tout (bureaux, bureautique et SAP) est sous le même toit, alors oui, il faut un scénario de perte concomitante
- Si les trois types de biens sont séparés, il faut élaborer des scénarios de perte un à un, moins graves avec des modes dégradés possibles.
La leçon de l'analyse de risque d'ailleurs sera de séparer un peu tous ces éléments (version moderne de l'adage "on ne met pas tous ses œufs dans le même panier"). Ainsi le SAP sera externalisé et la messagerie/bureautique un peu sortie des locaux.
On le voit, au-delà de l'appréciation des risques et de leur traitement, l'élaboration des scénarios de sinistre "en réel" est un passage obligé pour pouvoir derrière élaborer des PRA sensés.
Elaborons quelques scénarios de sinistres
L'analyse des risques dans un contexte de Plan de continuité et les décisions qui s'en suivent mérite que l'on se mette sérieusement "en situation de sinistre".
La préparation des PRA doit tenir compte de la situation réelle redoutée du sinistre (on ne traite pas de la même manière un panne de courant de deux jours et une inondation de trois semaines).
Il est donc intéressant en fin d'appréciation des risques de "camper le décor du sinistre" en le décrivant pour tenir compte de la réalité du terrain et de l'organisation de la société.
Les actions à préparer apparaissent alors plus clairement et sont vraisemblablement jouables dans ce décor.
La préparation des PRA doit tenir compte de la situation réelle redoutée du sinistre (on ne traite pas de la même manière un panne de courant de deux jours et une inondation de trois semaines).
Il est donc intéressant en fin d'appréciation des risques de "camper le décor du sinistre" en le décrivant pour tenir compte de la réalité du terrain et de l'organisation de la société.
Les actions à préparer apparaissent alors plus clairement et sont vraisemblablement jouables dans ce décor.
Home
Mail
Print
Zoom +
Zoom -
Share
Linkedln 
Flux RSS 
Twitter