Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


PCA : que demander à ses fournisseurs ?


Avez-vous un PCA ? Cette question aux allures de mistigri est à la mode. La réalité qui se cache derrière est complexe mais instructive.

Souvent exclue ou escamotée comme embarrassante, la question de la continuité d’activité de l’entreprise qui repose sur des fournisseurs critiques doit être un jour ou l’autre posée.

Insérer correctement ses fournisseurs dans sa propre démarche de continuité est un enjeu important pour être crédible soi-même face à ses clients.



droits DR
droits DR

Il faut d'abord classer ses fournisseurs

En matière de continuité, tous les fournisseurs ne présentent pas le même enjeu, il convient donc avant toute chose de statuer sur des points comme :

  • quels sont les fournisseurs indispensables « réellement » ; ceux dont l’arrêt vous arrête immédiatement : ils sont à classer comme très critiques

  • quels sont ceux dont l’interruption vous touchera plus tard, ou uniquement si elle dure un certain temps qu’il est bien d’identifier : ces fournisseurs sont critiques

  • quels sont les fournisseurs interchangeables et pouvez-vous aisément substituer l’un à l’autre ?

  • enfin, lister tous les autres fournisseurs qui à priori ne sont pas en première ligne pour votre continuité

Ce classement préalable est nécessaire car il faut se focaliser sur ce qui est vraiment important. En fonction de ce classement, les dispositifs à mettre en place sont différents.

Pour les fournisseurs interchangeables, il est important de mettre en place cette interchangeabilité assez vite et de la mettre à l’épreuve de tests par exemple.

Pour les plus critiques, un dispositif plus étroit est souhaitable.



Quel client êtes-vous pour vos fournisseurs critiques ?

Autre aspect très important à regarder auprès de vos fournisseurs critiques avant d’aller plus loin : bénéficiez-vous d’un traitement particulier ou bien êtes-vous un client parmi d’autres ?

Autrement dit, lorsque ce fournisseur aura un sinistre, aura-t-il d’autres chats à fouetter plutôt que de s’occuper de vous ?

Cette question se pose pour les achats de prestations par exemple qui peuvent être fournies sur des moyens dédiés ou partagés (et le sont souvent sur un mix des deux).

En tant que client, les points suivants sont à aborder avec vos fournisseurs critiques :

  • les risques portant sur les moyens employés pour vous sont-ils correctement appréciés et traités ?

  • les activités que le fournisseur considère comme prioritaires (dans son BIA) vous concernent-elles ?

  • la stratégie que votre fournisseur met en place pour faire face à un sinistre est-elle appropriée à vos exigences ? et viable pour vous ?

  • les responsabilités et actions en cas de sinistre que votre fournisseur prévoit, sont-elles convenables pour vous ?

  • la relation qui existe entre votre fournisseur et vous pour les affaires courantes et la gestion est-elle appropriée en cas de sinistre ? Avez-vous prévu le pire ? des escalades ? une cellule de crise ?

Il est fort possible que les réponses aux questions qui précèdent varient beaucoup selon les moyens ou services considérés et qu’il y ait un travail d’adaptation à faire.

Lorsque la réponse pose des difficultés, il est intéressant et productif de voir s'il ne faut pas les aplanir.



...et après cela, que faire ?

Là est la question ! si la démarche précédente a permis des éclaircissements, il est intéressant de le signifier dans les contrats.

En effet, bien des contrats pratiquent le flou sur les aspects de continuité ou plus précisément cherchent à exclure de leur champs des événements forts (catastrophes, « force majeure ») que la continuité vise à affronter justement.

Les contradictions ne sont d’ailleurs pas impossibles…le même contrat qui exclut les inondations et tempêtes mentionnera en annexe récente l’existence d’un PCA (sans autre précision) dans l’esprit des normes et bonnes pratiques (mentions fourre-tout dangereuses qui peuvent amener à considérer justement tempêtes et inondations).

Le fournisseur sérieux voudra négocier un avenant pour couvrir clairement quelques situations de sinistre et introduire des actions pour la continuité. La difficulté sera alors de trouver un accord et de régler en particulier les aspects de coût.

Face à un fournisseur souhaitant discuter ces points, il n’est pas rare de voir un client s’esclaffer « ah bon ? il n’y avait pas de PCA ? vous m’avez donc vendu une solution incomplète ? » peu enclin à payer un supplément…

Pas d’autre solution alors que de mettre à plat la situation en abordant les points ci-dessus qui la plupart du temps n’ont pas été vus. Si cela n’est pas possible, alors la situation réelle en matière de PCA est à clarifier : le peu qui est prévu doit être précisé.


Conclusion

Il est nécessaire d’identifier les fournisseurs critiques en matière de continuité d’activité.

Il est malsain dans ce domaine de rester dans des situations de non-dit ou de flou qui sont contraires aux bonnes pratiques émergentes (dont des normes ISO).

Il est très utile de clarifier la situation au travers d'interrogations et de discussions sur ce qui serait fait par les uns et les autres en cas de sinistre et qu'il convient (peut-être) d'améliorer.

Toutefois, aborder carte sur table ce sujet n’est pas forcément aisé et suppose une maturité sur le sujet et une relation saine entre client et fournisseur.

Pour tous les cas difficiles, la spécification plus précise de ce qui existe ‘réellement dans le contrat’ est conseillée, au besoin secondée par un recours à l’audit ou aux tests.
Emmanuel Besluau
Mercredi 31 Juillet 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter