Sie sind auf Seite 1von 306

TYPE DOUVRAGE

L'ESSENTIEL

SE FORMER

RETOURS
D'EXPRIENCE

Matthieu Bennasar
Prface de Paul Thron

MANAGEMENT DES SYSTMES


D'INFORMATION
APPLICATIONS
MTIERS
TUDES, DVELOPPEMENT,
INTGRATION

PLAN DE CONTINUIT DACTIVIT


ET SYSTME DINFORMATION

EXPLOITATION
ET ADMINISTRATION
RSEAUX
& TLCOMS

Vers lentreprise rsiliente


MATTHIEU BENNASAR
Ancien auditeur informatique
chez PricewaterhouseCoopers,
il est consultant en scurit
et gouvernance du SI et charg
de cours lIAE de Lyon.
Il tait auparavant responsable
de mission au ple conseil
de Bureau Veritas.

PCA et SI

Le management de la continuit dactivit est une discipline


mergente dont lobjectif est de prparer lentreprise faire face
aux crises qui peuvent paralyser ses activits. Englobant la continuit
du systme dinformation, il se matrialise dans un plan de
continuit dactivit (PCA) pragmatique, jour et test.
Cet ouvrage sadresse aux dcideurs de lentreprise qui joueront
un rle dcisif dans cette dmarche ainsi quaux matres duvre
de la continuit dactivit (risk managers, responsables de la scurit
du systme dinformation et directeurs des systmes dinformation).
Structur en trois parties, il donne une vision stratgique de la
continuit dactivit et propose une mthodologie et un arsenal
doutils pour penser et mettre en uvre un PCA.
La premire partie est avant tout destine aux dcideurs qui y
trouveront les grands principes du management de la continuit
dactivit.
La deuxime partie propose une mthodologie en vue dassurer
la continuit dactivit avec le dtail des tapes de sa mise en
uvre : bilan dimpact sur lactivit (BIA), analyse des risques,
tests du PCA... Elle prsente aussi des tudes de cas.
La troisime partie trace les perspectives dvolution du
management de la continuit dactivit.

MANAGEMENT des SYSTMES DINFORMATION

M. BENNASAR

INFOPRO

PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Vers lentreprise rsiliente

Matthieu Bennasar
Prface de Paul Thron

ISBN 2 10 049603 4

www.dunod.com

lim Bennasar Page I Jeudi, 13. avril 2006 10:09 10

PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION

lim Bennasar Page II Jeudi, 13. avril 2006 10:09 10

Urbanisation et BPM
Le point de vue dun DSI
2e dition
Yves Caseau
320 pages
Dunod, 2006

Processus mtiers et S.I.


valuation, modlisation, mise en uvre
Chantal Morley, Jean Hugues,
Bernard Leblanc, Olivier Hugues
256 pages
Dunod, 2004

Le projet durbanisation du S.I.


Dmarche pratique avec cas concret
2e dition
Christophe Longp
304 pages
Dunod, 2004

lim Bennasar Page III Jeudi, 13. avril 2006 10:09 10

PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Vers lentreprise rsiliente
Matthieu Bennasar
Consultant en scurit et gouvernance du SI
Charg de cours lIAE de Lyon

Prface de
Paul Thron
Reprsentant en France du Business Continuity Institute

lim Bennasar Page IV Jeudi, 13. avril 2006 10:09 10

Illustration de couverture : Pucahirca (6046 m),


cordillre blanche, Prou. Copyright Philippe Beaud

Dunod, Paris, 2006


ISBN 2 10 049603 4

Bennasar.Livre Page V Mardi, 11. avril 2006 12:53 12

Prface

Ce qui frappe une direction gnrale lorsque survient une crise, cest souvent le
sentiment du manque de prparation pour y faire face.
Pour Gilbert (in GEM 20021), les crises sont des situations o, en raison de la
disproportion existant entre les problmes apparaissant et les moyens de les traiter,
les organisations en charge des activits risques se trouvent de fait dpossdes
de ces problmes par de nombreux et divers acteurs intervenant et voient leur
comptence et leur lgitimit remises en question (du fait, notamment, de
lintervention de la justice, etc.) . Pour le European Center of Technological
Safety (in GEM 2002), la crise est dfinie ainsi : Derived from the Greek krisis,
meaning a crucial turning point in the course of anything, an unstable condition
in which an abrupt or decisive change is impending. A major, unpredictable
event that has potentially negative results. The event and its aftermath may
significantly dammage an organization and its employees, products, services,
financial condition, and reputation. A crisis, like an accident, is a disruption
that physically affects a system as a whole and also threatens the priority goals of
an organization and challenges the traditional behaviors and values shared in a
organization .
Crise = rupture = risque de dommage.
Cest cette quation du risque que le Business Continuity Management (BCM
ou MCA pour Management de la Continuit dActivit en franais) tente
dapporter une rponse.
La notion de continuit doit tre bien comprise. Il ne sagit pas simplement de faire en sorte que les chanes de production ou les serveurs et rseaux
1. Groupement des coles des Mines, 2002. Terminologie en Science du Risque. Recueil de dfinitions.
Documents recueillis et prsents par Chlo GRIOT et Pierre-Alain AYRAL. GEM, Juin 2002.

Bennasar.Livre Page VI Mardi, 11. avril 2006 12:53 12

VI Plan de continuit dactivit et systme dinformation

informatiques continuent de fonctionner malgr les phnomnes pouvant les


affecter. Il sagit de poursuivre les activits dune organisation dans des conditions
aussi nominales que possible malgr ce qui les perturbe. Ce disant, on comprend
alors quune crise dimage est potentiellement aussi dommageable que larrt
dun centre informatique ou que la destruction dune ligne de fabrication et que
le MCA a pour but dorganiser lentreprise pour faire face sereinement tout ce
qui peut la mettre en situation de rupture du cours stratgique quelle a choisi.
Le livre de Matthieu BENNASAR a, dans ce cadre, quelque chose de prcieux.
Il est concret, plein de recommandations pratiques et repose sur un angle
dattaque ce nest pas pour dplaire un peu polmique : La dmarche MCA
scarte des chemins de pense et des modes des business schools : la mise en uvre dun
plan de continuit dactivit est au dpart une rponse des problmatiques techniques
bien plus que lapplication de thories de management .
lappui de son affirmation, il y a tout dabord la volont de clarifier les
concepts, dfinitions, normes et rles plutt que de thoriser.
Au moment o va paratre la traduction franaise des Good Practice Guidelines1
du Business Continuity Institute (BCI), louvrage affirme aussi quen matire de
MCA lexpertise est largement mthodologique. Et cest une approche assez
satisfaisante dans la pratique. Toutes les entreprises ont en effet en leur sein les
comptences et les ressources indispensables la mise en uvre dun systme
de gestion de la continuit de leurs oprations (au sens o elles ont dj mis en
place un systme de gestion de la qualit). Pour autant, il manque souvent le
liant , cette comptence mthodologique qui, en organisant leffort collectif,
permet de construire une entreprise rsiliente, cest--dire capable de rsister
en souplesse aux attaques quelle subit malgr la complexit de ses structures
et de ses problmatiques.
En choisissant un angle dattaque concret, le plan de continuit dactivit
dans ses fondements dans les systmes dinformation de lentreprise, Matthieu
BENNASAR attire lattention du manager sur lun des aspects importants de la
dmarche globale de management de la continuit dactivit, sur les piges
viter, et sur la mthode suivre.
La deuxime partie de louvrage, Mthodes et outils de la continuit dactivit, a
le grand mrite de recadrer sa dmarche mthodologique par rapport aux standards actuels, Good Practice Guidelines du Business Continuity Institute ou
PAS 56 du British Standards Institute.
Le responsable du plan de continuit dactivit est alors bien aid de checklists pratiques et de nombreuses rfrences normatives ou mthodologiques.
1. Version 2, 2005. Version anglaise sur www.thebci.org.

Bennasar.Livre Page VII Mardi, 11. avril 2006 12:53 12

Prface

VII

La rubrique Astuces et conseils prsente en fin de chaque tape apporte encore


davantage dlments concrets, un regard de praticien qui a rflchi et a t
confront des besoins et problmes pratiques.
Les chapitres 4, Panorama des solutions techniques de secours, et 5, Considrations
techniques sur les solutions de secours, fournissent au manager une check-list intressante de voies envisageables pour secourir le systme informatique principalement,
et aussi loutil de production. Les cas exposs en fin douvrage apportent leur lot
dides sur les questions se poser.
Ce livre va droit au but que sest fix son auteur. Il est un complment pratique
des standards mthodologiques du moment. Il fournit des points dentre plus
concrets que ces standards, par nature gnraux.
Je me rappelle un temps o un centre de traitement bancaire situ sur les bords
dune rivire qui senfla abondamment fut pris, le lendemain matin, dun intrt
soudain pour la continuit de ses activits. Le benzne dans une boisson bulles,
lattaque sur son pass mene contre le PDG dune grande multinationale, la
digue dArles effondre il y a peu, et bien dautres vnements encore sont
autant dappels la prise de conscience de limportance du management de la
continuit dactivit.
Je massocie lauteur dans cet appel car, comme le disait ma grand-mre
dans sa sagesse toute populaire, quand cest trop tard, cest trop tard .
Le reste, cest--dire lessentiel, la stratgie de continuit et sa mise en uvre,
appartient au lecteur. En premier lieu chaque responsable dorganisation.
Paul THRON, MBCI
Reprsentant en France du Business Continuity Institute
Le Business Continuity Institute (BCI) a t fond en 1994 pour permettre
ses adhrents de bnficier de lexprience de toute la communaut professionnelle des spcialistes de la continuit des oprations. Son Schma de
Certification Professionnelle, organis par niveaux de qualification, reconnat
internationalement ses membres le statut de professionnel de la continuit
des oprations. Les adhrents du BCI sont plus de 2 500 aujourdhui et se
rpartissent dans plus de 50 pays. Le BCI mne une action de fond au sein
de la communaut professionnelle et normative en faveur de la promotion de
standards mthodologiques et thiques de haut niveau. Il est reprsent en France
et en Europe francophone. Son site internet fournit tous renseignements
utiles : www.thebci.org.

Bennasar.Livre Page VIII Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page IX Mardi, 11. avril 2006 12:53 12

Table des matires

Prface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
La continuit dactivit en question . . . . . . . . . . . . . . . . . . . . . . . XVII
Pourquoi un livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVIII
La spcificit franaise . . . . . . . . . . . . . . . . . . . . . . . . . . XVIII
Le retour dexprience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
Les objectifs du livre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
qui sadresse ce livre ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

XX

Structure du livre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

XXI

Quelques cls de lecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXII


Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXIII

PREMIRE PARTIE

MANAGER LA CONTINUIT DACTIVIT


Chapitre 1 La problmatique et les acteurs de la continuit dactivit . . .

1.1 Quelques faits et chiffres . . . . . . . . . . . . . . . . . . . . . . . . . .

1.1.1
1.1.2
1.1.3
1.1.4
1.1.5

Le cot et la criticit des interruptions de SI . . . . . .


La situation des entreprises franaises . . . . . . . . .
Les entreprises franaises compares au reste du monde
Quelques exemples frappants . . . . . . . . . . . . .
Bilan . . . . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

3
4
5
6
8

Bennasar.Livre Page X Mardi, 11. avril 2006 12:53 12

Plan de continuit dactivit et systme dinformation

1.2 Se prparer au pire : une vision pessimiste du monde ? . . . . . . . . . .

1.3 Contours et domaines de la continuit dactivit . . . . . . . . . . . . .

10

1.3.1 Une approche holistique du management . . . . . . .


1.3.2 Gouvernement dentreprise, management des risques
et continuit dactivit . . . . . . . . . . . . . . . .
1.3.3 Le plan de continuit dactivit : une dfinition . . .
1.3.4 De lincident au sinistre majeur . . . . . . . . . . .
1.3.5 Ce qui nest pas du ressort de la continuit dactivit

. . . . . . . . .

11

.
.
.
.

.
.
.
.

13
14
15
16

. . . . . . . . . . . . . . . . . .

16

.
.
.
.

.
.
.
.

16
19
24
25

1.5 PCA, PRA, PSI, PGC, etc. : quen est-il ? . . . . . . . . . . . . . . . .

26

1.5.1 Une terminologie en qute de normalisation . . . . . . . . . . . . . .


1.5.2 Proposition de dfinitions . . . . . . . . . . . . . . . . . . . . . . .
1.5.3 Tableau comparatif . . . . . . . . . . . . . . . . . . . . . . . . . .

26
26
27

1.6 Les acteurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

1.4 La rglementation et quelques normes


1.4.1
1.4.2
1.4.3
1.4.4

1.6.1
1.6.2
1.6.3
1.6.4
1.6.5
1.6.6

La rglementation . . .
Les normes et standards
Autres . . . . . . . . .
Synthse . . . . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

33

2.1 Un projet dentreprise . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

33
34
35
35
35
36

. . . . . . . . . . . . . . . . . . .

43

2.2.1 Les bonnes raisons de mettre en place un MCA . . . . . . . . . . . .


2.2.2 Quelques pralables . . . . . . . . . . . . . . . . . . . . . . . . . .

43
45

2.2 Dcider de mettre en place un PCA

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.

Chapitre 2 Dcider la mise en place de la continuit dactivit . . . . . . .


.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.

27
29
29
30
30
31

Mandat et sponsor . . . .
Pilotage de la dmarche .
Conduite du changement
Rgime tabli . . . . . .
Se faire aider ou pas ? . .
Quelques cueils courants

. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
. . . . . . . . . . . .
dinformation (RSSI)
. . . . . . . . . . . .

.
.
.
.

.
.
.
.
.
.

2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6

La direction gnrale . . . . . . . . . .
Le risk manager . . . . . . . . . . . .
Les directions mtier . . . . . . . . . .
Le responsable du PCA . . . . . . . .
Le Responsable de la scurit du systme
Responsabilits et niveau hirarchique .

.
.
.
.

.
.
.
.

.
.
.
.
.
.

Bennasar.Livre Page XI Mardi, 11. avril 2006 12:53 12

Table des matires

2.2.3
2.2.4
2.2.5
2.2.6

Les quatre principaux composants


Le ROI par construction . . . .
Le ROI inquantifiable . .
Quelques conseils aux dcideurs .

dun PCA
. . . . . .
. . . . . .
. . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

XI

46
47
50
53

DEUXIME PARTIE

MTHODES ET OUTILS DE LA CONTINUIT DACTIVIT


Chapitre 3 Mettre en place la continuit dactivit : mthodologie commente

61

3.1 Dmarche gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

61

3.1.1
3.1.2
3.1.3
3.1.4

De l expertise en continuit dactivit . . . . . . . . . .


Les principaux composants dun dispositif de continuit dactivit
La dmarche E=MCA en six phases . . . . . . . . . . . . .
Notes sur le formalisme utilis pour dcrire la mthodologie . .

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive


3.2.1
3.2.2
3.2.3
3.2.4
3.2.5

tape
tape
tape
tape
tape

.
.
.
.

61
62
65
65

. . . . . . . . .

67

1.A : Diagnostic de prvention . . . . . . . . . . . .


1.B : Cartographie et scnarios de sinistres . . . . . .
1.C : Bilan dimpact sur lactivit (BIA) . . . . . . .
1.D : Analyse des risques (AR) . . . . . . . . . . .
1.E : Analyse de couverture des contrats dassurances

.
.
.
.
.

.
.
.
.
.
.
.
.
.

.
.
.
.

67
69
71
74
77

. . . . . . . . . .

78

3.3.1 tape 2.A : Stratgie globale de continuit . . . . . . . . . . . . . . .


3.3.2 tape 2.B : Stratgie locale de continuit . . . . . . . . . . . . . . . .
3.3.3 tape 2.C : Choix de la solution technique de secours (SI) . . . . . . .

78
79
81

3.4 Phase 3 : Mettre en place le plan de secours informatique

.
.
.
.
.

.
.
.
.

.
.
.
.
.

3.3 Phase 2 : Orienter la stratgie de continuit dactivit

.
.
.
.
.

.
.
.
.

.
.
.
.
.

. . . . . . . .

83

3.4.1 tape 3.A : Mise en place de linfrastructure technique (SI) . . . . . .


3.4.2 tape 3.B : Organisation autour de la solution technique (SI) . . . . .
3.4.3 tape 3.C : Test de la solution technique (SI) et du plan de secours
informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

83
85
86

3.5 Phase 4 : Dvelopper le Plan de continuit doprations (PCO) . . . . . .

88

3.5.1
3.5.2
3.5.3
3.5.4
3.5.5

tape 4.A : Organisation de crise . . . . . . . .


tape 4.B : Alerte et activation du PCA . . . .
tape 4.C : Gestion de crise . . . . . . . . . .
tape 4.D : Procdures fonctionnelles dgrades
Un mot sur les informations annexer au PCO

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

88
89
91
92
93

Bennasar.Livre Page XII Mardi, 11. avril 2006 12:53 12

XII Plan de continuit dactivit et systme dinformation

3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA


et son maintien en conditions oprationnelles . . . . . . . . . . . . . . . . .
3.6.1
3.6.2
3.6.3
3.6.4

.
.
.
.

94
97
99
101

3.7 Phase 6 : Piloter le management de la continuit dactivit . . . . . . .

102

3.7.1 tape 6.A : Pilotage du projet PCA . . . . . . . . . . . . . . . . . .


3.7.2 tape 6.B : Pilotage du MCA . . . . . . . . . . . . . . . . . . . . .

102
104

3.8 Synoptiques rcapitulatifs de la mthodologie E=MCA . . . . . . . . .

105

3.9 Quelques cas particuliers . . . . . . . . . . . . . . . . . . . . . . . . . .

112

3.9.1
3.9.2
3.9.3
3.9.4

tape
tape
tape
tape

Le
Le
Le
Le

5.A : Sensibilisation, formation et communication .


5.B : Maintien en conditions oprationnelles du PCA
5.C : Test du PCA . . . . . . . . . . . . . . . . .
5.D : Contrle du PCA . . . . . . . . . . . . . .

secteur banques et finance


secteur PME/PMI . . . .
secteur public . . . . . . .
SI infogr . . . . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

94

.
.
.
.

.
.
.
.

112
112
113
114

Chapitre 4 Panorama des solutions techniques de secours . . . . . . . . .

117

4.1 Les solutions de secours des moyens informatiques . . . . . . . . . . . .

117

4.1.1
4.1.2
4.1.3
4.1.4

Solutions de secours du SI . . . . . . . . . . . . . . . . . . . . . . .
Typologie des moyens de secours (SI) : avantages et limites . . . . . .
De la bonne distance du site de secours (SI) . . . . . . . . . . . . . .
Disponibilit des solutions : consquences sur les principaux composants
de la chane SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.1.5 Mener lanalyse cots/bnfices et avantages/inconvnients
sur les solutions de secours (SI) . . . . . . . . . . . . . . . . . . . .
4.1.6 Le march et les principaux fournisseurs de solutions de secours (SI) .
4.1.7 Un mot sur laspect contractuel du secours informatique . . . . . . . .

118
119
122
122

4.2 Les solutions de secours des moyens de production . . . . . . . . . . . .

129

4.2.1 Une problmatique bien diffrente de celle du SI ! . . . . . . . . . . .


4.2.2 Axes de rflexion et retours dexprience . . . . . . . . . . . . . . . .

129
130

4.3 Les solutions de secours des locaux et quipements . . . . . . . . . . . .

131

4.3.1 Sauvetage des locaux et quipements . . . . . . . . . . . . . . . . . .


4.3.2 Secours des locaux et quipements . . . . . . . . . . . . . . . . . . .

131
131

4.4 Le secours des ressources humaines . . . . . . . . . . . . . . . . . . . .

133

123
125
127

Bennasar.Livre Page XIII Mardi, 11. avril 2006 12:53 12

Table des matires

4.5 Les systmes dinformation du MCA (SIMCA) . . . . . . . . . . . . . .


4.5.1
4.5.2
4.5.3
4.5.4
4.5.5
4.5.6
4.5.7

O lon dfinit un SIMCA . . . . . . . . . . . . . .


Les fonctionnalits dun SIMCA . . . . . . . . . . .
Quelques raisons pour mettre en place un SIMCA . .
Critres de succs pour la mise en uvre dun SIMCA
Quelques outils . . . . . . . . . . . . . . . . . . .
Le cot dun SIMCA intgr . . . . . . . . . . . . .
Une bonne adresse . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

133
134
135
135
136
137
137

4.6 La question des cots du secours . . . . . . . . . . . . . . . . . . . . . .

137

4.6.1 Aspects financiers lis la mise en place de la partie fonctionnelle


dun plan de continuit dactivit . . . . . . . . . . . . . . . . . . . .
4.6.2 Ordres de grandeur financiers pour la solution technique de secours (SI)

138
141

Chapitre 5 Considrations techniques sur les solutions de secours . . . . .

143

5.1 Sauvegarde, restauration et disponibilit des donnes . . . . . . . . . . .

143

.
.
.
.
.
.
.

.
.
.
.
.
.
.

. . . .
. . . .

144
145

. . . .
. . . .

146
153

5.2 Considrations techniques sur les composants critiques du SI :


stratgies de secours . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

154

5.2.1
5.2.2
5.2.3
5.2.4

.
.
.
.

155
156
157
158

5.3 Considrations techniques sur les outils et moyens priphriques . . . . .

159

5.3.1
5.3.2
5.3.3
5.3.4

Serveurs . . .
Rseau local .
Rseau WAN
Sites web . . .

.
.
.
.

.
.
.
.

Postes et stations de
Tlphonie . . . .
Impression . . . .
Internet . . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

travail
. . . .
. . . .
. . . .

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.

. . . . . . .
. . . . . . .
disponibilit
. . . . . . .
. . . . . . .

.
.
.
.
.
.
.

133

.
.
.
.
.
.
.

5.1.1 Mthodes de sauvegarde . . . . . . . . . . . . .


5.1.2 Cas particuliers de sauvegarde . . . . . . . . . .
5.1.3 Technologies de sauvegarde et architecture de haute
des donnes . . . . . . . . . . . . . . . . . . . .
5.1.4 Critres de choix des solutions de sauvegarde . . .

.
.
.
.
.
.
.

XIII

.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.

.
.
.
.

159
161
162
162

Chapitre 6 tudes de cas . . . . . . . . . . . . . . . . . . . . . . . . . . . .

165

6.1 Cas n 1 : Mise en place dun plan de secours informatique local . . . . .

165

6.1.1 Lnonc du problme . . . . . . . . . . . . . . . . . . . . . . . . . .


6.1.2 Lapproche propose et la dmarche mise en uvre . . . . . . . . . . .
6.1.3 tape 1 : Mieux connatre lactivit . . . . . . . . . . . . . . . . . . .

166
167
167

Bennasar.Livre Page XIV Mardi, 11. avril 2006 12:53 12

XIV Plan de continuit dactivit et systme dinformation

6.1.4 tape 2 : Orienter la stratgie de secours . . . . . . . . . . . . . . .


6.1.5 tape 3 : Mettre en place la solution technique de secours . . . . . . .
6.1.6 Conclusion du cas n 1 . . . . . . . . . . . . . . . . . . . . . . . .

169
169
170

6.2 Cas n 2 : Audit dun plan de reprise dactivit et dfinition du PCA . .

170

6.2.1
6.2.2
6.2.3
6.2.4

Lnonc du problme . . . . . . . . .
Lapproche propose et la dmarche mise
Les livrables et les rsultats . . . . . .
Conclusion du cas n 2 . . . . . . . .

. . . . . .
en uvre
. . . . . .
. . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

171
173
174
177

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel . . . . .

178

6.3.1
6.3.2
6.3.3
6.3.4
6.3.5

Lnonc du problme . . . . . . . . . . . . . . . . . . . . .
Lapproche propose et la dmarche mise en uvre . . . . . .
tape 1 : Mieux connatre lactivit . . . . . . . . . . . . . .
tape 4 : Dvelopper le plan de continuit dactivit . . . . . .
tape 5 : Assurer la conduite du changement, le dploiement du
et son maintien en conditions oprationnelles . . . . . . . . . .
6.3.6 Conclusion du cas n 3 . . . . . . . . . . . . . . . . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

. . . .
. . . .
. . . .
. . . .
PCO
. . . .
. . . .

6.4 Cas n 4 : Retour dexprience pour une crise majeure : les attentats
de Londres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

179
180
181
191
197
201
201

TROISIME PARTIE

PERSPECTIVES
Chapitre 7 Vers un systme de management de la continuit dactivit ? .

205

7.1 Les principaux systmes de management de lentreprise . . . . . . . . .

206

7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.1.6

Qualit (ISO 9001) . . . . . . . . . . . . . . . . .


Scurit et sant au travail (OHSAS 18001) . . . .
Environnement (ISO 14001) . . . . . . . . . . . .
Scurit de linformation (ISO 17799 et ISO 27001)
thique et responsabilit sociale (SA 8000) . . . . .
Systmes propres lentreprise . . . . . . . . . . . .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

206
206
206
207
207
207

7.2 Lintgration des divers systmes de management : vers un SMI . . . . .

208

7.2.1 Les concepts intgrateurs . . . . . . . . . . . . . . . . . . . . . . . .


7.2.2 La construction du tronc commun . . . . . . . . . . . . . . . . . . .
7.2.3 Les avantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

208
212
214

Bennasar.Livre Page XV Mardi, 11. avril 2006 12:53 12

Table des matires

XV

7.3 Proposition dun Systme de management de la continuit dactivit


(SMCA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

215

7.3.1 Un systme de management de la continuit dactivit . . . . . . . . .


7.3.2 Vers le management unifi ? . . . . . . . . . . . . . . . . . . . . . .

215
215

7.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

216

Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

219

ANNEXES
Annexe A Sigles et abrviations . . . . . . . . . . . . . . . . . . . . . . . .

225

Annexe B Quelques illustrations documentaires de la mthodologie . . . .

227

B.1 Avertissement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

227

B.2 Exemple de systme documentaire associ un PCA . . . . . . . . . . .

228

B.3 Exemple de canevas dentretien BIA . . . . . . . . . . . . . . . . . . . .

228

B.4 Exemple de plan local de continuit doprations . . . . . . . . . . . . .

230

Annexe C Les dmarches connexes et les mthodes associes . . . . . . . .

249

C.1 La qualit (domaine SI) . . . . . . . . . . . . . . . . . . . . . . . . . . .

249

C.2 La scurit des SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

256

C.3 Le management des risques . . . . . . . . . . . . . . . . . . . . . . . . .

261

Annexe D Matrice de correspondance entre la mthodologie E=MCA


et les Good Practices Guidelines du BCI . . . . . . . . . . . . . . . . . . . .

265

Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

267

Sithotque MCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

273

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

275

Bennasar.Livre Page XVI Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page XVII Mardi, 11. avril 2006 12:53 12

Avant-propos

LA CONTINUIT DACTIVIT EN QUESTION


Le 4 mai 2003, une tempte a frapp les villes de Pierce City et Stockton dans
le Missouri. La First State Bank of Purdy, une banque prive possdant cinq
succursales dans la rgion a t dvaste : celle de Pierce City en particulier a t
compltement dtruite et les employs ont d assurer des tours de garde pour
garantir la scurit des proprits de la banque. Le rseau de tlcommunication
de la rgion ayant t mis mal par la violente tempte, la succursale na pu
rouvrir que dix jours aprs le passage de celle-ci.
La mme tempte a ravag le centre ville de Stockton o la Great Southern
Bank et la Mid-Missouri Bank taient installes. Les btiments ont t rass
jusquaux fondations. Contrairement la First State Bank of Purdy, ces deux
banques disposaient de plans pour faire face un tel dsastre. Des units mobiles
de secours ont rapidement t mobilises et, en raison daccords de partenariat
avec dautres banques du secteur, ces succursales ont pu continuer leurs oprations
depuis des positions de repli jusqu un retour une situation normale. 1
Ce type de sinistre reste exceptionnel. Mais sil est vident que les chances
quun sinistre donn frappe une entreprise dfinie un moment prcis sont infimes,
la probabilit que certaines entreprises soient victimes dun sinistre majeur au
cours de leur histoire nest pas ngligeable. Les journaux nous abreuvent presque
quotidiennement de nouvelles de catastrophes naturelles, technologiques ou

1. Daprs Chak-Tong Chau in Preparing for the unexpected, 2004 ; on ne dispose que de peu
dinformations similaires sur les crises majeures franaises rcentes (explosion de lusine AZF,
temptes de dcembre 1999 par exemple) parce que le retour dexprience est encore peu organis
dans notre pays.

Bennasar.Livre Page XVIII Mardi, 11. avril 2006 12:53 12

XVIII Plan de continuit dactivit et systme dinformation

humaines. Le recours une stratgie dfensive base sur lassurance est de nature
limiter les pertes, mais cette approche ne couvre pas toujours la baisse de productivit, rarement la perte de clients, les dgts sur limage et les pnalits rglementaires
pour non-respect de ses obligations. En fait, il est estim que, lorsquelles ny sont
pas prpares, 43 % des entreprises ferment au moment dun sinistre majeur, et
29 % de celles qui survivent, priclitent dans les deux ans qui suivent 1 .
On ne reprochera pas une entreprise dtre victime dun sinistre majeur.
Mais cest un risque en soi que de faire affaire, en toute connaissance de cause,
avec une entreprise qui na pas prvu une gestion des situations de crise dans un
monde o limpact ngatif des seules catastrophes naturelles crot selon une courbe
quasi exponentielle depuis 50 ans. juste titre, ladjonction dun critre relatif
la continuit des oprations dans les lments de choix lors dappels doffre et de
consultations devient de plus en plus systmatique : la mise en place dune solution
de secours efficace devient ainsi un lment diffrenciant. Au Royaume-Uni,
une entreprise ne peut ainsi prtendre tre fournisseur du gant de la distribution
Tesco si elle ne peut faire la preuve de lefficacit de son plan de continuit
dactivit. Sous limpulsion de la norme TL9000, il en va de mme dans le
monde des tlcoms avec Orange UK ou Tele2. Depuis peu, lassureur AGF exige
de ses fournisseurs et prestataires critiques un plan de continuit oprationnel 2.
La continuit dactivit est une discipline nouvelle qui plonge ses racines
dans la scurit des systmes dinformation mais dont les branches ont
aujourdhui pouss jusqu la gestion de crise et jusquaux dmarches processus.
Selon la dfinition du CRBF3, le plan de continuit dactivit est l ensemble
de[s] mesures visant assurer, selon divers scnarios de crises, y compris face
des chocs extrmes, le maintien, le cas chant de faon temporaire selon un
mode dgrad, des prestations de services essentielles de lentreprise puis la
reprise planifie des activits 4. Cest de la dfinition et de la mise en uvre de
telles mesures quil est question dans ce livre.

POURQUOI UN LIVRE?
La spcificit franaise
En France, le sujet de la continuit dactivit a inspir plusieurs livres blancs,
quelques articles gnralistes dans la presse spcialise et un ouvrage du Clusif 5
1. Disaster Recovery Institute International, Canada, 2001.
2. Daprs un entretien de Marie-Hlne Moitier (AGF) sur planetefacility.cabestan.com,
novembre 2005.
3. Comit de la rglementation bancaire et financire.
4. CRBF 2004-02.
5. Club de la scurit des systmes dinformation franais.

Bennasar.Livre Page XIX Mardi, 11. avril 2006 12:53 12

Avant-propos

XIX

qui traite du plan de secours informatique1 mais qui aborde peu la problmatique
plus large de la continuit dactivit. Une recherche sous amazon.com, amazon.fr,
fnac.com ou le catalogue Opale Plus de la Bibliothque nationale de France
donnait fin 2005 les rsultats du tableau a.1 pour continuit dactivit ou
business continuity :
Tableau a.1 Rsultats de recherche sur le sujet de la continuit dactivit
amazon.com

amazon.fr

continuit
dactivit

3 rsultats
non pertinents

business
continuity

403 rsultats
dont 120 pertinents environ

Opale Plus
0 rsultat

fnac.com
3 rsultats
non pertinents

On voit que le sujet, qui est largement couvert dans la littrature anglosaxonne, est fort peu trait en langue franaise. Ce livre vise apporter une
vision un peu plus franaise de cette discipline relativement nouvelle quest la
continuit dactivit2.

Le retour dexprience
Lexprience professionnelle de lauteur la plac plusieurs reprises dans des
situations daccompagnement dentreprise pour la mise en place de plans de
continuit dactivit, de plans de secours informatiques ou de plans de reprises
dactivit3. Le sujet est abord ici avec le dsir de partager cette exprience,
de transmettre une vision condense et adapte de la littrature anglo-saxonne
et doffrir quelques points de vue personnels.

Les objectifs du livre


Les deux objectifs du livre sont de :
promouvoir une vision stratgique de la continuit dactivit ;
proposer un arsenal doutils, de conseils et une mthodologie prouve et
illustre pour la mise en uvre dune dmarche de continuit dactivit.
1. Intitul Plan de Continuit dActivit : stratgie et solution de secours du SI, septembre 2003.
2. Il existe cependant un livre de Daniel Guinier : Catastrophe et management, 1995, qui aborde
le sujet.
3. Il ne fait nanmoins aucun doute que de nombreux cabinets de conseil capitalisent une exprience considrable dans le domaine, en comparaison.

Bennasar.Livre Page XX Mardi, 11. avril 2006 12:53 12

XX Plan de continuit dactivit et systme dinformation

Pour une vision stratgique de la continuit dactivit


En novembre 2004, Eliza Mannigham-Buller, directrice gnrale du MI51, dclarait
lors de la confrence du CBI2 :
On me demande souvent quel conseil je donnerais, qui serait le plus utile au
monde de lentreprise, si je ne devais en donner quun. Ma rponse est : un plan
de continuit dactivit, simple mais efficace, jour et rgulirement test. 1
1. Traduction libre.

Un des partis pris de ce livre est de placer la continuit dactivit au centre


dune problmatique dentreprise dans la sauvegarde et le dveloppement de ses
actifs. Il vise sortir la question de la continuit dactivit de son confinement
une affaire de solution technique (pour ne pas dire informatique) pour prner
limplication de la direction dans la dfinition des objectifs et besoins stratgiques
de continuit, ainsi que lengagement de toute lorganisation de lentreprise dans
la dmarche de mise en uvre et de dploiement sur tout le primtre de lentreprise. Cette conception de la continuit dactivit tend vers un systme de
management de la continuit dactivit de la mme faon par exemple, que la
problmatique de la qualit a volu vers le management par la qualit.

Une bote outils pour une approche pratique


Au-del de sa prise de position sur la place de la continuit dactivit dans
lentreprise, ce livre se veut pragmatique. Il aborde concrtement les aspects
pratiques de la mise en uvre dune stratgie de continuit dentreprise : dmarche,
acteurs, rles, mthodologie, outils, astuces et conseils, points dattention et
erreurs frquentes, exemples de livrables, etc. Il propose une terminologie qui
unifie les principaux concepts de la continuit. Il dresse un panorama des principales solutions techniques (puisque ce sujet reste central dans la dmarche !) et
illustre la mthodologie par quelques tudes de cas.

QUI SADRESSE CE LIVRE?


Avant tout, il est destin aux fonctions stratgiques et fonctionnelles de lentreprise
qui joueront un rle dcisif dans la dmarche, en tant que matrise douvrage de
la continuit dactivit. De leur implication dpendra la pertinence et ladquation
de la solution densemble, et surtout, son maintien en conditions oprationnelles.
1. Le clbre service de renseignements anglais, immortalis dans la srie des James Bond.
2. CBI : Confederation of British Industry, lquivalent britannique du MEDEF.

Bennasar.Livre Page XXI Mardi, 11. avril 2006 12:53 12

Avant-propos

XXI

Ainsi la direction gnrale, la direction des ressources humaines, la direction


juridique et la direction financire seront concernes. Dans une moindre mesure,
toute fonction de lentreprise qui a pour mission de garantir la scurit et la
continuit des oprations est concerne. Au-del de lintrt que ne devra pas
manquer de porter la direction gnrale un projet structurant pour son entreprise,
cest bien en tant que donneur dordre quelle trouvera des conseils dans ce livre pour
laider dfinir la politique et la stratgie de continuit dactivit de lentreprise.
Cet ouvrage traite nanmoins dun sujet forte composante technique
pour lentreprise et aura donc un intrt vident pour les matres duvre de la
continuit dactivit que sont les risk managers, les Responsables de la scurit
du systme dinformation (RSSI) et les directions des systmes dinformation
(DSI). Ils sont les acteurs principaux dune organisation pragmatique et dune
solution technique et organisationnelle adapte au contexte de lentreprise dont
ils veulent garantir la continuit dactivit. Cest en gnral par eux que la question de la continuit dactivit est souleve, et cest aussi par eux quelle trouve
des rponses.
Enfin, cest aussi aux acteurs externes lentreprise mais engags dans un rle
daccompagnement et de conseil que les principes dcrits dans ce livre sadressent.

STRUCTURE DU LIVRE
Trois parties composent lexpos :
La premire partie est avant tout destine aux dcideurs qui y trouveront
une synthse des points cls, les grands principes pour la russite dun
management de la continuit dactivit et lexpos des rles et responsabilits
en la matire.
Le chapitre 1 pose la problmatique de la continuit dactivit et dfinit
lorganisation humaine qui la sous-tend. Il expose ce quest et nest pas
la continuit dactivit, le cadre normatif et rglementaire dans lequel
la dmarche peut sinscrire, et propose un langage commun sur les
concepts qui y sont attachs.
Le chapitre 2 donne quelques conseils pour la mise en uvre dun management de la continuit dactivit dans une entreprise.
La deuxime partie prsente la mthodologie propose par lauteur en vue
dassurer la continuit dactivit (E=MCA1), les considrations techniques
sur les solutions de secours et les tudes de cas.
1. tapes vers le management de la continuit dactivit.

Bennasar.Livre Page XXII Mardi, 11. avril 2006 12:53 12

XXII Plan de continuit dactivit et systme dinformation

Le chapitre 3 constitue le cur mthodologique de louvrage o les six


phases de mise en uvre dun processus E=MCA sont dtailles (outils,
livrables et astuces associs). Il est destin en premier lieu au responsable
du plan de continuit dactivit, charg de mettre en musique les choix
du management.
Les chapitres 4 et 5 sont les plus techniques puisquils prsentent la typologie des principales solutions de secours (SI et autre) et abordent la
question centrale des estimations de cots. Cest un catalogue des stratgies possibles de secours dans lequel des valuations comparatives sont
proposes. Les directions informatiques y trouveront des lments de
rflexion pour dfinir une solution technique la cible fonctionnelle vise.
Les directions mtier pourront sinspirer des prconisations faites pour
dfinir leurs solutions techniques de secours. Il est cependant clair que la
plus grande part du propos est consacre au Systme dInformation (SI).
Le chapitre 6 propose quatre tudes de cas, prsentes selon un ordre de
complexit croissante et issues de cas concrets.
La troisime partie permet de placer le management de la continuit
dactivit dans ses perspectives dvolution.
Le chapitre 7 ouvre la rflexion sur les tendances et volutions possibles
de la discipline avec lintroduction du concept de systme de management
de la continuit dactivit.
Le chapitre 8 prsente une conclusion.
Enfin, les annexes prsentent les dmarches connexes qui peuvent faciliter
la mise en uvre de la continuit dactivit.

QUELQUES CLS DE LECTURE


Cl 1 : La vision du sujet est volontairement gnraliste. Beaucoup de
sous-sujets ne sont pas couverts dans le dtail parce que ce nest pas la
vocation premire de ce livre. On pourrait aisment envisager des ouvrages
entiers sur des thmes seulement effleurs comme le contrle du plan de
continuit dactivit (PCA), la ralisation du bilan dimpact sur lactivit
(BIA) ou la gestion de crise.
Cl 2 : Si le parti pris est de promouvoir une vision de la continuit dactivit qui transcende ses aspects systmes dinformation (SI), ce livre
sattarde nanmoins largement sur le traitement de la question de la continuit du SI. Les deux positions ne sexcluent pas mutuellement car il reste
vrai que :

Bennasar.Livre Page XXIII Mardi, 11. avril 2006 12:53 12

Avant-propos

XXIII

Le SI constitue souvent aujourdhui le maillon critique de la chane de


la continuit dactivit (il est lpine dorsale de lentreprise) ;
La standardisation des lments du SI permet daborder son secours de
faon plus dtaille et plus mthodique que les sujets spcifiques aux
mtiers de lentreprise ;
Pour une grande partie des entreprises (le secteur tertiaire en particulier),
le SI est loutil de production.
Cl 3 : Ce livre fait abondamment rfrence lentreprise. Pour les
commodits de la rdaction, ce terme entreprise recouvre galement
toute organisation pour qui peut se poser la question de la continuit
dactivit (socit, tablissement, organisme, banque, association, etc.).

REMERCIEMENTS
Je tiens exprimer ma gratitude toutes les personnes qui ont permis, directement
ou indirectement la rdaction de ce livre.
En tout premier lieu, ma femme Natacha et mes enfants, Joseph, Leia et
lose, pour leur soutien et leur patience pendant une intense priode de rdaction
et de mise au point qui venait sajouter une forte activit professionnelle.
eux va toute ma reconnaissance. galement ma mre, qui a mis au point le plan
de continuit de mes rvisions de concours. mon pre aussi, qui na jamais
cess de croire que je pourrais faire autre chose que de gravir des montagnes.
Ensuite mes collgues, anciens collgues et clients 1 qui ont, par leur
richesse, donn lessentiel de ce quon trouvera dans ce livre. En particulier :
Alain CHAMPENOIS, ancien consultant manager chez Bureau Veritas Consulting
et enseignant lIMI (UTC) pour sa vision panoramique du management des
SI ; Martine PASSA, consultante chez Cosmosbay pour son approche du management de projet ; Dominique JOUNIOT, ancien responsable de la scurit du
systme dinformation de Bureau Veritas pour sa passion communicative pour la
scurit des SI ; Frdric CAILLAUD, ancien directeur du dpartement SI de
Bureau Veritas Consulting pour son regard sur le management des risques ;
Jean-Marc ALANCHE, directeur technique chez Alcatel (DSI, production) ;
Jean-Pierre MARTIN, ancien consultant manager chez Bureau Veritas Consulting
et expert en qualit du SI ; Herv QUMIN et Claude ROBERT, responsables du
plan de reprise dactivit chez Alcatel (DSI, production) ; Dr Wolfgang KAUSCHKE,
Business Continuity Program Manager pour Alcatel.
1. Pour ne pas trahir lanonymat des missions ralises, je ne peux citer que quelques clients. Les
autres se reconnatront.

Bennasar.Livre Page XXIV Mardi, 11. avril 2006 12:53 12

XXIV Plan de continuit dactivit et systme dinformation

Paul THRON, prsident du chapitre franais du Business Continuity Institute,


qui a accept de prfacer ce livre et au Business Continuity Institute (en particulier
Lorraine DARKE) qui a accept, a posteriori, de lendosser. Enfin, tous ceux qui
mont clair par leur relecture attentive et leurs conseils aviss. En particulier :
Alain CHAMPENOIS (dj prsent), auteur lui-mme ; Jean-Benot GUINOT,
directeur du Management Office (DSI Alcatel) et auteur lui-mme ; Patrick
ARNOULD, RSSI (Alcatel, Management Information Systems) ; Christian ANESE,
ingnieur-conseil chez Ariane Ingnierie ; Martine P ASSA (dj prsente) ;
Jean-Luc BLANC et Carole TROCHU des ditions Dunod.

Bennasar.Livre Page 1 Mardi, 11. avril 2006 12:53 12

Premire partie

Manager
la continuit dactivit

Bennasar.Livre Page 2 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 3 Mardi, 11. avril 2006 12:53 12

1
La problmatique
et les acteurs
de la continuit dactivit

1.1

QUELQUES FAITS ET CHIFFRES


Pour comprendre le contexte dans lequel la problmatique de continuit dactivit
apparat, nous proposons un rapide tour dhorizon des lments internes et externes
lentreprise qui dvoilent les enjeux de la continuit dactivit, au travers de
rsultats denqutes et dexemples concrets de sinistres.

1.1.1 Le cot et la criticit des interruptions de SI


En 2001, Eagle Rock Alliance, cabinet de conseil spcialis dans la continuit
dactivit a ralis une enqute sur le cot de lindisponibilit et la criticit dune
interruption du SI auprs de 163 entreprises nord-amricaines. Si ltude date un
peu, ses rsultats sont intressants plus dun titre : non seulement, ils montrent
quune heure dindisponibilit du SI peut reprsenter un cot proche de celui de
la mise en place dun plan de continuit dactivit pour un quart des entreprises
sondes, mais aussi que toutes les entreprises sondes estiment que 72 heures
dinterruption de leur SI mettent en danger leur avenir. Ce dlai est ramen
8 heures pour un quart de ces mmes entreprises.

Bennasar.Livre Page 4 Mardi, 11. avril 2006 12:53 12

Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Cot d1 heure
dinterruption
du SI

Dlai admissible
dinterruption du SI
avant risque de faillite

> 1 M$

8%

72 h

De 501 k$ 1 M$

9%

48 h

De 251 500 k$

9%

24 h

De 101
250 k$
De 51 100 k$

13 %
15 %
46 %

< 50 k$

40 %
21 %
19 %

8h

8%

4 h

9%

1h

7%

10% 20% 30% 40% 50%

Rpartition des entreprises


suivant le cot d1 heure
dinterruption du SI

10% 20% 30% 40% 50%

Rpartition des entreprises


suivant le dlai admissible
dinterruption du SI avant
risque de faillite

Figure 1.1 a) Cot dune heure dinterruption,


b) Dlai maximum tolrable dinterruption du SI avant risque de faillite
(source : Eagle Rock Alliance, 2001)

1.1.2 La situation des entreprises franaises


Plus proche de nous, en France, le Clusif mne rgulirement des enqutes sur
la sinistralit informatique. Dans son tude Politiques de scurit dinformation
et sinistralit en France : Bilan 2003, le Clusif met en vidence le caractre
embryonnaire de bien des plans de continuit dactivit en France. Si la mise en
place de procdures de sauvegardes externalises est acquise pour la moiti des
entreprises (cest la composante de base dun dispositif de continuit dactivit),
il en va tout autrement des plans de raction un sinistre majeur (plan de
gestion de crise, plan de continuit dactivit, plan de secours informatique)
comme en tmoigne la figure 1.2.
Ces chiffres doivent tre pondrs par la taille des entreprises interroges :
les entreprises de taille importante sont proportionnellement beaucoup plus
nombreuses tre dotes dun plan de continuit dactivit (PCA) que les entreprises de petite taille (cest le cas pour 54 % des entreprises de plus de 1 000 salaris
par exemple).

Bennasar.Livre Page 5 Mardi, 11. avril 2006 12:53 12

1.1 Quelques faits et chiffres

Procdures de stockages
hors des sites des sauvegardes

53 %

Plan de continuit
dactivit conomique

16 %

Plan de secours des


moyens informatiques

18 %
10 %

Plan de crise

10 % 20 % 30 % 40 % 50 %

Figure 1.2 Continuit de lactivit et prise de risque des entreprises

1.1.3 Les entreprises franaises compares au reste du monde


Le cabinet Ernst & Young, quant lui, a ralis une tude sur La scurit des
systmes dinformation dans les entreprises franaises en 2004. De cette analyse
comparative entre les entreprises franaises et le reste du monde, il ressort un
constat sans appel : La capacit des entreprises [franaises] continuer leurs
activits en cas dincident majeur reste limite (30 % versus 47 % dans le
monde) . La France compte par ailleurs un peloton de queue dentreprises
nayant quune capacit faible assurer la continuit dactivit (17 % versus 4 %
dans le monde) comme en tmoigne la figure 1.3.

5 (trs bonne)

9%
10 %
21 %

Figure 1.3 Capacit


des entreprises assurer
leur continuit dactivit
en cas dincident critique

37 %
36 %

37 %
2

17 %
12 %

1 (faible)

17 %
4%
10 % 20 % 30 % 40 % 50 %

France
Monde

Bennasar.Livre Page 6 Mardi, 11. avril 2006 12:53 12

Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Compare au Royaume-Uni, la France souffre dun retard flagrant pour la


mise en uvre de plans de continuit dactivit (PCA). Selon le Business
Continuity Institute (BCI), ce sont prs de 70 % des entreprises et organisations
britanniques qui ont un PCA en place1 (ce chiffre grimpe mme 80 % dans les
secteurs finances et distribution).
Par ailleurs, on remarquera que les deux tudes qui prcdent (Clusif et Ernst
& Young) rvlent la difficult des professionnels sentendre sur le vocabulaire.

1.1.4 Quelques exemples frappants


Les trois exemples rels suivants sont issus du tissu conomique franais 2. Ils
illustrent, pour trois types de sinistres distincts, quelques consquences possibles
dun sinistre sur lactivit dune entreprise. Ce type dillustrations est difficile
obtenir : les entreprises sont trs rticentes communiquer sur les incidents
majeurs dont elles sont victimes. Pour des raisons de confidentialit, lanonymat
des socits impliques dans les incidents qui suivent a t prserv.

Exemple 1 : destruction dun disque de serveur lors dune opration de maintenance


Les faits Lors dune opration routinire de maintenance, un disque de
lun des serveurs dune grosse PME est dtruit. Les donnes contenues sur
le disque ne sont sauvegardes nulle part et sont, par consquent, perdues
sans restauration possible.
Les consquences Le travail laborieux de reconstitution des donnes
dtruites aura un cot direct de 100 000 euros. Le cot du fonctionnement
en mode dgrad na pas t chiffr mais induit une perte de productivit
estime entre 50 et 75 % pendant la dure de reconstitution des donnes
pour les services impacts.
Notre analyse Cest un cas aussi lmentaire que rel qui pourrait se
produire dans bien des socits que jai visites. Cest un cas qui ne relve
de la continuit dactivit que dans sa composante lmentaire : la prvention au moyen de stratgies de sauvegardes. La solution de mise en place
dun systme de sauvegarde, darchivage et dune politique associe est
impose par le bon sens. Mais, pour paraphraser un grand auteur, la pratique
a ses raisons que le bon sens ne convainc pas toujours

1. Business Continuity Research, 2005, Key findings at a glance , Business Continuity Institute.
2. Dans le monde anglo-saxon, on citera la mmorable coupure dalimentation lectrique du
6 dcembre 1999 chez e-Bay qui provoqua un arrt de 22 heures des systmes, cota environ
quatre millions de dollars et fit vaciller le cours de laction de 26 % (source Gartner Group).

Bennasar.Livre Page 7 Mardi, 11. avril 2006 12:53 12

1.1 Quelques faits et chiffres

Exemple 2 : incendie dun centre informatique de traitement de chques (source


Clusif)
Les faits Un incendie dorigine accidentelle se dclenche dans un centre
informatique de traitement de chques. Ce centre dispose dun contrat de
tl-backup avec une socit de services, mais la partie tlcoms du plan
de backup na pas t suffisamment teste. La chane ne peut fonctionner
nouveau que 20 jours aprs le sinistre, en mode trs dgrad.
Les consquences Les dommages matriels (essentiellement dus aux fumes
et au gaz de dcomposition du gaz extincteur et pas, comme on pouvait sy
attendre, la chaleur et aux flammes) sont valus 170 000 euros. Les
pertes indirectes sont quant elles estimes 2,3 millions deuros.
Notre analyse Cest un cas plus typique de problmatique de continuit
dactivit. On notera que les dgts de lincendie sont plus lis la pollution du matriel par fume qu sa destruction par le feu. Le management
du centre informatique est leurr par un contrat de backup insuffisamment
test qui donne une fausse impression de scurit.

Exemple 3 : rupture dalimentation lectrique


Les faits En 2004, pour une raison non claircie ce jour (possible malveillance), lalimentation lectrique du centre informatique dun important GIE franais (plusieurs milliers de points de vente sur tout le territoire
franais) est interrompue. Le site, qui possde pourtant une organisation de
crise et une solution de secours de lalimentation, met plus de 4 heures avant
de rtablir la situation alors que ses objectifs de reprise sont bien infrieurs.
Les consquences La vente des produits est interrompue pendant 4 heures,
un moment critique (pic daffluence des ventes). La perte financire
directe se chiffre environ 15 millions deuros. La perte en terme dimage
nest pas chiffre mais est consquente pour une socit qui base son
service sur la disponibilit (objectif d1 heure maximum dinterruption).
Notre analyse Cet exemple est plus complexe, surtout si la thse de la malveillance est confirme. Il relve cependant bien du champ daction de la
continuit dactivit (et particulirement de la gestion de crise). L encore,
le secours informatique et les moyens techniques pour rpondre lincident
grave sont bien dfinis (groupes lectrognes en particulier). La gestion de
crise nest en revanche pas suffisamment ractive pour assurer la tenue de
lobjectif dindisponibilit maximum dune heure. Les deux points faibles sont :
la dfinition pas assez claire des canaux de communication, des instances
de dcision de crise et des outils daide la dcision ;
labsence de test rgulier du mode de raction une crise.

Bennasar.Livre Page 8 Mardi, 11. avril 2006 12:53 12

Chapitre 1. La problmatique et les acteurs de la continuit dactivit

1.1.5 Bilan
Mme si les chiffres et exemples exposs tendent au catastrophisme (cest le
cur du sujet !), ils rvlent les enjeux de la continuit dactivit. Les entreprises
franaises ne se montrent pas aussi convaincues vis--vis de la continuit dactivit que leurs homologues trangres, anglo-saxonnes en particulier. Des progrs
considrables ont toutefois t enregistrs, en particulier depuis lessor de la
fonction de responsable de la scurit du systme dinformation (RSSI).

1.2

SE PRPARER AU PIRE: UNE VISION PESSIMISTE DU MONDE?


Le dialogue scuritaire ambiant nest pas du got de tous mais il rpond des
tendances lourdes sur lesquelles les observateurs avertis ne manquent pas de
saccorder. Au risque de ne brosser quun tableau partiel, gographiquement
partial et sur une fentre chronologique restreinte, on ne peut pas tre insensible
lchelle et la frquence des sinistres majeurs de notre temps :
La tempte dvastatrice de dcembre 1999 ;
Linquitude du bug de lan 2000 (sinistre manqu !) ;
Le crash du Concorde en juillet 2000 ;
Les attentats du World Trade Center le 11 septembre 2001 ;
Lexplosion lusine AZF de Toulouse le 21 septembre 2001 ;
Les inondations du Gard en septembre 2002 et laugmentation sensible
des inondations de classe 3 et 4 depuis 15 ans en France ;
La canicule de lt 2003 ;
Les coupures massives dlectricit de septembre 2003 (Nord-Est amricain
et Italie) ;
Les attentats de Madrid du 11 mars 2004 ;
Le tsunami du Sud-Est asiatique du 26 dcembre 2004 ;
Les attentats de Londres le 7 juillet 2005 ;
Les attentats de Charm-El-Cheikh du 23 juillet 2005 ;
La srie noire des accidents davion de lt 2005 (6 crashs) ;
Les ouragans Katrina, Rita et Wilma dans le golfe du Mexique en aot,
septembre et octobre 2005 ;
Le tremblement de terre du Pakistan en octobre 2005 ;
Les meutes en rgion parisienne et en province en novembre 2005, etc.

Bennasar.Livre Page 9 Mardi, 11. avril 2006 12:53 12

1.2 Se prparer au pire : une vision pessimiste du monde ?

Non seulement la frquence et lintensit des sinistres majeurs croissent rapidement mais leurs impacts conomiques semblent augmenter encore plus rapidement. Lillustration de ces tendances est saisissante quand on se penche sur
lvolution des pertes conomiques dues aux seules catastrophes naturelles au
cours de la priode 1950-2003 (figure 1.4) :
> 120
80
70
60
50
40
30
20
10

1950

1960

1970

1980

1990

2000

Figure 1.4 volution des pertes conomiques mondiales dues aux catastrophes
naturelles au cours de la priode 1950-2003 (daprs Munich Re)

Bien sr, ces statistiques refltent surtout la complexit croissante de nos organisations. Leffet domino li linterpntration et linterdpendance des principaux rseaux a bien t ressenti en France lors des temptes de dcembre 1999.
La fragilisation qui en rsulte a t dcrite par X. Guilhou et P. Lagadec : Nos
socits complexes ne sont plus quenchevtrements de nuds, concentrant des
pouvoirs de diffraction colossaux. Il en rsulte des problmes de scurit particulirement aigus, faits deffets de seuils, deffets de complexit, deffets de rsonance
jusqualors inconnus 1.
Mais les sinistres et les catastrophes naturelles ont bel et bien des tendances
inflationnistes depuis la fin du XXe sicle, la fois en frquence et en gravit.
Dans le mme temps, les demandes des clients et, plus gnralement, du public,
1. P. Lagadec et X. Guilhou, La fin du risque zro, Eyrolles, 2002.

Bennasar.Livre Page 10 Mardi, 11. avril 2006 12:53 12

10 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

tendent vers une exigence du risque zro : cest ce que lon peut appeler le grand
cart du risque ! Pour rpondre cette double problmatique antagoniste (davantage de sinistres, davantage de scurit), les modes classiques de scurisation
(principalement ports par les pouvoirs publics dans leur rle rgalien de protection civile) sadaptent mais peinent prendre la mesure des nouveaux enjeux.
Mais du ct de lconomie, les entreprises ne peuvent pas se reposer sur la
protection civile pour assurer la sauvegarde de leur patrimoine, ni se retrancher
derrire la fatalit dun phnomne local pour justifier des pertes dans une
conomie mondialise.
Par ncessit, lentreprise doit aujourdhui passer dune gestion ractive et
dfensive du risque (principalement par le biais de lassurance et la r-assurance)
une gestion qui se veut pro-active et offensive : cest dans ce dernier cadre que
la notion de gestion de la continuit dactivit dentreprise prend tout son sens.
Se prparer au pire dans ce contexte procde ds lors plus dune vision raliste et
pragmatique du monde que dune angoisse apocalyptique.

1.3

CONTOURS ET DOMAINES DE LA CONTINUIT DACTIVIT


Le management de la continuit dactivit (MCA) est une discipline relativement nouvelle qui vise dfinir un cadre dans lequel lentreprise peut minimiser
limpact adverse dun sinistre majeur sur son activit. Elle a tout dabord exist
comme partie intgrante dapproches principales (scurit des SI, management
des risques en particulier).
Le rfrentiel ISO 17799 par exemple, rfrence en scurit des systmes dinformation, prsente la continuit dactivit comme un maillon, certes important
mais un maillon seulement, de la gestion de la scurit de linformation.
Plus rcemment, le management de la continuit dactivit a merg comme
une discipline part entire, surtout partir de la deuxime moiti des annes
1990. Lapparition de cabinets spcialiss sur le sujet, de groupes professionnels
ddis (comme le Business Continuity Institute [BCI] ou le Disaster Recovery
Institute International1 [DRII] pour citer les plus connus) ou de certifications de
personnes dans le domaine a sign lacte de naissance du management de la
continuit dactivit parmi les sciences de gestion.
Le terreau de la croissance de cette discipline me semble constitu des
lments suivants :
Un climat mondial plomb par laugmentation avre des sinistres naturels et technologiques (en frquence et en gravit).
1. Apparu, il est vrai, la fin des annes 1980.

Bennasar.Livre Page 11 Mardi, 11. avril 2006 12:53 12

1.3 Contours et domaines de la continuit dactivit

11

La complexit croissante des organisations.


Une dpendance toujours plus forte des entreprises vis--vis de leur systme
dinformation.
Une durcification progressive de la rglementation concernant la continuit dactivit.
Laugmentation sensible des exigences clients, augmentation qui va de
pair avec la diminution (toute aussi sensible) de la tolrance des clients
aux carts de service.
La monte en puissance de disciplines connexes comme le management
des risques ou la scurit des systmes dinformation.
Les tendances de lconomie et lvolution de la sinistralit mondiale contraignent les entreprises sortir dun schma de rponse ractive aux situations de
crises. La ncessit dune approche pro-active a projet le management de la
continuit dactivit sur le devant de la scne.
Les grands cabinets de conseil se sont empars de la discipline et se sont
empresss de la faire figurer au catalogue de leurs prestations. Bien sr, leffet de
mode est sans doute derrire un certain nombre de plans de continuit actuellement
en opration (ou en non-opration dailleurs). On dfinit son PCA comme on a
pu faire du Business Process Reengineering, mettre en place un ERP, ou dcider
dune politique de gestion de la relation client (CRM). Mais la dmarche MCA
scarte des chemins de pense et des modes des business schools : la mise en
uvre dun plan de continuit dactivit est au dpart une rponse des problmatiques techniques bien plus que lapplication de thories de management ;
cest encore souvent plus un rflexe de survie (prvoir le pire) quune recherche
de performance ; cest plus un lment vital quun chantier pour entreprise prospre
en mal de gadget.
Si leffet de mode existe, il sestompera bientt. Il y a peu de chances quaucune
des raisons donnes plus haut pour lapparition de la discipline MCA ne saffaiblisse, bien au contraire. Si lon en croit lactualit, les perspectives sont malheureusement rjouissantes pour la continuit dactivit.

1.3.1 Une approche holistique1 du management


Le management de la continuit dactivit a acquis en trs peu dannes ses
lettres de noblesse dans le monde anglo-saxon. Au dpart considre comme une
1. Dans lusage actuel, le terme holistique sapplique toute dmarche globalisante ou syncrtique
o divers lments, habituellement isols, sont regroups et coordonns pour lobtention plus
efficace dun rsultat vis.

Bennasar.Livre Page 12 Mardi, 11. avril 2006 12:53 12

12 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

discipline technique, oprationnelle et ractive, elle est aujourdhui pleinement


intgre au gouvernement dentreprise1 en tant que discipline de gestion pro-active.
Avec un peu de retard, le monde francophone sapproprie cette approche.
Pour reprendre la dfinition quen donne le Business Continuity Institute (BCI) :
Le management de la continuit dactivit est un processus holistique de
management qui identifie les impacts potentiels qui menacent une organisation et fournit un cadre pour assurer la rsilience 1 de lentreprise et construire
une rponse efficace qui protge les intrts, la rputation et les activits de
cration de valeur de lorganisation. 2
1. Rsilience : caractristique dun matriau qui rsiste au choc. Concept appliqu au domaine
de la psychologie (notamment par Boris Cyrulnik), et plus rcemment au management, et
dfini alors comme la capacit des individus, des groupes et des organisations rsister des
environnements adverses, puis rebondir.
2. BCI, traduction libre.

Construire un management de la continuit dactivit, cest construire un


systme de management intgr dans le systme de management traditionnel qui
pourra devenir oprationnel et efficace quand la soudainet et lchelle dvnements inattendus rendront le systme de management traditionnel incapable de
raliser sa mission originelle.
Lapproche MCA devient donc une approche structurante, un mode dorganisation qui touche toutes les activits de lentreprise, une approche holistique
du management. Ainsi, dans son acception la plus large, le MCA couvre en
particulier les risques et domaines suivants (mais ne sy limite pas) :
Sant et scurit du personnel
Scurit des produits et sant des clients
Responsabilit environnementale
Impact sur limage, la rputation, les marques
Perte de comptences et/ou de savoir-faire
Rupture de la supply chain
Menaces terroristes et de conflits militariss
Destruction de site
Catastrophes naturelles
Pertes de rseaux de tlcommunications
Pertes dinfrastructure du SI
1. Parfois appel aussi gouvernance dentreprise.

Bennasar.Livre Page 13 Mardi, 11. avril 2006 12:53 12

1.3 Contours et domaines de la continuit dactivit

13

Si certaines entreprises limitent encore leur plan de reprise dactivit la


reprise dactivit informatique, la plupart reconnaissent aujourdhui (souvent
aprs une exprience douloureuse) la ncessit dune prise en compte beaucoup
plus globale de la notion de secours .

1.3.2 Gouvernement dentreprise, management des risques


et continuit dactivit

Ris
qu
es

ne
er
t
ex

R
i
s
qu
es

Ris
q

ne
er
t
ex

rne
te
ex

ue
s

La problmatique de continuit dactivit ne se pose pas aujourdhui dans labsolu.


Elle se raccorde des problmatiques de gestion et de management dont les plus
videntes sont le gouvernement dentreprise, le management des risques et la
gestion de crise.
Dans ses Principes de gouvernement dentreprise1, lOCDE propose que, pour
assumer leurs responsabilits, les administrateurs doivent avoir accs des
informations exactes, pertinentes et disponibles en temps opportun. : autant
dobjectifs que la mise en uvre dun plan de continuit dactivit contribuera
atteindre.

rne
te
ex

R
i
s
qu
es

Figure 1.5 Paysage des risques de lentreprise

1. Principes de gouvernement dentreprise de lOCDE, 2004, (VI/ F, p. 27).

Bennasar.Livre Page 14 Mardi, 11. avril 2006 12:53 12

14 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Par ailleurs, la dmarche de management des risques dentreprise (telle que


celle prconise par le COSO1) vise essentiellement identifier et qualifier les
risques pour mettre en place des plans de management des risques. ce titre, les
risques lis la rupture de la continuit dactivit de lentreprise font pleinement
partie du paysage du risque et le plan de continuit dactivit nest quun cas
particulier de plan de management des risques.

1.3.3 Le plan de continuit dactivit: une dfinition


Le plan de continuit dactivit (PCA) est la manifestation tangible du management de la continuit dactivit. Il constitue lorganisation et la formalisation
des modes de raction de lorganisation aux situations extrmes auxquelles celleci peut tre confronte.
Le comit de la rglementation bancaire et financire (CRBF) donne la dfinition suivante du plan de continuit dactivit :
Ensemble de mesures visant assurer, selon divers scnarios de crises, y
compris face des chocs extrmes, le maintien, le cas chant de faon temporaire selon un mode dgrad, des prestations de services essentielles de lentreprise puis la reprise planifie des activits 1.
1. CRBF 2004-02, italique ajout.

Ainsi :
Sil est fond sur une solution technique de secours du systme dinformation (SI), le PCA ne sy limite pas : cest un ensemble de mesures comprenant
une organisation, des modes de raction, des actions de communication, etc. ;
Le PCA doit permettre de couvrir des situations de chocs extrmes : il
sinscrit bien dans la raction aux sinistres prsents en introduction dont
la violence, on la vu, peut tre extrme ;
Le PCA doit tre conu pour faire face divers scnarios de crises : cela
suppose que des scnarios ont t tudis et quune dcision a t prise quant
aux scnarios contre lesquels le dispositif du PCA devra se rvler efficace ;
Le mode de raction au sinistre peut tout fait savrer tre un mode
dgrad de services mais pour dgrad quil soit, il devra couvrir les activits
essentielles de lentreprise : celles-ci auront donc t dfinies au pralable ;
La mise en place du PCA sera temporaire puisquune reprise planifie des
activits en mode nominal aura t prvue : les conditions de retour la
normale et les critres de retour auront donc t dfinis.
1. COSO Enterprise Risk Management Framework (ERM).

Bennasar.Livre Page 15 Mardi, 11. avril 2006 12:53 12

1.3 Contours et domaines de la continuit dactivit

15

En rsum, le dispositif que lon dfinit comme le plan de continuit dactivit permettra de limiter les impacts adverses dun sinistre majeur sur lactivit
dune entreprise pour lui permettre un retour efficace une situation nominale,
comme lillustre le synoptique suivant :

Sinistre

Fin
de
crise

Crise

Ragir
Plan de continuit dactivit
Prvenir

Prvenir
laborer
et tester
le PCA

Ragir

Diagnostiquer
Activer le PCA

Grer

Normaliser
le retour

Maintenir

Activer le PCA :
Communiquer
Organiser
Grer

Figure 1.6 Cinmatique de la crise

1.3.4 De lincident au sinistre majeur


La frontire entre incident et sinistre majeur nest sans doute pas une barrire
aussi infranchissable quon pourrait limaginer : linfection virale est certes un
incident de scurit mais quand la contamination se rpand lensemble des
ressources critiques, on est proche du scnario de crise.
Pourtant, si le plan de continuit pourra prendre toute son importance en cas
dinfection virale gnralise, ce nest pas sa vocation que de constituer une
rponse un incident, ft-ce un grave incident de scurit. Le PCA nest l que
lorsque tout le reste a chou.
Un PCA nest quune ultime rponse, quand toutes les barrires, protections
et mesures de prvention ont failli et que le sinistre a touch le cur du systme.
Le PCA est la solution de la dernire chance.
Ainsi, il ne faudra pas chercher dans cet ouvrage de conseils pour la gestion
courante des incidents dexploitation ou de fonctionnement. Le propos est
ailleurs : on parle bien ici dultime recours.

Bennasar.Livre Page 16 Mardi, 11. avril 2006 12:53 12

16 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

1.3.5 Ce qui nest pas du ressort de la continuit dactivit


Si lon sait maintenant mieux ce quest le plan de continuit dactivit, on peut
dcrire ce quil nest pas pour prciser encore le contour de la notion :
Le PCA nest pas une solution informatique une problmatique dentreprise ;
Le PCA nest pas un outil permettant de maintenir le niveau courant de
qualit de service ;
Le PCA nest pas la solution universelle permettant de faire face toutes
les situations de sinistres imaginables ;
Le PCA nest pas une solution prenne pour la gestion des activits
courantes de lentreprise ;
Le PCA nest pas une solution de traitement des incidents de lentreprise,
fussent-ils des incidents graves de scurit informatique (de type attaque
virale ou attaque en dni de service), en tout cas jusqu ce que lampleur des
incidents les requalifie en sinistre ; tant que ce nest pas le cas, ils relvent
des processus courants de gestion des problmes et incidents ;
Le PCA nest pas cens permettre la gestion des risques long terme de
lentreprise.

1.4

LA RGLEMENTATION ET QUELQUES NORMES


Un nombre toujours croissant de rglementations et normes abordent
aujourdhui le sujet de la continuit dactivit. Nous voquons ici les principales
exigences qui ont un impact sur le march franais. Ce recensement ne se veut
cependant pas exhaustif. Par ailleurs, seules les parties des normes et rglementations se rapportant au sujet du livre sont prsentes.

1.4.1 La rglementation
La capacit assurer la continuit dactivit est un critre que les investisseurs et
rgulateurs prennent de plus en plus en compte. La plupart des textes rglementaires relatifs aux activits commerciales et financires imposent des exigences de
matrise des risques et de contrle interne qui touchent, plus ou moins directement,
la continuit dactivit. Cest le cas pour les dcisions du comit de Ble II, de la loi
de scurit financire, du rglement CRBF 2004-02 et du Sarbanes-Oxley Act.

Ble II (secteur bancaire international)


Le comit de Ble sur le contrle bancaire, fond en 1975 et regroupant les
gouverneurs des banques centrales des pays du G-10 a revu en janvier 2001

Bennasar.Livre Page 17 Mardi, 11. avril 2006 12:53 12

1.4 La rglementation et quelques normes

17

(Ble II ) ses recommandations pour introduire un nouveau ratio de solvabilit : le ratio Mc Donough remplacera ds 2007 lancien ratio Cooke.
Les ratios de solvabilit mesurent la sant des institutions financires sur le
constat que leur stabilit dpend de fonds propres adapts aux risques auxquels
elles doivent faire face.
La nouveaut de Ble II (et du ratio Mc Donough) est dajouter aux risques
classiques de crdit et de march la prise en compte dun risque oprationnel.
Selon la dfinition de Ble II, le risque oprationnel est un risque de pertes
rsultant de procdures internes inadquates ou dfaillantes, du personnel, des
systmes ou dvnements extrieurs. Il inclut pleinement (bien quil ne sy
limite pas) les risques du SI lis la problmatique de continuit dactivit.
En 2003, le Comit a publi des bonnes pratiques de gestion du risque oprationnel1, dont le principe 7 nonce (extraits) :
Les banques devraient mettre en place des plans de secours et de continuit
dexploitation2 pour garantir un fonctionnement sans interruption et limiter les
pertes en cas de perturbation grave de lactivit.

La loi de scurit financire (France)


Il sagit de la loi n2003-706 du 1er aot 2003 de scurit financire qui encadre
le rglement suivant (CRBF). Elle ne fait pas explicitement mention de mesures
de continuit dactivit mais pose les bases sur lesquelles se tient le CRBF 2004-02
(notamment dans ses articles 46, 47 et 49). Elle prcise des exigences fortes en
terme de procdures de contrle interne.

CRBF 2004-02 (France)


Le comit de la rglementation bancaire et financire (CRBF) a pour mission de
fixer dans le cadre des orientations dfinies par le gouvernement et sous
rserve des attributions du comit de la rglementation comptable, les prescriptions dordre gnral applicables aux tablissements de crdit et aux entreprises
dinvestissement. 3
Le rglement CRBF 2004-02 du 15 janvier 2004 vient modifier le rglement
CRBF 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de
crdit et des entreprises dinvestissement. Il vient remplacer la notion de
procdures de secours informatiques du CRBF 97-02 par celle dun PCA
document, cohrent et test.
1. Saines pratiques pour la gestion et la surveillance du risque oprationnel , comit de Ble
pour le contrle bancaire, n96, fvrier 2003.
2. La version anglaise parle de business continuity plans quil me semblerait plus correct de
traduire par plan de continuit dactivit que par plan de continuit dexploitation .
3. Source : www.banque-france.fr

Bennasar.Livre Page 18 Mardi, 11. avril 2006 12:53 12

18 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Cest dailleurs du rglement CRBF 2004-02 quest tire la dfinition du plan


de continuit dactivit retenu dans ce livre.
Le seul article (article 14-1) quajoute le CRBF 2004-02 au CRBF 97-02 se lit
ainsi : Outre les dispositions prvues larticle 14 du prsent rglement, les
entreprises assujetties doivent :
Disposer de plans de continuit dactivit ;
Sassurer que leur organisation et la disponibilit de leurs ressources humaines,
immobilires, techniques et financires font lobjet dune apprciation
rgulire au regard des risques lis la continuit de lactivit ;
Sassurer de la cohrence et de lefficacit des plans de continuit dactivit dans le cadre dun plan global qui intgre les objectifs dfinis par
lorgane excutif et, le cas chant, par lorgane dlibrant.
Applicable depuis le 1er juillet 2004, le CRBF 2004-02 pose les bases pour que :
Le PCA puisse tre audit par la commission bancaire ;
Les rapports de contrle interne mentionnent systmatiquement le sujet.

Le Sarbanes-Oxley Act (tats-Unis)


Nous quittons la sphre franaise et europenne pour nous pencher sur la loi
amricaine ayant trait au contrle interne sur le reporting financier : la loi Sarbanes-Oxley.
Cette loi impose aux entreprises cotes sur un march amricain de nouvelles
exigences en terme de contrle interne. Ces exigences ont un fort impact sur les
contrles et procdures appliqus aux systmes dinformation produisant linformation financire.
Bien que la loi ne fasse pas spcifiquement rfrence des mesures de management de la continuit dactivit, elle est en revanche explicite en ce qui
concerne la disponibilit et lexhaustivit des processus et donnes ncessaires
ltablissement des rapports financiers de lentreprise.
Dans les faits, certaines entreprises ont profit de llan donn par les chantiers Sarbanes-Oxley pour mettre en uvre un management de la continuit
dactivit, quand dautres ont simplement ignor le sujet. Cest la responsabilit
ultime du management de dcider, avec ses commissaires aux comptes, de ce qui
permet que les processus1 de reporting financier se droulent conformment aux
1. Cette notion de processus ne se limite pas aux actions comptables mais comprend galement lorganisation, les procdures et les systmes qui soutiennent la production des rapports financiers.

Bennasar.Livre Page 19 Mardi, 11. avril 2006 12:53 12

1.4 La rglementation et quelques normes

19

exigences de la loi. Dans certains cas, la mise en place dun PCA sera sans doute
du bon sens. Dans tous les cas, ltape initiale dun projet PCA :
dterminera si le reporting financier (dans ses contraintes rglementaires)
rentre dans les activits critiques de lentreprise et, si oui, quel niveau
(dans le cadre du bilan dimpact sur lactivit) ;
mettra en uvre une analyse fine des risques pour dterminer les risques et
vulnrabilits de lentreprise : cette analyse de risques fait partie des
exigences de la loi Sarbanes-Oxley (section 404 en particulier).
La mise en marche dun projet PCA, sil nest pas exig par la loi SarbanesOxley1, peut tre un levier fort pour atteindre la conformit un grand nombre
des exigences de la loi. Le management de la continuit dactivit doit tre vu
comme un outil et une opportunit dans ce cadre-l.

Figure 1.7 Approche Sarbanes-Oxley pour le contrle interne informatique


(daprs Protiviti)

1.4.2 Les normes et standards


ISO/TS 16949
Avec lISO/TS 16949, on sort de la sphre rglementaire pour entrer dans la
sphre normative. LISO/TS 16949 est ladaptation aux entreprises du secteur
automobile de la norme ISO 9001. Son titre exact est : Systmes de management de la qualit exigences particulires pour lapplication de lISO 9001 : 2000
pour la production de srie et pices de rechange dans lindustrie automobile .
1. Le PCAOB (Public Company Accountant Oversight Board, organe de supervision amricain des
comptables du secteur public) a clairement indiqu en mars 2004 que la mise en place dun
PCA ntait pas requis par la loi Sarbanes-Oxley.

Bennasar.Livre Page 20 Mardi, 11. avril 2006 12:53 12

20 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

LISO/TS 16949 propose ainsi des exigences complmentaires (souvent supplmentaires) pour la planification et la mise en uvre dun systme de management
de la qualit dans lindustrie automobile.
Le paragraphe 6.3.2 Plans durgence, contient des exigences que la mise en
uvre dun plan de continuit dactivit permet de satisfaire : Lorganisme
doit laborer des plans durgence afin de satisfaire les exigences du client en
situation durgence, par exemple suite des problmes dapprovisionnement,
une pnurie de main-duvre, une dfaillance dquipement cl ou des remplacements de pices en clientle .
Il est bien entendu que des mesures conservatoires basiques peuvent satisfaire
convenablement ces exigences et que la mise en uvre dun plan de continuit
dactivit nest pas clairement impose par la norme. Ceci tant, lesprit dans lequel
ces exigences ont t rajoutes indique un chemin qui mne, terme, au PCA.

TL9000
La norme TL9000, quant elle, est la dclinaison aux entreprises du secteur des
tlcoms de la norme ISO 9001. De mme que lISO/TS 16949 pour le monde
automobile, la TL9000 propose des exigences supplmentaires pour la planification
et la mise en uvre dun systme de management de la qualit dans lindustrie
des tlcoms.
Son paragraphe 7.1.C.3 stipule que : Lorganisme doit laborer et maintenir
des mthodes de reprise dactivit en cas de sinistre, pour garantir sa capacit
rtablir et fournir le produit tout au long de son cycle de vie. 1
Le processus de management de la continuit dactivit est ici clairement
indiqu.

ISO 17799 (version 2005)


Lobjectif nest pas ici de prsenter cette norme. On se reportera pour ce faire au
paragraphe ISO 17799, BS-7799-2 et ISO 27001 dans lannexe C2. Il suffira ici
dindiquer que le rfrentiel ISO 17799 fait aujourdhui foi en ce qui concerne le
management de la scurit de linformation. Nous prsenterons nanmoins
succinctement le chapitre 14 de la norme qui traite du management de la continuit dactivit et exige que soient mis en uvre :
Un processus de management de la continuit dactivit fond sur :
lanalyse des risques et des vulnrabilits ;
la prise en compte des enjeux de lentreprise en matire de scurit et
des impacts des sinistres potentiels sur lactivit ;
1. Traduction libre.

Bennasar.Livre Page 21 Mardi, 11. avril 2006 12:53 12

1.4 La rglementation et quelques normes

21

la dfinition dune stratgie de continuit dactivit cohrente avec les


objectifs ;
le transfert ventuel de certains risques sur des polices dassurance
appropries ;
la formalisation de plans de continuit en ligne avec la stratgie
dentreprise ;
la mise jour et le test des dispositifs prvus ;
la rpartition des responsabilits pour le management de la continuit
dactivit ;
un bilan systmatique dimpact sur lactivit au cours duquel : les sinistres potentiels sont valus et les impacts dtermins, une stratgie de
continuit dactivit est dcide pour rpondre aux enjeux.
Des mesures pour dvelopper et mettre en place des plans de continuit :
dfinition des responsabilits et des procdures en cas durgence, sensibilisation du personnel, dfinition des modalits de mise jour et de test des plans.
Un cadre unifi pour la planification de la continuit dactivit qui vise
assurer la cohrence globale du dispositif et son caractre oprationnel.
Des modalits de maintenance, de test et dvaluation des plans de continuit dactivit
Ce canevas normatif se rapproche fort de la trame mthodologique prsente
dans le chapitre 3.

Les guides mthodologiques du BCI1 (Good Practice Guidelines)


Sous limpulsion du Dr David J. Smith, spcialiste du management de la continuit
dactivit (MCA), le Business Continuity Institute (BCI) a produit en 2002 un
ensemble de guides mthodologiques qui dcrit une approche pour le dveloppement dune stratgie de continuit dactivit, les Good Practice Guidelines.
Quoique diffrant lgrement de lapproche prsente au chapitre 3, ces
guides constituent un outil mthodologique remarquable pour la mise en uvre
dun plan de continuit dactivit. Ltendue et la finesse de linformation contenues dans ces guides en font une ressource trs apprcie des spcialistes et bien
adapte la mise en uvre dun management de la continuit dactivit dans
une grosse structure.
A contrario, le volume de la documentation et lexhaustivit des prconisations
nonces rendent ces guides lourds manipuler, difficiles daccs et pas trs adapts
(ni facilement adaptables) un contexte dentreprise de type PME.
1. Business Continuity Institute.

Bennasar.Livre Page 22 Mardi, 11. avril 2006 12:53 12

22 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Ces guides sont gratuits mais ne sont pas disponibles en langue franaise.
Fin 2005, une deuxime version de ces guides a t publie pour tenir compte
des volutions vers la future norme PAS 56 (voir paragraphe BSI PAS 56). Ils
sont tous regroups en un seul document beaucoup plus lger (77 pages) et, plus
proche dans lesprit1, de la mthodologie E=MCA prsente au chapitre 3.

Le guide des bonnes pratiques DRJ/DRII (Generally Accepted Practices for Business
Continuity Practitioners)
Le Disaster Recovery Journal (DRJ) et le Disaster Recovery Institute International (DRII), deux organismes amricains ont produit en aot 2005 une version
provisoire de leur guide de bonnes pratiques lattention des professionnels de la
continuit dactivit.
Ce guide prsente des check-lists dtailles sur dix domaines2 de la mise en
uvre dune dmarche PCA :
Lancement et management de projet ;
Analyse et contrle des risques ;
Bilan dimpact sur lactivit ;
Dfinition des stratgies de continuit ;
Gestion de crise et des oprations ;
Dveloppement des plans de continuit dactivit ;
Sensibilisation et formation ;
Maintenance et tests des plans ;
Communication de crise et relations publiques ;
Coordination avec les autorits civiles.
Quoique non encore finalises, ces check-lists reprsentent une aide fort utile
et complmentaire aux guides mthodologiques du BCI. Elles prsentent une
vision trs pragmatique et constituent un pense-bte apprciable. Elles seront
utiles en particulier dans les revues de fin de phase et pour les audits de PCA,
plus dailleurs que pour la planification et la dfinition de la mthode o les
guides mthodologiques BCI apporteront un clairage plus pertinent.
1. Cette proximit de vue est fortuite (mais heureuse !) dans la mesure o un diffrend juridique
entre le BCI et le principal contributeur (David Smith) a retard la publication de ce document,
quasiment jusqu la date de remise du manuscrit du prsent livre lditeur.
2. Ces dix domaines se trouvent tre les domaines pour lesquels le DRII et le BCI ont conjointement dvelopp leur schma de qualification et de certification des professionnels de la continuit dactivit.

Bennasar.Livre Page 23 Mardi, 11. avril 2006 12:53 12

1.4 La rglementation et quelques normes

23

L encore cependant, il sagit dun document volumineux (117 pages de


check-lists) et exhaustif, dont la lecture dcouragera sans doute les petites et
moyennes structures. Le document nest disponible quen langue anglaise.

BSI PAS 56
Rendue publique en 2003, la spcification PAS 56 Guide to Business Continuity
Management (PAS pour Publicly Available Specification) du British Standards
Institute (BSI) prfigure la norme de rfrence dans le domaine du management
de la continuit dactivit.
Elle a t produite par les efforts conjoints du British Standards Institute,
du Business Continuity Institute et du cabinet Insight Consulting. Des acteurs du
monde conomique anglais (Sainsburys, The Post Office, EDS, OGC) ont galement particip son dveloppement.
La PAS 56 est un document de 58 pages qui comprend, outre les annexes et
la bibliographie les sections suivantes1 :
Primtre
Vocabulaire et dfinitions
Abrviations
Aperu
Pilotage du programme MCA
Comprendre lactivit
Stratgies de MCA
Dvelopper et mettre en place des plans MCA
Construire et diffuser une culture MCA
Tests, maintenance et audit des dispositions MCA
Les principes et dtails de la PAS 56 sont trs largement inspirs des Good
Practice Guidelines du BCI. Les tapes prconises sont en particulier identiques.
Le vocabulaire adopt est quasi identique. Les deux approches diffrent nanmoins en ce que lune est une approche normative (qui dfinit donc plutt des
niveaux dexigence) et lautre une approche mthodologique (qui propose plutt
un chemin pour atteindre les exigences). La PAS 56 nest pas disponible en
langue franaise et est en vente sur le site www.pas56.com. La PAS 56 a t
vendue 4 500 exemplaires dans le monde la fin 2005.

1. Traduction libre.

Bennasar.Livre Page 24 Mardi, 11. avril 2006 12:53 12

24 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

1.4.3 Autres
Il existe bien dautres rglementations et normes qui abordent le sujet de la
continuit dactivit ou un des sujets qui lui sont affilis (stratgie darchivage
par exemple).

Autres rglementations
Concernant les rglementations, on peut citer en France :
Certaines recommandations AMF (voir www.amf-france.org, recherche
sur le thme),
Le code du commerce (Art. 123-20, al. 2),
Le plan comptable gnral (PCG 1999, Art. 120-1),
La rglementation qui concerne les comptabilits informatises,
La rglementation qui concerne lindustrie pharmaceutique (bonnes pratiques
de fabrication, bonnes pratiques de distribution, contrainte de libration
de la production, contrainte de validation des processus, rgime dautorisation de mise sur le march des mdicaments, etc.) : si elle ne fait pas
explicitement rfrence au management de la continuit dactivit, elle
sous-entend des mesures lies au fonctionnement en mode dgrad de
lactivit et la prise en compte des situations durgence.
Au Royaume-Uni, le Civil Contingencies Act du 18 novembre 2004 exige pour
les principaux services publics (dans les domaines de ladministration publique,
des services durgence, des services de sant, des services de transport, dlectricit, de tlcommunications publiques) que des mesures dvaluation des risques
et de continuit dactivit soient mis en place. En particulier, ces services sont
tenus de maintenir des plans dans le but dassurer, autant que faire se peut, la
continuit de leurs activits en cas durgence 1.
Aux tats-Unis, outre le Sarbanes-Oxley Act, on trouve :
Les normes IASC2 (n 1 paragraphe 7) ;
Le rglement NASD3 3510/3520 ;
Le rglement NYSE4 446.

1.
2.
3.
4.

UK Civil Contingencies Act 2004, traduction libre.


International Accounting Standards Committee.
National Association of Securities Dealers, Inc.
New York Stock Exchange.

Bennasar.Livre Page 25 Mardi, 11. avril 2006 12:53 12

1.4 La rglementation et quelques normes

25

Autres normes
Concernant les documents de type normatif, on citera :
Le standard international ITIL, Service Delivery, section 7 : IT Service
Continuity Management ;
La norme australienne HB 221 - 2004 : Business Continuity Management ;
Linstruction gnrale 170/98 : Business Continuity du Defence Council
britannique ;
La norme amricaine NFPA 1600 - 2004 : Standard on Disaster/Emergency
Management and Business Continuity Programs.

1.4.4 Synthse
Tableau 1.1 Rcapitulatif des normes et rglementations

Autres

Rglementations

Principales

Gnrale Spcifique MCA France


Ble II

LSF

CRBF

Sarbanes-Oxley

AMF

Code commerce

Plan comptable gnral

IASC

Comptabilits informatises

Principales
Autres

Normes

Civil Contingencies Act

Autre
Internationale

USA

UK

NASD 3510/3520

USA

NYSE 446

USA

ISO/TS 16949

Internationale

TL 9000

Internationale

ISO 17799

Internationale

GPG BCI

Internationale

Guides DRJ/DRII

Internationale

BSI PAS 56

UK

ITIL

Internationale

HB 221 - 2004

Australie

NFPA 1600 - 2004

USA

Bennasar.Livre Page 26 Mardi, 11. avril 2006 12:53 12

26 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

1.5

PCA, PRA, PSI, PGC, ETC.: QUEN EST-IL?


La littrature publicitaire des socits de conseil regorge dacronymes et de dnominations qui se confondent, en totalit ou en partie, avec ce que jappelle dans
ce livre un plan de continuit dactivit. Ce que recouvrent ces acronymes nest
pas toujours facile apprhender. Dans ce chapitre, des dfinitions sont proposes
pour chacun des concepts recenss.

1.5.1 Une terminologie en qute de normalisation


Une recherche sur Internet sur le thme de la continuit dactivit conduira
assez rapidement aux concepts suivants :
PCA : Plan de continuit dactivit (Business Continuity Plan)
PGC : Plan de gestion de crise (Crisis Management Plan)
PRA : Plan de reprise dactivit (IT Contingency Plan)
PRAp : Plan de reprise dapplication
PSI : Plan de secours informatique (Disaster Recovery Plan)
PCO : Plan de continuit doprations (Continuity of Operations Plan)
Au-del de ces notions qui sont toutes distinctes et pour lesquelles il est
possible dobtenir des dfinitions prcises, on trouve dans la littrature les
notions suivantes qui me semblent confondues avec certaines des prcdentes :
PCAI : Plan de continuit dactivit informatique (IT Service Continuity
Plan, concept ITIL) qui est sensiblement quivalent au PSI (Plan de
secours informatique) prcdemment abord.
PCE : Plan de continuit dexploitation qui est une autre appellation du PCA.
PCF : Plan de continuit fonctionnelle qui concide gnralement avec la
notion de PCO (Plan de continuit doprations).
On le voit, il est ais de perdre son chemin dans le ddale de plans que nous
proposent les professionnels et la littrature. Les notions se recouvrent-elles ?
Quelle est la diffrence entre un PCAI et un PRA ? Que dois-je mettre en place
dans mon entreprise ? Autant de questions auxquelles des rponses sont proposes
dans les paragraphes qui suivent.

1.5.2 Proposition de dfinitions


Ce qui distingue avant tout les diffrents concepts prsents au paragraphe
prcdent, cest :

Bennasar.Livre Page 27 Mardi, 11. avril 2006 12:53 12

1.6 Les acteurs

27

Le monde auquel il appartient : informatique ou fonctionnel,


Lchelle laquelle il sapplique : depuis la plus grande chelle (toute
lentreprise) jusqu la plus petite (celle dun lment technique ou dune
application par exemple).
Plutt que de donner une dfinition littraire des diffrents types de plans
existants, je propose un schma qui place chaque concept dans sa propre perspective, cest--dire son monde (informatique ou fonctionnel) et son
chelle (toute lentreprise ou un lment technique). La figure 1.8 propose une
dfinition graphique des concepts tudis.

Figure 1.8 Dfinition graphique des diffrents plans

1.5.3 Tableau comparatif


Le tableau 1.2 prsente une vision synthtique des notions dveloppes.

1.6

LES ACTEURS

1.6.1 La direction gnrale


La responsabilit premire et ultime du management de la continuit dactivit
devrait stablir au niveau du comit de direction. Aprs tout, il sagit de la survie
de lentreprise !
Les chiffres de 2005 pour le Royaume-Uni indiquent mme que 60 % des
tches dtudes, de dveloppement et de maintenance du PCA sont ralises au
niveau du comit de direction1. Ce chiffre est rassurant dans la mesure o il
1. Business Continuity Research 2005, Table 4, BCI.

Cellule de crise
Direction gnrale
Direction SI + quipes
Directions mtier
quipes dintervention dfinies
Direction communication
DRH
Autorits civiles, etc.

Le responsable
PCA

Assurer la rsilience de lentreprise en :


minimisant limpact dun sinistre majeur
sur lactivit de lentreprise
assurant le fonctionnement des activits
critiques pendant la crise
permettant un retour matris la situation
nominale

Lentreprise

Plan
de continuit
dactivit

PCA

Cellule de crise
Direction de la communication
DRH
Services gnraux
Autorits civiles

Souvent
un membre
de la cellule
de crise

Assurer la gestion matrise dune crise


(en particulier la coordination entre toutes
les parties intresses, les mesures de communication interne et externe et la protection
du personnel)

La partie
de lentreprise
concerne
par la crise

Plan de gestion
de crise

PGC

La cellule de crise
Les directions mtier

Les directions
mtier

Assurer le fonctionnement dgrad mais


acceptable des activits critiques pendant
une crise (interruption du SI en gnral)

Les activits
mtier critiques

Plan
de continuit
doprations

PCO

La cellule de crise
Les quipes informatiques
Les quipes dintervention et les utilisateurs

Le directeur du SI

Assurer le secours des fonctions centrales


du SI. Ne sintresse normalement pas aux
activits mtier

Le SI

Plan de secours
informatique

PSI

La cellule de crise
Les quipes informatiques
Les quipes dintervention et les utilisateurs

Reprendre lactivit du SI aprs une interruption. En gnral, la reprise seffectue sur un


site distant. Se limite aux interruptions majeures
avec des effets long terme

Le directeur du SI
ou le responsable
dexploitation

Le SI

Plan de reprise
dactivit

PRA

Principaux acteurs
Le pilote dapplication (MOA)
Lquipe informatique lie lapplication
(dveloppement, maintenance et production)

Responsable
Le pilote dapplication (MOA)

Assurer le secours dune application critique


en cas dinterruption

Une application

Plan de reprise
dapplication

PRAp

Objectif

Primtre

Intitul

Acron.

Tableau 1.2 Tableau comparatif

Bennasar.Livre Page 28 Mardi, 11. avril 2006 12:53 12

28 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Bennasar.Livre Page 29 Mardi, 11. avril 2006 12:53 12

1.6 Les acteurs

29

tmoigne que le management de la continuit dactivit nest plus vu comme


une simple extension du domaine systmes dinformation. Dailleurs, toujours au
Royaume-Uni en 2005, seulement 28 % des PCA sont directement superviss
par un membre de la direction SI.
En France, la situation est a contrario moins rjouissante. Le retard accus en
MCA est particulirement visible dans le niveau de lentreprise o le MCA est
mis en uvre : dans la plupart des cas, cest le responsable de la scurit de linformation (trop souvent rattach au directeur des SI) qui en a la charge entire. La
maturit franaise en matire de management de la continuit dactivit est
moindre.
Or, le rle de la direction gnrale est dterminant dans la mesure o elle doit
impulser, promouvoir, rendre visible et contrler le MCA.

1.6.2 Le risk manager


La fonction de risk manager, quand elle existe, est une fonction qui revt des
responsabilits disparates selon les entreprises. Fortement implante dans le
secteur de la finance et des assurances, elle lest nettement moins dans le monde
industriel et encore moins dans le secteur public.
Tantt orient vers les risques financiers (change, taux, march), tantt
ddi aux risques environnementaux et la scurit du personnel, le risk manager
na pas encore, quelques exceptions prs, la supervision globale des risques
dentreprise.
Lorsque cest le cas, il est gnralement rattach directement la direction
gnrale et idalement plac pour assumer une responsabilit prpondrante
dans la mise en uvre dun PCA. Si sa responsabilit est plus parcellaire, la mise
en place dun PCA peut donner lieu un largissement de ses comptences et un
repositionnement sur lchiquier de lentreprise (plus proche du roi !). Si llargissement de ses responsabilits la globalit des risques de lentreprise nest pas
envisag, il nest peut-tre pas le mieux plac pour assumer le projet.

1.6.3 Les directions mtier


Les responsabilits des directions mtier dans la mise en uvre et le maintien en
conditions oprationnelles dun PCA sont vitales, la premire tant lesprit de
collaboration !
Au-del, elles interviennent trois moments cruciaux de la dmarche :
En tout dbut de projet : au moment de la phase initiale de bilan dimpact
sur lactivit (BIA), elles expriment les niveaux minimums acceptables

Bennasar.Livre Page 30 Mardi, 11. avril 2006 12:53 12

30 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

dactivit ; entre autres, leurs besoins en terme dindisponibilit tolrable du


SI et en terme de moyens et de modes de fonctionnement en mode dgrad ;
Lorsque le projet est en cours de mise en uvre (phase de conduite du
changement), elles participent aux actions de sensibilisation, de formation, de diffusion dinformation dans le primtre de leurs juridictions ;
Lorsque le PCA fonctionne en rgime tabli (voir le paragraphe 2.1.4,
Rgime tabli), elles participent aux exercices de tests, aux actions de maintenance (essentiellement pour la mise jour des informations qui les
concernent) et se soumettent aux investigations de contrle.

1.6.4 Le responsable du PCA


Par responsable du PCA, on entend, non pas le chef de projet PCA mais la
personne qui choit la responsabilit de ladministration du PCA en rgime
tabli (voir le paragraphe 2.1.4, Rgime tabli). Si, en raison de la connaissance
quacquiert le chef de projet PCA, cest souvent une seule et mme personne,
cela nest pas une obligation dans la mesure o les rles diffrent notablement :
Si les qualits et comptences souhaitables du chef de projet sont celles dun
mobilisateur et dun chef dquipe, celles du responsable PCA sont plutt celle
dun bon gestionnaire :
rigueur dans la tenue jour et la maintenance du plan ;
cohrence et persvrance dans le contrle du plan et la mise en uvre
des actions correctives associes ;
sang-froid et sens de la coordination pour lventualit du dclenchement
du plan ;
sens de la communication pour la mise en uvre des campagnes de formation et test du plan.
Il ne me semble pas impratif que le responsable du PCA ait des comptences
techniques SI pousses, pour autant quil puisse sappuyer fortement sur une
quipe ddie, la fois pour les tests rcurrents et dans lventualit de linvocation
du plan.

1.6.5 Le Responsable de la scurit du systme dinformation (RSSI)


Il nexiste pas aujourdhui de dfinition de poste prcise pour le responsable de la
scurit du systme dinformation. Pour certains, il sagit dun super-ingnieur
systmes et rseaux quand pour dautres il sagit dun membre du comit de direction
charg de la mise en uvre dune politique de scurit de linformation.

Bennasar.Livre Page 31 Mardi, 11. avril 2006 12:53 12

1.6 Les acteurs

31

Il faut toutefois remarquer quon observe une volution marque (et heureuse !)
vers la deuxime dfinition. Ce glissement suit naturellement celui de la scurit
informatique qui est devenu scurit des systmes dinformation avant de devenir
scurit de linformation et bientt cyberscurit.
Le Livre blanc de la scurit 20041 met ainsi en lumire llvation sensible
du niveau hirarchique de rattachement du RSSI. 44 % dentre eux sont ainsi
rattachs au niveau dun membre du comit de direction de lentreprise en 2004
contre 35 % peine en 2003. Cette tendance suit llvation gnrale de la
fonction informatique dans lentreprise mais tmoigne galement de llargissement
des comptences du RSSI.
Ainsi, 66 % des RSSI daujourdhui sont impliqus dans les plans de continuit dactivit. Ces 66 % correspondent-ils une mme proportion de RSSI
ayant les comptences les plus diversifies ? Il est certain que le RSSI peut jouer
un rle prpondrant dans la mise en place du PCA, condition que sa fonction
corresponde, comme pour le risk manager, la notion moderne, large et leve
dans la hirarchie du RSSI.
Dailleurs, ses comptences de base gnralement techniques lui donnent une
posture avantageuse pour complter un ventuel tandem de projet avec le risk
manager qui lui, a souvent plus une comptence gestion.

1.6.6 Responsabilits et niveau hirarchique2


Avant la crise
Les responsabilits pour la mise en place dune dmarche de MCA avant la crise
sont donnes dans le tableau 1.3 (page suivante).

Pendant la crise
Les responsabilits pour lexcution du PCA pendant la crise sont donnes dans
le tableau 1.4 (page suivante).

1. Les Assises de la scurit, Livre blanc, Octobre 2004 (P.-L. Refalo et al.).
2. Source : daprs ITIL, IT Service Continuity Management.

Bennasar.Livre Page 32 Mardi, 11. avril 2006 12:53 12

32 Chapitre 1. La problmatique et les acteurs de la continuit dactivit

Tableau 1.3 Avant la crise


Niveau hirarchique

Responsabilits

Comit de direction

Initie la dmarche MCA


Attribue les ressources
Dfinit la politique MCA
Dirige et autorise

Direction

Manage la continuit dactivit


Valide les livrables MCA
Dfinit la stratgie de continuit dactivit
Assure la communication et supervise la sensibilisation
Revoit annuellement les principales mesures MCA

Encadrement

Ralise les analyses et tudes


Dfinit les livrables
Met en uvre la stratgie de continuit (contractualisation, sous-traitance)
Supervise les tests, les contrles et participe
la maintenance du dispositif

Supervision et excution

Rdige les livrables


Rdige et met en uvre les procdures
Met en uvre les solutions techniques et organisationnelles de continuit dactivit
Ralise les tests
Tableau 1.4 Pendant la crise

Niveau hirarchique

Responsabilits

Comit de direction
(reprsente par
la cellule de crise)

Assure la gestion de crise


Prend les dcisions stratgiques pour lentreprise
Gre les relations lextrieur

Direction

Coordonne globalement le PCA


Dirige et arbitre
Autorise lutilisation des ressources

Encadrement

Dclenche les mcanismes de continuit dactivit


Dirige les quipes dintervention
Gre les problmes lis aux sites
Assure le reporting et la coordination entre quipes

Supervision et excution

Excute
Participe aux quipes dintervention

Bennasar.Livre Page 33 Mardi, 11. avril 2006 12:53 12

2
Dcider la mise en place
de la continuit dactivit

2.1

UN PROJET DENTREPRISE
La mise en place dun PCA est un projet dentreprise. Cest mme un projet
majeur et structurant pour lentreprise. Cest une dmarche qui na de chances
daboutir que si elle est dote dune structure et de modalits de mise en uvre
de type projet. Il faut un sponsor au niveau hirarchique appropri, un chef de
projet, un comit de pilotage, des instances de reporting, un suivi rgulier, des
dlgations dautorit, un planning suivi et rajust en permanence, une
mthodologie de gestion de projet, des tableaux de bord, un plan dassurance
qualit projet Le projet naboutira que sil est peru et trait comme un enjeu
majeur.

2.1.1 Mandat et sponsor


Cest une rgle de base du management de projet quun projet sans sponsor est
un projet mort dans luf. Aussi comptente que soit lquipe projet, elle ne
saura, elle seule, avoir le poids ncessaire pour porter le projet la russite.
quel niveau de lentreprise doit se situer ce sponsor ? Au plus haut niveau.
Il semble que ds quun projet pointe son nez ce soit la rponse acadmiquement
correcte. Voulez-vous mettre en place un systme de management de la qualit,
une gestion des risques, un management de la scurit de linformation ? O doit
se situer votre sponsor ? La rponse invariable est : votre sponsor doit tre la

Bennasar.Livre Page 34 Mardi, 11. avril 2006 12:53 12

34 Chapitre 2. Dcider la mise en place de la continuit dactivit

direction. Y a-t-il une chappatoire pour la direction ? Dans le cas de la mise en


place dun PCA et pour les raisons voques plus haut, la rponse est un non
retentissant !
Plus encore que dans les autres dmarches cites, il me semble que la nomination de tout autre sponsor serait une grave erreur. Nous avons vu que construire
un management de la continuit dactivit, cest construire un systme de management intgr dans le systme de management traditionnel. Dfinir son PCA,
cest dfinir les activits essentielles de lentreprise et la faon dont elles doivent tre
gres en cas de sinistres. Si ce nest pas une tche de direction, il nen existe pas !

2.1.2 Pilotage de la dmarche


Le projet PCA doit tre men avec le soin qui convient un projet dentreprise.
Le pilote de la dmarche doit tre comptent sur de nombreux sujets :
Il doit avoir une vision trs claire des enjeux majeurs et de la stratgie de
lentreprise ;
Il doit avoir des talents de diplomate pour raliser la classification des activits
critiques de lentreprise et des comptences en communication pour
rendre le projet visible et mobilisateur ;
Il doit avoir une bonne connaissance des acteurs de lentreprise ;
Il doit la fois tre capable dapprhender les problmatiques techniques
du projet (SI en particulier) et disposer du recul ncessaire pour ne pas se
noyer dans les considrations techniques ;
Il doit tre rsistant leffort pour pouvoir porter le projet jusque dans
sa phase critique de dploiement (conduite du changement en particulier) ;
Il doit tre organis et surtout mthodique.
Lorganisation de projet sera classique et efficace. Elle sera clairement dfinie
en dbut de projet et revue, au besoin, en cours de ralisation pour sadapter aux
volutions.
La mthodologie de projet sera choisie parmi les mthodes prouves 1 et, si
elle existe, gagnera tre la mthode usuelle de lentreprise.
Un plan dassurance qualit projet sera dfini en amont du projet pour clarifier
lorganisation, les instances de dcision, les processus de reporting, les livrables,
le planning, etc.

1. PMI, Euromthode, CMMI, PRINCE2, etc.

Bennasar.Livre Page 35 Mardi, 11. avril 2006 12:53 12

2.1 Un projet dentreprise

35

2.1.3 Conduite du changement


La conduite du changement ne doit pas tre sous-value en dbut de projet.
Cest ltape au cours de laquelle va se jouer limprgnation du dispositif dans
lentreprise. Les efforts dploys jusqu cette tape reprsentent sans doute 80 %
du projet global. Si les 20 % restants ne sont pas consacrs la conduite du
changement, tout le projet restera lettre morte.
Les outils traditionnels de la conduite du changement (formation, sensibilisation, communication, etc.) doivent tous tre mobiliss pour la russite du projet.
Lengagement du management devra tre particulirement visible ce stade du
projet dans la mesure o il conditionne fortement la russite subsquente et
limprgnation.

2.1.4 Rgime tabli


Une fois la phase projet acheve, le PCA rentre en rgime tabli. Ses volutions
sapparentent de la maintenance plus qu du dveloppement. Son succs et la
garantie de son caractre oprationnel passent nanmoins par une gestion efficace.
La nomination du chef de projet PCA en tant que responsable PCA est une
dcision classique mais qui nest pas toujours la meilleure dans la mesure o les
qualits et comptences requises pour lune et lautre fonction divergent notablement. Le premier est avant tout un chef de projet. Le second est surtout un
bon gestionnaire. Un responsable PCA sera nanmoins nomm dans tous les
cas. Le poste de responsable PCA peut tre un temps plein (dans les grosses
structures : cest le cas chez ABN-AMRO par exemple1) ou temps partiel
(temps partag avec une fonction proche de type risk manager, responsable
daudit interne, responsable scurit ou qualit).

2.1.5 Se faire aider ou pas?


La question se pose si le recours une aide extrieure est ncessaire. Comme on
le verra plus loin, lexpertise en continuit dactivit nest pas une expertise
technique mais une expertise mthodologique. Lessentiel de la mthodologie
est une suite de bonnes pratiques et doutils simples utiliser. Le recours un
consultant vitera sans doute certains cueils parce que l exprience est une
chose qui ne sobtient pas pour rien 2 : avoir dj fait est un gros avantage,
parfois mme si la premire ralisation est pitre !
1. Au Royaume-Uni, 27 % des entreprises ont un personnel ddi au MCA (Voir Business Continuity Research, 2005, Who owns Business Continuity Management within an Organisation ? , BCI).
2. Oscar Wilde, traduction libre.

Bennasar.Livre Page 36 Mardi, 11. avril 2006 12:53 12

36 Chapitre 2. Dcider la mise en place de la continuit dactivit

Toutefois, toutes les phases dcrites dans la mthodologie du chapitre suivant


ne semblent pas ncessiter une comptence mthodologique gale ni prsenter
un caractre aussi alatoire dans leur ralisation les unes que les autres. Les
phases initiales (et en particulier la phase danalyse du contexte) sont celles pour
lesquelles cette expertise permet dviter les cueils de dbut de projet, ces dviations de quelques degrs au dpart qui se traduisent en centaines de kilomtres
larrive.
Si le recours une aide externe est envisag, il me semble que cest sur la premire
phase (3.2 Mieux connatre son activit) que cette aide aura la plus grande valeur
ajoute.
Cette rflexion est dautant plus fonde que les interventions en phase 1 se
font presque toutes auprs dinterlocuteurs de niveau managrial et dune population de lentreprise qui supportent mal l-peu-prs dans les dmarches. Cest
une question de crdibilit de la dmarche que de recueillir lessentiel des informations ncessaires au cours dune seule passe auprs du management. Jai
lesprit lexemple dune quipe PCA qui a eu recours un prestataire parce
quelle stait dcrdibilise auprs du management en menant avec maladresse
le recueil des besoins de la phase 1. Le prestataire a eu quelques difficults
recrdibiliser la dmarche aux yeux dun management refroidi par une approche
et des mthodes floues.
On recourt galement une aide extrieure quand les enjeux politiques sont
forts. Le projet de PCA peut avoir quelques retombes inattendues comme le
recentrage des activits de lentreprise sur celles qui ressortent critiques du bilan
dimpact sur lactivit ou la redfinition du mode de travail pour certains processus.
Ces retombes peuvent tre vcues comme des pluies acides pour certaines
entreprises et le recours laide dun consultant peut savrer utile si celui-ci
accepte son rle de fusible.

2.1.6 Quelques cueils courants


Si les concepts lis la continuit dactivit ne sont pas proprement parler
nouveaux, la discipline, elle, est rcente. On peut la dater des quinze dernires
annes, ce qui, lchelle des sciences de gestion, est plutt nouveau. En France,
il nexiste pas encore de formations de type universitaire qui se concentrent sur
ce sujet alors que plusieurs schmas de certifications de personnes existent dans
les pays anglo-saxons1.
1. Principalement les certifications du BCI (aux grades dAssociate, de Specialist, de Member ou
de Fellow) et du DRII ( des grades analogues, ABCP, CFCP, CBCP, MBCP). Par ailleurs, les
certifications en scurit SI (principalement CISSP, CISA, CISM et, en France, ProCSSI)
proposent des composantes continuit dactivit.

Bennasar.Livre Page 37 Mardi, 11. avril 2006 12:53 12

2.1 Un projet dentreprise

37

En consquence de cette relative nouveaut, les exemples dchecs de mise


en place dun plan de continuit dactivit ne sont pas lexception. Ces checs
sont souvent localiss dans les phases amont du projet (pour la dfinition de la
cible fonctionnelle atteindre) ou, au contraire, dans les phases aval, particulirement pour la mise en uvre des dispositions qui garantissent le maintien en
conditions oprationnelles du PCA.
Les paragraphes qui suivent proposent un catalogue des dix principaux
cueils dans la dmarche.

1) Vendre la couverture des risques 100 %


La premire erreur recense constitue un pige classique des dmarches de continuit dactivit.
Il sagit du pige de la toute-puissance !
La prise en compte exhaustive des risques dans les phases danalyse du contexte
est non seulement souhaitable mais indispensable. Elle est seule garante dun PCA
efficace, dun dispositif dvelopp pour rpondre des scnarios de sinistres jugs
probables. En revanche, il nest ni possible, ni souhaitable que les objectifs du
PCA visent couvrir tous les types de sinistres possibles.
Le degr de complexit quun tel systme atteindrait le rendrait si lourd quil
serait inoprant en cas de sinistre et de situations de crise rclamant une grande
ractivit.
La tentation est grande pour une direction des SI (DSI) dapprocher une
direction gnrale avec un remde tous ses (grands) maux. Mais vendre la
couverture des risques 100 % est une erreur qui peut se payer cher le jour du
dclenchement effectif du PCA.
Par ailleurs, cette attitude loigne les dcideurs de la mise en uvre du PCA
dans la mesure o ils nont plus choisir de scnarios de sinistres.
Lorsque le PCA est vendu en interne, il convient dinformer les dcideurs
des limites du dispositif en termes de couverture de sinistres.

2) Penser la continuit dactivit en terme de solution technique


Si la solution technique de secours constitue lpine dorsale de la continuit
dactivit de lentreprise, elle reste, elle seule, inoprante ds que le sinistre
envisag dpasse le cadre de lincident.
Ce constat est dautant plus exacerb que les besoins de continuit exprims 1
sont faibles, ce qui est le cas dune grande majorit dentreprises.
1. Dlai maximal dinterruption acceptable et perte de donnes accepte.

Bennasar.Livre Page 38 Mardi, 11. avril 2006 12:53 12

38 Chapitre 2. Dcider la mise en place de la continuit dactivit

En effet, plus les contraintes de continuit rclament une solution technique


de haute disponibilit (besoins de continuit levs), plus la solution technique
sera prpondrante et intgre dans le systme dinformation en production.
A contrario, plus le fonctionnement en mode dgrad sera accept, plus les
dispositions dorganisation devront tre rodes car cest sur elles que reposera
principalement le bon fonctionnement du plan de continuit dactivit.
Ce paradoxe explique en partie que le secteur bancaire, qui par dfinition a
des contraintes de continuit dactivit trs forte, est un des secteurs les plus
avancs pour la mise en place de plans de continuit dactivit. Il est fortement
aid en cela par une rglementation tout aussi contraignante !

3) Ne pas dfinir les scnarios de sinistres


Dfinir des scnarios revient prendre des options de sinistres contre lesquels
lentreprise cherchera se protger lors de la mise en place dun PCA. En dautres
termes, cest rpondre aux questions :
Do vient lennemi ?
Quelle tte est-ce que jimagine quil aura ?
Ne pas dfinir de scnarios de sinistres, cest tenter dorganiser la lutte contre
un ennemi invisible, inconnu et qui peut sortir de nulle part.
Cette dfinition doit tre faite trs tt dans le projet parce quelle dterminera beaucoup de paramtres du PCA comme la solution technique de secours
ou les premires mesures conservatoires en cas de survenance du sinistre. On ne
dfinit pas de la mme faon ces mesures suivant si lon se protge dun incendie
ou si lon fait face une tempte nationale. Un PCA rdig pour faire face tout
type de sinistres restera par trop gnrique et peu apte atteindre son objectif.
Le choix des scnarios fera lobjet dune tude soigneuse (mais pas forcment
longue) appuye par une analyse des risques de chaque sinistre envisag (probabilit doccurrence, impact potentiel). Limplication de la direction gnrale est
primordiale dans cette phase de dfinition des scnarios : cest elle qui doit dcider,
en fin de compte, quels scnarios de sinistres doivent tre retenus.

4) Raliser le bilan dimpact sur lactivit (BIA) sans homogniser les rsultats
Le bilan dimpact sur lactivit (BIA) est possible lorsque les scnarios de sinistres
majeurs ont t choisis et approuvs par la direction gnrale.
Le BIA est une des phases les plus dlicates et les plus importantes pour la
dfinition des besoins de continuit dactivit. Elle permet notamment la dtermination des activits et ressources critiques de lentreprise.

Bennasar.Livre Page 39 Mardi, 11. avril 2006 12:53 12

2.1 Un projet dentreprise

39

Cest une phase qui demande tact et diplomatie pour sa ralisation dans la
mesure o la question fondamentale qui est pose chaque manager de lentreprise se rsume : quel serait limpact de tel sinistre sur votre activit ?
Mme si ce nest pas la question pose, la question qui est souvent entendue
par chaque manager est : quelle importance est-ce que jai dans cette entreprise ?
Suivant les sensibilits de chacun, les rponses vont traduire le poids que chacun
veut saccorder
Le pige principal pour lquipe qui ralise le BIA est de se laisser dicter les activits critiques de lentreprise par ceux qui ne voient que par le petit bout de leur
lorgnette. Une dconvenue classique est la dcouverte aprs des semaines
defforts et dentretiens en BIA que toutes les activits sont critiques !
En consquence, la ralisation du BIA ncessite :
La dfinition et la validation dune grille de critres objectifs et homognes pour valuer les impacts directs et indirects des sinistres retenus sur les
activits de lentreprise.
La ralisation dune validation finale et collgiale des rsultats du BIA o
les classements vont sharmoniser et shomogniser dans la discussion
de groupe.

5) Dfinir la stratgie technique avant de dfinir la cible fonctionnelle


Pour nombre de PCA, la direction informatique entame le projet de son propre
chef avec pour objectif de secourir le systme dinformation parce que cest sa
mission de garantir la disponibilit des moyens informatiques . Faute de
rflexion concerte avec la matrise douvrage, la discussion soriente vite vers la
question : que peut-on faire de mieux avec les moyens du bord ? On dcide alors
souvent dutiliser telle salle ddie dans le btiment de lautre bout du site et dy
dlocaliser un environnement de test pour en faire une solution de secours.
Il y a indniablement du bon dans cette approche pragmatique. Elle conviendra un certain nombre de cas pour lesquels les exigences de la matrise douvrage
seront (un peu au hasard) assez bien prises en compte dans le dispositif cible. Cette
approche permettra moindre cot doptimiser les ressources existantes.
Mais comme pour tout projet informatique, labsence de donneur dordre de
type matrise douvrage et dexpression claire des besoins fonctionnels rendra le
systme cible probablement inoprant au premier coup de grisou
La dfinition du contour fonctionnel de la cible de secours reste limpratif
premier de la dmarche PCA.

Bennasar.Livre Page 40 Mardi, 11. avril 2006 12:53 12

40 Chapitre 2. Dcider la mise en place de la continuit dactivit

6) Vendre la tranquillit desprit dun dispositif qui sautorgule, dun systme


de secours
Pour justifier de la mise en place dun PCA, la tentation est grande de vendre un
systme intelligent, qui sautorgule.
Le constat est impitoyable : aucun PCA ne fonctionne de lui-mme !
Certes, la dfinition mme dun PCA procde du dsir dautomatiser plutt
de systmatiser un dispositif qui permettra doptimiser les modes de raction
face un sinistre majeur. Mais la machine PCA est fondamentalement humaine :
les processus de dcisions quelle inclut sont ceux dun groupe de dcideurs (la
cellule de crise), les modes dintervention sont ceux dquipes ddies, mme la
bonne marche de la solution technique de secours repose dabord et avant tout
sur lorganisation qui la sous-tend.
Si la notion de systme de secours peut tre avance pour dcrire un PCA, il
faudra bien prciser quil sagit dun systme dont les composants critiques sont
80 % des hommes !

7) Confondre qualit de service et continuit dactivit


Cet cueil est une simple volution de la confusion (dj traite section 1.3.4,
De lincident au sinistre majeur) entre la gestion dincidents et la gestion de crise
lors dun sinistre majeur.
Il convient bien de distinguer les deux problmatiques de rponse un incident
courant et de raction une crise majeure. Lchelle, les dlais, les modes de raction, le service rendu diffrent fondamentalement entre les deux problmatiques.
La mise en place dun PCA naura aucune influence sur la qualit du service
fourni par une entreprise, hormis en cas de crise majeure.

8) Tenter de transfrer lintelligence sur le dispositif


On la vu, le caractre marquant dun PCA est quil doit permettre une trs
grande ractivit. Lorsque le temps devient un facteur dterminant, plus les
dcisions sont facilites, plus le systme peut ragir rapidement. Il est ds lors
tentant de vouloir construire un processus qui dcide tout seul . Le pige dun
tel systme est paradoxalement sa lourdeur.
Un systme sur lequel lintelligence dcisionnelle est transfre doit prvoir
tous les facteurs, tous les paramtres ncessaires la prise de dcision. En
raison de sa lourdeur, un systme de ce type devient inoprant en cas de crise.

Bennasar.Livre Page 41 Mardi, 11. avril 2006 12:53 12

2.1 Un projet dentreprise

41

Lintelligence du dispositif doit demeurer dans la tte des membres de la


cellule de crise. En construisant son PCA, une entreprise doit constamment
rechercher le bon quilibre entre un systme qui est lger mais na pas suffisamment
prpar le terrain en cas de crise, et un systme exhaustif impossible mettre en
uvre en raison des 2 000 pages qui le constituent ! Lquilibre entre flexibilit
et niveau de dtails doit constamment tre recherch.

9) Penser le PCA comme un projet one-shot


Avec cet cueil, on se situe du ct aval du projet. Comme tout projet, la mise
en place dun PCA comporte une phase dinvestissement, de mise en place et de
monte progressive en puissance : il sagit du rgime transitoire du PCA. Il
comporte galement un rgime tabli qui, bien que ne ncessitant pas le mme
apport dnergie et de finances, impose une rigueur et du souffle pour se maintenir.
Cet apport dnergie et de moyens dans le rgime tabli est trop souvent nglig.
Passe leuphorie (on espre) du mode projet, le maintien en conditions
oprationnelles du dispositif est ncessaire pour esprer un retour sur linvestissement
du projet.
Aucune dpense, aussi colossale soit-elle, consentie dans le rgime transitoire
ne saura porter le PCA au-del de sa premire anne dexistence.
Les moyens minimums maintenir ou mettre en uvre pour passer cette
cruciale premire chance me semblent tre :
Un responsable PCA,
Une opration de maintenance complte par anne (mise jour dinformations essentiellement),
La ralisation de mini-oprations de maintenance, partielles et ponctuelles,
sur des volutions courantes,
Un exercice annuel de test de bout en bout,
Une campagne dactions de sensibilisation et de communication annuelle,
Des exercices sur table avec le personnel-cl du dispositif.
Une entreprise qui nenvisage pas de mener ces chantiers sur une base rgulire peut sinterroger srieusement sur la pertinence de mettre en branle un
chantier PCA. Linclusion dun budget li la ralisation de ces chantiers dans un
budget global et rcurrent est indispensable la prennit dune dmarche PCA.

10) Ne pas intgrer les volutions


La dure de validit des informations contenues dans un PCA est relativement courte.

Bennasar.Livre Page 42 Mardi, 11. avril 2006 12:53 12

42 Chapitre 2. Dcider la mise en place de la continuit dactivit

On peut estimer nanmoins que dans une entreprise classique, les principales
informations ncessaires la cohrence globale dun PCA ne varient pas une
frquence infrieure un an.
En revanche, beaucoup dinformations de dtails, fort utiles la mise en
uvre du PCA voluent beaucoup plus rapidement (fonctions, coordonnes
professionnelles et personnelles, contacts de fournisseurs, etc.).
Les modes dvolutions actuelles des entreprises (fusion, acquisition, cession,
relocalisation, rorganisation, etc.) tendent galement raccourcir les cycles
dobsolescence de linformation.
Dans ce contexte, il est clair quun PCA qui nest pas revu et mis jour
devient compltement obsolte en un an.
Il est donc recommand de :
Raliser une opration de maintenance complte une frquence a
minima annuelle.
Systmatiser la mise jour des informations chaque changement majeur
(dmnagement, rorganisation, cession, etc.).
Oprer des mises jour partielles plusieurs fois par an.

En rsum

Figure 2.1 Les dix pchs capitaux

Bennasar.Livre Page 43 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

2.2

43

DCIDER DE METTRE EN PLACE UN PCA


La dcision de mettre en place un PCA nest pas facile prendre. Lestimation
des cots dinvestissement et des cots rcurrents peut tre laborieuse, surtout
dans la mesure o, comme tout projet dentreprise, la mise en place dun PCA
induit des charges de travail parfois finement mles aux tches oprationnelles
(mise jour des informations, actions de communication rgulire, etc.).
La plupart des entreprises que jai accompagnes vers la mise en place dun
PCA ont pris la dcision peu de temps aprs avoir subi un sinistre et contempl
de prs le prcipice dune catastrophe conomique. Cela reste malheureusement
le principal ressort vers le MCA.

2.2.1 Les bonnes raisons de mettre en place un MCA


Il me semble que les motivations pour mettre en place un management de la
continuit dactivit peuvent diffrer notablement dune entreprise lautre. Je
suis cependant daccord avec Jean Monnet qui disait : Les hommes ne voient
la ncessit que dans la crise.
De mon exprience, je tire la conclusion quil existe une corrlation bien
relle entre les vnements gopolitiques, le contenu des bulletins dinformation et la place quoccupe la mise en place dun PCA dans la liste des projets
prioritaires. Les vagues dattentats terroristes de ces dernires annes ont t un
aiguillon puissant vers le MCA. Le vent semble toutefois tourner en faveur
dune logique plus pro-active : il est intressant de noter ce sujet quune tude
montre que la rduction des cots ne dpasse que dune courte tte llaboration dun plan de continuit dactivit parmi les projets stratgiques prioritaires 1 des DSI.
Dun autre ct, il faut tre raliste : seulement 10 % des PCA en place en
Grande-Bretagne (sur un chantillon de 180 entreprises dotes de PCA) ont t
dclenchs en 20052, parfois seulement partiellement.
Jai class ces motivations en six catgories qui forment une gradation dans la
maturit des raisons invoques :
Obligation exprientielle : jentends par l la volont de mettre en
place un PCA parce quon a failli cesser son activit faute den avoir eu
un ! Cest aujourdhui une motivation majeure ;

1. 01Informatique, 30 juin 2005, Les systmes dinformation en pleine transformation .


2. Business Continuity Research, 2005, Business Continuity Management as a Management Discipline , BCI.

Bennasar.Livre Page 44 Mardi, 11. avril 2006 12:53 12

44 Chapitre 2. Dcider la mise en place de la continuit dactivit

Obligation rglementaire : cest le cas o la loi et les rglements contraignent lentreprise disposer de mesures de continuit dactivit (SarbanesOxley, LSF, Ble II, etc.) ;
Obligation fournisseur ou groupe : lincitation provient cette fois dune
politique du groupe dappartenance ou dun client avec lequel les relations
commerciales ne peuvent tre entames ou maintenues que sous conditions de mise en place dun PCA (exemple : Tesco, Orange UK, AGF) ;
Ambition scuritaire (mesure dfensive) : il sagit ici dune volont proactive de protger son activit des chocs extrmes ;
Logique de best-in-class : le moteur de la dmarche est cette fois la
volont doffrir sur le march la meilleure comptitivit et de figurer parmi
les pionniers dune bonne pratique pour accrotre ses avantages comptitifs ;
Dsir de cration de valeur : dans ce dernier cas, la mise en place dun
PCA nest plus seulement vue comme un poste de cot dans le compte de
rsultats mais comme une activit de cration de valeur pour lentreprise :
cela suppose galement que la mise en uvre soit pense et ralise
comme telle.
Chacune des raisons nonces prcdemment est une bonne raison, mais :
Le retour sur investissement ne sera pas peru de la mme faon selon la
philosophie adopte ;
Ladhsion du personnel pourra varier selon que le mobile est subi ou
choisi ;
Limplication des cadres pourra diffrer selon que la motivation est externe
(mise en conformit rglementaire par exemple) ou interne (comptitivit,
cration de valeur) ;
Les freins au changement seront plus ou moins forts selon que le sinistre
est potentiellement menaant ou dj subi.
Il semble dailleurs, comme pour les dmarches qualit, que les motivations
deviennent progressivement plus offensives, passant du dsir de minimiser
limpact ngatif dun vnement peu probable la volont de maximiser la
productivit. Les facteurs offensifs prennent de plus en plus de poids dans le
choix, comme en tmoigne la figure 2.21.

1. Source : Business Continuity Research, 2005, Incentives and drivers for Business Continuity
Management , BCI.

Bennasar.Livre Page 45 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

Optimiser la productivit

14 %

Exigences rglementaires/
client/ assurance

16 %

Conserver les investisseurs


Gagner des investisseurs

45

10 %
7%
24 %

Protger le personnel
19 %

Conserver ses clients


Gagner des clients

10 %

10 %

20 %

30 %

Figure 2.2 Motivations pour mettre en place un PCA (Royaume-Uni)

2.2.2 Quelques pralables


Bien quil soit possible de mettre en place un PCA quel que soit le contexte de
lentreprise, jai trouv que les lments suivants facilitaient la dmarche dans la
mesure o ils refltent une plus grande maturit de lorganisation vis--vis de la
problmatique de management de la continuit dactivit :
La culture de la scurit : quelles soient scurit des systmes dinformation ou scurit des biens et personnes, les approches scurit traduisent
un souci de protection et dapproches pro-actives bien aligns avec les
enjeux dun PCA ;
Le management des risques : on trouvera dans les dmarches danalyse et
de management des risques1 un tat desprit et des outils qui forment le
socle des tapes initiales de la mise en place dun PCA ;
Lhabitude de la formalisation : une bonne gestion documentaire
(conforme par exemple lesprit des exigences de lISO 9001 en la matire)

1. Arbres de dfaillance, AMDEC, Ebios, @Nets, Management des risques projet, etc.

Bennasar.Livre Page 46 Mardi, 11. avril 2006 12:53 12

46 Chapitre 2. Dcider la mise en place de la continuit dactivit

couple un degr de formalisation adapt la nature de lorganisation


favorise grandement llaboration, la diffusion et la mise jour du systme
documentaire du PCA (on vitera cependant soigneusement la formalisation
outrance).

2.2.3 Les quatre principaux composants dun PCA


Les fondations dun plan de continuit dactivit reposent sur quatre pierres
angulaires :
Une organisation de gestion de crise ;
Un systme documentaire prouv et jour ;
Une stratgie de sauvegarde efficace et teste ;
Une solution technique de secours pragmatique, qui couvre les besoins de
continuit et qui est teste.
Selon que ces quatre piliers sont bien ancrs ou inexistants, le projet gagnera
ou perdra en longueur, en complexit, en chances daboutir.
Apprcier le degr de maturit de lentreprise sur chacun de ces quatre sujets
permet un dcideur dvaluer grossirement le chemin parcourir vers le MCA.
Chacun des quatre piliers sera dtaill dans le chapitre 3.

Solution
technique de
secours

Stratgie de
sauvegarde

Organisation de
gestion de crise

Systme
documentaire

Figure 2.3 Les quatre piliers

Bennasar.Livre Page 47 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

47

2.2.4 Le ROI par construction1


Comme la plupart des dmarches de gestion des risques, la mise en place dun
PCA propose des analogies avec la signature dun contrat dassurances 2. Le cot
associ la mise en place puis la maintenance dun PCA pourrait ainsi tre
assimil une prime dassurances. Avec cette vision, la question se poser nest
pas tant : Avons-nous besoin de manager la continuit de notre activit ?
mais plutt, Jusqu quel point avons-nous besoin de dfinir des mesures de
continuit dactivit ?
Cette approche qui privilgie ladquation des mesures aux enjeux de lentreprise doit garantir un ROI par construction, cest--dire dont les bnfices attendus sajustent au plus proche des risques et enjeux. Cest tout le sens de la
premire phase de la mthodologie prsente au chapitre 3 que de bien dfinir
les contours de ces risques et enjeux3.
En dautres termes, il sagit thoriquement de trouver, pour chaque activit
de lentreprise, le point dquilibre entre limpact dun sinistre sur lactivit et le
cot associ la solution de continuit envisage puis de mettre en uvre le
dispositif de continuit dactivit qui reprsente le meilleur compromis pour les
activits dfinies comme critiques.
Impact du sinistre /
temps dinterruption

Point dquilibre

Cot de la solution /
dlai de reprise

Figure 2.4 Calcul thorique du point dquilibre


1. Je recommande ce sujet ltude du Clusif Retour sur investissement en scurit des systmes
dinformation : quelques cls pour argumenter , octobre 2004.
ROI : Return Over Investment.
2. En revanche, linverse dun contrat dassurances, la mise en place dun PCA nest pas le transfert dun risque vers lextrieur mais plutt lacceptation de la responsabilit des risques encourus par lorganisme et la prparation pour y faire face.
3. En particulier, cest la raison dtre des tapes de bilan dimpact sur lactivit (BIA) et danalyse
des risques et vulnrabilits.

Bennasar.Livre Page 48 Mardi, 11. avril 2006 12:53 12

48 Chapitre 2. Dcider la mise en place de la continuit dactivit

Suivant la nature des activits protger, le point dquilibre pourra notablement varier comme illustr dans la figure 2.5.

Production

Impact du sinistre /
temps dinterruption

Cot de la solution /
dlai de reprise

Figure 2.5 Points


dquilibre suivant la nature
de lactivit secourue
Messagerie
Impact du sinistre /
temps dinterruption

Cot de la solution /
dlai de reprise

Ce ROI par construction est intellectuellement rconfortant mais difficile


calculer en pratique parce que les critres de son valuation sont loin dtre tous
quantifiables. Cependant, dans les lments qui suivent, jai essay de donner
suffisamment darguments pour permettre une dmonstration concluante de
lutilit conomique de la mise en place dune dmarche de MCA. Les dcideurs
qui russissent cet exercice dmontrent que le management de la continuit
dactivit est une activit de cration de valeur pour lentreprise.
Inscrire la mise en place dun PCA dans la recherche de rentabilit et de
retour sur investissement cadre bien avec la mouvance actuelle des directions de
systmes dinformation qui veulent finaliser la mutation des SI de leur position
traditionnelle de centre de cot en centre de profit1.
1. Voir ce sujet ltude de CFO Research Services et PricewaterhouseCoopers : IT moves from
Cost Center to Business Contributor , septembre 2004.

Bennasar.Livre Page 49 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

49

Cette tendance se dcline aussi sur laxe scurit de linformation :


Je me suis fix comme priorit de faire comprendre et de concrtiser quun
budget scurit ne correspond plus un centre de cot mais un centre de
profit. Patrick Langrand, RSSI Natexis Groupe Banques Populaires 1.
1. Source : Les Assises de la scurit, Livre blanc, Octobre 2004 (P.-L. Refalo et al.).

Le ROI dun projet PCA est le rapport entre le cot total du projet (investissement et fonctionnement) et les gains attendus (gains ngatifs provenant
de lvitement de risques et gains positifs rsultant davantages intrinsques
acquis par latteinte des objectifs du projet) sur une priode donne.
Le calcul du cot total du projet devra prendre en compte :
Les investissements initiaux et ponctuels :
matriel (autour de la solution technique de secours en particulier) ;
prestations pour la mise en uvre du PCA ;
charges de personnel induites (participation aux analyses, au pilotage
du projet, la mise en uvre, etc.).
Les cots rcurrents induits par le projet en rgime tabli :
exploitation de la solution technique ;
tests du dispositif ;
maintenance et contrle du PCA ;
charges dadministration (responsable PCA, formation, communication,
actualisation, etc.).
La question de la quantification des gains attendus par la mise en place dun
PCA est sans doute plus complexe parce quelle fait intervenir des gains intangibles (protection de limage de marque par exemple). Tous les enjeux mtier,
tangibles et intangibles, devraient nanmoins tre abords (mme succinctement) lors dun calcul de ROI. Certains enjeux seront clairement plus facilement
quantifiables que dautres mais tous devraient pouvoir tre objectivs.
Il me semble que chacune des pertes potentielles suivantes devrait tre prise en
compte mme si la pondration que les entreprises leur donneront pourra varier :
Pertes quantifiables :
cots et impacts tangibles des sinistres : pertes de revenus, pertes de
productivit, cots du surcrot de travail en fonctionnement dgrad,
cot de reconstitution des donnes, cots dassurance, cots juridiques
(pnalits), pertes de parts de march, etc.
gain de performance : il sagit des gains positifs possiblement induits par

Bennasar.Livre Page 50 Mardi, 11. avril 2006 12:53 12

50 Chapitre 2. Dcider la mise en place de la continuit dactivit

la mise en place dun PCA (exemple : rorganisation du processus suite


analyse prliminaire).
Pertes non quantifiables (mais objectivables) : cots et impacts intangibles
des sinistres (perte de confiance des clients, perte de confiance des actionnaires, perte de rputation, impacts juridiques restrictions dactivit,
mention sur RCS1 , pertes de savoir-faire, etc.)
Le calcul de ces pertes devra sestimer en ayant recours au bon sens, lexpertise des directions financires et des risk managers et aux bases de donnes
dexpert (assurances, autorits civiles, etc.) selon le couple [impact sur lactivit,
probabilit doccurrence].
En synthse, la formule (toute thorique !) du ROI est :
ROI = ((Gains attendus) (Cot total du projet PCA))/(Cot total du projet
PCA) sur une priode donne (suprieure la dure du projet)

2.2.5 Le ROI inquantifiable


Au-del des enjeux financiers, quils soient directs ou indirects, la mise en place
dun systme de management de la continuit dactivit prsente de nombreux
avantages.

La minimisation de limpact des sinistres


Cest le premier bnfice recherch et la raison mme de la mise en place dun
dispositif de type PCA. Sil est bien conu, mis en uvre et orchestr, il permettra
datteindre son objectif, en permettant lentreprise de faire face un sinistre en
minimisant la douleur perue.
La conformit
Pour les entreprises qui y sont soumises (secteurs bancaire et financier en particulier, entreprises cotes au NYSE2 pour la loi Sarbanes-Oxley, entreprise du
secteur bancaire pour Ble II), la mise en place dun PCA permettra la mise en
conformit aux exigences lgales ou celles des organismes de tutelle.
Un levier pour la ngociation avec son assureur
Si je mettais en place un PCA dans mon entreprise, un des premiers rflexes que
jaurais serait de rendre visite mon assureur avec les principaux documents issus
de la dmarche (procdures, rsultats du bilan dimpact sur lactivit, solution
technique retenue, rsultats des tests, etc.). Aprs la prsentation, je linviterais
prendre rendez-vous avec mon responsable PCA pour une visite guide et une
sance de questions-rponses. Puis je lui demanderais : Et maintenant, si nous
reparlions de ce contrat dassurance catastrophes naturelles ?
1. Registre de commerce des socits.
2. New York Stock Exchange.

Bennasar.Livre Page 51 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

51

En fait, ne pas rengocier ce contrat serait manquer une belle opportunit de


financer une partie de la mise en place du PCA par une mesure de rduction des
charges ou de la franchise en cas de sinistre. Dautant que, compare au reste de
lEurope, la France est le pays o les compagnies dassurance prennent le plus en
compte les mesures de scurisation du SI et en particulier les plans de reprise
dactivit (PRA) et plans de secours informatiques (PSI) (75 % en France
contre 48 % pour le reste de lEurope1).

Un lment diffrenciant
Nous lavons vu, le gant britannique de la grande distribution Tesco exige de ses
fournisseurs quils aient fait la preuve de lefficacit de leur PCA avant de traiter
avec eux.
Si je ne connais que peu dquivalents dans lHexagone (Bouygues Telecom,
AGF2), il est clair quaujourdhui, les entreprises mme de dmontrer leur
capacit faire face dans de (relativement) bonnes conditions un sinistre
majeur possdent une longueur davance sur leurs concurrents.
Si jtais la tte dune entreprise qui manage la continuit dactivit, je
mempresserais dajouter un paragraphe ce sujet dans toutes les offres de services
ou de fournitures que je pourrais mettre.

Un facteur damlioration de limage


Nous avons tous en tte des images qui font sourire : le rseau ferroviaire suisse
entirement paralys en juin 2005 par une dfaillance technique, les pannes de
France Telecom, etc. Ces sourires sont pour eux les larmes dune crdibilit corne.
La mise en place dun management de la continuit dactivit (prouv !)
devrait faire lobjet dune communication externe forte, destination des principales parties intresses par lentreprise et son activit (actionnaires, clients,
partenaires, etc.).

Une vision recentre sur ce qui compte


Un avantage incontestable dune dmarche de management de la continuit
dactivit est la mise en exergue de ce qui compte vraiment pour lentreprise,
ce qui est son cur dactivit.
Cette vision est apporte en particulier par le bilan dimpact sur lactivit
(BIA), ralis en dbut de projet. Ce BIA met en vidence les activits vitales et
critiques de lentreprise. Raliser et communiquer ce BIA est loccasion rve
pour recadrer la vision stratgique de lentreprise, tous les niveaux. Mais atten1. Source : enqute de Global Switch, dcembre 2005.
2. Daprs un entretien de Marie-Hlne Moitier (AGF) sur planetefacility.cabestan.com,
novembre 2005.

Bennasar.Livre Page 52 Mardi, 11. avril 2006 12:53 12

52 Chapitre 2. Dcider la mise en place de la continuit dactivit

tion, cela peut tre psychologiquement dangereux pour ceux qui ne comptent
pas vraiment !

Une opportunit de changer


Beaucoup de dmarches de progrs et damlioration peuvent tre inities lors de
la mise en place dun PCA (dmarche qualit, rorganisation, optimisation des
processus, formalisation des pratiques, etc.).
Certes, ce nest pas le moment de se disperser et de diluer le projet dans une
myriade dautres, mais cest sans doute lopportunit den raliser un ou deux et
de laisser le reste comme des gisements de progrs raliser ultrieurement.

Un cadre pour structurer et formaliser les pratiques essentielles


Le caractre structurant dune dmarche de type PCA rside dans ce constat : un
PCA nest ni plus ni moins que lorganisation de lentreprise dans des conditions
aux limites .
La ncessaire formalisation de cette organisation de crise a des retombes
intressantes pour le fonctionnement nominal de lentreprise : procdures
formalises, responsabilits dfinies, modes de raction tudis, etc.
Pour une entreprise peu organise, ces sous-produits dune dmarche PCA
sont indniablement structurants. Pour une entreprise trs structure, cest
loccasion de revoir et doptimiser son organisation.

Limprgnation par une culture de gestion des risques


Si ce nest pas dj le cas, la mise en place dun PCA est une opportunit sans
pareille pour instiller une culture de gestion des risques dans lentreprise. Les outils de
management des risques sont en effet parmi les plus utiliss pour ltude dun PCA.
En rsum

Figure 2.6 Les neuf


bnfices inquantifiables
dune dmarche PCA

Bennasar.Livre Page 53 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

53

2.2.6 Quelques conseils aux dcideurs


Vous avez pris la dcision de mettre en place un management de la continuit
dactivit.
Les conseils donns ici se veulent une mise en exergue des points qui, dans la
mthodologie expose au chapitre suivant, relvent particulirement de la
volont et du contrle du management.

Mieux vaut prvenir que gurir


Sil est vident que la mise en place pragmatique dun PCA bnficiera toutes
les entreprises, il est clair que la plupart de celles-ci devront au pralable passer
par une tape de scurisation de leur environnement (diagnostic de prvention
et plan dactions) pour que le retour sur investissement du PCA soit rel. On ne
peut demander un PCA de couvrir les carences videntes et chroniques dun
systme dinformation ou dune organisation lacunaires.
Cest ainsi du bon sens que de commencer par protger une salle serveurs du
risque dincendie avant de lui trouver une salle de secours.
Les alpinistes apprennent marcher sereinement sur un glacier avant
dapprendre enrayer une chute.

Engagez-vous !
Ce slogan consonance militaire insiste simplement sur limportance du paragraphe 2.1.1 Mandat et sponsor. Le PCA est, par essence, un projet qui rclame
limplication forte de la direction et une approche top-down .
Un projet de management de la continuit dactivit va du haut vers le bas.

Adaptez la dmarche aux enjeux


Ce paragraphe pourrait sintituler Pragmatisme , comme lillustre lanecdote
qui suit1 :
Jai en mmoire un projet de continuit dactivit li lapplication de
gestion des interventions des centaines demploys de la filiale franaise dun
grand groupe international dans le domaine des services. Le dmarrage catastrophique de cette application avait cot son poste au directeur des SI qui lavait
supervis. Le climat ntait pas la confiance pour son successeur.
Dans ce contexte de tensions, les orientations de la stratgie de continuit
qui avaient t prises allaient vers la mise en place dune solution de moyenne
1. Cette anecdote est prsente plus en dtail en tant que cas n1 dans le chapitre 6, tudes de cas.

Bennasar.Livre Page 54 Mardi, 11. avril 2006 12:53 12

54 Chapitre 2. Dcider la mise en place de la continuit dactivit

disponibilit (temps dinterruption tolr infrieur 24 heures). Une expertise


technique avait alors t demande la socit laquelle jappartenais. Javais
t mandat sur la mission pour valider les choix faits et aider la mise en place
de la solution de secours.
Un peu proccup des conclusions du sommaire bilan dimpact sur lactivit
dj ralis, jai runi un sminaire BIA complmentaire qui a boulevers ma
comprhension du contexte. Autour de la table taient runis le nouveau directeur
des SI, un technicien informatique et les principaux utilisateurs de lapplication,
choisis parmi toutes les couches hirarchiques de lentreprise. Les utilisateurs ont
unanimement convenu que, selon les critres objectifs que nous avions retenus,
linterruption de lapplication ne devenait critique quaprs environ 20 jours de
coupure ! Il fallait cependant pour cela, mettre en place quelques procdures de
prvention simples, dont la plus complexe consistait imprimer chaque semaine
un tat de type planning.
Le seuil de criticit psychologique est parfois atteint bien avant le seuil de
criticit sur lactivit !
La rvision la baisse des ambitions du projet a permis des conomies substantielles tout en rpondant aux besoins des utilisateurs et en rassurant le
nouveau directeur des SI.

Prvoyez un dlai de projet suffisant


On la vu, un projet de management de la continuit dactivit (quil soit plan de
continuit ou de reprise dactivit), est un projet structurant. Cest un projet
vou lchec que celui qui est lanc pour utiliser la hte un reliquat de
budget, au cours du dernier trimestre budgtaire.
On ne parle que trs rarement en mois pour la mise en place dun plan de
continuit dactivit, quelle que soit la taille de lentreprise.
Mme pour un PRA dont les ambitions sont moins larges, lchelle de temps
nest pas souvent infrieure une anne.
Une des raisons essentielles ce laps de temps incompressible rside dans la
ncessit dune phase de conduite du changement approfondie1, seule garante de
lefficacit ultrieure du dispositif conu.

1. Voir ce sujet le paragraphe 3.6, Phase 5 : Assurer la conduite du changement, le dploiement du


PCA et son maintien en conditions oprationnelles.

Bennasar.Livre Page 55 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

55

Nommez un responsable du PCA


Peu importe, dans un premier temps, si cest une fonction plein temps ou
temps partiel, un responsable de PCA doit tre nomm. Sa responsabilit et son
autorit doivent tre clairement et formellement tablies.
Le responsable du PCA est la cheville ouvrire du succs du dispositif.

Soignez le bilan dimpact sur lactivit (BIA)


Sil est une phase qui doit tre soigne, cest bien celle-l. Pour prendre une
mtaphore ferroviaire :
Un BIA dont les conclusions orientent le projet avec quelques degrs dcart
donne lieu une fin de projet dans une gare darrive sans doute distante de
plusieurs centaines de kilomtres de lobjectif.
Cette remarque est exacerbe par la dure du projet, quon vient de dcrire
plutt en anne quen mois.
Le BIA est la phase pour laquelle la mthode employe doit tre rgle
comme une horloge. Cest la phase pour laquelle le recours une aide extrieure
me semble prsenter le plus grand intrt et le meilleur retour sur investissement.
Quand jai pu intervenir sur un projet de PCA aprs la ralisation en interne du
BIA, il a t trs rare quun travail important de complment dinformations et
de recadrage nait pas t ncessaire.

Dpassez lobjectif de secours informatique


Cest une des ambitions de ce livre que de prsenter la problmatique de la
continuit dactivit bien au-del de ses composantes techniques.
Un PCA qui ne couvre que les besoins de secours informatique nest pas
un PCA : cest un plan de secours informatique !

Soignez les ressources humaines dans la gestion de la crise


Les quelques retours dexprience documents concernant les crises majeures
sont unanimes : la gestion du personnel est primordiale, sous-estime et peut
mettre mal, si elle est peu anticipe, lensemble des actions de MCA. Ce constat
a t la principale conclusion des attentats de Londres en juillet 2005 (voir ce
sujet le paragraphe 6.4, Cas n4 : Retour dexprience pour une crise majeure) et de la
crise de la Nouvelle Orlans lors du passage de louragan Katrina en septembre 2005. Les lments suivants devront tre pris en compte :

Bennasar.Livre Page 56 Mardi, 11. avril 2006 12:53 12

56 Chapitre 2. Dcider la mise en place de la continuit dactivit

Sant et scurit du personnel ;


Sant et scurit de la famille du personnel ;
tat du logement du personnel et de sa famille.
Il est illusoire de penser quun employ pourra tre relocalis sur un site de
secours distant de son domicile si la scurit et la sant de sa famille ne sont pas
assures !
La mise en place dun numro dappel durgence est une mesure prventive
qui peut grandement faciliter les changes, le transfert dinformation et la coordination des secours.
Suite au tremblement de terre de 1999 en Turquie, lusine Alcatel locale tait
pleinement oprationnelle car elle navait pas subi de dommages graves mais
les dommages causs aux habitations de la plupart des employs (de conditions modestes pour la plupart) les ont empchs de travailler normalement.
Lactivit de lusine en a t fortement perturbe pendant un temps
consquent. 1
1. Daprs un entretien de lauteur avec le Dr. Wolfgang Kauschke, Business Continuity
Program Manager pour Alcatel, novembre 2005.

Dcidez de la stratgie de secours aprs une analyse de plusieurs solutions


La dfinition de LA solution technique de secours nest pas chose aise, dans la
mesure o, souvent, plusieurs orientations techniques distinctes peuvent rpondre aux besoins exprims lors de la phase de dfinition des besoins fonctionnels.
Par commodit (pour limiter le travail li des consultations dentreprises
par exemple), il arrive alors que lventail de choix se limite une seule solution.
liminer demble certaines solutions techniques est difficile faire sur des
arguments autres quarbitraires.
Cest pour pallier cette difficult que je recommande systmatiquement une
tude pralable de plusieurs solutions techniques concurrentes dans le but de ne
pas liminer doffice une option technique intressante. Il est vident que lors de
cette tude pralable (avec prconsultation de fournisseurs), le degr dinformation
de la caractrisation des diffrentes solutions nest pas trs fin.

Testez, testez, testez


Un PCA non test nest que marginalement plus utile que pas de PCA du tout.

Bennasar.Livre Page 57 Mardi, 11. avril 2006 12:53 12

2.2 Dcider de mettre en place un PCA

57

Et encore, cette remarque ne tient pas vraiment compte du danger que reprsente le
sentiment erron de scurit que gnre la prsence dun PCA non test

Engagez des actions de communication


La campagne de communication autour du projet, dans ses composantes internes
aussi bien quexternes, doit tre rigoureusement planifie et suivie. Orchestre
par le responsable du PCA en coordination avec le service Communication de
lentreprise, elle doit permettre limprgnation de la dmarche.
Communiquer, cest mettre en commun la vision et lorganisation que
propose le PCA.
Plusieurs tudes montrent que plus une entreprise est grande, plus la part du
budget consacre la phase de communication (et plus largement, la conduite
du changement) devrait crotre.

Ne surestimez pas le dispositif


Un PCA est essentiellement conu pour permettre un gain de temps apprciable
lorsquune entreprise doit faire face dans des conditions durgence une situation
de crise. Il est cependant illusoire desprer ranger toutes ces inquitudes face la
crise dans une bote hermtique portant ltiquette PCA, nouvrir quen cas
durgence .
Le PCA reste un outil reposant principalement sur une organisation humaine.

Usez des avantages du PCA


Il serait dommage de se priver des bnfices attendus de la mise en place dun
PCA dcrits prcdemment. Ne pas profiter de son projet PCA pour rengocier
ses primes dassurance reprsente un cot financier. Ne pas mettre en avant
lavantage comptitif du PCA dans ses dmarches commerciales peut reprsenter
un cot dopportunit.
En rgle gnrale : Ne pas utiliser les avantages drivs du PCA reprsente un
cot dopportunit lev.

Veillez la mise jour du dispositif


Ce conseil sapparente celui li aux tests (voir le paragraphe prcdent Testez,
testez, testez).
Linutilit dun PCA non jour en cas de crise est totale.

Bennasar.Livre Page 58 Mardi, 11. avril 2006 12:53 12

58 Chapitre 2. Dcider la mise en place de la continuit dactivit

En rsum
Les 14 commandements
1.

Mieux vaut prvenir que gurir

2.

Engagez-vous !

3.

Adaptez la dmarche aux enjeux

4.

Prvoyez un dlai de projet suffisant

5.

Nommez un responsable du PCA

6.

Soignez le Bilan dImpact sur lActivit (BIA)

7.

Dpassez lobjectif de secours informatique

8.

Soignez les ressources humaines dans la gestion de la


crise

9.

Dcidez de la stratgie de secours aprs une analyse de


plusieurs solutions

10. Testez, testez, testez


11. Engagez des actions de communication
12. Ne surestimez pas le dispositif
13. Usez des avantages du PCA
14. Veillez la mise jour du dispositif

Figure 2.7 Les quatorze commandements du dcideur

Bennasar.Livre Page 59 Mardi, 11. avril 2006 12:53 12

Deuxime partie

Mthodes et outils
de la continuit
dactivit

Bennasar.Livre Page 60 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 61 Mardi, 11. avril 2006 12:53 12

3
Mettre en place la continuit
dactivit: mthodologie
commente

3.1

DMARCHE GNRALE

3.1.1 De lexpertise en continuit dactivit


Il nexiste dexpertise en continuit dactivit que mthodologique ! L expertise la plus importante reste la combinaison du bon sens et du pragmatisme.
Toute la matire premire qui permet de btir un plan de continuit dactivit
existe dans lentreprise bien avant la mise en place de mesures de continuit. La
connaissance des lments techniques sur lesquels sappuie le secours du systme
dinformation est certes dterminante mais il nest pas ncessaire dtre un
expert en systmes dinformation pour manager la continuit dactivit.
L expertise en continuit dactivit est donc essentiellement le savoirfaire mthodologique qui permet de mettre en musique et dagencer la dmarche
pour :
Collecter linformation pertinente auprs de ceux qui la dtiennent ;
Larranger pour lui donner une structure propre dfinir les besoins de
continuit et les rgles de gestion des sinistres ;
Apporter laide ncessaire au choix par les dcideurs des orientations des
stratgies de continuit ;

Bennasar.Livre Page 62 Mardi, 11. avril 2006 12:53 12

62 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Mener bien la conduite du changement pour sassurer que le dispositif


imprgne lentreprise.
On le voit : on nest pas sur un domaine d expertise (au sens technique)
mais bien sur un domaine de mthodologie. Cest fort de ce constat qua t
rdig ce chapitre.

3.1.2 Les principaux composants dun dispositif de continuit dactivit


Au chapitre 2 (paragraphe 2.2.3, Les quatre principaux composants dun PCA), les
quatre principaux composants ont t introduits. Ils sont prsents plus finement
dans ce paragraphe.

Une organisation de gestion de crise


Le dispositif global conu ne jouera son rle que sous la baguette dun chef
dorchestre respect et entran. Ce chef dorchestre, cest lorganisation de crise.
Le management de la crise et le pilotage de la mise en uvre du PCA sont
avant tout une affaire dhommes, de dcisions et de coordination. La mise en place
dune solution technique de secours ne doit jamais faire oublier que cest lorganisation de gestion de crise qui assure le bon droulement du plan de continuit
dactivit.
Quand le voilier de lentreprise traverse la tempte, cest toujours le capitaine
qui tient la barre et assure le salut de lquipage et du navire.

Un systme documentaire prouv et jour


Un plan de continuit dactivit est avant tout un systme documentaire. Bien
quil ne soit pas ncessairement sous forme papier1, ce systme est le rfrent
principal en cas de crise majeure. Trois conditions rendent ce systme oprant :
Le fait que le dispositif soit test et connu de ceux qui sont chargs de le
mettre en uvre ;
Le fait que les informations quil contient soient jour ;
Le fait quil soit disponible aprs survenance du sinistre.

Une stratgie de sauvegarde efficace et teste (SI)


Ce paragraphe prsente les aspects organisationnels lis la sauvegarde. Les
aspects techniques sont traits dans le paragraphe 5.1, Sauvegarde, restauration et
disponibilits des donnes.
1. Il existe de nombreux outils qui permettent la dmatrialisation du systme documentaire.

Bennasar.Livre Page 63 Mardi, 11. avril 2006 12:53 12

3.1 Dmarche gnrale

63

Les sauvegardes peuvent rpondre des problmatiques diffrentes. On distingue


classiquement sauvegarde dexploitation (pour pallier les incidents dexploitation) et
sauvegarde de recours (pour rpondre aux dommages dun sinistre majeur sur le SI).
Plus finement, on peut caractriser les diffrents besoins et contraintes de
sauvegarde en fonction des trois vnements suivants auxquels la mise en place
dune sauvegarde tentera de rpondre :
Les incidents dexploitation au cours des activits de routine : dans ce cas,
la restauration se fera sur le mme site et sera trs partielle.
Le sinistre majeur au cours duquel la salle machines est fortement endommage : dans ce deuxime cas, la restauration est complte (ou quasi
complte), elle se fait sur un site distant et sur un environnement technique
sans doute distinct de lenvironnement initial.
Le sinistre logique majeur (comme une attaque virale de grande ampleur) :
dans ce dernier cas, la restauration se fait en gnral sur le site ; un risque
non ngligeable est lapparition trs progressive des dommages lis au
sinistre, progressivit qui peut ventuellement provoquer une corruption
non dtecte des sauvegardes elles-mmes.
Langle sous lequel est envisage la stratgie de sauvegarde lie la mise en
place un plan de continuit dactivit privilgie videmment le deuxime cas
(celui du sinistre majeur).
Lorganisation de la sauvegarde est au moins aussi dterminante pour lefficacit dun plan de continuit dactivit que les moyens techniques mis en uvre.
La stratgie de sauvegarde devra saligner sur les rsultats du bilan dimpact sur
lactivit. Cette organisation reposera a minima sur :
Un systme documentaire1 jour : au sein dune mme direction des
systmes dinformation, des combinaisons trs varies de sauvegardes
coexistent (sauvegarde physique incrmentale dexploitation, sauvegarde
applicative complte de recours, etc.). Il est ncessaire que chacune soit
documente dans une procdure qui prcise les modalits associes (voir
tableau 3.1, Trame de procdure de sauvegarde).
Des moyens et une organisation de suivi : afin de permettre un fonctionnement efficace et la minimisation des erreurs lors des restaurations ventuelles, les lments suivants seront mis en place : un journal de suivi des
oprations de sauvegarde (main courante), des outils de remonte dalarmes
en cas dincidents techniques lors des oprations, une dfinition des
responsabilits, etc.
1. Spcifique la stratgie de sauvegarde.

Bennasar.Livre Page 64 Mardi, 11. avril 2006 12:53 12

64 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Une stratgie de tests : les tests des remontes de sauvegarde sont dterminants pour accrotre lassurance du bon fonctionnement en cas de
dclenchement du plan de continuit dactivit. Ils devraient tre
soigneusement planifis par les modalits dfinies dans le dveloppement
de celui-ci et raliss conformment. 1
Tableau 3.1 Trame dune procdure de sauvegarde 1
Paragraphe

Contenu

Finalit

Recours, exploitation, PCA, archivage

Nature

complte/incrmentale/diffrentielle/journalisation,
physique/logique/applicative/systmes

Contenu

Informations sauvegardes

Responsabilits

Habilitation pour la sauvegarde et pour la restauration

Frquence

Hebdomadaire, quotidienne, mensuelle

Dure de conservation

Sur site, hors site, en archivage

Nombre de gnrations

Nombre de sauvegardes conscutives conserver


(en gnral suprieur ou gal trois)

Outils

Supports de sauvegarde, applications, moyens


et procdures didentification des supports

Indicateurs

Alarmes et remontes, temps approximatifs (sauvegarde


et restauration)

Localisation

Lieu de stockage des mdias de sauvegarde

Conditions de stockage

Contraintes environnementales de stockage (hygromtrie,


temprature, protection incendie), espace requis,
rotations des supports

Modalits de transfert

Transport physique ou transfert lectronique (conteneurs,


scurisation pendant le transport)

Modalits test

Frquence, responsabilits, formalisation des rsultats,


plan dactions associ

Contraintes de
restauration

Temps allou, configurations matrielles et logiciels


ncessaires, chronologie de restauration

Contraintes spcifiques

Confidentialit, cryptage, caractre probant, traabilit,


conditions de rutilisation des supports (effacement
pralable par exemple)

1. Pour plus de prcisions sur les termes utiliss, on se reportera au paragraphe 5.1, Sauvegarde,
restauration et disponibilits des donnes.

Bennasar.Livre Page 65 Mardi, 11. avril 2006 12:53 12

3.1 Dmarche gnrale

65

Une solution technique de secours qui couvre les besoins de continuit


et qui est teste
On se rfrera essentiellement ce sujet aux chapitres 4 et 5. Il suffira de prciser
ce stade que :
La solution devra tre pense, conue et mise en place pour rpondre aux
besoins explicites et implicites de la matrise douvrage (ce qui suppose de
recueillir ces besoins et de quitter une logique de best effort de la part
de la direction des SI) ;
La solution devra tre teste rgulirement, conformment au programme
dfini ce sujet, prfrablement selon une logique de tests bass sur une
approche par les risques.

3.1.3 La dmarche E=MCA en six phases


La dmarche E=MCA (tapes vers le management de la continuit dactivit)
sarticule en six phases telles que prsentes dans la figure 3.1 (voir page suivante).
La mthodologie E=MCA prsente dans la suite de ce chapitre est compatible et conforme avec les principaux rfrentiels en vigueur : Good Pratices
Guidelines (BCI, 2005), PAS 56 et Generally Accepted Practices for Business
Continuity Practitioners (DRJ/DRII).

3.1.4 Notes sur le formalisme utilis pour dcrire la mthodologie


Les six phases de la mthodologie E=MCA se dclinent leur tour en tapes.
Pour chacune de ces tapes, les principaux lments constitutifs sont prsents :
Objectif ;
Dmarche ;
Outils et mthodes ;
Donnes dentre et composants ;
Donnes de sortie ;
Livrables ;
Astuces et conseils.
Par ailleurs, des synoptiques rcapitulatifs de chaque phase (pour les donnes
dentre, donnes de sortie et livrables) sont donns en 3.8, Synoptiques rcapitulatifs de la mthodologie E=MCA.

Bennasar.Livre Page 66 Mardi, 11. avril 2006 12:53 12

66 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Assurer
conduite du
changement,
dploiement du
PCA et maintien
en conditions
oprationnelles

Mieux
connatre
son activit

Piloter le
MCA

Dvelopper
le Plan de
Continuit
dOprations

Orienter la
stratgie de
continuit

Mettre en
place le plan
de secours
informatique

Figure 3.1 La boucle E=MCA

6.A
6.B

6.B

1.A

1.E

1.B

2.A

2.B

2.C

3.A

3.B

3.C

1.D
1.C

5.A
5.B

4.A
4.B

5.C

4.D
4.C

Figure 3.2 Exemple de phasage dun projet E=MCA

5.D
5.B

Bennasar.Livre Page 67 Mardi, 11. avril 2006 12:53 12

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive

67

Les exemples et modles de livrables et/ou donnes de sortie ne sont pas


donns dans ce chapitre mais figurent dans les tudes de cas (chapitre 6) et dans
lannexe B, Quelques illustrations documentaires de la mthodologie.
Les phases de la mthodologie sont numrotes en chiffres arabes (de 1 6)
et les tapes (sous-phases) sont rfrences par des lettres majuscules (de A E).
Ainsi, la quatrime tape de la phase 1 est ltape 1.D.

3.2

PHASE 1: MIEUX CONNATRE SON ACTIVIT: LTAPE DCISIVE

Cette premire phase correspond une phase de spcifications fonctionnelles qui dlimitera le contour des
solutions de continuit dactivit possibles (organisationnelles et techniques). ce titre, cest au cours de
cette phase que les erreurs daiguillage se traduiront
dans les phases ultrieures par les carts les plus importants.

3.2.1 tape 1.A: Diagnostic de prvention


Cette tape rpond au conseil donn aux dcideurs : mieux vaut prvenir que
gurir (voir paragraphe 2.2.6, Quelques conseils aux dcideurs/Mieux vaut prvenir
que gurir). Il est toujours utile de scuriser le fonctionnement courant de lorganisation pour rduire ltendue des risques rsiduels couvrir dans le PCA.
Il est parfaitement recevable de considrer cette tape comme faisant partie
dune phase 0, prcdant toute dmarche MCA.

Objectif
Lobjectif du diagnostic de prvention est de :
Identifier les vulnrabilits ;
Dfinir un plan dactions en rduction des vulnrabilits pour fiabiliser et
scuriser au maximum lentreprise.

Dmarche
Audits
Inspections

Outils et mthodes
Toutes les mthodes et rfrentiels daudit visant scuriser et protger son
patrimoine, ses actifs et son activit.

Bennasar.Livre Page 68 Mardi, 11. avril 2006 12:53 12

68 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

En particulier :
Scurit SI : ISO 17799, MEHARI, EBIOS ;
Scurit et sant au travail : ISRS, OHSAS 18001, rglementation sur la
scurit industrielle (protection incendie, lectricit, appareil de levage,
atmosphres explosives, etc.) ;
Sret industrielle : analyse de risques (HAZOP, HACCP, AMDEC,
etc.), tudes de danger, etc.
Environnement : rglementation (ICPE1, Seveso, ISO 14001, etc.) ;
IT Gouvernance et contrle interne : CobiT, CobiT for Sox, ITIL.
Par ailleurs, la mise en place de mesures visant prvenir ou minimiser les
sinistres majeurs va dans le sens de la prvention dont il est ici question :
Installation dun systme GTC/GTB2 permettant la supervision des installations techniques, des principaux circuits de fluide (lectricit, climatisation,
chauffage, gaz, eau sanitaire, etc.) ;
Mise en place dun secours de lalimentation lectrique par onduleurs et
groupes lectrognes (rgulirement tests et rapprovisionns) ;
Mise en place de systmes de climatisation pour rguler la temprature des
salles machines ;
Installation de systmes de vidosurveillance et de dtection dintrusion
physique ;
Mesures de gardiennage de sites ;
Systme de dtection et dextinction dincendie ;
Systme de dtection et dalerte dgts des eaux ;
Stockage prventif de bches plastiques pour protger du matriel sensible
en cas de dgts des eaux ;
Stockage prventif de conteneurs tanches et/ou rsistants la chaleur
pour prserver les dossiers non lectroniques ;
Mise en place dune stratgie adquate de sauvegarde ;
Observatoire des mouvements sociaux internes et externes, etc.

Donnes dentre et composants


Document unique (dcret du 05/11/2001) dfinissant le plan de matrise
des risques vis--vis de la sant et de la scurit au travail ;
1. Installations classes pour la protection de lenvironnement.
2. Gestion technique centralise/gestion technique des btiments.

Bennasar.Livre Page 69 Mardi, 11. avril 2006 12:53 12

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive

69

Rapports dinspection du travail ;


Rapports de visite dinspections rglementaires (lectricit, appareil de
levage, quipement sous pression, etc.) ;
tudes de danger ;
Analyses dexperts (environnement, sret industrielle, tests dintrusion
logique, sant, etc.) ;
Rsultats daudits de scurit SI.

Donnes de sorties
Vulnrabilits identifies ;
Actions en rduction mener.

Livrables
Rapports daudit ;
Plan prioris dactions de prvention.

Astuces et conseils
Cest en gnral le SI que lon cherche scuriser au maximum dans ce diagnostic
de prvention. En consquence, on cherchera surtout raliser un tat des lieux
de la scurisation du SI (audit gnraliste de scurit SI).
Si parmi les donnes dentre, on dispose dun diagnostic Scurit et sant ou
dune tude de danger, on sen servira mais ces donnes ne feront en gnral pas
lobjet dun investissement particulier sinon.

3.2.2 tape 1.B: Cartographie et scnarios de sinistres


Dans la mthodologie E=MCA, une cartographie des sinistres prcde le bilan
dimpact sur lactivit (BIA). Elle dtermine les scnarios de sinistres qui seront
retenus et par rapport auxquels le BIA sera orient.

Objectif
Lobjectif de la cartographie des sinistres est de retenir les scnarios de sinistres
contre lesquels lentreprise cherchera se prmunir au travers de son PCA.

Dmarche
Identifier les menaces qui psent sur lactivit de lentreprise et qui pourraient causer une discontinuit de lactivit ;
valuer pour chaque menace la probabilit doccurrence et limpact
potentiel de la menace ;

Bennasar.Livre Page 70 Mardi, 11. avril 2006 12:53 12

70 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Prioriser les scnarios de sinistres et retenir ceux qui constitueront les


hypothses de construction du PCA.

Outils et mthodes
Typologie de risques et sinistres : on trouvera dans la littrature plusieurs
typologies exhaustives de risques grce auxquelles la cartographie des sinistres
pourra se construire. On citera pour illustration lune des plus compltes qui
se trouve dans la mthodologie danalyse des risques EBIOS1.
Grille dvaluation des impacts des sinistres : cette grille est spcifique
chaque entreprise mais peut tre construite partir des modles classiques.
Il est impratif de ladapter aux enjeux de lentreprise (en particulier pour
les seuils financiers qui ltablissent).
chelle dvaluation des sinistres : les risques sont valus selon le couple
[probabilit, impact] qui les caractrise. Si la probabilit est souvent issue
de statistiques externes ou internes lentreprise (donnes mtorologiques, donnes constructeur), le calcul de limpact est, quant lui, entirement driv de la grille dvaluation des risques prdfinie. On procde
en gnral en valuant chaque lment du couple [probabilit, impact] sur
une chelle ayant un nombre pair dchelon (pour viter laccumulation
de cotations sur lchelon mdian). Lchelle de 1 4 est souvent retenue.
Elle ne suppose cependant pas quun risque dimpact potentiel 2 a un
impact potentiel deux fois plus grand quun risque de niveau 1. Le passage
de chaque chelon est plutt le passage dun ordre de grandeur (ou dun
zro). Il sagit en fait plutt dune chelle logarithmique (1, 10, 100).
Sil est difficile de distinguer deux risques dont les impacts potentiels
peuvent tre doubles lun de lautre, il est en revanche relativement ais
de chiffrer un ordre de grandeur ( un zro prs ).
La svrit (ou criticit) dun risque est value comme tant le produit
de sa probabilit doccurrence par son impact potentiel. Plus ce produit
sera lev, plus le risque ncessitera des mesures de rduction.
La cotation de chaque risque se fera, dans un premier temps, dans labsolu,
cest--dire sans tenir compte des mesures de rduction des risques dj en
place pour le matriser. Dans un deuxime temps, on rvaluera les cotations
en prenant en considration ces mesures pour aboutir une cotation relle.
Par ailleurs, les techniques suivantes pourront tre utilises dans la collecte
dinformation et la validation des rsultats :
Interviews orientes ;
1. Voir annexe C, le paragraphe C.2, La scurit des SI/EBIOS.

Bennasar.Livre Page 71 Mardi, 11. avril 2006 12:53 12

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive

71

Sminaire ;
Validation des conclusions de la cartographie et prsentation des rsultats.

Donnes dentre et composants


Typologie de sinistres (de type EBIOS) ;
Bases de donnes locales (mtorologie, sismologie, bulletins dalerte des
autorits publiques, etc.) ;
Grille de classification des sinistres.

Donnes de sorties et livrables


Cartographie des sinistres ;
Scnarios de sinistres retenus.

Astuces et conseils
La validation des scnarios de sinistres au plus haut niveau est fondamentale dans
la mesure o elle conditionne toute la dmarche. Le cas chant, si le PCA venait
ne pas permettre la continuit dactivit en cas de sinistre, il conviendra bien de
dterminer si lchec est li une mauvaise mise en uvre de la politique MCA ou
des hypothses cartes lors de cette tape de cartographie des sinistres.
La cartographie des sinistres devra tre mise jour chaque changement important de lentreprise (nouveau site, modifications de linfrastructure existante).
La ralisation de la cartographie des sinistres est une tape dans laquelle il
faudra tre prudent pour ne pas engager trop de dpenses : il sagit vraiment de
dgager quelques macro-scnarios en vue de prciser le BIA et non de caractriser
finement tous les types de sinistres.
Il faut se rappeler quune tape danalyse des risques et des vulnrabilits suit
ltape de BIA.
La bonne dmarche est donc :
1. Une cartographie sommaire des sinistres pour orienter le BIA ;
2. Un BIA orient par les scnarios retenus et orientant lanalyse plus
fine des risques de ltape qui le suit ;
3. Une analyse plus dtaille des risques oriente par le BIA qui braque le
projecteur sur les processus et activits qui comptent .

3.2.3 tape 1.C: Bilan dimpact sur lactivit (BIA)


La principale difficult dun plan de reprise dactivit (PRA) nest pas tant
dimplmenter une solution technique que de mener une analyse dimpact

Bennasar.Livre Page 72 Mardi, 11. avril 2006 12:53 12

72 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

mthodique, de dlimiter prcisment le primtre applicatif concern, et de


dfinir la nature des besoins. 1
Si cette remarque est dirige vers les PRA, elle est dautant plus applicable au
PCA o le primtre est plus vaste encore. Le BIA est le fondement vritable de
toute dmarche de management de la continuit dactivit. Il dtermine les enjeux
de la continuit dactivit pour lentreprise. Cest ltape qui est sans aucun
doute la plus dlicate, la plus engageante et la plus riche de tout le processus.
Il est intressant de noter que, selon un sondage de globalcontinuity.com,
40 % des entreprises sondes (essentiellement hors de France) revoient leur BIA
au moins tous les ans.

Objectif
En fonction des scnarios de sinistres retenus, lobjectif du BIA est de :
Identifier les activits critiques de lentreprise, les classer ;
Valider les objectifs de secours (reprise ou continuit) pour chaque activit ;
Identifier les ressources cls lies aux activits critiques afin de dterminer
les modes dgrads de fonctionnement ;
Identifier les points de dfaillance2 uniques et les dpendances ;
valuer les impacts dinterruption de lactivit.

Dmarche
Identification des processus et/ou activits de lentreprise analyser ;
Identification des interlocuteurs mme danalyser globalement limpact
dun sinistre sur un processus : pilote de processus par exemple ;
Identification des ressources cls en fonction du temps dinterruption
dactivit (en gnral, plus linterruption prvue est longue, plus il faudra
de personnel pour lactivit en mode dgrad) ;
Identification des temps critiques du MCA : Recovery Point Objective
(RPO), Recovery Time Objective (RTO)3 ;
Interviews orientes + questionnaires ;
Sminaire ;
Validation des conclusions du BIA et prsentation des rsultats.
1. Reprise dactivit : noubliez pas le backup Thierry Jacquot, 01 Informatique, 30 juin 2005.
2. lment dun systme qui, sil est dfaillant, met en chec toute la chane. Concept issu de la
sret de fonctionnement.
3. Ou, respectivement degr de fracheur de donnes (quantit, exprime en temps, de donnes
quon accepte de perdre) et dlai de reprise (temps maximal admissible de reprise).

Bennasar.Livre Page 73 Mardi, 11. avril 2006 12:53 12

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive

73

Outils et mthodes
Grille de critres BIA ;
Questionnaire BIA ;
Matrice BIA.

Donnes dentre et composants


Cartographie des processus et activits (avec analyse de la chane de valeur
de Porter1 par exemple) ;
Scnarios de sinistres retenus (issus de la cartographie des sinistres).

Donnes de sorties
RTO ;
RPO ;
Ressources cls (RH, infrastructure et locaux, SI, donnes et informations,
fournisseurs) ;
Impacts des sinistres sur lactivit ;
Points de dfaillance uniques et dpendances ;
Contraintes (rglementaires ou commerciales).

Livrables
Matrice BIA.

Astuces et conseils
Le besoin de crdibilit auprs des managers interrogs voudrait que lon opre
en une seule passe. Par ailleurs, pour assurer la cohrence des rsultats entre
eux, il est souvent ncessaire dhomogniser les rsultats du BIA, en sminaire par exemple, o tous les rsultats sont exposs et compars entre eux par
les diffrents acteurs.
Si des mesures de prvention et de matrise des risques sont en place, lvaluation
les prendra en compte.
La validation de la grille de critres par un directeur financier crdibilise la
mthode. Quand un effet de saisonnalit influence lanalyse de limpact, il est
prfrable de considrer les conditions les plus dfavorables pour raliser le BIA.
Raliser un BIA sans un mandat clair et connu de tous serait suicidaire pour
la dmarche. Ce mandat doit venir du sponsor du projet PCA.
1. Daprs Michael D. Porter, professeur de stratgie la Harvard Business School.

Bennasar.Livre Page 74 Mardi, 11. avril 2006 12:53 12

74 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Limplication des clients de lentreprise peut donner des rsultats intressants


quant ce qui est rellement peru comme critique par le principal intress. On
peut alors dfinir avec lui deux seuils intuitifs : le seuil o le mcontentement
devient significatif et le seuil intolrable o lissue certaine est larrt des relations
commerciales. Cette approche peut tre ralise sur un contrat significatif pour
lentreprise et les rsultats obtenus extrapols ensuite.1.
Note : la figure 3.3 prcise les notions de RTO et RPO.

Figure 3.3 Chronologie de crise (RTO, RPO)

3.2.4 tape 1.D: Analyse des risques (AR)


Dans la mthodologie E=MCA, lanalyse de risques suit le bilan dimpact sur lactivit puisque ce dernier permet dorienter lAR sur les activits et les ressources
les plus critiques de lentreprise. Les outils et dmarches sont analogues ceux
qui ont dj t utiliss pour la cartographie des sinistres.
La diffrence entre la cartographie des sinistres et lAR est essentiellement
une diffrence dchelle et de dtail. Si lobjectif de la cartographie des sinistres
est de dgager les scnarios des sinistres devant tre pris en compte dans le PCA,
lobjectif de ltape dAR est bien de dfinir des plans de rduction des risques
pour les processus, activits et ressources identifis comme critiques lors du BIA.
1. Daprs un entretien de lauteur avec le Dr. Wolfgang Kauschke, Business Continuity Program
Manager pour Alcatel, novembre 2005.

Bennasar.Livre Page 75 Mardi, 11. avril 2006 12:53 12

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive

75

Objectif
Lobjectif de lAR est de dfinir des plans de rduction des risques pour les
processus, activits et ressources identifis comme critiques lors du BIA.

Dmarche
Identifier les risques qui psent sur lactivit, les processus et les ressources
critiques de lentreprise tels quils sont ressortis du BIA.
valuer pour chaque risque la probabilit doccurrence et limpact potentiel.
Dfinir la stratgie de gestion des risques pour chaque risque caractris.
Dfinir les plans de rduction des risques.

Outils et mthodes (idem tape 1.B)


Typologie de risques et sinistres : on trouvera dans la littrature plusieurs
typologies exhaustives de risques grce auxquelles lAR pourra se construire.
On citera pour illustration lune des plus compltes qui se trouve dans la
mthodologie danalyse des risques EBIOS1.
Grille dvaluation des impacts des sinistres : cette grille est spcifique
chaque entreprise mais peut tre construite partir des modles classiques.
Il est impratif de ladapter aux enjeux de lactivit et/ou du processus
considrs (en particulier pour les seuils financiers qui ltablissent).
chelle dvaluation des risques : les risques sont valus selon le couple
[probabilit, impact] qui les caractrise. Si la probabilit est souvent issue
de statistiques externes ou internes lentreprise (donnes mtorologiques,
donnes constructeur), le calcul de limpact est lui entirement dpendant de la grille dvaluation des risques prdfinie. On procde en gnral
en valuant chaque lment du couple [probabilit, impact] sur une chelle
ayant un nombre pair dchelon (pour viter laccumulation de cotations
sur lchelon mdian). Lchelle de 1 4 est souvent retenue. Elle ne suppose
cependant pas quun risque dimpact potentiel 2 a un impact potentiel
deux fois plus grand quun risque de niveau 1. Le passage de chaque chelon
est plutt le passage dun ordre de grandeur (ou dun zro). Il sagit en fait
plutt dune chelle logarithmique (1, 10, 100). Sil est difficile de
distinguer deux risques dont les impacts potentiels peuvent tre doubles
lun de lautre, il est en revanche relativement ais de chiffrer un ordre de
grandeur ( un zro prs ).

1. Voir annexe C, le paragraphe C.2, La scurit des SI/EBIOS.

Bennasar.Livre Page 76 Mardi, 11. avril 2006 12:53 12

76 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

La svrit (ou criticit) dun risque est value comme tant le produit
de sa probabilit doccurrence par son impact potentiel. Plus ce produit
sera lev, plus le risque ncessitera des mesures de rduction.
La cotation de chaque risque se fera, dans un premier temps, dans labsolu,
cest--dire sans tenir compte des mesures de rduction des risques dj en
place pour le matriser. Dans un deuxime temps, on rvaluera les cotations
en prenant en considration ces mesures pour aboutir une cotation relle.
On pourra dans un troisime temps, tenir compte des mesures prventives
prconises dans ltape 1 et en cours de dploiement pour obtenir une
cotation au plus proche de la ralit.
Lutilisation des techniques et mthodes exposes permet ltablissement des
cartographies des risques par processus, activits et/ou ressource critique, tels
quidentifis dans le BIA.
Les stratgies de gestion des risques correspondantes seront alors choisies
parmi les possibilits suivantes :
Transfrer le risque : recours aux assurances en particulier ;
Accepter le risque : en gnral quand sa probabilit doccurrence et son
impact potentiel sont faibles ;
Rduire le risque : au moyen de la mise en place de plans de rduction des
risques ;
viter le risque : en adoptant une stratgie de contournement ou dvitement
(en supprimant par exemple la cause du risque).
Par ailleurs, les techniques et mthodes classiques danalyse des risques pourront
tre utilises : AMDEC, HAZOP, HACCP, arbres des causes, arbres des dfaillances,
etc.

Donnes dentre et composants


Cartographie des sinistres ;
Scnarios de sinistres ;
Matrice BIA.

Donnes de sorties
Cartographie des risques par processus, activits et/ou ressource critique, tels
quidentifis dans le BIA.

Bennasar.Livre Page 77 Mardi, 11. avril 2006 12:53 12

3.2 Phase 1 : Mieux connatre son activit : ltape dcisive

77

Livrables
Plans de rduction des risques par processus, activits et/ou ressource critique.

Astuces et conseils
LAR doit tre mise jour chaque changement important de lentreprise
(nouveau site, modifications de linfrastructure existante, changement du primtre dutilisation du SI).
La mise en uvre dune analyse des risques doit se faire au bon niveau de
dtails, celui o les moyens mis en uvre pour la raliser sont en adquation
avec les risques encourus.

3.2.5 tape 1.E: Analyse de couverture des contrats dassurances


Objectif
Cette tape est facultative mais permet en gnral de scuriser la gestion des
risques. Elle pourrait faire partie de lAR mais ny est que rarement incluse, aussi,
dans la mthodologie E=MCA, elle a t singularise comme tape part entire.
Il sagit dvaluer le niveau de couverture des risques de lentreprise par ses polices
dassurance afin de dceler dventuelles zones dombre (risques non couverts et
qui devraient ltre).

Dmarche, outils et mthodes


Analyse documentaire ;
Analyse dcart ;
Entretiens complmentaires.

Donnes dentre et composants


Contrats dassurances ;
Cartographie des sinistres ;
Statistiques de la sinistralit.

Donnes de sorties
Sinistres et risques non couverts par les contrats dassurances ;
Risques couverts mais franchise suprieure aux impacts.

Livrables
Matrice de couverture des polices dassurances.

Bennasar.Livre Page 78 Mardi, 11. avril 2006 12:53 12

78 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

3.3

PHASE 2: ORIENTER LA STRATGIE DE CONTINUIT DACTIVIT

Orienter la stratgie de continuit dactivit, cest prdfinir les mthodes et moyens alternatifs qui permettront lentreprise de continuer son activit en cas de
sinistre majeur.

On trouvera de nombreux lments daide la dcision


dans les chapitres 4 et 5. Sils dcrivent les solutions
techniques de secours, ils traitent galement des options
stratgiques pour le management de la continuit dactivit et des alternatives
qui se prsentent lentreprise.

3.3.1 tape 2.A: Stratgie globale de continuit


Objectif
Il sagit de donner les choix de lentreprise, dans le management de la continuit
de son activit, au niveau global.

Dmarche
Analyse des scnarios possibles de gestion globale de la continuit dactivit ;
Alignement des scnarios sur la stratgie de lentreprise (mission, objectifs, volutions attendues, cibles commerciales, risques, axes de dveloppement privilgis) ;
Analyse comparative et prconisations sur les scnarios retenus ;
Choix de la stratgie globale de gestion de la continuit dactivit.

Outils et mthodes
Analyse prospective financire (calcul des ratios cots/gains, calcul des
ROI des scnarios envisags, etc.) ;
Analyse comparative des stratgies envisages (avantages/inconvnients,
SWOT1, analyse dcarts, mise en place de critres de comparaison, etc.) ;
Diagnostic dexpert (pr-diagnostic sur la solution de secours du SI, proposition dune organisation industrielle dgrade en cas de crise, analyse des
stratgies possibles de communication, bilan sur les solutions possibles
dorganisation de crise, diagnostic de conformit rglementaire, etc.) ;
Normes et standards reconnus (PAS 56, GPG du BCI, etc.) ;
lments daide la dcision des chapitres 4 et 5 du livre.
1. SWOT : Strength, Weaknesses, Opportunities, Threats.

Bennasar.Livre Page 79 Mardi, 11. avril 2006 12:53 12

3.3 Phase 2 : Orienter la stratgie de continuit dactivit

79

Donnes dentre et composants


Stratgie de lentreprise (mission, objectifs, volutions attendues, cibles
commerciales, risques, axes de dveloppement privilgis) ;
Matrice BIA ;
Rsultats de lanalyse de risques.

Donnes de sorties
Scnarios de gestion globale de la continuit dactivit et prconisations.

Livrables
Stratgie globale de gestion de la continuit dactivit. Par exemple, celle-ci
pourra prciser les grands choix en matire de :
Politique dapprovisionnement dgrad ;
Stratgie dutilisation des moyens partags dans un groupe (accords de
rciprocit pour la continuit dactivit) ;
Stratgie de gestion des ressources humaines en cas de crise ;
Choix, prconisations et exclusions en matire de secours des ressources
informatiques, etc.

Astuces et conseils
Dans un grand groupe, la stratgie globale de continuit dfinit le cadre dans
lequel devront venir sinscrire les stratgies locales de continuit. Dans ce cadre,
on prcisera les principales prconisations et les exclusions qui seront ensuite
appliques localement.

3.3.2 tape 2.B: Stratgie locale de continuit


Objectif
Il sagit cette fois de dfinir la stratgie locale de continuit. Par locale , on
entend deux niveaux :
Niveau processus : pour tous les processus critiques, une stratgie de MCA
peut tre ncessaire afin de mener bien la gestion de la crise ;
Niveau ressources : lorsquune ressource est juge critique, une stratgie
propre peut tre ncessaire (SI, chane de paiement et dencaissement pour
la grande distribution, rseau de distributeur automatique de billets pour
une banque, infrastructure tlcoms, ressources humaines, etc.).

Dmarche
Dfinition du contour choisie : identification des processus et ressources
critiques ;

Bennasar.Livre Page 80 Mardi, 11. avril 2006 12:53 12

80 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Analyse des scnarios possibles de gestion locale de la continuit dactivit


(diffrentes options pour chaque processus et ressource critiques) ;
Analyse comparative et prconisations sur les scnarios retenus pour
chaque processus et ressource critiques ;
Choix de la stratgie locale de gestion de la continuit dactivit ;
Dfinition et mise en uvre dun plan dactions pour la gestion locale de
la continuit dactivit.

Outils et mthodes (idem 2.A)


Analyse prospective financire (calcul des ratios cots/gains, calcul des
ROI des scnarios envisags, etc.) ;
Analyse comparative des stratgies envisages (avantages/inconvnients,
SWOT, analyse dcarts, mise en place de critres de comparaison, etc.) ;
Diagnostic dexpert (pr-diagnostic sur la solution de secours du SI, proposition dune organisation industrielle dgrade en cas de crise, analyse des
stratgies possibles de communication, bilan sur les solutions possibles
dorganisation de crise, diagnostic de conformit rglementaire, etc.) ;
Normes et standards reconnus (PAS 56, GPG du BCI, etc.) ;
lments daide la dcision des chapitres 4 et 5 du livre.

Donnes dentre et composants


Matrice BIA ;
Identification des points de dfaillance uniques (processus et ressources) ;
Identification des dpendances (processus et ressources) ;
Rsultats de lanalyse de risques ;
Cartographie des processus de lentreprise ;
Stratgie globale de gestion de la continuit dactivit.

Donnes de sorties
Scnarios de gestion locale de la continuit dactivit et prconisations.

Livrables
Stratgie locale de gestion de la continuit dactivit. Par exemple, celle-ci
pourra prciser les grands choix en matire de :
Stratgie de secours du SI1 ;
1. Voir en particulier ce sujet ltape 2.C : Choix de la solution technique de secours (SI).

Bennasar.Livre Page 81 Mardi, 11. avril 2006 12:53 12

3.3 Phase 2 : Orienter la stratgie de continuit dactivit

81

Stratgie de relocalisation des ressources humaines cls ;


Stratgie de continuit du processus dapprovisionnement dune chane
de production ;
Stratgie de production en mode dgrad, etc.

Astuces et conseils
Dans certains cas (pour un bon nombre de PME/PMI par exemple), les notions
de stratgie locale et globale pourront tre quasiment confondues et seront traites
dans une seule et mme tape.

3.3.3 tape 2.C: Choix de la solution technique de secours (SI)


Objectif
Cette tape nest quun cas particulier de stratgie locale de continuit (au niveau
ressources).
Il sagit de choisir une solution technique de secours (SI) rpondant aux
besoins fonctionnels tels quexprims au cours de la phase 1.

Dmarche
Synthtiser le besoin fonctionnel de secours technique en rassemblant les
principales conclusions de la phase 1 ;
Spcifier des solutions techniques rpondant au cahier des charges fonctionnelles issues de la phase 1 (nombre de solutions caractriser dfinir
en fonction de lampleur de la solution, des contraintes, de lexprience de
lentreprise dans la mise en uvre de solutions de secours, etc.) ;
Comparer les diffrentes solutions ;
Effectuer des prconisations motives lattention des dcideurs ;
Choisir une solution technique de secours.

Outils et mthodes
Les chapitres 4 et 5 de cet ouvrage proposent des lments concrets de
caractrisation des solutions et daide la dcision ;
Cahier des charges fonctionnelles simplifi ;
Cahier des charges techniques ;
Pr-consultation de fournisseurs afin daffiner le cahier des charges ;
Consultation de fournisseurs de solutions ;
Rglementation des marchs publics (si le projet se droule dans le secteur
public) ;

Bennasar.Livre Page 82 Mardi, 11. avril 2006 12:53 12

82 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Analyse comparative doffres (grille de slection, pondration, techniques


de dpouillement, etc.) ;
Analyse de type avantages/inconvnients, SWOT, calcul des structures de
cot, calcul du retour sur investissement, etc.

Donnes dentre et composants


Livrables de la phase 1 et en particulier :
Ressources SI critiques (matriels, logiciels, donnes et informations) et
RTO/RPO ;
Points de dfaillance unique (techniques) ;
Scnarios de sinistres retenus ;
Connaissances des fournisseurs de solutions ;
Grille de critres pondrs de choix.

Donnes de sorties
Cahier des charges fonctionnelles simplifi pour la solution de secours ;
Cahier des charges techniques des solutions de secours ;
Rponses la consultation (par les fournisseurs de solutions) ;
Analyse des solutions caractrises et prconisations.

Livrables
Rapport danalyse des solutions caractrises et prconisations.

Astuces et conseils
Jai trouv que la meilleure aide la dcision pour prciser le contour technique
des solutions techniques envisages est constitue par les Fiches guides danalyse
des risques situes en annexe de louvrage du Clusif : Plan de continuit dactivit
Stratgie et solutions de secours du SI (pp. 42 54). Ces fiches spcifient, pour un
panel de menaces typiques, et par composant du SI, les meilleures parades
considrer.
Avec une solution caractrise fonctionnellement, les fiches guides permettent
dorienter intelligemment le choix de la solution technique.
Par ailleurs, on se souviendra quil ny a de choix que si plusieurs solutions
sont tudies, compares et que des prconisations sont formules. Ces prconisations seront labores en fonction des contraintes et des enjeux rvls en
phase 1, sachant quaucune solution nest idale sur tous les tableaux (cot,
RTO/RPO, maintenabilit, fiabilit, couverture de sinistres, etc.)

Bennasar.Livre Page 83 Mardi, 11. avril 2006 12:53 12

3.4 Phase 3 : Mettre en place le plan de secours informatique

3.4

83

PHASE 3: METTRE EN PLACE LE PLAN DE SECOURS INFORMATIQUE

Cette phase est la partie que les entreprises connaissent


en gnral le mieux. Il sagit du plan de secours informatique (PSI) tel quon le connat et le met en uvre
depuis plusieurs dcennies. Il sagit dun projet essentiellement systmes dinformation avec peu dinteraction
avec les directions mtier, si ce nest les donnes dentre
de la phase qui sont issues directement de la phase 1 et
les tests utilisateurs.

Mme si ce type de projet est ralis depuis longtemps dans les entreprises
franaises, on ninsistera jamais assez sur le fait que cette phase comporte bien
trois tapes et ne se limite pas la premire tape (mise en place de linfrastructure
technique).
Ltape qui vise dfinir les processus organisationnels autour de la solution
technique (tape B) est dterminante : quand elle est occulte ou survole, lefficacit du plan de secours en cas dactivation est fondamentalement diminue,
voire inexistante.
Ltape de test de la solution technique, quant elle, est seule garante du
caractre oprationnel de la solution de secours.

3.4.1 tape 3.A: Mise en place de linfrastructure technique (SI)


Objectif
Il sagit au cours de cette tape de mener bien le projet informatique de mise en
uvre de la solution de secours technique.
La phase complte et classique de recette (validation) nest mise en uvre
que dans ltape C de cette phase.

Dmarche
La dmarche correspond une dmarche classique dans un projet dinfrastructure SI, largement amorce dans les phases 1 (recueil des besoins et cahier des
charges fonctionnelles et techniques sommaires) et 2 (spcifications fonctionnelles et techniques dtailles, choix de la solution).

Outils et mthodes
Outils classiques de gestion de projet :
Outils de planification (MS Project, PSN7, etc.) ;
Outils de suivi de lactivit et de reporting ;

Bennasar.Livre Page 84 Mardi, 11. avril 2006 12:53 12

84 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Plan projet (ou plan qualit projet)1 ;


Rapport de suivi du statut du projet (tableau de bord projet).
Mthodologie et outils (cartographie priorise et vivante des risques projet,
plan de rduction des risques projet) de management des risques projet (de
type PR2IHSM2) ;
Mthodologie de gestion de projet de type PMI3 adapte au contexte et
la taille du projet ;
Organisation de projet (instances de dcision, dexcution, de reporting ;
rles et responsabilits, etc.) ;
Outils et mthode de gestion des prestataires.

Donnes dentre et composants


Cahier des charges fonctionnelles simplifi pour la solution de secours ;
Cahier des charges techniques des solutions de secours ;
Rapport danalyse des solutions caractrises et prconisations (issu de la
phase prcdente) ;
Procdures usuelles dexploitation du SI.

Donnes de sorties
En particulier :
Cahier des charges techniques dtailles ;
Plan projet ;
Planning de projet ;
Cartographie des risques projet ;
Plan de rduction des risques projet ;
Autres livrables de la mthodologie retenue ;
Rapports intermdiaires de suivi ;
Procdures techniques du plan de secours informatique :
Stratgie de sauvegarde ;
Procdure de bascule des plateformes ;
1. On pourra sappuyer, ce sujet, sur la norme ISO 9126 qui propose un modle de la qualit du
logiciel en six caractristiques (capacit fonctionnelle, fiabilit, rendement, facilit dutilisation,
maintenabilit et portabilit).
2. PR2IHSM : Programme de rduction des risques par lidentification, la hirarchisation, le suivi
et la matrise (cf. Index).
3. Project Management Institute.

Bennasar.Livre Page 85 Mardi, 11. avril 2006 12:53 12

3.4 Phase 3 : Mettre en place le plan de secours informatique

85

Procdure de chargement et restauration des donnes ;


Procdure de bascule du rseau et des tlcoms ;
Vrification de la solution technique de secours.

Livrables
Solution technique de secours en opration (y compris les procdures
techniques du plan de secours).

Astuces et conseils
Cest la seule partie de la mise en uvre dun PCA qui, dans la plupart des cas,
ncessitera le recours des fournisseurs.
La mise en uvre de linfrastructure de secours est un projet part entire et
il doit tre trait comme tel. Plus le projet est important (cots, charges, etc.),
plus la mthodologie, les instances de dcision, les jalons, les livrables et les
critres de test seront soigns.

3.4.2 tape 3.B: Organisation autour de la solution technique (SI)


Objectif
Cette tape doit permettre de dfinir lorganisation et le mode de raction qui
sont aptes assurer le caractre oprationnel de la solution technique de secours
en cas dactivation du PCA.

Dmarche, outils et mthodes


La dmarche pragmatique du pas pas chronologique permet de balayer une
crise de son dclenchement au retour la normale. Par ailleurs, les lments
suivants devront tre dfinis :
Dfinition des rles, responsabilits et autorits (en particulier linstance
de crise informatique) ;
Dfinition des backup du personnel ;
Dfinition et planification des tches ;
Coordination avec les fournisseurs ;
Liaison avec les autres entits de lentreprise ;
Cas aux limites : week-end et jours fris, nuits, priodes de congs et de
fermeture de lentreprise, etc.

Donnes dentre et composants


Solution technique de secours en opration (y compris les procdures
techniques du plan de secours) ;
Procdures usuelles dexploitation du SI.

Bennasar.Livre Page 86 Mardi, 11. avril 2006 12:53 12

86 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Donnes de sorties et livrables


Solution organisationnelle autour de la solution technique (et en particulier
les procdures organisationnelles du plan de secours informatique).

Astuces et conseils
Si le travail effectu dans cette tape est en grande partie ralise chronologiquement avant ltape 3.C de recette de la solution technique de secours, il
faut noter que la ralisation des tests grandeur nature de ltape 3.C permet, en
gnral, de complter notablement les procdures organisationnelles (niveau de
dtails, ordonnancement en situation relle, etc.).
Par ailleurs, lorganisation de crise du plan de secours informatique devra tre
en parfaite cohrence avec lorganisation de crise gnrale qui sera spcifie dans
le PCA (tape 4.A).

3.4.3 tape 3.C: Test de la solution technique (SI) et du plan


de secours informatique
Objectif
Lobjectif de cette tape est de valider dun point de vue technique et organisationnel la solution technique de secours mise en place. Si la validation na pas
lieu (tests non probants), il sagit alors de recueillir toutes les informations possibles afin de mettre en uvre les mesures correctives qui permettront de rendre
oprationnelle cette solution de secours.
Si le but de ce test nest gnralement que la validation qualitative de capacit
de la solution atteindre son but, il doit galement tre utilis pour valider les
dlais de reprise sur la solution technique et ainsi vrifier laptitude rpondre
aux besoins dfinis.
Ltape qui est dcrite ici prsente le test initial de la solution. Le test rcurrent
ultrieur est gnralement inclus dans les tests globaux du PCA (voir tape 5.E).

Dmarche
Dfinir le primtre, ltendue et les objectifs du test.
Assurer la mise en place des conditions de test (budget, ressources, scnarios, impacts sur le SI en production).
Raliser le test.
Consigner les rsultats et observations.
Rdiger le rapport de test.
Prsenter les principales conclusions aux parties intresses.
Assurer la mise en uvre des actions correctives issues des constats.

Bennasar.Livre Page 87 Mardi, 11. avril 2006 12:53 12

3.4 Phase 3 : Mettre en place le plan de secours informatique

87

Outils et mthodes
Risk-based testing1 (80 % de leffort de test sur les 20 % dlments qui sont
les plus critiques, qualifis selon le couple [impact, probabilit]) ;
Implication des utilisateurs pour la validation des applications secourues.

Donnes dentre et composants


Cahier des charges fonctionnelles simplifi ;
Procdures techniques du plan de secours informatique ;
Procdures organisationnelles du plan de secours informatique ;
Scnarios de tests.

Donnes de sorties
Scnarios de tests renseigns ;
Plan de tests hirarchis ;
Observations et consignations des rsultats de tests.

Livrables
Rapport de tests du plan de secours informatique : cadre, enjeux et limites ;
carts constats ; risques et recommandations associs ; plan dactions de
scurisation de la solution technique de secours.

Astuces et conseils
Lapproche par les risques (risk-based testing) prend ici tout son sens et permet de
gagner un temps prcieux. Cette approche sappuie sur un constat gnralis :
20 % des tests peuvent permettre de couvrir 80 % des zones risque de la solution
technique de secours.
Par ailleurs, le test de la solution technique est rellement une validation
de la solution. Il ne constitue pas une opportunit pour raliser des exercices de
continuit dactivit. Cela est plutt rserv ltape 5.C.
On ne ngligera pas laspect organisationnel du secours dans la mise en uvre
du test de la solution. Les scnarios de test seront dfinis en consquence. La
mise en place dobservateurs lors de la ralisation des tests fournit en gnral des
conclusions trs pertinentes sur les lacunes organisationnelles.
Enfin, la ralisation de tests sur la solution technique sera conue pour
impacter le moins possible le SI de production.
1. Voir ce sujet lannexe C, le paragraphe C.3, Le management des risques.

Bennasar.Livre Page 88 Mardi, 11. avril 2006 12:53 12

88 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

3.5

PHASE 4: DVELOPPER LE PLAN DE CONTINUIT DOPRATIONS (PCO)

Les tapes reprsentes dans les paragraphes qui suivent


reprsentent principalement des grands thmes que doit
aborder le plan de continuit doprations.
La question du nombre et de lchelle du ou des plans
est importante et doit tre examine au cas par cas,
suivant la situation de lentreprise, en fonction de
paramtres tels que : le nombre de sites, lorganisation
(centralise ou dcentralise), la criticit des activits
hberges sur le ou les sites, etc.

Le parti pris de la mthodologie donne ci-dessous est de ne prsenter les


principes que pour un PCO. Ladaptation ne sera toutefois pas complique sil
tait dcid de rdiger plusieurs PCO (vue par site, par fonction ou par processus,
par exemple). On rajouterait alors en gnral un tage lorganisation de crise.
Par ailleurs, il est entendu que dans notre approche, la partie gestion de crise
du PCA (cellule de crise, alerte et activation, gestion oprationnelle de crise) est
contenue dans le PCO (et pas dans le plan de secours informatique). Cest
lobjet des tapes 1 3 de cette phase que de prciser cette gestion de crise. Ces
tapes peuvent tre formalises distinctement du PCO : elles constituent alors
un plan de gestion de crise (PGC).

3.5.1 tape 4.A: Organisation de crise


Objectif
Cette tape vise dfinir lorganisation apte grer la crise, depuis son occurrence
jusqu sa rsorption et au retour la normale.

Dmarche, outils et mthodes


Pour une entreprise classique, lorganisation de crise possdera gnralement
deux tages :
La cellule de crise : qui regroupe la poigne de dcideurs mme dorchestrer
la gestion de crise ;
Des quipes dintervention : dfinies par thme (SI, logistique, oprations,
etc.) et charges des oprations de gestion de crise.
Pour une organisation plus complexe (grands groupes internationaux par
exemple), une couche supplmentaire de management de crise sera ajoute :
coordination transversale entre les cellules de crise, dcisions groupe, stratgie
de communication de crise, etc.

Bennasar.Livre Page 89 Mardi, 11. avril 2006 12:53 12

3.5 Phase 4: Dvelopper le Plan de continuit dopration (PCO)

89

On prendra soin de dfinir avec soin le QG1 de crise dans ses composantes
matrielles afin den assurer la disponibilit et le caractre oprationnel en cas
de crise. Par exemple, des moyens de communication de secours, des copies de la
documentation lie la gestion de la continuit, des moyens bureautiques et
logistiques, etc. seront prvus.

Donnes dentre et composants


Stratgie locale et globale de crise ;
Organigramme de lentreprise.

Donnes de sorties
Schma dorganisation de crise ;
Rles et responsabilits des acteurs de lorganisation de crise ;
Dfinition et mise en uvre de moyens matriels pour assurer la gestion de
crise par lorganisation de crise.

Livrables
Chapitre organisation de crise du PCO.

Astuces et conseils
Sil est gnralement convenu quil est utile dintgrer lorganisation de crise
un reprsentant de chaque acteur majeur de la gestion de crise, il est galement
reconnu quau-del de cinq six intervenants, la ractivit de linstance de
crise est remise en question.
Par ailleurs, la formation des acteurs de lorganisation de crise sera un vecteur
dterminant de propagation de la culture MCA et un prrequis incontournable
au succs du PCA.
Lorganisation et la gestion de crise viseront contrer, notamment, les
pathologies les plus graves qui vont de pair avec les nouvelles formes de crise : le
blocage de la rflexion 2.

3.5.2 tape 4.B: Alerte et activation du PCA


Objectif
Ltape vise dfinir les modalits de dtection de la crise, dvaluation rapide
de la crise, dalerte des acteurs concerns et dactivation ventuelle du PCA.
1. Quartier gnral.
2. Source Patrick Lagadec (1991).

Bennasar.Livre Page 90 Mardi, 11. avril 2006 12:53 12

90 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Dmarche
Il sagit essentiellement de dfinir les tches et leur enchanement logique, depuis
loccurrence dun sinistre jusqu la dcision de dclencher ou non le PCA. Sont
galement dfinis dans cette tape quelques outils daide la dcision.
Les jalons de la dmarche peuvent tre :
Dfinir le mode de remonte dalerte ;
Dfinir les acteurs du processus danalyse et de dcision, leurs rles et
responsabilits ;
Dfinir les critres dvaluation des sinistres ;
Dfinir les tapes, les responsabilits et autorits du processus de dcision
dactivation du PCA ;
Prdfinir les modes de communication et dinteraction avec les services
publics de crise ;
Dfinir les actions de communication interne et externe au voisinage
immdiat de la crise ;
tablir, valider et communiquer le schma de dclenchement du PCA.

Outils et mthodes
Logigramme ;
Diagramme denchanement des tches ;
Arbres de dcision ;
Arbre dalerte (call tree) ;
Annuaire interne et externe (pour les autorits civiles) ;
Check-list dalerte et activation du PCA ;
Note dorganisation.

Donnes dentre et composants


Description de lorganisation de crise ;
Outils, processus et responsabilits de gestion de crise antrieurs la mise
en place dun PCA (scurit incendie, prvention, scurit et sant au
travail, etc.) ;
Organigramme et organisation internes.

Donnes de sorties
Logigramme dalerte et dactivation du PCA ;
Rles et responsabilits ;
Critres denchanement des tapes du logigramme.

Bennasar.Livre Page 91 Mardi, 11. avril 2006 12:53 12

3.5 Phase 4: Dvelopper le Plan de continuit dopration (PCO)

91

Livrables
Chapitre Alerte et activation du PCA du PCO.

Astuces et conseils
L encore, le niveau de dtails auquel on parvient doit tre adapt au contexte. On
cherchera constamment trouver le bon point dquilibre entre un logigramme
complexe qui aborde les dtails, par type de sinistre, du dclenchement du PCA et
un schma de dclenchement succinct qui napporte que peu daide la dcision.
Il me semble quil ne devrait exister quun logigramme dactivation du PCA
quel que soit le sinistre envisag et que les critres dexamen de la gravit dun
sinistre devraient tre prtablis et formaliss.

3.5.3 tape 4.C: Gestion de crise


Objectif
Il sagit dans cette tape de pr-formater les modes de raction aux sinistres
et de prciser les critres et responsabilits pour assurer le retour la normale
dans les meilleures conditions.

Dmarche
Dfinition des tches gnriques de gestion de crise effectuer ;
Rpartition des tches sur les acteurs de lorganisation de crise ;
Dfinition des critres, conditions et responsabilits pour assurer le retour
la normale ;
Rdaction et validation des check-lists de gestion de crise (y compris le
retour la normale).

Outils et mthodes
Sminaire de travail ;
Modle de check-lists de gestion de crise.

Donnes dentre et composants


Organisation de crise ;
Scnarios de sinistres retenus ;
Chapitre alerte et activation de crise du PCO.

Donnes de sorties
Check-lists de gestion de crise ;
Check-lists de sortie de crise (retour la normale).

Bennasar.Livre Page 92 Mardi, 11. avril 2006 12:53 12

92 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Livrables
Chapitre gestion de crise du PCO.

Astuces et conseils
Le chapitre gestion de crise doit tre concis et se concentrer sur les informations essentielles utiles une gestion de crise. Il faut se rappeler que la pression
ressentie par les acteurs de la gestion dune crise majeure est telle quelle justifie
la systmatisation et la prdtermination de certaines actions.
La mise en place dun plan de gestion de crise spar du reste du PCA est
souvent recommande. On se souviendra quune des grandes leons des attentats
du 11 septembre 2001 concernait un niveau de dtails trop important et une
complexit excessive dans les plans de continuit des entreprises touches 1.
On gardera galement lesprit qu il y a une clef que lon voit dans toutes
les crises. La premire chose que les crises annihilent instantanment chez les
gens qui ne sont pas suffisamment prpars lexceptionnel [], cest la capacit
prendre distance et se poser des questions .2
Les check-lists de gestion de crise seront rparties par acteur (ou quipe) de
lorganisation de crise.
Le recours des annexes, pour toutes les informations non directement essentielles la gestion immdiate de la crise, sera systmatique (exemples : lments
issus du BIA, coordonnes et contacts, donnes de rfrence sur les sites, etc.).
Dans certains cas, le retour la normale permet de revenir une situation identique celle prcdant le sinistre (lorsque les dommages subis sont temporaires,
notamment). Dans une majorit de cas (plus particulirement, lorsque les dommages subis sont irrversibles et dfinitifs, lors dun incendie par exemple), le retour
la normale ncessite des travaux, voire une relocalisation permanente. En gnral,
le retour la normale ne pourra tre dcrt quaprs le test des nouvelles dispositions (comprenant parfois une analyse des risques rsiduels).

3.5.4 tape 4.D: Procdures fonctionnelles dgrades


Objectif
Il sagit de dterminer les modes dgrads de fonctionnement des processus critiques, entre le dbut de la crise et le retour la normale, pendant que la gestion
de crise a lieu.
1. Source David Davies (septembre 2001).
2. Source Patrick Lagadec (septembre 2001).

Bennasar.Livre Page 93 Mardi, 11. avril 2006 12:53 12

3.5 Phase 4: Dvelopper le Plan de continuit dopration (PCO)

93

Dmarche
Mise en uvre de la stratgie locale de continuit dactivit pour les
processus critiques ;
Dfinition des modes dgrads de ralisation de lactivit ;
Rdaction et validation des procdures fonctionnelles dgrades.

Outils et mthodes
Chapitre 4 et 5 du livre pour les stratgies de secours des ressources et
processus.

Donnes dentre et composants


Procdures oprationnelles existantes (hors crise) ;
Stratgies globales et (surtout) locale de continuit dactivit ;
Scnarios de sinistres retenus ;
Matrice BIA (en particulier les RTO et RPO qui concernent les processus
et ressources critiques).

Donnes de sortie et livrables


Procdures fonctionnelles dgrades.

Astuces et conseils
Si, dans certains cas, les procdures fonctionnelles dgrades seront intgres au
PCO, elles en seront la plupart du temps distinctes.
On trouvera en gnral une procdure dgrade pour tous les processus critiques
identifis lors du BIA.

3.5.5 Un mot sur les informations annexer au PCO


Parmi les informations utiles annexer au PCO, on considrera les lments
suivants :
Rsultats du BIA (la matrice BIA concerne par exemple) ;
Liste de contacts utiles au sein de lentreprise ;
Coordonnes des intervenants locaux (organisation locale de crise) ;
Coordonnes des principaux fournisseurs (et de leur backup ventuel) ;
Numros durgence des autorits civiles ;

Bennasar.Livre Page 94 Mardi, 11. avril 2006 12:53 12

94 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Inventaires des ressources critiques (avec les informations qui peuvent tre
utiles au remplacement, comme la configuration, le type, lanne de fabrication, les technologies, etc.) ;
Informations sur les sauvegardes de donnes (rfrence, localisation, nature,
etc.) ;
Rfrences des procdures oprationnelles pertinentes ;
Matrice dvaluation des dgts et des impacts ;
Premires consignes de scurit et procdures durgence ;
Fiches signaltiques des sites concerns par le PCA.

3.6

PHASE 5: ASSURER LA CONDUITE DU CHANGEMENT,


LE DPLOIEMENT DU PCA ET SON MAINTIEN EN CONDITIONS
OPRATIONNELLES
La mise en uvre dun projet de MCA est un changement culturel pour lentreprise. ce titre, la conduite
du changement est un processus long car il vise

instaurer une nouvelle culture, un nouveau rapport au



risque et une nouvelle faon dapprhender lactivit.
En consquence, la planification de la conduite du

changement doit tre raliste et sappuyer, la fois sur


le bon sens et les expriences passes de lentreprise
pour dfinir un planning qui tienne compte du lent processus dassimilation. Sil
est impossible dtablir une rgle pour tous, il semble vident quen de de six
mois, il y a peu de chance quil y ait vritablement changement .

Cette phase vise dfinir la mthodologie pour conduire ce changement,


ainsi qu prciser le cadre ncessaire la bonne marche du PCA au long cours,
une fois que les projecteurs se dtournent du projet.

3.6.1 tape 5.A: Sensibilisation, formation et communication


Si les objectifs, publics viss et formats de la sensibilisation et de la formation
peuvent diverger, les deux approches convergent en revanche pour les dmarches mises en uvre, les outils utiliss et le transfert de connaissance recherch.
Cest la raison pour laquelle sensibilisation et formation sont traits dans une
mme tape.
La communication autour du PCA doit, quant elle, permettre sa visibilit
en interne et sa publicit en externe.

Bennasar.Livre Page 95 Mardi, 11. avril 2006 12:53 12

3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA

95

Objectif
Cette tape vise assurer le transfert dinformations, de connaissances et de
comptences en lien avec le management de la continuit dactivit.

Dmarche
Conception du programme de sensibilisation et formation :
Dfinir le primtre, les objectifs et les enjeux de la sensibilisation et de
la formation (en lien avec la politique de management de la continuit
dactivit) ;
Dfinir les moyens ncessaires latteinte des objectifs de sensibilisation
et formation ;
Dfinir les cibles (audiences) et les modalits (frquence, supports, formats,
dures, etc.) du programme de sensibilisation et formation ;
Dfinir les contenus des actions de sensibilisation et formation ;
valuer lefficacit des actions de sensibilisation et formation ;
Amliorer le programme de sensibilisation et de formation.
Conception des supports et vecteurs de sensibilisation et formation :
Dfinir le contenu dtaill des actions de sensibilisation et formation ;
Dfinir les supports, mthodes et vecteurs mme dassurer le plus efficacement latteinte des objectifs de sensibilisation et formation ;
Dfinir les actions de suivi pour assurer lappropriation des informations,
connaissances et comptences.
Mise en uvre du programme de sensibilisation et formation ;
Conception et mise en uvre dun plan de communication interne et externe
lentreprise.

Outils et mthodes
Sensibilisation :
Diffusion dinformations sur les sujets MCA (mls, newsletter, Intranet,
etc.) ;
Livres blancs ;
Participation des tests du PCA ;
Sessions de sensibilisation sur supports e-learning ;
Sessions de sensibilisation en classes ;
Participation des groupes de rflexion sur le MCA ;
Mise en uvre dune campagne de communication interne, etc.

Bennasar.Livre Page 96 Mardi, 11. avril 2006 12:53 12

96 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Formation :
Autoformation sur Internet ;
Veille technique sur le sujet MCA ;
Formations en classes, internes ;
Formations externes ;
Formations universitaires ;
Cursus de certifications professionnelles (BCI, DRII) ;
Formations distance ;
Participation des tests du PCA, etc.
Communication :
Campagne daffichage interne ;
Publication dune newsletter MCA ;
Encouragement la participation des salaris aux rflexions MCA
(cercle MCA, recueil dides) ;
Publication darticles dans la presse ;
Mise jour des documents marketing et commerciaux pour y inclure la
dmarche MCA, etc.

Donnes dentre et composants


Informations, supports de cours, besoins identifis en formation (plan de
formation), etc.

Donnes de sorties
Programme de sensibilisation et de formation ;
Actions de sensibilisation ;
Actions de formation ;
Meilleur niveau dinformation, de connaissances et de comptences sur le
sujet MCA ;
Plan et actions de communication.

Livrables
Supports de sensibilisation et de formation ;
Supports de communication.

Bennasar.Livre Page 97 Mardi, 11. avril 2006 12:53 12

3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA

97

Astuces et conseils
La mise en uvre de la sensibilisation et de la formation se fera imprativement
dans le cadre dun programme de sensibilisation et formation. Ce programme
dfinira des objectifs, des moyens et des contrles.
Les actions de formation et de sensibilisation seront avantageusement menes
en collaborant avec les services formation des dpartements ressources humaines
(plan formation, DIF1, etc.).
Les actions de communication seront proportionnes aux besoins en la matire.

3.6.2 tape 5.B: Maintien en conditions oprationnelles du PCA


Objectif
Cette tape vise assurer que le PCA reste oprationnel malgr les volutions
internes de lentreprise et, dans une moindre mesure, lvolution de son environnement. Elle est ralise en deux tapes :
Dfinir les conditions de maintien en conditions oprationnelles du PCA ;
Raliser les oprations de maintien.

Dmarche
Dans un premier temps, on dfinit les modalits de maintenance (qui peuvent
tre formalises comme un plan de maintien en conditions oprationnelles
part entire) :
Responsabilits en matire de maintenance du PCA ;
Frquence ;
Primtre et tendue ;
Nature du cycle ddition, de rvision et de validation ;
vnements dclencheurs exceptionnels : changement structurel de
lentreprise (fusion, acquisition, nouveau partenariat stratgique, etc.),
changement technologique majeur, etc.
Dans un second temps, on assure la mise en uvre du plan dfini.

Outils et mthodes
En gnral, les rvisions et oprations de maintenance prendront en compte les
changements qui concernent :
Lorganisation de lentreprise (personnel, infrastructure et gographie,
fusion/acquisition, nouveaux marchs, etc.) ;
1. Droit individuel la formation.

Bennasar.Livre Page 98 Mardi, 11. avril 2006 12:53 12

98 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Les processus de lentreprise ;


Les volutions techniques et technologiques de lentreprise ;
Les volutions lies lenvironnement de lentreprise (conomique,
gopolitique, social, rglementaire, etc.) ;
La pertinence des hypothses sur lesquelles le PCA est bti (RPO, RTO,
nouveaux lments critiques introduits, scurisation ralise et non prise
en compte dans le PCA, etc.).
Il existe ainsi une maintenance deux niveaux :
Le premier traite essentiellement de la mise jour des informations utiles
contenues dans le PCA (adresses, contacts, etc.) : cest ce quon pourra
qualifier de maintenance corrective ;
Le second sintresse la pertinence des tudes qui fondent le PCA et en
particulier celles qui sont ralises au cours de la phase de la mthodologie
E=MCA (le BIA en particulier) : cest ce quon pourra qualifier de maintenance volutive.

Donnes dentre et composants


Systme documentaire du PCA ;
Rapports de tests du PCA ;
Rapports daudit du PCA ;
Matrice BIA ;
Analyse des risques et plans de rduction des risques.

Donnes de sorties
Plan de maintien en conditions oprationnelles (intgr au document PCO
ou distinct) ;
Systme documentaire du PCA jour.

Livrables
PCA jour et correspondant la situation courante de lentreprise.

Astuces et conseils
Si les rvisions et oprations de maintenance concernent au premier chef la
documentation, il serait dangereux doublier les impacts organisationnels et
techniques sur le PCA.
La charge de maintenance nest pas sous-estimer puisquelle conditionne le
caractre oprationnel du PCA.

Bennasar.Livre Page 99 Mardi, 11. avril 2006 12:53 12

3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA

99

3.6.3 tape 5.C: Test du PCA


Objectif
Dceler les incohrences et insuffisances du dispositif dfini ;
Complter, amliorer et affiner les procdures en vigueur ;
Sassurer que les acteurs de la continuit dactivit sont forms, familiariss
avec leurs rles et responsabilits dans le PCO et capables de le mettre en
uvre rapidement et efficacement.

Dmarche
Dfinir la stratgie de test du PCA :
Primtre ;
Acteurs ;
Nature et ordonnancement des tests ;
Dfinition des scnarios et hypothses de test ;
Programme rcurrent de droulement ;
Modalits, etc.
Dfinir et mettre en uvre le plan dactions de la stratgie ;
Raliser les tests ;
Rdiger un rapport de tests ;
Analyser les rsultats des tests et proposer des actions de correction et
damlioration.

Outils et mthodes
Risk-based testing (80 % de leffort de test sur les 20 % dlments qui
sont les plus svres : impact + probabilit)
Exercices pratiques : cest le plus simple et le moins coteux mettre en
uvre. Les participants aux sessions sont choisis parmi les acteurs impliqus dans la gestion de la continuit dactivit. Ils doivent drouler les
procdures de continuit dactivit en raction un cas fictif de sinistre qui
leur est propos. Ils ne ralisent dans la ralit aucune opration grandeur
nature. Il sagit dune rvision collective des mesures prconises, des actions
mettre en uvre et un partage dexprience.
Tests techniques du PCA : il sagit cette fois de valider par des tests les
composants techniques du PCA (solution de secours informatique, solution
de reprise de la production, etc.)

Bennasar.Livre Page 100 Mardi, 11. avril 2006 12:53 12

100 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Tests fonctionnels du PCA : il sagit de simuler un sinistre en conditions


relles (acteurs leur poste de travail, utilisations restreintes des outils
ventuellement affects par le sinistre, utilisation des canaux de communication de crise, etc.) pour vrifier le bon droulement des procdures, les
temps de raction et de rsolution... Lors des tests fonctionnels, des oprations de communication intersite, de coordination avec les fournisseurs,
voire une relocalisation dquipe et de moyens peuvent avoir lieu. Afin de
limiter limpact des tests fonctionnels sur la productivit et lactivit, ils
sont raliss par modules reprsentant chacun un maillon de la chane de
continuit dactivit. Lensemble des tests fonctionnels est ainsi cens
recouvrir la chane complte et donner une vision de bout en bout du
dispositif mis en place.

Donnes dentre et composants


Documentations lies au PCA (politique, procdures, plans, etc.)

Donnes de sorties
Stratgie de test du PCA ;
Programme annuel de test du PCA ;
Scnarios, cas, situations tester.

Livrables
Rapport de tests du PCA (constats, observations, carts, opportunits
damlioration, priorisation, plan dactions, etc.)
PCA valid par lexprience ;
Comptences en MCA accrues pour les acteurs du PCA.

Astuces et conseils
Comme pour le test de la solution technique, on planifiera les tests du PCA de
faon que leur impact sur lactivit de lentreprise soit quasi nul.
Le panachage des types de tests permet den optimiser lutilisation. Certains
sont en effet plus probants mais aussi plus coteux que dautres. Un test grandeur
nature aura ainsi un impact fort sur la production et cotera trs cher. Sa prparation sera trs longue. Mais il constituera la meilleure preuve de lefficacit du
PCA sil est probant.
En revanche un exercice pratique sur table pourra tre organis frquemment, et sera simple mettre en uvre et peu coteux. Il constituera un excellent moyen de raliser une partie de la sensibilisation et de la formation en
raison de sa frquence leve. Mais il napportera que de faibles garanties quant
au caractre oprationnel de lensemble du PCA.

Bennasar.Livre Page 101 Mardi, 11. avril 2006 12:53 12

3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA

101

3.6.4 tape 5.D: Contrle du PCA1


Objectif
Valider des pratiques de management de la continuit dactivit conformes
aux exigences dfinies et aux besoins exprims ;
Identifier les carts avec les rfrentiels en vigueur ;
Proposer des amliorations du management de la continuit dactivit.

Dmarche
laboration dun programme annuel daudit du PCA ;
Ralisation daudits (prparation du plan daudit, ralisation de laudit,
restitution orale des rsultats, conclusions et rdaction du rapport daudit) ;
Suivi du plan dactions damlioration en rsultant.

Outils et mthodes
Les principaux outils restent :
Le systme de management de la continuit dactivit de lentreprise et,
en premier lieu son PCA ;
Les normes et rfrentiels dvaluation du management de la continuit
dactivit et, en particulier :
La norme PAS 56 ;
Les Generally Accepted Practices for Business Continuity Practitioners
(dveloppes conjointement par le DRII et le DRJ) ;
Le Business Continuity Maturity Model ;
La mthodologie E=MCA.
Le rfrentiel propritaire daudit ou de contrle de lentreprise ;
Les mthodologies et principes classiques daudit : chantillonnage, piste
daudit, observation, programme daudit, rapport daudit, preuves, qualification et indpendance des auditeurs, etc.

Donnes dentre et composants


Programme annuel daudit du PCA ;
Rsultats et rapports de test du PCA ;
Investigations menes lors des audits ;
Rfrentiel daudit.
1. Voir ce sujet, Auditing Business Continuity de Rolf von Roessing, 2002.

Bennasar.Livre Page 102 Mardi, 11. avril 2006 12:53 12

102 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Donnes de sorties
Points forts et points damlioration ;
carts entre les pratiques et le rfrentiel (cart documentaire, cart
dapplication, non-conformit majeure ou mineure, etc.) ;
Prconisations.

Livrables
Rapport daudit (constats, carts, opportunits damlioration, priorisation,
plan dactions, etc.)

Acteurs
Les auditeurs internes qualifis ;
Les ventuels auditeurs externes.

Astuces et conseils
Parmi les entreprises britanniques qui ont un PCA (ou sont en cours de dploiement), 21 % effectuent leur audit par rapport au rfrentiel PAS 56 et 13 % par
rapport aux Guides de bonnes pratiques du BCI1.
La mise en place centralise dun plan daction MCA regroupant toutes les
actions en rduction des carts permet un suivi efficace de lamlioration du MCA.

3.7

PHASE 6: PILOTER LE MANAGEMENT DE LA CONTINUIT DACTIVIT

Cette phase nest pas une phase chronologique par


rapport aux autres. Au contraire, elle stend tout au
long du projet PCA (pour son tape A) et en continu,
y compris avant le dmarrage du projet (pour son
tape B).

3.7.1 tape 6.A: Pilotage du projet PCA


Objectif
Il sagit dans cette tape de piloter le projet PCA pour quil atteigne ses objectifs
(cot, qualit, dlais).
Cest ltape dimplmentation du PCA (one-shot) alors que ltape suivante
reprsente le pilotage permanent du MCA.
1. Business Continuity Research, 2005, valuation of BC management processes , BCI.

Bennasar.Livre Page 103 Mardi, 11. avril 2006 12:53 12

3.7 Phase 6 : Piloter le management de la continuit dactivit

103

Dmarche
Mise en uvre dune dmarche classique mais efficace de gestion de projet.

Outils et mthodes
Outils classiques de gestion de projet :
Outils de planification (MS Project, PSN7, etc.) ;
Outils de suivi de lactivit et de reporting ;
Plan projet (ou plan qualit projet) ;
Rapport de suivi du statut du projet (tableau de bord projet).
Mthodologie et outils de management des risques projet (de type
PR2IHSM1) : cartographie priorise et vivante des risques projet, plan de
rduction des risques projet ;
Mthodologie de gestion de projet de type PMI2 adapte au contexte et
la taille du projet ;
Organisation de projet (instances de dcision, dexcution, de reporting ;
rles et responsabilits, etc.).

Donnes dentre et composants


Cahier des charges initial (politique de management de la continuit
dactivit, voir ltape suivante (6.B).

Donnes de sorties
Plan projet ;
Planning de projet ;
Cartographie des risques projet ;
Plan de rduction des risques projet ;
Autres livrables de la mthodologie retenue ;
Rapports intermdiaires de suivi, etc.

Livrables
Projet qui atteint ses objectifs (PCA efficace) dans le respect des dlais et
budgets !
1. PR2IHSM : Programme de rduction des risques par lidentification, la hirarchisation, le suivi
et la matrise (cf. Index).
2. Project Management Institute.

Bennasar.Livre Page 104 Mardi, 11. avril 2006 12:53 12

104 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Astuces et conseils
Lutilisation de la mthodologie maison de gestion de projet est garante de la
familiarit des intervenants avec les tapes, jalons, livrables et autres lments
de la bonne marche du projet.
Un point de repre : il est gnralement convenu que la gestion de projet
reprsente environ 10 % du budget (en charge) dun projet.

3.7.2 tape 6.B: Pilotage du MCA


Objectif
Cest ltape continue au cours de laquelle la politique MCA est dfinie, mise en
uvre et suivie.

Dmarche
Attribution de la responsabilit globale sur le management de la continuit dactivit un dirigeant de lentreprise ;
Dfinir la politique MCA de lentreprise ;
Dfinir la stratgie de dploiement des mesures MCA ;
Orchestrer la mise en uvre du PCA ;
Grer le budget du management de la continuit dactivit ;
Piloter les fournisseurs et suivre les contrats ;
Prendre en compte les rsultats de test et de contrle du PCA ;
Dfinir et suivre le plan dactions MCA ;
Assurer que la stratgie MCA cadre avec les volutions stratgiques et les
objectifs de lentreprise ;
Assurer la conformit des pratiques aux exigences rglementaires qui
psent sur lentreprise ;
Dcider de la stratgie de communication interne et externe de la dmarche ;
Assurer le reporting pour le droulement du MCA, etc.

Outils et mthodes
Dfinition des objectifs MCA de lentreprise et alignement avec la stratgie
de lentreprise ;
Participation des groupes professionnels sur le sujet ;
Veille technique sur lvolution des pratiques de la profession ;

Bennasar.Livre Page 105 Mardi, 11. avril 2006 12:53 12

3.8 Synoptiques rcapitulatifs de la mthodologie E=MCA

105

Benchmarking auprs dautres entreprises ;


Veille sur lvolution du cadre rglementaire et juridique.

Donnes dentre et composants


Cadre lgal et rglementaire ;
Expriences passes de lentreprise en matire de MCA ;
Expriences passes du personnel de lentreprise en matire de MCA ;
Stratgie dentreprise ;
Cadre de dmarche connexe : manuel et politique qualit, politique de
scurit de linformation, politique environnement, politique scurit et
sant au travail, etc.

Livrables
Politique de management de la continuit dactivit : dfinition du MCA,
engagement de la direction, principes et objectifs, exigences et cadre de
rfrence (bonnes pratiques, normes, etc.), dsignation dautorit et
responsabilits ;
Programme de management de la continuit dactivit (objectifs, organisation, budget, reporting, stratgie de dploiement, ROI, revue et amlioration, etc.).

Astuces et conseils
En France, il nexiste pas encore un groupement dintrt ddi pour les professionnels du MCA. On trouvera auprs du Clusif (et des Clusir), du Cigref, du
Cercle de la Scurit ou de lADIRA (en rgion lyonnaise), des associations
professionnelles qui abordent le sujet. Ces groupes ne sintressent au MCA que
comme une composante (parmi de nombreuses autres) de leurs centres dintrt.
Le chapitre franais du Business Continuity Institute tait inexistant quand
jai commenc rdiger ce livre. Il est maintenant officiellement organis et
comprend moins dune dizaine de membres.

3.8

SYNOPTIQUES RCAPITULATIFS DE LA MTHODOLOGIE E=MCA


Voir tableaux pages suivantes.

Diagnostic
de prvention

Cartographie
et scnarios
de sinistres

Bilan dimpact
sur lactivit

Analyse
des risques

Analyse
de couverture
des assurances

Intitul
de ltape

Cartographie des risques par processus,


activits et/ou ressource critique,
tels quidentifis dans le BIA
Sinistres et risques non couverts par les contrats
dassurances
Risques couverts mais franchise suprieure aux
impacts

Cartographie des sinistres


Scnarios de sinistres
Matrice BIA

Contrats dassurances
Cartographie des sinistres
Statistiques de la sinistralit

RTO
RPO
Ressources cls (RH, infrastructure et locaux,
SI, donnes et informations, fournisseurs)
Impacts des sinistres sur lactivit
Points de dfaillance uniques et dpendances
Contraintes (rglementaires ou commerciales)

Cartographie des sinistres


Scnarios de sinistres retenus

Typologie de sinistres (de type EBIOS)


Bases de donnes locales (mtorologie, sismologie, bulletins
dalerte des autorits publiques, etc.)
Grille de classification des sinistres

Cartographie des processus et activits


Scnarios de sinistres retenus (issus de la cartographie des sinistres)

Vulnrabilits identifies
Actions en rduction mener

lments
de sorties

Document unique (dcret du 5 novembre 2001) dfinissant le plan


de matrise des risques vis--vis de la sant et de la scurit au travail
Rapports dinspection du travail
Rapports de visite dinspections rglementaires (lectricit, appareil
de levage, quipement sous pression, etc.)
tudes de danger
Analyses dexperts (environnement, sret industrielle, tests dintrusion
logique, sant, etc.)
Rsultats daudits de scurit SI (sils existent)

lments dentre/
Composants

Tableau 3.2 Phase 1 : Mieux connatre son activit

Matrice de couverture
des polices dassurances

Plans de rduction
des risques par processus,
activits et/ou ressource
critique

Matrice BIA

Rapports daudit
Plan prioris dactions
de prvention

Livrables

Bennasar.Livre Page 106 Mardi, 11. avril 2006 12:53 12

106 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Stratgie
globale
de continuit

Stratgie
locale
de continuit

Choix
de la solution
technique
de secours
(SI)

Intitul
de ltape

Stratgie locale
de gestion de la
continuit dactivit

Rapport danalyse
des solutions
caractrises
et prconisations

Scnarios de gestion locale de la continuit dactivit


et prconisations

Cahier des charges fonctionnelles simplifi


pour la solution de secours
Cahier des charges technique des solutions de
secours
Rponses la consultation (par les fournisseurs
de solutions)
Analyse des solutions caractrises et prconisations

Matrice BIA
Identification des points de dfaillance uniques
(processus et ressources)
Identification des dpendances (processus
et ressources)
Rsultats de lanalyse de risques
Cartographie des processus de lentreprise
Stratgie globale de gestion de la continuit dactivit

Ressources SI critiques (matriels, logiciels,


donnes et informations) et RTO/RPO
Points de dfaillance unique (techniques)
Scnarios de sinistres retenus
Connaissances des fournisseurs de solutions
Grille de critres pondrs de choix

Stratgie globale
de gestion de la
continuit dactivit

Livrables

Scnarios de gestion globale de la continuit dactivit


et prconisations

lments
de sorties

Stratgie de lentreprise (mission, objectifs,


volutions attendues, cibles commerciales,
risques, axes de dveloppement privilgis)
Matrice BIA
Rsultats de lanalyse de risques

lments dentre/
Composants

Tableau 3.3 Phase 2 : Orienter la stratgie de continuit dactivit

Bennasar.Livre Page 107 Mardi, 11. avril 2006 12:53 12

3.8 Synoptiques rcapitulatifs de la mthodologie E=MCA

107

Mise en place
de linfrastructure
technique (SI)

Organisation autour
de la solution technique
(SI)

Test de la solution
technique (SI)
et du plan de secours
informatique

Intitul
de ltape

Solution organisationnelle autour de la solution technique (et en particulier


les procdures organisationnelles du plan de secours informatique)

Scnarios de tests renseigns


Plan de tests hirarchis
Observations et consignations
des rsultats de tests

Solution technique de secours en opration


(y compris les procdures techniques du
plan de secours)
Procdures usuelles dexploitation du SI
Cahier des charges fonctionnelles
simplifi
Procdures techniques du plan
de secours informatique
Procdures organisationnelles du plan
de secours informatique
Scnarios de tests

Rapport de tests du plan de


secours informatique : cadre,
enjeux et limites ; carts constats ;
risques et recommandations associs ; plan dactions de scurisation de la solution technique
de secours

Solution technique de secours en


opration (y compris les procdures
techniques du plan de secours)

Cahier des charges techniques dtailles


Plan projet
Planning de projet
Cartographie des risques projet
Plan de rduction des risques projet
Autres livrables de la mthodologie
retenue
Rapports intermdiaires de suivi
Procdures techniques du plan de
secours informatique
Vrification de la solution technique
de secours

Cahier des charges fonctionnelles simplifi


pour la solution de secours
Cahier des charges techniques
des solutions de secours
Rapport danalyse des solutions caractrises et prconisations (issu de la phase
prcdente)
Procdures usuelles dexploitation du SI

Livrables

lments
de sorties

lments dentre/
Composants

Tableau 3.4 Phase 3 : Mettre en place le plan de secours informatique

Bennasar.Livre Page 108 Mardi, 11. avril 2006 12:53 12

108 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Organisation
de crise

Alerte
et activation
du PCA

Gestion
de crise

Procdures
fonctionnelles
dgrades

Intitul
de ltape

Check-lists de gestion de crise


Check-lists de sortie de crise (retour la normale)

Procdures fonctionnelles dgrades

Procdures oprationnelles existantes (hors crise)


Stratgies globale et (surtout) locale de continuit
dactivit
Scnarios de sinistres retenus
Matrice BIA (en particulier les RTO et RPO qui concernent
les processus et ressources critiques)

Chapitre
gestion de crise
du PCO

Chapitre
Alerte et activation
du PCA du PCO

Logigramme dalerte et dactivation du PCA


Rles et responsabilits
Critres denchanement des tapes du logigramme

Description de lorganisation de crise


Outils, processus et responsabilits de gestion de crise
antrieurs la mise en place dun PCA (scurit incendie,
prvention, scurit et sant au travail, etc.)
Organigramme et organisation internes

3.8 Synoptiques rcapitulatifs de la mthodologie E=MCA

Organisation de crise
Scnarios de sinistres retenus
Chapitre alerte et activation de crise du PCO

Chapitre
organisation
de crise du PCO

Livrables

Schma dorganisation de crise


Rles et responsabilits des acteurs de lorganisation
de crise
Dfinition et mise en uvre de moyens matriels
pour assurer la gestion de crise par lorganisation
de crise

lments
de sorties

Stratgie locale et globale de crise


Organigramme de lentreprise

lments dentre/
Composants

Tableau 3.5 Phase 4 : Dvelopper le plan de continuit des oprations

Bennasar.Livre Page 109 Mardi, 11. avril 2006 12:53 12

109

Sensibilisation,
formation et
communication

Maintien
en conditions
oprationnelles
du PCA

Test du PCA

Contrle
du PCA

Intitul
de ltape

Programme annuel daudit du PCA


Rsultats et rapports de test du PCA
Investigations menes lors des audits
Rfrentiel daudit

Rapport daudit

Points forts et points damlioration


carts entre les pratiques et le rfrentiel
(cart documentaire, cart dapplication,
non-conformit majeure ou mineure, etc.)
Prconisations

PCA jour et correspondant la


situation courante de lentreprise

Rapport de tests du PCA


PCA valid par lexprience
Comptences en MCA accrues
pour les acteurs du PCA

Plan de maintien en conditions oprationnelles


(intgr au document PCO ou distinct)
Systme documentaire du PCA jour

Systme documentaire du PCA


Rapports de tests du PCA
Rapports daudit du PCA
Matrice BIA
Analyse des risques et plans de rduction
des risques

Supports de sensibilisation
et de formation
Supports de communication

Livrables

Stratgie de test du PCA


Programme annuel de test du PCA
Scnarios, cas, situations tester

Programme de sensibilisation et de formation


Actions de sensibilisation
Actions de formation
Meilleur niveau dinformation, de connaissances
et de comptences sur le sujet MCA
Plan et actions de communication

Informations, supports de cours, besoins


identifis en formation (plan de formation),
etc.

Documentations lies au PCA (politique,


procdures, plans, etc.)

lments
de sorties

lments dentre/
Composants

Tableau 3.6 Phase 5 : Assurer la conduite du changement, le dploiement du PCA et son maintien en conditions oprationnelles

Bennasar.Livre Page 110 Mardi, 11. avril 2006 12:53 12

110 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Pilotage
du projet PCA

Pilotage
du MCA

Intitul
de ltape

Cadre lgal et rglementaire


Expriences passes de lentreprise en matire de MCA
Expriences passes du personnel de lentreprise en
matire de MCA
Stratgie dentreprise
Cadre de dmarche connexe : manuel et politique qualit,
politique de scurit de linformation, politique environnement, politique scurit et sant au travail, etc.

Cahier des charges initial (politique de management


de la continuit dactivit)

lments dentre/
Composants

Livrables
Projet qui atteint ses
objectifs (PCA efficace)
dans le respect des
dlais et budgets

Politique de management de la continuit dactivit


Programme de management de la continuit dactivit

Plan projet
Planning de projet
Cartographie des risques projet
Plan de rduction des risques projet
Autres livrables de la mthodologie retenue
Rapports intermdiaires de suivi

lments
de sorties

Tableau 3.7 Phase 6 : Piloter le management de la continuit dactivit

Bennasar.Livre Page 111 Mardi, 11. avril 2006 12:53 12

3.8 Synoptiques rcapitulatifs de la mthodologie E=MCA

111

Bennasar.Livre Page 112 Mardi, 11. avril 2006 12:53 12

112 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

3.9

QUELQUES CAS PARTICULIERS

3.9.1 Le secteur banques et finance


Lactivit bancaire et financire :
supporte les plus grandes contraintes rglementaires actuelles sur la continuit de son activit (Ble II, CRBF, etc.) ;
figure parmi les plus dpendantes vis--vis de leurs systmes dinformation ;
doit intgrer des contraintes de temps rel (ou quasi rel) et de haute
disponibilit.
En consquence, les banques sont souvent, par nature, en avance dans le
domaine de la continuit dactivit. Sur le plan technique, les comptences dans
le domaine de la haute disponibilit sont indispensables. Sur le plan organisationnel, les fonctions lies au management de la continuit dactivit sont gnralement pourvues. Sur le plan des oprations, la mise en place des procdures
dgrades devra prendre en compte les impratifs rglementaires nombreux qui
rgissent lactivit.

3.9.2 Le secteur PME/PMI


Les PME/PMI sont les structures qui sont, par nature, les plus vulnrables aux
sinistres majeurs. Leur faible assise financire les expose aux incidents de trsorerie. Leur localisation gographique privilgie en gnral le modle monosite.
Leurs marchs sont souvent des niches. Leurs fonctions cls ne permettent en
gnral que peu de recouvrement et de polyvalence, rendant les hommes indispensables. Leur rticence investir dans des projets de fond les impermabilise aux innovations dans le management. Tous ces facteurs font que les
PME/PMI viennent malheureusement gonfler les statistiques des entreprises
pour lesquelles la survenance dun sinistre majeur entranera souvent la faillite.
La dfinition dun PCA pour une PME/PMI devra prendre en compte les
spcificits dune telle entreprise et faire montre dun pragmatisme et dun sens des
ralits certains. Selon le Metropolitan Washington Council of Governments 1,
les sept piliers dune PME/PMI sont :
Le directeur,
Le lieu de travail,
Les salaris,
1. Voir www.mwcog.org

Bennasar.Livre Page 113 Mardi, 11. avril 2006 12:53 12

3.9 Quelques cas particuliers

113

Les fournisseurs,
Lquipement,
Le march,
La trsorerie.
Ces sept piliers devraient constituer les points focaux de la dmarche de PCA
au sein dune PME/PMI. En particulier, les bonnes questions quune PME/PMI
peut se poser pour la mise en uvre dun PCA dans ce secteur pourraient tre :
Que se passe-t-il en cas de sinistre majeur et dabsence du patron ? Qui est
autoris le remplacer dans ces circonstances ?
quels risques naturels, technologiques et industriels notre lieu de travail
est-il expos ?
Quels sont les personnes cls dans notre organisation ? Comment est prvu
leur remplacement en cas dabsence ? Le personnel est-il suffisamment
entran pour faire face une situation durgence ? Comment est perue la
continuit dactivit ?
Comment avons-nous prvu de pallier une grave dfaillance dun fournisseur
critique ?
Quels sont les points de dfaillance unique dans notre infrastructure et
notre quipement ? Quels sont nos quipements critiques ? Vers qui pouvonsnous nous tourner en cas de dfaillance dun quipement cl ?
Sommes-nous dpendants dun sinistre majeur qui pourrait frapper notre
march ou notre primtre gographique daction ?
Quels peuvent tre nos ressources, nos recours et nos sources de financement
pour faire face au surcot immdiat engendr par une situation sinistre ?
La prise en compte de ces questions en amont dune situation catastrophique
peut faire basculer lavenir dune PME/PMI qui fait face un sinistre majeur. Il
serait dommage de ne pas se les poser.

3.9.3 Le secteur public


Le secteur public nchappe en rien la problmatique de continuit dactivit.
Il affiche parfois mme une surprenante avance dans le domaine. Ainsi, jai
personnellement rpondu trois appels doffre pour la mise en place dun PCA
pour des organismes publics de niveau rgional ou national en 2005.
En gnral, la problmatique de continuit dactivit des organismes du
secteur public est proche de celle des entreprises prives des secteurs du tertiaire.

Bennasar.Livre Page 114 Mardi, 11. avril 2006 12:53 12

114 Chapitre 3. Mettre en place la continuit dactivit : mthodologie commente

Quelques diffrences dorganisation et de culture tendent nanmoins orienter


lapproche :
La notion de responsable de la scurit des SI nest pas encore trs rpandue
(80 % des collectivits nen possdent pas1) ;
Le management des risques nest pas encore tabli comme une pratique
usuelle de management (hormis pour les activits publiques lies la scurit
civile) ;
Lveil la problmatique de scurit de linformation sest fait surtout aprs
lan 2000 et louverture des SI publics Internet ;
Lexistence dorganes centraux (prfectures en particulier) qui coordonnent
le secours et la scurit civile lchelle locale ;
Enfin, et cest sans doute la notion culturelle la plus spcifique, lvaluation
des risques dans le secteur public2 se fait la plupart du temps sur des critres
qui ne sont pas financiers (la notion de revenus et de chiffre daffaires ny
ayant quun sens symbolique). Dans le secteur sanitaire en particulier, la
classification des risques prendra en compte les impacts sur la sant des
patients et limage de ltablissement bien avant les possibles impacts
financiers3.

3.9.4 Le SI infogr
La continuit dactivit des systmes dinformation infogrs prsente les mmes
exigences et contraintes que celle dun systme dinformation gr en interne
lentreprise.
Lexprience montre que la pratique de linfogrance a tendance dresponsabiliser lentreprise qui y a recours. Cest particulirement vrai en ce qui concerne
les responsabilits relatives la scurit et au management de la continuit
dactivit. On se rappellera que :
Si, dans un systme dinformation infogr, lexploitation est sous-traite, les
responsabilits relatives la scurit et la continuit dactivit ne peuvent
certainement pas ltre.

1. Clusif, Politiques de scurit dinformation et sinistralit en France Bilan 2003, 2004.


2. Ltat a pour principe dtre son propre assureur ce qui implique que la notion de risque nest
pas perue de la mme faon que dans le secteur priv.
3. On se remmorera ce sujet le mystre des vanouissements en srie dans un bloc opratoire
lAP-HM en septembre 2005.

Bennasar.Livre Page 115 Mardi, 11. avril 2006 12:53 12

3.9 Quelques cas particuliers

115

La gouvernance de la scurit et de la continuit dactivit est stratgique.


On ne pourra tre ddouan de ses responsabilits en la matire (y compris pnales).
Il est impratif dans la mise en place dune informatique infogre de bien dfinir
les exigences, les contraintes et rglementations applicables, les moyens de
contrle prvus, les responsabilits respectives, les pnalits et obligations, etc.,
pour chacune des deux parties dun contrat dinfogrance. On spcifiera clairement
ses besoins lors du processus de choix de linfogreur 1. La politique de scurit
de lentreprise sera la clef de vote dune externalisation russie. Et mme
lorsquelle existe, lexercice prilleux consistera confronter et accorder les politiques de scurit de linfogreur et du client. Dans la plupart des cas (infogrance
partielle), il est ncessaire de grer une interface complexe (donc vulnrable et
sensible) entre la partie du SI interne et la partie du SI externalise. Des logiques
et principes diffrents peuvent conduire des incompatibilits franches empchant
raisonnablement le contrat dinfogrance.

1. On consultera ce sujet louvrage dA. Champenois, Infogrance, aux ditions Dunod.

Bennasar.Livre Page 116 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 117 Mardi, 11. avril 2006 12:53 12

4
Panorama des solutions
techniques de secours

Le prsent chapitre est entirement consacr aux solutions techniques lies la


mise en uvre dune dmarche de MCA. Ce chapitre est donc orient secours
informatique et secours des ressources.
Jai tent de prsenter les principales solutions de secours des diffrents
composants de la chane dactivit. Cependant, la technologie tant un domaine
o les volutions sont rapides et dcisives, le panorama prsent ci-aprs est une
vue densemble, pas une revue de dtails.
Les questions connexes la mise en place de solutions techniques sont galement abordes : fournisseurs et prestataires, cots et retour sur investissement,
aspects contractuels, systmes dinformation de pilotage du PCA, etc.

4.1

LES SOLUTIONS DE SECOURS DES MOYENS INFORMATIQUES


Ce paragraphe aborde les principales considrations concernant le secours des
moyens informatiques et notamment :
La typologie des solutions possibles selon la disponibilit recherche, les
modes de gestion possibles, la mutualisation des moyens, etc. ;
Des considrations techniques sur les composants classiques dun SI (moyens
centraux et priphriques) ;

Bennasar.Livre Page 118 Mardi, 11. avril 2006 12:53 12

118 Chapitre 4. Panorama des solutions techniques de secours

Les principaux fournisseurs de solutions ;


Les aspects contractuels lis aux solutions de secours.

4.1.1 Solutions de secours du SI


Un systme dinformation est compos dune chane de composants dont
lensemble doit tre pris en compte pour assurer un secours satisfaisant. Cest la
notion de secours de bout en bout qui importe pour dimensionner et caractriser
la solution de secours de chacun des lments de la chane SI. Les spcifications
fonctionnelles de ce secours seront principalement issues de la phase de bilan
dimpact sur lactivit et, en particulier le degr de fracheur des donnes et le
dlai maximal dinterruption admissible.
Il est important de noter ici limpact de linterdpendance des diffrents
lments du SI. Un maillon critique en bout de chane (maillon applicatif en gnral) peut impacter la criticit de lensemble de la chane qui aboutit ce maillon.
Dans lanalyse fonctionnelle qui prcdera le choix dune solution de secours,
on aura donc soin de dfinir prcisment les points de dfaillance unique 1. Et on
se souviendra que :
Une chane na jamais que la rsistance de son maillon le plus faible.
Parmi les lments classiquement retenus comme maillons dun SI, on retiendra :
Les serveurs (applications, fichiers, impression, messagerie, techniques, etc.) ;
Le rseau local,
Les accs au(x) rseau(x) externe(s),
Les accs lInternet,
Les postes utilisateurs,
La tlphonie, etc.
Pour les besoins de secours dlments critiques, on pourra cependant tre
amen considrer de faon plus globale les lments suivants (par exemple) :
Un centre dappels,
Un site Internet sensible,
Un systme de paiement en ligne,
Un systme dimpression critique, etc.
1. lment dun systme qui, sil est dfaillant, met en chec toute la chane. Concept issu de la
sret de fonctionnement.

Bennasar.Livre Page 119 Mardi, 11. avril 2006 12:53 12

4.1 Les solutions de secours des moyens informatiques

119

4.1.2 Typologie des moyens de secours (SI): avantages et limites


De nombreux critres existent qui permettent de catgoriser les solutions de
secours. Par exemple, on peut distinguer les solutions suivantes :
Le degr de partage de la solution : accords de rciprocit en interne dune
entreprise, moyens partags, moyens ddis au secours ;
Le type dinfrastructure : moyens mobiles, moyens fixes (site interne ou
site distant) ;
La disponibilit des moyens de secours mis en uvre : depuis le local vide
repeupler et redmarrer jusqu lenvironnement miroir complet ;
Le type de gestion de la solution de secours : interne, externe (avec tous les
degrs dexternalisation, allant de la mise disposition dune salle blanche
lintgration des services lis au secours).
La varit des solutions existantes propose une palette intressante pour
adapter le choix de la solution aux contraintes fonctionnelles du secours recherch.
Cependant, une vaste majorit des solutions de secours seront mises en uvre au
travers de sites alternatifs. Ce type dinfrastructure de secours est dtaill ci-aprs.
Le site alternatif de secours est la solution la plus rpandue pour assurer le
secours du cur dun systme dinformation. Quelle que soit la solution retenue
pour sa mise en uvre, ce secours devra cependant rpondre convenablement
aux exigences fonctionnelles dfinies dans le BIA.
Allant des solutions les moins ractives (et les moins coteuses) aux solutions
dites de haute disponibilit (les plus coteuses), une typologie des sites alternatifs
est donne ci-aprs :
Salles blanches (cold sites) : il sagit dune infrastructure distante de type
salle informatique ddie et disponible en cas de dclenchement du plan de
secours. Cette salle est quipe pour accueillir les quipements informatiques : alimentation lectrique, cblage rseau et tlcoms, protection incendie, planchers techniques, contrle daccs, etc. En cas de dclenchement
du plan de secours, lentreprise vient intgralement peupler la salle blanche : quipement informatique, donnes et applicatifs, personnel, etc.
Salles oranges (warm sites) : la meilleure dfinition dune salle orange
consiste sans doute la dcrire comme une salle plus rouge quune salle
blanche mais moins rouge quune salle rouge ! Il sagit en gnral dune
salle blanche partiellement quipe de matriel informatique (le plus stratgique). Il peut dailleurs sagir dun site de production informatique autonome, moins stratgique que le site secourir, qui est amnag pour servir
de secours.

Bennasar.Livre Page 120 Mardi, 11. avril 2006 12:53 12

120 Chapitre 4. Panorama des solutions techniques de secours

Salles rouges (hot sites) : une salle rouge est une salle blanche qui possde
un environnement peupl latent , cest--dire lensemble des quipements informatiques ncessaires au secours, maintenu en tat de marche.
Les donnes et applicatifs ne sont en revanche installs quen cas de dclenchement du plan de secours. En gnral, la salle rouge dispose dun personnel ddi prt mettre en place le secours en permanence (24h/24, 7j/7). Le
cot annuel dune salle rouge devient significatif et peut atteindre plusieurs
pour-cent du budget informatique. Il existe quelques cas particuliers de salles
rouges, classes ici par degr croissant de disponibilit des informations
(pour une description technique des technologies associes, on se rfrera au
paragraphe 5.1, Sauvegarde, restauration et disponibilit des donnes) :
Salle rouge + Sauvegarde distance (Electronic Vaulting)
Salle rouge + Journalisation distante (Remote Journaling)
Salle rouge + rplication asynchrone (Shadowing)
Salles miroir (mirrored sites) : avec les salles miroir, on entre dans le
domaine de la haute disponibilit. Il sagit de salles pleinement redondantes
par rapport la salle secourir. Ainsi, en plus de lquipement informatique
complet, les donnes, systmes et applicatifs sont maintenus en permanence au niveau du SI secourir. Cette image fidle du site nominal (miroir)
comporte des avantages importants (allgement des procdures de sauvegarde d la prsence dun environnement identique distant) et quelques
inconvnients (sensibilit certaine aux sinistres logiques par exemple). Il sagit
de la solution la plus coteuse, la plus fiable et la plus disponible. Le secours
est ddi (il ne participe pas la production) et les moyens de mirroring
peuvent diffrer technologiquement (en gnral rplication synchrone ou
virtualisation). Enfin, dans cette catgorie, deux cas particuliers existent :
Le backup dastreinte propose un secours quasi-temps rel dapplications critiques (systmes flux tendus, systmes de paiement bancaire,
site de commerce lectronique, etc.) sur une dure courte pendant quun
secours de plus grande ampleur se met en place. Les backup dastreinte
permettent ainsi la rmanence du SI. Du fait de leur mode de fonctionnement en drivation du SI nominal, la dgradation des donnes
quils contiennent est rapide. La rcupration des donnes du backup
dastreinte lors de la mise en place de la solution de secours long terme
est dlicate car le degr de corruption des donnes du backup dastreinte
est difficile valuer. Mais ce nest pas l lobjectif premier du backup
dastreinte : il vise avant tout assurer la continuit dactivit !
Les sites production rpartie proposent une rpartition de lexploitation
informatique entre le site de secours et le site secouru. Cette solution
prsente dnormes avantages (essentiellement lis au fait que la solution

Bennasar.Livre Page 121 Mardi, 11. avril 2006 12:53 12

4.1 Les solutions de secours des moyens informatiques

121

nest pas dormante) : assurance de niveau de configuration homogne


entre secours et site secouru, test permanent de la solution de secours,
partage de lexploitation (et donc conomies substantielles), etc. Pour
principal inconvnient, lexploitation en mode secours ne pourra se faire
que de faon dgrade puisque les deux sites (secours et secouru) auront
t dimensionns pour une charge dexploitation rpartie entre les deux.
Le cas particulier du secours mobile (mobile sites) : le secours mobile est
en gnral ralis par le biais de camions spcialement quips en moyens
informatiques pour rpondre un besoin de secours. Si lon peut le considrer comme le secours de la dernire chance en labsence de tout plan
de secours informatique (PSI), le secours mobile ne sera toutefois rellement
efficace que dans la mesure o il fera lobjet dune spcification pralable
entre le fournisseur et lentreprise. Les dlais dacheminement et la configuration des lieux sur le site secourir limitent les utilisations possibles.
Tableau 4.1 Comparaison des solutions de secours sur site alternatif
Cot

quipement

Tlcoms

Dlai de reprise

Salle blanche

Faible

Aucun

Aucun

Long

Salle orange

Moyen

Partiel

Partiel/complet

Moyen

Salle rouge

Moyen/lev Complet

Complet

Court

Salle miroir

lev

Complet

Complet

Aucun

Partiel

Partiel

Moyen

Secours mobile lev

La gradation prsente ci-dessus ( lexception du cas particulier des secours


mobiles qui peut varier grandement selon la disponibilit demande) est une
gradation croissante la fois selon le critre de disponibilit du secours, et selon
le critre du cot. Lestimation du cot de la solution devra nanmoins tre
effectue en regard des enjeux du systme secourir et en tenant compte des
cots globaux et pas seulement des cots lis la solution de secours (en cas de
sinistre majeur, la mise en place dune solution de secours sur un site de type salle
blanche a un cot bien plus lev que sur un site miroir).
Nous reviendrons sur les aspects de la gestion contractuelle dans le paragraphe 4.1.7, Un mot sur laspect contractuel du secours informatique, mais nous
pouvons dores et dj prciser que, quel que soit le mode de gestion de la solution
(interne, externe ou mixte1), elle devra tre formalise par un contrat. Si elle
1. Il sagit des cas o la solution de secours est partage entre des entits ayant des intrts en
commun (groupement type GIE par exemple).

Bennasar.Livre Page 122 Mardi, 11. avril 2006 12:53 12

122 Chapitre 4. Panorama des solutions techniques de secours

nest pas en elle-mme suffisante, la formalisation apporte une premire garantie


daccord entre les parties pour dployer un secours efficace le moment venu.

4.1.3 De la bonne distance du site de secours (SI)


Quelle est la bonne distance entre le site nominal et le site de secours ? La
rponse dpend clairement du sinistre contre lequel lentreprise cherche se
prmunir, et de son chelle. Pour faire face un ouragan tel que Katrina (aot et
septembre 2005), il est vident que la distance sera nettement plus importante
que pour minimiser le risque dinterruption li une ruption volcanique localise ou un incendie.
Une tude ralise par la socit PreEmpt en 2002 et renouvele en octobre 2005 donne une tendance intressante. Interroges sur la distance quelles
estimaient suffisante entre le site secourir et le site de secours, les entreprises
sondes1 ont spontanment avanc des distances de 60 % suprieures (en
moyenne) en 2005 que celles qui avaient t exprimes en 2002 ! La moyenne
de ces distances avoisine dailleurs les 150 km.
Le choix de la distance du site de secours devra tre soigneusement fait, en
tenant compte de lchelle gographique des sinistres considrs. Il devra galement intgrer les facteurs technologiques limitants (une distance de 150 km
nest pas compatible avec une solution technique de type rplication synchrone
seule, comme on le verra au chapitre 5).

4.1.4 Disponibilit des solutions: consquences sur les principaux


composants de la chane SI
On distingue gnralement trois niveaux de disponibilit des solutions de secours :
La haute disponibilit : suppose une reprise quasi immdiate (de lordre
de quelques minutes) avec une perte de donnes quasiment nulle ;
La moyenne disponibilit : recouvre les solutions qui permettent un
secours en quelques heures (qui varient selon les dfinitions entre 6 et
24 heures gnralement) et limitent svrement la perte de donnes (entre
quelques minutes et quelques heures) ;
La faible disponibilit : caractrise les secours raliss en gnral au-del
de 48 heures avec une perte de donnes du mme ordre de grandeur.

1. 97 entreprises amricaines.

Bennasar.Livre Page 123 Mardi, 11. avril 2006 12:53 12

4.1 Les solutions de secours des moyens informatiques

123

Il est noter que frquemment, les dlais de reprise du SI sont sous-estims.


Le test du plan de secours permet en gnral de recadrer le degr de disponibilit
effectif de la solution. Mais cest une mprise classique que de surclasser dun
degr sa solution de secours, en toute bonne foi.
Suivant le besoin en disponibilit, les moyens de secours des principaux
composants de la chane SI diffrent. Les trois niveaux de disponibilit prcdemment dfinis ne proposent pas un continuum et les avis divergent quant au
contenu exact de ce que sous-entend chaque niveau.
Le tableau 4.21 prsente diffrentes stratgies de secours suivant la disponibilit
voulue (quatre classes distingues cette fois).

4.1.5 Mener lanalyse cots/bnfices et avantages/inconvnients


sur les solutions de secours (SI)
La dfinition de LA solution technique de secours nest pas chose aise dans la
mesure o, souvent, plusieurs orientations techniques distinctes peuvent rpondre
aux besoins identifis dans le BIA. Pour faciliter le lancement dune consultation,
il est tentant de rduire lventail des solutions tudies lextrme, cest--dire
une seule solution. Mais liminer demble certaines options techniques est
excessivement difficile faire sur des arguments autres quarbitraires.
Ltude de plusieurs solutions techniques concurrentes (spcifies une
granularit dinformation assez grossire) est ncessaire pour ne pas liminer sans
justification une option technique intressante. Ce dgrossissement peu coteux
limite les dconvenues en phase avance de projet.
Par ailleurs, des critres gnraux et pragmatiques ont t dfinis par le Clusif2
pour valuer les solutions de secours envisages. Ces trois critres sont :
La vraisemblance : ce critre assez subjectif peut se traduire par les questions suivantes : la solution envisage permettra-t-elle de rpondre aux
besoins de continuit dactivit exprims dans le BIA ? Sera-t-elle viable
dans le temps ? Sera-t-elle homogne, techniquement et dans lorganisation ?
La ralisation des tests (lment dterminant, on la vu) sera-t-elle effective ? Lvolution de la solution pourra-t-elle se faire au rythme ncessaire ? Le jour du sinistre, la solution sera-t-elle disponible ? Ce critre
impose ainsi un regard trs critique sur les accords de rciprocit entre sites
dun mme groupe par exemple, la viabilit dune telle solution tant en
gnral faible dans le temps (en raison de la divergence rapide des parcs
1. Daprs Gartner Group.
2. Clusif : Plan de continuit dactivit Stratgie et solutions de secours du SI , 2003, pp. 18-19.

Fonctions gnratrices de
revenus moins critiques.
Fonctions logistiques

Fonctions supports
de lentreprise

Fonctions locales

Disponibilit de 98 % (moins de
13,5 heures par mois dinterruption)
RTO = 4 5 jours
RPO = 1 jour

Disponibilit de 99 % (moins de 5 heures


par mois dinterruption)
RTO = 3 jours
RPO = 1 jour

Disponibilit de 99,5 % (moins de


3,5 heures par mois dinterruption)
RTO = 8 24h
RPO = 4h

Disponibilit de 99,99 % (moins de


45 minutes par mois dinterruption)
RTO = 2h
RPO = 0h

Objectifs
de secours

Stratgie
de secours 1

Sauvegardes hebdomadaires et journalires.


Transport des bandes de sauvegarde hebdomadaire dans des coffres
dentreprise ou externaliss.
Site de secours de type salle blanche.

Sauvegarde distance journalire ou continue, dans des coffres-forts


lectroniques dentreprise ou externaliss.
Restauration sur plates-formes de secours externalises, ddies
ou mutualises (salle orange).

Site distant de type salle rouge ou salle miroir. Mirroring ou rplication


asynchrone vers un site de secours dentreprise ou externalis (courte
ou moyenne distance).

Rplication synchrone interne ou externalise.


Infrastructure de rplication en triangle couplant rplication synchrone
(courte ou moyenne distance) et asynchrone (longue distance) pour
assurer un secours contre les sinistres locaux et rgionaux.

1. Voir le paragraphe 5.1.3, Technologies de sauvegarde et architecture de haute disponibilit des donnes .

Relation client ou partenaire.


Fonctions critiques pour
le chiffre daffaires.

Domaines
fonctionnels

Classe

Tableau 4.2 Stratgies de secours suivant la disponibilit voulue

Bennasar.Livre Page 124 Mardi, 11. avril 2006 12:53 12

124 Chapitre 4. Panorama des solutions techniques de secours

Bennasar.Livre Page 125 Mardi, 11. avril 2006 12:53 12

4.1 Les solutions de secours des moyens informatiques

125

informatiques pour ne citer quun lment vident). Beaucoup de solutions


apprhendes en premier lieu comme des solutions conomiques entrent
dans la catgorie des solutions peu vraisemblables.
La souplesse de mise en place de la solution de secours : la mise en place
dune solution de secours est un projet denvergure qui sera sans doute
ralis par tapes, selon un chelonnement des risques pris en compte. La
souplesse de mise en place traduira ainsi sa facult tre dploye par
tapes, de faon modulaire.
Lvolutivit de la solution : ce critre traduit la capacit de la solution
intgrer, dans des dlais pertinents, les volutions de son environnement qui
limpactent : fusions, cessions, technologie, risques mergents, rorganisation, etc. Ce critre plaide en faveur de solutions pragmatiques, simplifies
au maximum (mais rpondant quand mme aux besoins de secours exprims dans le BIA). Les notions de servitude technologique, de servitude au
fournisseur et de capacit assurer en interne ladministration de la solution doivent galement tre poses dans le cadre de lexamen de ce critre.

4.1.6 Le march et les principaux fournisseurs


de solutions de secours (SI)
A priori, pour tre fournisseur de solutions de secours, il suffirait dtre producteur
dun des maillons de solutions techniques (locaux, remplacement de matriel,
mise disposition rapide dun secours tlcoms, etc.). Cette conception na de
ralit que dans le cas o lentreprise qui dfinit sa stratgie de secours dcide
dtre son propre intgrateur, ce qui, dans un contexte gnral de recentrage sur
son cur mtier, nest pas vraiment peru comme une menace concurrentielle
pour les fournisseurs ! Les spcificits des solutions techniques de secours ainsi
que les contraintes dans lesquelles elles doivent sinscrire les distinguent en effet
fortement de la simple vente de matriels. Cest en gnral le degr dintgration
des produits et des prestations (hardware, software, mise disposition de locaux
et de personnels) qui donnera le statut de fournisseur de solution de secours.
Le march des fournisseurs de solutions de secours reprsentait environ deux
milliards deuros annuels pour la seule Europe de louest en 2004. Suite des
oprations de concentration du domaine, il est domin par deux fournisseurs :
IBM Global Services : pour ses offres BCRS (Business Continuity &
Recovery Services) et pack repli 15 ou 25 (secours de 15 ou 25 postes
dutilisateurs) : plusieurs sites existent dont un Levallois et un Collgien ; IBM a fait lacquisition en 2004 de Schlumberger Business Continuity Services, portant 130 le nombre de ses sites de secours dans le
monde, dont le plus gros centre dEurope occidentale.

Bennasar.Livre Page 126 Mardi, 11. avril 2006 12:53 12

126 Chapitre 4. Panorama des solutions techniques de secours

Sungard Availability Services : 10 000 clients (monde), 40 000 kilomtres


de rseau, 300 000 m2 dinfrastructure, 350 000 heures de conseil MCA.
Sungard a rachet les activits de continuit dactivit de Comdisco, lors
de sa faillite de 2001. Sungard a galement rachet Guardian IT.
Divers acteurs se partagent le reste du march. Nous prsentons ici un florilge
de ceux qui ont une existence dans lHexagone ou dans un territoire immdiatement
contigu (liste non exhaustive) :
Solutions de secours :
APX-Synstar : prsent en France pour des solutions cls en main de
continuit dactivit dont le secours mobile ;
Hewlett-Packard : propose une offre plan de reprise dactivit en
France ;
Bull : le premier constructeur europen propose des solutions de secours
et possde deux centres de secours en France (Paris, Rennes) ;
RedBus Interhouse : colocation et site de secours ;
ECS : spcialis dans le management des infrastructures informatiques,
ECS propose des solutions de secours ;
Safehost : propose un centre de secours informatique Genve ainsi
que les prestations associes ; fond en 2000.
Solutions de sauvegarde, de stockage, de solutions de haute disponibilit :
EMC2 : prsent en France pour la mise en uvre de solutions de continuit dactivit (solutions Legato) ;
Sauvdata (groupe UTC) : socit franaise spcialise dans lexternalisation de sauvegardes et la restauration dans le cadre de plan de secours ;
PCM Assistance : socit franaise spcialise dans la rcupration de
donnes ;
La Sauvegarde de lInformation : base Paris, assure des prestations
lies la sauvegarde sur trois centres en France ;
Radware : socit prsente en France sur les sujets couverts par le
groupe RAD ;
Backup Avenue : propose des services de sauvegardes et archivage
distance (solution Safe Backup) ;
Antemeta : socit franaise spcialise dans les rseaux de stockage
(SAN en particulier) ;

Bennasar.Livre Page 127 Mardi, 11. avril 2006 12:53 12

4.1 Les solutions de secours des moyens informatiques

127

Stonesoft : socit finlandaise qui propose des solutions de scurit


(authentification, pare-feu) et haute disponibilit (rpartition de
charge).

4.1.7 Un mot sur laspect contractuel du secours informatique


Comme nous lavons vu, la mise en place dune solution de secours met en relation
de nombreux acteurs, dans et hors de lentreprise, et ncessite des engagements
prcis dans lexcution du PCA. Mme dans le cas o la solution de secours est
intgralement interne lentreprise, il est utile de formaliser les engagements des
diffrents acteurs, et en particulier ceux du fournisseur de la solution et ceux de
lutilisateur de la solution. A fortiori, cest indispensable lorsque le fournisseur est
externe. Dans ce dernier cas, le contrat sera beaucoup plus complet et juridiquement au point . Limplication du service juridique de lentreprise est indispensable.
Dans le cas o le fournisseur est externe, la trame de contrat suivante peut
tre propose :
Objet du contrat ;
Dfinition des vnements couverts par le contrat : typologie des sinistres
(nature, chelle, origine, consquences, etc.) ;
Nature dtaille des prestations attendues :
Lieu et conditions de desserte et daccs ;
tendue des moyens mis disposition : matriel, logiciel, personnel,
mobilier et fourniture de bureau (tables, chaises, vidoprojecteur, paperboard, tlphone, etc.), infrastructure (salle, cblage, alimentation lectrique, climatisation, etc.) ;
Nature et tendue des prestations connexes (montage et dmontage du
matriel, mise disposition de matriel bureautique de secours, etc.) ;
Engagement concernant la mise disposition de personnel de support ;
Utilisation ventuelle de linfrastructure locale : salle supplmentaire, accs
au restaurant dentreprise, etc.
Gestion des enregistrements, donnes et informations sur le site de secours ;
Mise en place dune convention de service (Service Level Agreement)
pour le suivi du contrat ;
Dure maximum de mise disposition de la plateforme de secours ;
Procdure de dclenchement du plan de secours informatique :
Contacts habilits (pour les deux parties) ;
Schma dalerte et dactivation ;

Bennasar.Livre Page 128 Mardi, 11. avril 2006 12:53 12

128 Chapitre 4. Panorama des solutions techniques de secours

Moyens autoriss pour la transmission des alertes ;


Passage en pr-alerte possible ;
Plages horaires possibles et procdures diffrencies suivant la plage
horaire (week-end, jours fris, nuit).
Engagements rciproques des deux parties :
Engagements relatifs aux dlais dintervention et aux obligations de
rsultats pour le secours (dlais de remonte de sauvegarde, dlais de
restauration des systmes, etc.) : sil est souvent illusoire dobtenir un
engagement global de rsultat de la part des fournisseurs, il est en revanche
possible dobtenir des engagements sur des dlais prcis dintervention ;
Devoir dinformation rciproque concernant les volutions pouvant
impacter le contrat, les prestations ;
Garantie de compatibilit des moyens ;
Respect de la procdure de gestion des changements (incluant le matriel,
le logiciel et les infrastructures) : cette procdure doit tre explicitement
cite dans le contrat ;
Exigences en matire de scurit ;
Disponibilit du site de secours :
Dlai de mise disposition ;
Mutualisation des moyens : partielle ou totale, auquel cas, il sera impratif
davoir une ide du niveau dengagement du site considr (nombre
dentreprises secourues, localisation gographique prcise, gestion des
priorits en cas de conflit dintrt, etc.) ;
Conditions daccs au site (identification, mesures de contrle, systme
de dtection dintrusion, etc.) ;
Modalits des tests et rptitions :
Programme des tests ;
Livrables attendus ;
Dure et frquence des tests ;
Conditions de ralisation dun contre-test en cas de non-atteinte des
objectifs lors dune campagne de tests ;
Modalits de terminaison du contrat en cas de tests durablement non
probants.
Modalits de maintien aux mmes niveaux de configuration des installations :
frquence, dclenchement, cots additionnels, etc.

Bennasar.Livre Page 129 Mardi, 11. avril 2006 12:53 12

4.2 Les solutions de secours des moyens de production 129

Conditions financires du contrat, qui comprennent :


Les cots dabonnement (qui couvrent la location prventive des
moyens) ;
Les cots de dclenchement doprations particulires telles les tests ou
le secours rel ;
Les cots dutilisation en cas de sinistre.
Modalits de modification du contrat : avenant, dnonciation, rengociation,
fin de contrat ;
Clauses de confidentialit rciproques.
Et pour finir, trois points dattention pour la mise en uvre contractuelle de
la solution de secours :
1. Lassurance de la disponibilit de la solution grandit avec le cot de celle-ci.
Tout lart consistera trouver le meilleur quilibre entre besoins de secours
et cot de la solution. Dans cette optique, on aura tout intrt entrer
dans une logique de partenariat avec son fournisseur plutt que dans une
logique dfensive : lobjectif tant, avant tout, que a marche !
2. La gestion des priorits du fournisseur en cas de sinistre affectant simultanment plusieurs de ses abonns est dterminante pour les solutions
mutualises. On sentourera dun maximum de prcautions dans la ngociation de ce volant-l du contrat.
3. Malgr toutes les prcautions dans les phases de spcifications, les tests et
rptitions constituent la validation par les faits de la viabilit de la solution.
On les ralisera avec un maximum de soin et lon pourra mme adosser
lengagement final contractuel la ralisation satisfaisante des tests (rarement
satisfaisants du premier coup).

4.2

LES SOLUTIONS DE SECOURS DES MOYENS DE PRODUCTION

4.2.1 Une problmatique bien diffrente de celle du SI!


Le secours des moyens informatiques et du systme dinformation repose essentiellement sur le caractre standard des quipements concerns. Par nature, la
plupart des moyens de production industrielle ne sont pas standard ! La stratgie
de secours de ces moyens ne peut donc se construire de la mme faon et, dans la
plupart des cas, ne pourra aboutir des dlais de reprise aprs sinistre comparables
ceux dune solution de secours informatique. En cas de destruction de loutil
de production industrielle, il nest pas raisonnable dattendre une reprise de la
production sous quelques jours

Bennasar.Livre Page 130 Mardi, 11. avril 2006 12:53 12

130 Chapitre 4. Panorama des solutions techniques de secours

On se rappellera nanmoins quaujourdhui, pour lessentiel du secteur tertiaire


(banques, assurances, services, tlcoms, communication, etc.), loutil de
production est le systme dinformation !

4.2.2 Axes de rflexion et retours dexprience


On envisagera les pistes suivantes :
Gestion prvisionnelle des stocks : deux principes sopposeront alors : le
premier qui est la logique financire prnant la minimisation des stocks ;
le second qui sera la logique de secours qui privilgiera le maintien dun
stock de secours visant couvrir les besoins clients pendant la dure anticipe
avant reprise de la production.
Accord inter-tablissements dun mme groupe : cest bien sr, dans la
mesure o elle est viable, une solution qui sera privilgie sur la suivante.
La logique de regroupement des activits actuellement en vogue a nanmoins tendance rendre cette solution rarement applicable.
Recours la sous-traitance chez un concurrent : cette solution requiert
avant tout une grande humilit ! Elle prsente galement de grands risques
moyen et long termes concernant la fuite du savoir-faire, la perte de
confidentialit dinformations stratgiques, etc.
Recours lassurance : si cette solution nest clairement pas oriente vers
la continuit de lactivit, on ne loubliera pas pour minimiser les pertes
financires occasionnes par un sinistre.
Dans le secours de la chane logistique elle-mme, une tendance se dgage :
les PME tendent dfinir une stratgie qui privilgie le recours une
varit de fournisseurs tandis que les grandes entreprises imposent de leurs
fournisseurs quils disposent eux-mmes dun PCA et quils soient disposs
recevoir un audit de leur PCA. Un quart des entreprises nont tout
bonnement aucune disposition prvue pour faire face une rupture de la
chane logistique1.
Mme si la destruction ou lindisponibilit des outils de production pose un
problme qui verra moins de solutions internes que la destruction du SI, la rgle
reste la mme : la rflexion en amont du sinistre permet toujours de gagner du
temps et de lefficacit dans le traitement de la crise. Et mme si le niveau de
formalisation du plan de secours des moyens de production est bien moindre, son
existence ne pourra quaugmenter la ractivit de lentreprise.
1. Business Continuity Research, 2005, Supply Chain Protection and outsourcing , BCI.

Bennasar.Livre Page 131 Mardi, 11. avril 2006 12:53 12

4.3 Les solutions de secours des locaux et quipements

4.3

131

LES SOLUTIONS DE SECOURS DES LOCAUX ET QUIPEMENTS


Comme les moyens de production, les locaux et quipements relvent du domaine
continuit dactivit au sens large. Il est intressant de noter ici les principaux
axes permettant dans un premier temps le sauvetage et dans un deuxime temps
le secours.

4.3.1 Sauvetage des locaux et quipements


Lorsquun sinistre majeur se produit, les dgts causs peuvent tre considrables
sur les locaux et quipements (bureautiques essentiellement). Les rcents vnements mdiatiss (ouragan Katrina en Louisiane par exemple) montrent que les
risques peuvent tre autant lis au sinistre lui-mme (dgts des eaux) quau
climat social qui sinstalle en consquence (pillages de masse). Dans ces conditions,
les trois recours suivants peuvent tre envisags :
Recours des prestataires spcialiss dans le sauvetage des locaux et
quipements : dsenfumage, asschement, protection contre les atmosphres
corrosives (qui conduisent la dtrioration rapide des quipements
bureautique en cas dincendie par exemple). Comme prestataire dans ce
crneau, on mentionnera Datalab.
Recours des spcialistes de la rcupration et reconstitution des informations (data retrievers), comptents pour rcuprer des donnes sur des
disques de serveur corrods, des bandes magntiques noyes ou des archives
papier inondes. On citera Ibas, GS2i, Ontrack ou Vogon comme prestataires
dans ce domaine.
Mise en place dune surveillance du site sinistr afin de prvenir le vol, le
vandalisme, et la dgradation des preuves. Les socits bien connues de
gardiennage proposent ce type de service.
Des accords peuvent tre conclus avec ces prestataires sur la base de dlais
dintervention en cas de sinistre. Plus classiquement, on identifiera de telles
socits afin de les intgrer au rpertoire des fournisseurs potentiels. Ce travail
en amont est dterminant pour augmenter la ractivit le moment venu.

4.3.2 Secours des locaux et quipements


Une fois les moyens de sauvetage mis en uvre, le secours peut nanmoins tre
ncessaire. Dans le cas des locaux et quipements, le secours revt plusieurs formes :
Accords de rciprocit concernant les locaux : il sagit alors de dfinir
dans quelles conditions un site du mme groupe peut servir de plate-forme
daccueil aux quipes restreintes (organisation dgrade) du site sinistr.

Bennasar.Livre Page 132 Mardi, 11. avril 2006 12:53 12

132 Chapitre 4. Panorama des solutions techniques de secours

Contrat de location : il sagit le moment venu dobtenir rapidement un et


des locaux pour hberger les quipes rduites. Ce contrat peut tre dcid
et sign aprs le sinistre : la mise en place sera longue. Il peut autrement
tre sign au pralable, avec une socit spcialise dans la mise disposition
de locaux dans ces circonstances. Les locaux peuvent alors tre pr-quips,
rapidement disponibles mais il y aura un cot associ. On prendra bien
garde lors de la signature dun tel contrat dvaluer les risques induits par le
recours un contrat de location mutualis1 : dans ce cas en effet, il est
ncessaire de sassurer que les autres signataires dun contrat pour la location
du mme local nont que peu de chances dtre touchs par le sinistre contre
lequel lentreprise cherche se protger. Les bailleurs permettent en gnral
laccs des informations restreintes (code postal par exemple) qui permet
dvaluer clairement ce risque.
Utilisation dun stock dquipements prvu cet effet : les quipements
de secours peuvent tre tirs dun stock prvu pour faire face un sinistre.
Ce stock devra tre pleinement intgr au schma de rotation des stocks
pour ne pas devenir inadapt aux besoins des utilisateurs le moment venu.
Cette solution est assez rapide mais coteuse. Il convient de bien penser la
localisation du stock pour quil ne soit pas dtruit en mme temps que le
site secourir. La rpartition du stock de secours sur plusieurs sites peut
pallier cet inconvnient mais limite ensuite la ractivit.
Remplacement des quipements par acquisition : dans ce cas-l, cest lachat
dquipements qui vient assurer le secours. Beaucoup moins rapide mais
plus conomique (pas de stock), cette solution gagne avoir t anticipe
par une identification et une prise de contact avec les principaux fournisseurs
dquipements.
Stock stratgique dquipements + remplacement par acquisition du reste :
il sagit dune solution hybride entre les deux prcdentes qui cherche
utiliser chacune pour ses avantages. Le stock dquipements est rduit aux
quipements les plus stratgiques.
Ici encore, des accords peuvent tre conclus avec ces fournisseurs sur la base
de dlais et de quantits de fournitures en cas de sinistre. On pourra plus classiquement les intgrer au rpertoire des fournisseurs potentiels. Ce rpertoire
regroupera avantageusement plusieurs fournisseurs pour le mme type de prestations
ou produits.

1. Il est frquent quun mme local de secours soit lou plusieurs dizaines (souvent entre 25 et 40)
dentreprises pour des besoins de secours similaires.

Bennasar.Livre Page 133 Mardi, 11. avril 2006 12:53 12

4.4 Le secours des ressources humaines

4.4

133

LE SECOURS DES RESSOURCES HUMAINES1


Sil est un sujet dlicat et qui doit avoir la prsance sur le secours de toutes les
autres ressources2, il sagit bien du secours des ressources humaines. Historiquement cependant, cest un aspect qui a souvent t nglig dans les mthodes de
management de la continuit dactivit. Les rcents sinistres majeurs (ouragan
Katrina et attentats de Londres en particulier) ont clairement mis en vidence
ce domaine comme prsentant les plus grosses lacunes dans le MCA.
Parmi les stratgies de secours des RH, on trouvera :
La mise en place dun plan de backup des comptences (schma de
supplance de tous les postes cls) ;
Le recours aux astreintes ;
Le recours lintrim ;
La mise en place de mesures facilitant le tltravail ;
La relocalisation du personnel cl ;
Le recours la formation acclre (sur des postes souvent peu qualifis).
Au moment de dfinir la stratgie de secours, on prendra bien en considration
la ncessit dtablir un plan de communication interne lentreprise pour assurer
le lien avec les employs. On nomettra pas non plus danticiper limpact
psychologique potentiel des scnarios de sinistre retenus.

4.5

LES SYSTMES DINFORMATION DU MCA3 (SIMCA)

4.5.1 O lon dfinit un SIMCA


Fonctionnellement, un systme dinformation pour le management de la continuit dactivit (SIMCA) recouvre, dans son acception la plus exigeante, un SI
capable de :
Grer des relations (de dpendance et de support en particulier) entre
lments divers : informations, dpendances des applications, infrastructures
de support des processus, etc.
Assister la ralisation et la mise jour des analyses de risques, BIA, plans
et procdures de continuit et de secours ;
1. On se reportera galement ce sujet au paragraphe 6.4, Cas n 4 : retour dexprience pour une
crise majeure : les attentats de Londres.
2. Contrairement la position de ce paragraphe dans le chapitre 4, il est vrai consacr aux problmatiques techniques.
3. On se rfrera ce sujet ltude Steady State : Technology solutions for maintaining business
continuity plans de RSM Robson Rhodes, 2004.

Bennasar.Livre Page 134 Mardi, 11. avril 2006 12:53 12

134 Chapitre 4. Panorama des solutions techniques de secours

Maintenir jour un inventaire des informations vitales pour lentreprise ;


Fournir des outils pour la ralisation des tests et le suivi des plans dactions
qui en dcoulent ;
Apporter une aide au pilotage du MCA (affectation et rappel des tches,
alarmes de retard, etc.).
Il est possible de disposer doutils disperss possdant individuellement les
capacits quun SIMCA possdera de faon intgre. Par exemple, un outil de
planification de projet permettra une aide au pilotage du MCA ; un outil de
cartographie de processus permettra gnralement de grer les relations entre
lments divers ; un outil de gestion lectronique de la documentation (GED)
pourra assurer une assistance au dveloppement et la mise jour des principaux
livrables ; etc. Un SIMCA proposera nanmoins une cohrence et une intgration
que ne permettra pas la mise bout bout des solutions unitaires.
On parlera dans ce paragraphe doutil de type 1 pour le SIMCA intgr, et
doutils de type 2 pour les outils unitaires, qui couvrent une partie des besoins
seulement.
On distinguera un troisime type (type 3) qui ne prsente quun intrt
limit : il sagit des outils de gnrations de modles de documents. Ce troisime
type recouvrira les packages peu chers ( peine 200 euros pour la plupart) qui
sont simplement une librairie de modles de BIA, danalyses de risques, de plans
de continuit, etc. mon sens, il existe suffisamment de documentation en
accs libre sur Internet pour ne pas investir dans de tels packages.

4.5.2 Les fonctionnalits dun SIMCA


Pour un outil de type 1, les fonctionnalits suivantes seront incontournables :
outil de recherche, outil de workflow, gestion de niveau de version, catgorisation (classement des documents et informations par thme) et portage des fonctionnalits ml (alertes automatiques, transfert automatique dinformations,
etc.). On voit que la plupart des outils de GED (pourtant de type 2) se qualifient
selon ces critres. Si un SIMCA de type 1 nest pas mis en uvre, loutil le plus
proche sera sans doute un outil de GED.
Une tude ralise fin 2004 par Continuity Central1 rvle que, pour un
chantillon de 162 entreprises 90 % anglo-saxonnes qui ont un PCA en place,
60 % environ utilisent un SIMCA. Les fonctionnalits du SIMCA utilises
sont, par ordre dcroissant :
Gestion et mise jour du PCA (59 %),
Gestion et coordination de crise (37 %),
1. Continuity Central : Business Continuity Software Survey Results , 29 octobre 2004.

Bennasar.Livre Page 135 Mardi, 11. avril 2006 12:53 12

4.5 Les systmes dinformation du MCA (SIMCA)

135

Test du PCA (31 %),


Formation du personnel (26 %).

4.5.3 Quelques raisons pour mettre en place un SIMCA


Si le calcul du retour sur investissement pour la mise en place dune solution
SIMCA reste encore faire, il y a quelques bonnes raisons intuitives de le faire.
Parmi elles on citera :
Une meilleure matrise de la mise jour du PCA ;
Une scurisation et une optimisation des modes de raction lors de la
phase dactivation du plan ;
Une plus grande facilit simuler les crises ;
Une rduction potentielle des cots sur le maintien en conditions oprationnelles du plan.
La mise en uvre dune solution de type SIMCA devra faire lobjet dune
tude approfondie. Dans la plupart des cas, ce ne sera vraisemblablement pas
ncessaire mme si le confort apport est indniable. Il me semble que lutilisation
dun outil dj install, bien accept et permettant de mettre en place lessentiel
des fonctionnalits dun SIMCA (on aura reconnu la dfinition dun outil de
GED !) sera la bonne solution coup sr !

4.5.4 Critres de succs pour la mise en uvre dun SIMCA


Les caractristiques suivantes dun SIMCA seront tudies soigneusement lors
de la mise en place. Elles constituent des facteurs critiques de succs. Le systme
sera :
Cohrent : les rgles de gestion et de production des informations dans le
systme seront les mmes, quelles que soient les informations concernes ;
Incontournable : la production et la gestion des informations du PCA
devront passer par le SIMCA ;
Transparent : le statut des documents et informations du PCA sera
vident pour toutes les parties intresses ;
Rpandu : il devra tre dploy dans toute lentreprise et ouvert au plus
grand nombre en consultation ;
Restrictif : dans la mesure o il intgrera une gestion du statut des documents et empchera, en particulier, la consultation de ceux qui sont non
encore approuvs ou prims.

Bennasar.Livre Page 136 Mardi, 11. avril 2006 12:53 12

136 Chapitre 4. Panorama des solutions techniques de secours

4.5.5 Quelques outils


Outils de type 1 : SIMCA intgr1
Parad XP (XP Conseil)
XT Bora (IBM)
Paragon (Sungard)
ROGSI/DMS (ROG)
Risk Matrix (Arkfirst)
EnVisionBCM (SDPL Partnership)
Automata (Automata)
RecoverEASE (Global Magnitude)
Shadow Planner (Office Shadow)
AlarmPoint BCP (Invoq Systems)
LDPRS (Strohl Systems)
Oriel (M-Bryonic Solutions)

Outils de type 2 : SIMCA non intgr


outils classiques de GED et gestion de contenu (Documentum, LiveLink,
Docubase, Alchemy, Hummingbird...) ;
outils de gestion de projet et/ou de planning (MS project, PSN7, Genius,
mais aussi Outlook) ;
outils de cartographie des processus (MEGA, Aris, Adonis).

Outils de type 3 : gnrateur de modles


On consultera ce sujet les sites suivants2, entre autres, qui proposent des packages en ligne :
www.business-continuity-and-disaster-recovery-world.co.uk
www.businesscontinuityworld.com
1. Attention, ces solutions ne sont encore pas toutes distribues en France.
2. Une recherche simple sur Internet (mots-cls business continuity templates par exemple)
donne de nombreuses rponses du mme acabit. ma connaissance, aucune nexiste en franais
cependant.

Bennasar.Livre Page 137 Mardi, 11. avril 2006 12:53 12

4.6 La question des cots du secours

137

Le site amricain www.mwcog.org/security/security/continuity propose, dans


cette catgorie, un outil trs intressant. Destin aux PME/PMI, il propose,
gratuitement mais sous condition dinscription, un questionnaire en ligne qui
gnre automatiquement le PCA dune PME. Le travail prend entre deux et
quatre heures environ 1 et donne un rsultat plutt intressant mme sil est
ensuite traduire en franais et adapter pour exclure les aspects typiquement amricains.
1. Pour peu quon dispose des informations ncessaires, sinon, il est possible dinterrompre le
droulement et de le reprendre ultrieurement.

4.5.6 Le cot dun SIMCA intgr


Les solutions de type Parad ou XT Bora (parmi les plus diffuses en France) sont
proposes partir de 10 000 euros environ dans leurs versions de base.
Par ailleurs, le site www.recoveryplanner.com, un fournisseur de SIMCA sur
une technologie web, propose gratuitement un outil (forcment partial) de
calcul de ROI pour la mise en uvre dun SIMCA.

4.5.7 Une bonne adresse


Finalement, il existe un site web trs utile pour le choix dun SIMCA. Recovery
Management International (socit britannique) a mis en ligne une analyse des
principaux SIMCA disponibles en Europe ainsi quune grille dvaluation pour
le choix dun SIMCA. Le tout est consultable ladresse suivante :
http ://www.rmi-uk.co.uk/html/continuity_software.html

4.6

LA QUESTION DES COTS DU SECOURS


Autant la question du retour sur investissement est traite de faon thorique
dans le chapitre 2, autant ce paragraphe vise donner des estimations de cots
pour la mise en place dun PCA.
Il est peine ncessaire de prciser que les estimations donnes ci-aprs ne
constituent que des ordres de grandeur, des fourchettes larges mais dont lobjectif
est prcisment de fournir une premire ide une quipe qui cherche connatre
ce quoi lengage la mise en place dune dmarche MCA. On se souviendra
de ladage :
Un projet cote toujours plus cher et dure toujours plus longtemps que prvu.

Bennasar.Livre Page 138 Mardi, 11. avril 2006 12:53 12

138 Chapitre 4. Panorama des solutions techniques de secours

La question est : combien plus ? Dans le cas du MCA, tant de paramtres influent
sur lestimation financire quil est difficile de les citer tous mais les principaux
me semblent :
La taille de lentreprise ;
Lactivit de lentreprise ;
Le nombre de sites couvrir dans le PCA ;
La complexit, la taille et la criticit du systme dinformation ;
Les scnarios de sinistres retenus ;
Le type de stratgie de continuit adopte ;
La prsence ou non des pralables culturels dans lentreprise (voir paragraphe 2.2.2, Quelques pralables) ;
Le recours une aide extrieure, ltendue et la profondeur de laide.
On pourrait rver dune sorte dabaque (comme cela peut exister pour certaines
prestations daudit qualit par exemple) qui dfinisse des charges prvisionnelles
en fonction des paramtres dimensionnants. Dans notre cas cependant, ces
derniers ne se limitent pas un nombre de sites et une taille approximative de
socit.

4.6.1 Aspects financiers lis la mise en place


de la partie fonctionnelle dun plan de continuit dactivit
Cot de mise en place (estim en charge de travail)
Les estimations donnes ici sont faites en posant les hypothses suivantes :
Lentreprise est de taille moyenne : 1 000 employs sur trois sites.
Lentreprise est une entreprise industrielle classique avec les processus
classiques de la chane de valeur de Porter :
Support : achats, SI, RH, comptabilit/finances, maintenance
Pilotage : stratgie, qualit
Cur de mtier : production, logistique, SAV, commercial
Lactivit et lorganisation de lentreprise supposent quon a dix procdures
fonctionnelles dgrades dcrire.
La solution technique de secours ncessite la rdaction de cinq procdures
associes.
Le projet est confi un responsable de projet PCA qui pourra sy consacrer
environ 30 % et a reu son mandat directement de la direction.

Bennasar.Livre Page 139 Mardi, 11. avril 2006 12:53 12

4.6 La question des cots du secours

139

Lentreprise possde quelques avantages culturels : elle est certifie


ISO 9001-2000 (possde donc une cartographie dtaille de ses processus
et a une gestion saine de sa documentation), mne rgulirement des
audits de scurit de linformation (et tient jour un plan dactions scurit)
et engage la dmarche suite un incident grave de scurit (sensibilisation
et mobilisation du personnel importantes).
Le choix est fait davoir recours un consultant pour accompagner le projet.
Laccompagnement du consultant est lourd pour les phases 1, 2, 4 de la
mthodologie E=MCA. Exemples :
Prise en charge, animation, rdaction des livrables pour les phases 1
(AR, BIA surtout) et 2 (caractrisation des solutions de secours et prise
en charge de lorganisation de la consultation des entreprises),
Assistance la rdaction des procdures fonctionnelles dgrades (plan
de continuit doprations) : proposition de trames et modles de livrable,
runion de prsentation, relecture et enrichissement
Dveloppement du plan de continuit dactivit : organisation de crise,
alerte et dclenchement, modalits de maintenance et test
Laccompagnement du consultant est plus lger pour les phases 3, 5
et 6 de la mthodologie. Exemples :
Coaching du chef de projet technique pour la mise en place de la solution
technique de secours : revue de planning, mise en place du management des risques projet, assistance la mise en uvre des tests de la
solution
Assistance la rdaction des procdures techniques (plan de secours
informatique) : proposition de trames et modles de livrable, runion de
prsentation, relecture et enrichissement
Dfinition des supports de formation et de sensibilisation et animation
dune formation pilote,
Assistance la gestion du projet PCA auprs du responsable de projet
PCA...
La dure de mise en place de la solution technique de secours est de six
mois.
La dure totale du projet PCA est de 18 mois, aprs quoi, le rgime tabli
est atteint.
Prcisons nouveau que cette estimation vaut ordre de grandeur mais que des
lments tels la complexit des processus, le degr de dpendance vis--vis du SI,
la ractivit dans les prises de dcision, la facilit avoir accs aux interlocuteurs
peuvent notablement alourdir ou allger la charge.

Bennasar.Livre Page 140 Mardi, 11. avril 2006 12:53 12

140 Chapitre 4. Panorama des solutions techniques de secours

Tableau 4.3 Estimation des charges (en jour homme) de mise en place

Consultant

Responsable
projet PCA
(interne)

Autres
(interne)

Phase 1 : Connatre son activit

10-15 1

10

Phase 2 : Orienter la stratgie


de continuit dactivit

10-20

10-15

Phase 3 : Mettre en place le plan


de secours informatique

10-25

10-15

40-50

Phase 4 : Dvelopper le plan


de continuit doprations

15-20

10-15

25-30

Phase 5 : Assurer la conduite


du changement

5-10

20

40-50

15-20

55-95

60-70

125-145

Phase 6 : Piloter le MCA


TOTAL

1. Cette fourchette suppose que la ralisation du bilan dimpact sur lactivit se fait via un ou
plusieurs sminaires de travail avec les membres du comit de direction. Si lon procde par
entretiens individuels des mmes personnes, on aura compris que lestimation donne ici est
plutt faible.

On voit que cette solution qui propose un accompagnement par un consultant


relativise, en charge de travail, le rle du responsable PCA. Son rle est selon
tous les autres critres dterminants : il est le porte-parole du projet, louvreur de
portes du consultant, le facilitateur pour les mises en relation, etc.
On notera galement que lestimation est faite pour un projet PCA et non
pour un projet de type plan de reprise dactivit. Les charges et les rsultats ne
sont pas les mmes !
Il faut souligner que cette estimation se veut assez raliste et comptabilise, en
particulier pour la colonne Autres , des charges souvent masques (participation
aux runions, aux sminaires, aux formations, charges de relecture, etc.). Dans la
ralit du projet, elles ne seront pas vcues comme 125 145 jours de travail
mais plutt comme un lger surcrot de travail gnral, rparti sur une longue
priode et de nombreux intervenants.
Mme si elles requirent des comptences pousses en SI, les prestations de
conseil associes la mise en place dun PCA rentrent plus dans la catgorie
management et organisation que dans une catgorie technique. De ce fait, elles
entrent gnralement dans un cadre de prestations au forfait aux taux de facturation
journaliers habituels pour des prestations de conseil en management.

Bennasar.Livre Page 141 Mardi, 11. avril 2006 12:53 12

4.6 La question des cots du secours

141

Cots rcurrents (estim en charge de travail annuelle)


Tableau 4.4 Estimation des charges (en jour homme)

Tches

Responsable
projet PCA
(interne)

Autres
(interne)

Phase 1 : Connatre son activit

Ractualisation
annuelle du BIA
et de lAR

10

Phase 3 : Mettre en place le plan


de secours informatique

Ractualisation
annuelle du PSI
Test du PSI

15-20

20-30

10-15

20

30-40

10-15

65-80

60-80

Phase 4 : Dvelopper le plan


de continuit doprations

Mises jour

Phase 5 : Assurer la conduite


du changement

Formation
Communication
Sensibilisation
Tests
Contrle PCA

Phase 6 : Piloter le MCA

TOTAL

4.6.2 Ordres de grandeur financiers


pour la solution technique de secours (SI)
Les disparits sont tellement grandes et les paramtres dvaluation tellement
nombreux quil est illusoire de proposer une estimation, mme sur la base dune
fourchette. Je propose nanmoins dans le tableau 4.5 une grille gnrique
dvaluation du budget li la solution de secours retenue. Celle-ci ne tient
compte que des frais dinvestissements. Il conviendra dajouter les cots rcurrents : consommation lectrique, cots tlcoms, mise niveau des quipements
(serveurs, extension de disques, backup, etc.), licences, etc.
Par ailleurs, voici quelques points de repres pour aborder lvaluation financire :
Location dune salle blanche1 en rgion parisienne : de 130 euros 180 euros
mensuels le mtre carr, en fonction du niveau de scurisation (secours de
lalimentation, de la climatisation, etc.), de la surface loue et de la dure
dengagement. Il est noter quil ny a que peu de mtres carrs disponibles,
1. Comprend lalimentation lectrique, la climatisation et l espace .

Bennasar.Livre Page 142 Mardi, 11. avril 2006 12:53 12

142 Chapitre 4. Panorama des solutions techniques de secours

Tableau 4.5 valuation du budget de la solution de secours (investissement)


Prestations

Matriel

Logiciel +
licence

Frais
divers 1

Test

Fournitures

Type de salle
de secours

Blanche
Orange
Rouge
Miroir

Sauvegarde

Externe

Matriel
remplac

Mobile

SLA

Interne

Stockage
Utilisation

1. Frais de dplacements, dexpdition, etc.

moins de louer des surfaces importantes, sur une longue dure (les fournisseurs engagent alors une construction) ;
Pour l unit de base du secours : gros serveur Wintel pourvu dune baie
de disques avec capacit de rplication, environ 100 000 euros (hors cots
rseau) et environ 0,2 ETP (quivalent temps plein) pour les oprations
(maintenance, monte de version, etc.) ;
Pour une solution de secours mutualise de gros systmes :
1 000 MIPS1 et 3 To : de lordre de 150 000 euros par an ;
2 500 MIPS et 10 To : de lordre de 750 000 euros par an.
Solution de secours complte pour la rgion Europe dune entreprise industrielle du CAC 40 : 30 serveurs, 40 000 utilisateurs rpartis dans toute
lEurope, huit applications majeures et critiques reprises en 4 h : environ
deux millions deuros annuels (infrastructure et locaux, cots tlcoms,
matriels, entretien, consommation lectrique, personnel dexploitation,
etc.)

1. MIPS : Million Instructions Per Second

Bennasar.Livre Page 143 Mardi, 11. avril 2006 12:53 12

5
Considrations techniques
sur les solutions de secours

5.1

SAUVEGARDE, RESTAURATION ET DISPONIBILIT DES DONNES


Au chapitre 2, la stratgie de sauvegarde a t prsente comme une des quatre
pierres angulaires dun plan de continuit dactivit. On a vu la diffrence de
point de vue entre une sauvegarde dexploitation et une sauvegarde de recours.
Je propose de consacrer un paragraphe pour dfinir le contour technique dune
stratgie de sauvegarde et de restauration.
Ce paragraphe a t rdig en considrant principalement les sauvegardes de
recours1, cest--dire celles utiles pour faire face un sinistre majeur qui a, a
priori, dtruit la salle secourir. Dans ce contexte, la restauration prsente les
particularits suivantes :
Elle se fait sur un site distant.
Elle est, sinon complte, au moins trs tendue (par opposition la restauration dune sauvegarde dexploitation, trs partielle).
Elle se fait sur un environnement technique qui nest pas ncessairement
identique celui du site secouru (ce qui oriente fortement vers une technique de sauvegarde logique, non dpendante du hardware).

1. Par opposition aux sauvegardes dexploitation dont le but est de pallier les incidents courants
dexploitation.

Bennasar.Livre Page 144 Mardi, 11. avril 2006 12:53 12

144 Chapitre 5. Considrations techniques sur les solutions de secours

Seront prsents ici les principales mthodes de sauvegarde, quelques cas


particuliers et les technologies associes.

5.1.1 Mthodes de sauvegarde


Parmi les classifications possibles, on distingue gnralement quatre mthodes
de sauvegarde.
Sauvegarde complte La sauvegarde complte effectue une capture et
une copie exhaustive des donnes contenues sur un disque ou sur un rpertoire. Si elle prsente les garanties les plus fortes concernant lexhaustivit
des donnes copies, la sauvegarde complte prsente nanmoins deux
inconvnients majeurs : sa lenteur et son cot (par la capacit de stockage
quelle ncessite). Dans bien des cas, les donnes ne changent pas un rythme
qui ncessite une sauvegarde complte. On procde alors de prfrence via
une des mthodes suivantes.
Sauvegarde incrmentale Dans une sauvegarde incrmentale, on procde
la sauvegarde de tous les lments modifis (fichiers nouveaux ou modifis)
depuis la dernire sauvegarde, quel que soit son type. Plus efficace et moins
coteuse, la sauvegarde incrmentale prsente nanmoins linconvnient
de ncessiter la collecte dlments prsents sur plusieurs sauvegardes
distinctes afin de permettre une restauration, avec la perte de temps et la
multiplication des risques derreurs que cela induit. Ces limites en font une
mthode souvent carte des stratgies visant assurer le secours.
Sauvegarde diffrentielle Plus lente par nature que la sauvegarde incrmentale, la sauvegarde diffrentielle consiste sauvegarder tous les fichiers
modifis depuis la dernire sauvegarde complte1. La quantit dinformation
sauvegarde est ainsi plus grande que dans une sauvegarde incrmentale
mais la restauration est facilite et fiabilise par le fait que deux sources
seulement sont ncessaires : la dernire sauvegarde complte et la dernire
sauvegarde diffrentielle.
Journalisation Proche des concepts des deux mthodes prcdentes
(sauvegardes incrmentale et diffrentielle) mais appliques lintrieur
mme dun fichier, la journalisation consiste crer un journal de toutes
les modifications effectues sur le fichier. Cest une mthode de sauvegarde
gnralement applique sur les fichiers trs volumineux, comme les bases
de donnes de gestion par exemple. Dailleurs, les systmes de gestion de
bases de donnes (SGBD) possdent en gnral par dfaut des outils de
journalisation. La restauration est obtenue par remonte de la dernire
1. Aprs une sauvegarde complte, la premire sauvegarde incrmentale et la premire sauvegarde
diffrentielle sont ainsi identiques.

Bennasar.Livre Page 145 Mardi, 11. avril 2006 12:53 12

5.1 Sauvegarde, restauration et disponibilit des donnes

145

sauvegarde complte laquelle sont ensuite appliques toutes les mises


jour contenues dans le journal. On le voit, la qualit de la restauration
dpend essentiellement de la bonne synchronisation entre le dmarrage de
la journalisation et larrt de la dernire sauvegarde complte. Comme pour
les trois autres mthodes, les modalits de la journalisation (frquence,
tendue) seront fonction de la criticit des informations sauvegardes ainsi
que des contraintes qui psent sur la restauration.
En gnral, cest une combinaison des quatre mthodes qui sera la plus efficace, avec, par exemple : une sauvegarde complte intervalle rgulier quand la
contrainte temps nest pas dcisive (le week-end) et une sauvegarde diffrentielle
frquence quotidienne le reste du temps.

5.1.2 Cas particuliers de sauvegarde


Le primtre auquel les mthodes de sauvegarde sont appliques peut lui aussi
varier selon les besoins, les utilisations prvues (production ou recours) et la
criticit des informations et donnes sauvegardes. Ainsi les cas particuliers
suivants sont frquemment rencontrs :
Sauvegarde physique Le domaine vis prsente une unit de sens physique :
serveurs, baies de disques, lments matriels. Par nature, la sauvegarde
physique vise surtout la restauration sur lenvironnement de production
lors dincidents dexploitation (crash de disque ou de serveur par exemple)
puisquelle est, par nature, lie au matriel sur lequel elle est faite. Il sagit
donc dun type de sauvegarde peu adapt lors de la mise en place dun plan
de secours sur site distant.
Sauvegarde logique Le domaine sauvegard nest alors pas li une
contrainte matrielle ou physique mais un lment prsentant une unit
de sens logique (application, base de donnes). La sauvegarde logique
permet une restauration indpendante du matriel sur lequel elle est effectue.
Ce type de sauvegarde est ainsi bien adapt lors de la mise en place dun
plan de secours sur un site distant dont la configuration nest pas pleinement
connue (cas frquent).
Sauvegarde applicative Il sagit dun cas particulier de sauvegarde logique.
Lunit de sens logique est ici donne par le primtre dune application.
Cest ainsi lensemble des fichiers concourant la bonne marche dune
application qui est sauvegard (code applicatif, donnes, paramtrage, etc.).
La sauvegarde applicative est particulirement adapte pour les applications values comme critiques dans le BIA. Elle offre, dans ce cas, la
meilleure garantie de restauration effective (et efficiente puisquelle nest
pas parasite par le brassage dinformations extrieures lapplication !).

Bennasar.Livre Page 146 Mardi, 11. avril 2006 12:53 12

146 Chapitre 5. Considrations techniques sur les solutions de secours

Sauvegarde systmes Cest un cas particulier de sauvegarde physique


appliqu un systme dexploitation en vue de le restaurer rapidement.

5.1.3 Technologies de sauvegarde


et architecture de haute disponibilit des donnes
Des techniques les plus classiques (bandes magntiques) aux techniques les plus
modernes (sauvegardes en ligne, virtualisation), les technologies de sauvegardes
permettent de rpondre des besoins varis de disponibilit de linformation. La
figure 5.1 les classe par disponibilit croissante.

Figure 5.1 Solutions de sauvegarde et disponibilit

La duplication sur bandes/cartouches1( backup )


Cette technologie, qui est la plus classique, permet surtout la sauvegarde rgulire des donnes pour disposer dune image fiable de laquelle repartir en cas de
sinistre. Il sagit des solutions dans les technologies DAT, DDS, AIT, Travan,
VXA, SLR, DLT pour les petits volumes et S-AIT, SDLT ou LTO pour les volumes
plus importants. Cette solution peut avoir quelques applications locales (postes
de travail quips), surtout pour les petits volumes de donnes mais concerne
surtout les sauvegardes centralises, au moyen de robots et dautomates. La dure
de vie de ces supports magntiques ne se prte pas larchivage lgal long
terme (de type comptabilit informatise) car au-del de quelques annes, la
fiabilit nest pas assure (usure par frottements mcaniques en particulier). Les
sauvegardes sur bande proposent nanmoins un rapport cot/capacit plus intressant que celles sur disques et, dans la mesure o lon accepte le renouvellement
rgulier des supports, constituent une solution intressante sur le long terme.

1. Voir Dcision Informatique : Sauvegarde sur bandes : superlecteur ou automate ? , C. Grosjean,


02/02/2005.

Bennasar.Livre Page 147 Mardi, 11. avril 2006 12:53 12

5.1 Sauvegarde, restauration et disponibilit des donnes

147

La duplication sur disques1


La duplication se fait cette fois sur des disques en rseau, soit par le partage de ces
disques entre des utilisateurs et la copie rgulire de donnes, soit par le pilotage
programm de sauvegardes via un outil ddi. Les disques permettent par ailleurs
de meilleures performances en archivage (en raison de la fiabilit des supports
dans le temps) et en rapidit dcriture et de restauration. Cette rapidit permet
dallonger de faon non ngligeable les fentres de sauvegarde (plages horaires).
Et comme le rapport cot/capacit sest nettement amlior dans les dernires
annes, les sauvegardes sur disque proposent une alternative de plus en plus
attractive aux technologies bandes/cartouches. Ces derniers progrs montrent
clairement la voie dune solution de sauvegarde optimise en cot, en capacit et
en performance, fonde sur une architecture deux niveaux : bandes/cartouches
pour larchivage, disques pour la performance, utilisant chacune des technologies
dans son domaine dexcellence pour un cot matris. Lavenir, sil confirme la
baisse des cots sur les technologies disque, penchera peut-tre pour une extinction
des technologies bandes/cartouches.

La sauvegarde en ligne
De plus en plus rpandue, la technologie de sauvegarde sur Internet prsente un
rapport cot/capacit excellent, ne demande pas de comptences internes sur les
systmes de sauvegarde courants et permet une diminution de la charge de travail
non ngligeable. Elle propose en outre un gain de place (elle vite les montagnes de
bandes et lautomate qui occupe une salle entire) et prsente des garanties satisfaisantes en matire de scurit et de services de remonte de sauvegardes. Les principaux freins lis cette technologie sont la limitation de performance due lInternet
(dbit) et le pas psychologique franchir pour confier ses donnes un tiers.
Bien quelles permettent une restauration depuis la dernire sauvegarde, ces
trois technologies ne permettent pas la restauration des donnes modifies
postrieurement. Les technologies qui suivent permettent de combler cette
lacune en assurant une disponibilit leve des donnes sur les architectures de
production ou des architectures ddies.

RAID (Redundant Array of Inexpensive Disks2)


Lobjectif de la technologie RAID est daccrotre la tolrance la panne et de
diminuer le temps moyen entre dfaillances (MTBF 3), accroissant ainsi la
disponibilit de linformation. RAID utilise pour cela une redondance dans les
1. Voir ZDNet.fr : Sauvegarde sur disque : une approche complmentaire de la bande , T. LvyAbgnoli, 01/12/2004.
2. Il existe galement une version avec Independent pour le I de RAID mais je donne ici la
version originale des chercheurs de Berkeley qui ont baptis le concept (1987).
3. Mean Time Between Failures.

Bennasar.Livre Page 148 Mardi, 11. avril 2006 12:53 12

148 Chapitre 5. Considrations techniques sur les solutions de secours

disques qui stockent linformation1 et trois techniques : le mirroring (les mmes


informations sont crites simultanment sur plusieurs disques), la parit 2 (qui
permet de sassurer de la protection de linformation sans avoir la dupliquer sur
plusieurs disques) et le striping (un lment dinformation est scind en plusieurs
blocs qui sont distribus sur plusieurs disques). Classiquement, on distingue six
niveaux de RAID aujourdhui (voir tableau 5.1, Les niveaux de RAID) mais les
niveaux 1 et 5 sont les plus utiliss. Parler de niveau de RAID peut prter
confusion dans la mesure o il ne sagit pas dune gradation croissante dans les
performances et bnfices. Il y a des cas o un RAID-1 sera largement prfrable
un RAID-4. Le choix dun niveau devra tre fait selon les enjeux et les bnfices attendus, toujours avec lassistance dun expert. Par ailleurs, des volutions
rcentes ont donn naissance dautres niveaux (pas tous dtaills ici : RAID1+0 ou RAID-10, RAID-5+0, RAID-53, RAID-0+1, RAID-6, RAID-n).
Tableau 5.1 Les niveaux de RAID
Niveau

Technique

Avantages/Inconvnients

RAID-0

Striping

Performance daccs linformation (criture et lecture)


Facilit de mise en uvre
Information non redonde
Parfaitement inadapt lutilisation en solution de continuit
dactivit

RAID-1

Mirroring

Simple
Information redonde compltement
Perte de 50 % de la capacit de stockage cause de la technique
employe et donc onreux
Bien adapt une utilisation haute disponibilit

RAID-2

Striping
au niveau bit

Vitesse de transfert dinformation exceptionnelle


Difficile mettre en uvre et trs cher
Peu usit (pas dapplication commerciale connue)

RAID-3

Striping
au niveau bit
plus parit

Efficace pour les applications qui grent des fichiers volumineux


(en raison de la technique du striping) : vido, streaming, gestion
dimage, etc.
Trs haut dbit de transfert dinformation

1. Hormis pour le niveau 0 (RAID-0), qui devrait plutt sappeler AID-0.


2. Le principe est simple mais on se rfrera la littrature spcialise pour les dtails : supposons
que je dispose de N donnes et que ces N donnes me permettent de calculer une (N+1)e
donne. Je stocke les (N+1) donnes sur (N+1) disques. Si lun quelconque des disques est
dtruit, mon mode de calcul de la (N+1)e donne me permet de reconstituer les N donnes
dorigine, quelle que soit la donne perdue. En pratique, le mode de calcul de la (N+1)e donne
fait essentiellement appel aux proprits de loprateur logique XOR.

Bennasar.Livre Page 149 Mardi, 11. avril 2006 12:53 12

5.1 Sauvegarde, restauration et disponibilit des donnes

149

Tableau 5.1 Les niveaux de RAID (suite)


Niveau

Technique

Avantages/Inconvnients

RAID-3

Striping
au niveau bit
plus parit

Les donnes de parit ne sont prsentes que sur un seul disque


ce qui limite la performance et rend laborieuse la restauration
en cas de crash dun disque.
Peu adapt aux applications en continuit dactivit.

RAID-4

Striping au niveau
de blocs dinformation plus parit

Idem RAID-3 mais :


La taille des blocs peut tre paramtre pour permettre
de sadapter aux besoins dapplications spcifiques.
Peu adapt aux applications en continuit dactivit.

RAID-5

Striping au niveau
de blocs dinformation plus parit
distribue

La distribution des donnes de parit permet au RAID-5 de


saffranchir de linconvnient principal des RAID-3 et RAID-4
(donnes de parit sur un seul disque) : les donnes de parit
du RAID-5 sont ainsi distribues sur tous les disques.
Lavantage du striping au niveau bloc est galement prsent
(paramtrage possible de la taille des blocs pour ladapter aux
besoins des applications).
En comparaison du RAID-1, la restauration en cas de crash
dun disque est plus longue et plus difficile.
Utilisation possible pour la continuit dactivit
mais moins efficace que RAID-1 (moyenne disponibilit).

RAID-1+0
(ou RAID-10)

Superposition
des techniques
RAID-1 (mirroring
de disques)
et RAID-0 (striping)

Cumule les avantages des deux niveaux (0 et 1) :


Haute disponibilit (grce au miroir)
Haute performance (grce au striping)
En revanche cher (4 disques minimum)
Trs adapt une utilisation en continuit dactivit
Attention : ne pas confondre RAID-1+0 avec RAID-0+1
(qui applique les deux niveaux dans lordre inverse) qui nest pas
du tout adapt la continuit dactivit.

La rpartition de charge (load balancing)


La rpartition de charge permet de distribuer dynamiquement le trafic dinformations entre plusieurs serveurs (peru comme un seul serveur de lextrieur) sur
lesquels tourne la mme application. Le rpartiteur de charge distribue les flux
dinformation en calculant les meilleurs chemins rseaux afin daccrotre les performances et la disponibilit. Le groupe de serveurs qui reoit le trafic peut tre
physiquement dispers entre diffrents sites, permettant lapplication de continuer
fonctionner mme sil ne reste plus quun site oprationnel. Dans ce cas, les
applications de cette technique au management de la continuit dactivit
deviennent videntes (sites Internet notamment).

Bennasar.Livre Page 150 Mardi, 11. avril 2006 12:53 12

150 Chapitre 5. Considrations techniques sur les solutions de secours

La sauvegarde distance (electronic vaulting)


La sauvegarde distance consiste raliser des sauvegardes sur un support
distant ( coffre-fort lectronique ), gnralement sur le site de secours pour
permettre une ractivit plus grande en cas de sinistre. Cette technologie prsente
tous les avantages de la sauvegarde en ligne (elle en est un cas particulier). On
parle galement de tlsauvegarde.

La journalisation distante (remote journaling)


La journalisation distante seffectue lorsque les changements apports sur un serveur
sont transmis automatiquement entre chaque sauvegarde classique sur un site
distant, pour reconstituer, au fil de leau, un systme au plus proche du systme
secourir. Ces techniques ncessitent, par nature, un site distant de secours (interne
ou externe). Cest, techniquement, une volution sur le thme dj abord de la
sauvegarde en ligne. Plus la journalisation est frquente, plus le systme restaur
est proche du systme avant sinistre.

La rplication asynchrone (shadowing)


La technique utilise la copie entre disques pour rpliquer toute modification
apporte au serveur nominal (serveur protger) sur le serveur rpliqu (serveur
de secours). Les mises jour du serveur rpliqu ne se font pas en temps rel
(comme dans la rplication synchrone) mais par lots. La gestion par lots vite la
dgradation des performances sur le serveur nominal. Les RTO (Recovery Time
Objective ou dlai de reprise) et RPO (Recovery Point Objective ou degr de fraicheur des donnes) dune telle technique sont en revanche plus faibles que dans
la rplication synchrone. On citera pour exemple le logiciel VVR (Veritas).

La rplication synchrone (mirroring)


Cette technique est analogue la rplication asynchrone mais seffectue en
temps rel, chaque modification opre sur le serveur nominal tant rpercute
instantanment (en parallle) sur le serveur rpliqu. Le caractre temps rel de
lopration ncessite une bande passante importante ainsi que des distances relativement faibles entre les deux serveurs (infrieures 50 km en gnral). Ce que
lon perd en performances sur le serveur nominal est alors compens par une
amlioration significative des RTO et RPO. On citera la suite de produits
SRDF1 dEMC2 (sur canaux DWDM2 ou via des liens de type SDH3).

1. Symmetrix Remote Data Facility.


2. DWDM (Dense Wavelength Division Multiplexing) : liaisons optiques haut dbit.
3. SDH : premier niveau des sept couches du modle OSI.

Bennasar.Livre Page 151 Mardi, 11. avril 2006 12:53 12

5.1 Sauvegarde, restauration et disponibilit des donnes

151

La virtualisation1 :
Au sens informatique premier, on appelle virtualisation, lensemble des technologies matrielles et/ou logicielles qui permettent de faire fonctionner plusieurs
systmes dexploitation et/ou plusieurs applications sur une mme machine,
sparment les uns des autres, comme sils fonctionnaient sur des machines
physiques distinctes. 2
Dans le cas qui nous intresse (sauvegarde et disponibilit des donnes), la
virtualisation consiste en la mise en commun logique dlments de stockage
qui taient indpendants lorigine (diffrentes baies de stockage par exemple).
On peut rassembler dans un stockage virtuel des lments dissemblables (DAS,
NAS, SAN)3, provenant de constructeurs diffrents et utilisant des protocoles
de gestion fichiers diffrents 4.
Les principales technologies de virtualisation qui ont une utilisation en architecture de haute disponibilit sont les architectures de stockage en rseau (par
opposition lattachement direct de type DAS) principalement reprsentes par
les NAS et SAN.
Dans le cas du NAS, le rseau dont on parle est le rseau IP (de type Ethernet)
qui permet de mutualiser les donnes stockes sur les serveurs de fichiers relis
entre eux par le LAN (Local Access Network) de lentreprise. Dans celui du
SAN, il nest pas question dinfrastructure IP. Ce que la notion recouvre en fait
savoir la mise en relation de serveurs avec des baies de disques qui stockent des
donnes routes et hirarchises via des commutateurs est un rseau physique,
le plus souvent constitu par des cbles en fibre optique (Fiber Channel).
Si les possibilits offertes par le SAN sont nettement suprieures celles du
NAS, le cot induit est aussi plus lev. Autre avantage du SAN : il assure la
redondance du stockage (cest--dire laccessibilit au systme de stockage en cas
de panne de lun de ses lments) en doublant au minimum chacun des lments
du systme : les lments critiques des serveurs (cartes), les commutateurs et
lcriture des donnes sur les disques. Le NAS, lui, ne permet pas cette fonction
vitale pour certaines applications (banques, assurances, sites de commerce lectronique, etc.)
Le tableau 5.2 propose un aperu des principaux avantages et inconvnients
des techniques prsentes, ainsi quun avis sur lapplicabilit de chaque technique
au management de la continuit dactivit.
1. Daprs M. Lemesle, JDNet, Stockage : San, Nas, iSCSI, iFCP, FCIP, Infiniband, etc. : trouvez
vos marques ! , 15 janvier 2002.
2. Source : Wikipdia.
3. DAS : Direct Attached System ; NAS : Network Attached Storage ; SAN : Storage Area Network.
4. Source : guideinformatique.com

Voir le tableau 5.1


Site distant requis
Lamlioration du RPO nest pas acquise.
Elle dpend des paramtres de la sauvegarde
distante (frquence en particulier)
Risque de perte de donnes non ngligeable
Site distant requis
Paramtrage et administration ncessitant
des comptences pointues
RTO et RPO dpendent entirement de
la frquence de rplication
Quelques risques mineurs de perte de donnes
Solution onreuse
Dgradation des performances sur le serveur
nominal
Technologie sensible aux temps de latence
rseau et aux coupures des rseaux tlcoms
Les distances entre serveurs nominal et rpliqu doivent tre courtes (environ 50 km)
Selon la technologie employe, limitation
dans les distances physiques entre
les matriels

Voir le tableau 5.1

RTO amlior par rapport aux techniques classiques


Solution relativement conomique
Par rapport aux techniques classiques, pas de transfert
des supports physiques

RTO et RPO amlior par rapport aux techniques


classiques

Permet la rpartition sur plusieurs serveurs, y compris


sur plusieurs sites
Permet la continuit tant quil reste un site oprationnel

La distance entre serveur nominal et serveur rpliqu


peut tre grande
Adapt IP
Les performances sur le serveur nominal sont bonnes

RTO et RPO trs bas


Prservation de lintgrit des donnes

Adaptation aise de la capacit de stockage et modification de larchitecture sans arrt de la production


Trs haute disponibilit

RAID

Journalisation
distante

Rpartition
de charges

Rplication
asynchrone

Virtualisation

Rplication
synchrone

Sauvegarde
distance
(tlsauvegarde)

Disponibilit faible

Inconvnients

Simple
Matriel peu onreux

Avantages

Sauvegarde
classique

Technique

Application possible en haute


disponibilit

Application possible en haute disponibilit mais attention : le site de


secours ne peut pas tre trs loign
du site nominal (mme rgion)

Application possible en moyenne


disponibilit (pas en haute disponibilit)

Application possible en haute disponibilit si larchitecture est prvue


pour (site distant impratif)

Application possible en moyenne


disponibilit

Application possible en moyenne


disponibilit mais surtout en faible
disponibilit

Voir le tableau 5.1

Pour une stratgie de MCA oriente


vers la faible disponibilit

Application MCA

Tableau 5.2 Comparaison des solutions techniques de sauvegarde et disponibilit

Bennasar.Livre Page 152 Mardi, 11. avril 2006 12:53 12

152 Chapitre 5. Considrations techniques sur les solutions de secours

Bennasar.Livre Page 153 Mardi, 11. avril 2006 12:53 12

5.1 Sauvegarde, restauration et disponibilit des donnes

153

On laura compris, en raison de leur sensibilit la distance entre site nominal et site de secours, les solutions de haute disponibilit ne proposent pas un
secours efficace contre les sinistres dchelle rgionale. Si le RTO retenu dans le
bilan dimpact sur lactivit1 impose la haute disponibilit et si la cartographie
des scnarios de sinistres2 retient des scnarios de sinistre de cette chelle,
lentreprise devra alors envisager une solution de secours hybride, qui pourrait
tre construite ainsi :
Une solution de type haute disponibilit (rplication synchrone en gnral)
sur un site proche.
Une solution de type moyenne ou faible disponibilit (sauvegarde
distance, journalisation distante, ou rplication asynchrone en gnral)
sur un site loign (plusieurs centaines de kilomtres) afin de se protger
des sinistres dampleur rgionale.
Les cots engendrs par une telle solution seront bien entendu un facteur
limitant, de mme que la complexit de mise en uvre, de mise en cohrence et
dadministration.

5.1.4 Critres de choix des solutions de sauvegarde


Les choix de solutions de secours dans ce domaine devraient sappuyer sur une
tude approfondie des lments suivants :
La capacit de stockage ;
La compatibilit technique avec le(s) systme(s) et les configurations
existants ;
Les contraintes rglementaires darchivage : ainsi, pour garantir le caractre probant des donnes enregistres en sauvegarde (non modifies aprs
criture), on pourra par exemple utiliser des mdias WORM (Write Once
Read Many) ;
La dure de vie du support de sauvegarde, qui dfinit la fiabilit de la
sauvegarde une chance plus ou moins loigne ;
Le temps de restauration des donnes : suivant les solutions techniques,
celles-ci varient du tout au tout ; il convient donc de sassurer que les
restaurations prvues avec les technologies envisages atteignent les
objectifs de secours (RTO en particulier) ;
Les solutions applicatives associes la solution de secours (complexit,
assistance extrieure requise, formation ncessaire, etc.)
1. Phase 1, tape 1.C de la mthodologie E=MCA.
2. Phase 1, tape 1.B de la mthodologie E=MCA.

Bennasar.Livre Page 154 Mardi, 11. avril 2006 12:53 12

154 Chapitre 5. Considrations techniques sur les solutions de secours

5.2

CONSIDRATIONS TECHNIQUES SUR LES COMPOSANTS CRITIQUES


DU SI: STRATGIES DE SECOURS1
Au moment de planifier le secours des diffrents lments du SI, deux aspects du
secours devraient tre abords pour chaque lment :
Les stratgies de prvention et de secours : qui reprsentent les analyses,
considrations techniques pralables et les prrequis visant la prvention
et loptimisation des secours en cas de sinistre ;
Les solutions de secours : qui constituent les rponses techniques et le
moyen de mettre en uvre les stratgies de secours.
Nous prsentons ces deux aspects pour les principaux lments du SI. Par
ailleurs, les stratgies de prvention et de secours communes tous les lments
ont t factorises ci-aprs.

Stratgies gnriques de prvention et de secours


Note importante De faon gnrale, toutes les solutions de secours devraient
tre penses en tenant compte des points suivants :
Documentation des configurations et des fournisseurs : une documentation soigneuse des configurations (postes, serveurs, rseau, tlcoms, etc.)
facilite la reprise et optimise les dlais associs. La tenue jour dinventaires
associs est galement fortement recommande. Les informations concernant les fournisseurs usuels (et sans doute quelques fournisseurs de secours
potentiels !) devraient tre documentes.
Maintien en cohrence des pratiques avec la politique de scurit de
linformation : afin de prserver le patrimoine informationnel de lentreprise, les solutions de secours retenues devront tre compatibles avec les
exigences dfinies dans la politique de scurit de lentreprise (gestion des
droits, scurit rseaux, etc.). Dans le cas contraire, la mise en uvre de la
solution de secours ne ferait quouvrir des brches dans la scurit, potentiellement prjudiciables lentreprise. Un fonctionnement mme dgrad
ne devrait pas ouvrir la porte une faille de scurit.
Prise en compte des conclusions du BIA : la mise en uvre de la solution de
secours doit tenir compte des priorits dcouvertes lors de ltape de BIA.

1. On se rfrera ce sujet, entre autres, la publication du National Institute of Standards and


Technology (NIST) : SP 800-34 : Contingency Planning Guide for Information Technology Systems, juin 2002, dont sont inspires les considrations donnes ici.

Bennasar.Livre Page 155 Mardi, 11. avril 2006 12:53 12

5.2 Considrations techniques sur les composants critiques du SI

155

5.2.1 Serveurs
Les serveurs constituent lunit de base de la chane du systme dinformation.
Les considrations prsentes ci-dessous sappliquent gnriquement pour la
plupart des types de serveur. On adaptera cependant les choix selon que lon
travaille en environnement trs centralis (type mainframe) ou au contraire en
environnement de type systme distribu (type clients/serveurs).

Stratgies de prvention et de secours


Outre les stratgies gnriques, les stratgies de prvention et de secours concernant les serveurs devraient tenir compte des critres de scurit (confidentialit,
intgrit, disponibilit) des donnes concernes. Dans cette optique, les points
suivants devront tre considrs :
Stockage externalis des sauvegardes : les sauvegardes devraient tre
stockes dans un site externe, dans des conditions propices assurer leur
prservation (environnement matris) et leur restauration efficace (tests
rguliers dchantillons).
Harmonisation du parc de machines : un parc homogne de serveurs
donne lassurance dune gestion plus efficace du secours en cas de sinistre.
Plus un serveur est jug critique et plus sa configuration devrait tre standard
afin de limiter les dlais de customisation . La standardisation devrait
concerner le trio matriel/logiciel/priphriques et faire lobjet dune
documentation dans les procdures du plan de secours technique.
Protection physique du parc : la stratgie de prvention qui concerne les
serveurs doit tre particulirement soigne et est principalement couverte
par les mesures de contrle de lenvironnement de la salle machines. En
particulier, des protections doivent tre en place contre :
le risque lectrique (rupture dalimentation et microcoupures) ;
le risque incendie (systme de dtection et dextinction) ;
le risque dgts des eaux (planchers techniques, capteurs dhumidit, etc.) ;
le risque de surchauffe (climatisation et contrle de la temprature).
Isolement des fonctions critiques : pour faciliter la reprise rapide, il est en
gnral conseill disoler les fonctions critiques dun systme dinformation
sur des serveurs ddis. La colocation de fonctions sensibles est une entrave
lefficacit de la reprise.

Solutions de secours
Pour les solutions de secours des serveurs, on se rfrera intgralement au paragraphe 5.1, Sauvegarde, restauration.

Bennasar.Livre Page 156 Mardi, 11. avril 2006 12:53 12

156 Chapitre 5. Considrations techniques sur les solutions de secours

5.2.2 Rseau local


Les rseaux locaux que lon rencontre aujourdhui dans les entreprises ont gnralement une topologie hybride, compose dune combinaison des schmas unitaires
classiques : toile, bus, anneau, arbre Dans un rseau local, on appelle :
Peer-to-peer : une architecture dans laquelle chaque nud a des capacits
et responsabilits quivalentes.
Client/serveur : une architecture dans laquelle chaque nud est soit un
client, soit un serveur ; dans ce dernier cas, il met disposition des ressources
utilises par un groupe de clients.

Stratgies de prvention et de secours


Outre les stratgies gnriques, on considrera le point suivant :
Documentation du rseau local : au-del des documents dcrivant les
configurations des matriels lis au rseau local (switchs, hubs), des schmas physique et logique du rseau local devraient tre maintenus jour.
Le diagramme physique devrait reprsenter limplantation du rseau dans
un plan de masse du ou des sites. Lidentification du cblage devrait tre
galement reprsente. Pour le schma logique, un outil dadministration
rseau peut aider considrablement.
Mise en place doutils de supervision du rseau local : des outils de
supervision bien implments et administrs (fonctions push) permettent
de diagnostiquer rapidement des pannes et damliorer les dlais de raction
aux incidents.

Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Rseau local sans fil (Wireless LAN ou WLAN) : une solution sans fil
peut tre une excellente solution de secours une dfaillance du LAN. Si
la facilit de mise en uvre de cette solution est dmontre, elle ne doit
pas faire oublier les difficults scuriser ce type de rseau (un cryptage
robuste est incontournable).
Redondance des infrastructures : la redondance dlments critiques de
linfrastructure LAN peut permettre une solution de secours en mode
dgrad. Il faudra alors faire preuve de discernement et de bon sens dans le
choix de linfrastructure redonde : le rle et la criticit des routeurs, des
switchs, des hubs et du cblage devraient alors tre analyss et donner lieu
la mise en place dune infrastructure redonde adapte.

Bennasar.Livre Page 157 Mardi, 11. avril 2006 12:53 12

5.2 Considrations techniques sur les composants critiques du SI

157

Utilisation des accs distants : cest une solution de secours naturelle


quand elle est dj en place avant le sinistre. Elle permet laccs au rseau
local en court-circuitant nombre des lments classiques (cblage en
particulier) souvent mis en dfaut en cas de sinistre. Elle peut tre mise en
uvre par diverses technologies (technologie RAS sur accs RTC trs
faible sur le plan de la protection daccs ou solutions VPN-IP). L
encore, des prcautions seront ncessaires pour lauthentification : solutions One-Time Password (OTP) comme les SmartCards ou SecurID.

5.2.3 Rseau WAN


Un rseau WAN est un rseau de donnes qui comprend plusieurs rseaux LAN
gographiquement disperss. Les liens de communication dun rseau WAN
permettent aux LAN dinteragir. Parmi ces liens de communication, on trouve
de nombreuses technologies (rseau commut, ISDN, T-1, T-3, frame relay,
ATM, SONET, sans fil, VPN, etc.).
Si 49 % des entreprises interroges citent spontanment les catastrophes
naturelles et le risque terroriste parmi les plus grandes menaces, elles ne sont que
2 % citer le risque de dfaillance tlcoms dans la mme catgorie 1 ! Et quand
47 % dentre elles disposent de sauvegardes externalises (et 33 % de serveurs
redondants), seulement 12 % peuvent se targuer dune redondance des accs
tlcoms.
Cette insouciance vis--vis des dfaillances tlcoms est sans doute imputer
la fausse scurit quinspire le recours systmatique des fournisseurs daccs
tlcoms : on se sent en gnral plus inquiet de ce qui est directement de notre
responsabilit et moins de ce que lon achte !

Stratgies de prvention et de secours


Outre les stratgies gnriques, on considrera le point suivant :
Documentation du rseau WAN : au-del des documents dcrivant les
configurations des matriels lis au rseau WAN (routeurs, pare-feu,
lignes spcialises), un schma darchitecture du rseau WAN devrait
tre maintenu jour, y compris les plans dadressage IP.
Contractualisation par convention de service (SLA2) : la mise en place
dune convention de service avec les fournisseurs scurise le service et les
garanties des fournisseurs. Les modalits dintervention (dlai dintervention, dlai de rsolution, engagements de service sur incident) doivent
tre claires et ngocies.
1. Business Continuity Research, 2005, Perceived biggest threats in the coming year , BCI.
2. Service Level Agreement.

Bennasar.Livre Page 158 Mardi, 11. avril 2006 12:53 12

158 Chapitre 5. Considrations techniques sur les solutions de secours

Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Redondance des lignes de communication : les lignes redondantes devraient
tre du mme type que les lignes secourir, moins quun secours dgrad
soit accept. Une attention particulire devrait tre porte la sparation
physique des liens secourus pour sassurer quun mme sinistre ne dtruit
pas les redondances en mme temps que les lignes nominales.
Redondance des fournisseurs daccs aux rseaux : pour atteindre la
haute disponibilit, le point prcdent (redondance des lignes de communication) devrait tre mis en uvre par des fournisseurs distincts, en
sassurant que les fournisseurs choisis nutilisent en aucun point les mmes
infrastructures.
Redondance des matriels daccs au rseau : linterface avec le rseau
interne (LAN), les matriels (routeur, pare-feu et switchs principalement)
peuvent tre redonds. Cette approche assure, dune part une meilleure
tolrance la dfaillance dun composant, dautre part, la possibilit de
mettre en uvre une rpartition de charge sur le rseau.
Solution de secours chez les fournisseurs daccs : la prsence dune architecture de secours chez les fournisseurs daccs augmente la robustesse du
rseau WAN.

5.2.4 Sites web


Stratgies de prvention et de secours
Outre les stratgies gnriques, on considrera les points suivants :
Traiter le site web selon les mmes standards que les autres applications :
en particulier en termes de documentation du matriel et du logiciel, mais
aussi de stratgie de tests ;
Prcautions dans la programmation : le codage des adresses IP, des noms
de domaines et de rpertoires ne devrait pas tre en dur dans le code
afin de permettre un transfert ais sur un site de secours o ces paramtres
pourraient changer ;
Prise en compte de larchitecture web ds la conception : larchitecture
web propose une vitrine visible depuis lInternet (Interface homme
machine ou IHM) et le contenu de la vitrine, souvent prsent sur le
systme dinformation classique de lentreprise (bases de donnes, serveurs
dapplication). La dpendance entre la vitrine (front-office) et son contenu
(back-office) doit tre prise en compte ds les spcifications pour construire
une solution de secours qui traverse front et back-office.

Bennasar.Livre Page 159 Mardi, 11. avril 2006 12:53 12

5.3 Considrations techniques sur les outils et moyens priphriques

159

Solutions de secours
La solution de secours suivante pourra tre considre :
Rpartition de charge (load balancing) : cette solution permet de rpartir
le trafic Internet sur un cluster de serveurs (vu comme un seul serveur pour
linternaute) en temps normal et de basculer sur un seul serveur si lautre
est dfaillant. La rpartition de charge sur un site web est gnralement mise
en uvre par la technologie DNS/BIND ou au moyen dun Reverse Proxy.

5.3

CONSIDRATIONS TECHNIQUES SUR LES OUTILS


ET MOYENS PRIPHRIQUES

5.3.1 Postes et stations de travail


Stratgies de prvention et de secours
Outre les stratgies gnriques, les stratgies de prvention et de secours concernant
les postes et stations de travail devraient tenir compte des critres de scurit
(confidentialit, intgrit, disponibilit) des donnes concernes. Dans cette
optique, les points suivants devraient tre considrs :
Stockage externalis des sauvegardes : comme pour les serveurs, les
sauvegardes des donnes de postes de travail devraient tre centralises et
stockes dans un site externe, dans des conditions propices assurer leur
prservation (environnement matris) et leur restauration efficace (tests
rguliers dchantillons). Si la sauvegarde nest pas centralise via le rseau,
des moyens devraient tre mis disposition des utilisateurs pour assurer
nanmoins lexternalisation des sauvegardes (ramassage rgulier des supports
de sauvegardes en vue dune externalisation par exemple).
Mise en place de sauvegarde PC automatise depuis le rseau : cette
pratique devrait tre privilgie par rapport la sauvegarde individuelle
dans la mesure o son fonctionnement centralis garantit un contrle
bien meilleur de la stratgie de sauvegarde des postes.
Sensibilisation des utilisateurs la responsabilit deffectuer des sauvegardes personnelles : si la mesure prcdente nest pas en place, une
sensibilisation des utilisateurs doit tre faite en vue de les informer clairement quant leur responsabilit individuelle concernant les sauvegardes
personnelles.
Information des utilisateurs sur les moyens et bonnes pratiques concernant les sauvegardes personnelles : la mise en place dune procdure de
sauvegarde personnelle (moyens, responsabilits, modalits, etc.) facilitera

Bennasar.Livre Page 160 Mardi, 11. avril 2006 12:53 12

160 Chapitre 5. Considrations techniques sur les solutions de secours

grandement la tche des utilisateurs et des informaticiens dans le cadre de


la restauration en cas de dclenchement du PCA.
Harmonisation du parc de machines : un parc homogne de machines
donne lassurance dune gestion plus efficace du secours en cas de sinistre.
Plus un poste de travail est jug critique et plus sa configuration devrait
tre standard afin de limiter les dlais de customisation .

Solutions de secours
Lessentiel des solutions de secours concernant les postes de travail rside dans
les solutions de sauvegarde. Seront principalement dcrits ici les moyens techniques envisager pour la sauvegarde des postes de travail. On se rfrera au paragraphe ddi, 5.1 Sauvegarde, restauration, pour des considrations plus gnrales
sur les sauvegardes. Les solutions incluent :
Les disquettes : solution quelque peu tombe en dsutude en raison de sa
faible capacit, de sa lenteur et de la disparition progressive des lecteurs de
disquette des configurations standard de postes.
Les disques amovibles : il sagit des priphriques (solution locale) grant
les cartouches de type Jaz ou Zip : plus vraiment dactualit non plus en
raison dun format spcifique et de la gnralisation des lecteurs CD/DVD
sur les postes.
Les CD et DVD : beaucoup plus rpandus en raison de la capacit de
stockage intressante, de la rapidit de gravage et daccs linformation ; la
dure de vie de ces supports convient par ailleurs beaucoup dapplications
classiques.
Les bandes/cartouches : cette solution peut avoir quelques applications
locales (postes quips), notamment pour les petits volumes de donnes
mais concerne surtout les sauvegardes centralises.
Les sauvegardes sur disque : celles-ci se font sur des disques en rseau,
soit par le partage de ces disques entre des utilisateurs et la copie rgulire
de donnes, soit par le pilotage programm de sauvegardes via un outil ddi.
La sauvegarde en ligne : peut avoir des applications videntes dans le secours
des postes de travail.
Outre les solutions de sauvegarde, les solutions suivantes devraient tre
analyses en vue de mettre en place la stratgie de secours :
Limage disque : le stockage dune image standard des configurations de
postes de travail permet la restauration rapide de stations corrompues ou
dtruites. Facilite grandement par la standardisation des configurations du
parc, cette technique reprsente le moyen le plus simple pour reconstituer

Bennasar.Livre Page 161 Mardi, 11. avril 2006 12:53 12

5.3 Considrations techniques sur les outils et moyens priphriques

161

un parc dtruit. Cette solution ne permettant pas, en elle-mme, la restauration des donnes, on aura soin dencourager vivement la sauvegarde
personnelle rgulire, seule garante dune restauration complte des postes.
Secours de lalimentation : les mthodes classiques (onduleurs, ligne de
secours, groupe lectrogne) seront considres.
Cryptage de linformation : le recours de plus en plus frquent au cryptage
des informations sur les disques durs des postes de travail (en particulier
sur les portables) rend la gestion des cls de chiffrement cruciale : on aura
soin de stocker des doubles de ces cls et de dfinir une stratgie idoine
sous peine de perdre toutes les donnes des postes crypts.

5.3.2 Tlphonie
Stratgies de prvention et de secours
On se reportera intgralement aux stratgies gnriques de prvention et de secours.

Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Redondance des quipements : un autocommutateur matre et un autocommutateur satellite synchronis permettent un secours de type haute
disponibilit.
Renvoi automatique dappels sur un site secondaire : il peut sagir dun site
de secours ddi ou dun site faisant lobjet dun accord de rciprocit avec le
site secourir. Les conditions et procdures du reroutage des appels doivent
tre prcisment tablies en amont pour que cette solution soit efficace.
Existence de lignes directes de secours (hors autocommutateur) : il
sagit alors de secourir quelques lignes stratgiques.
Tlphonie mobile (type GSM) : il est vident que cette solution de secours
est sduisante et, dans la plupart des cas, savrera suffisante. Il convient de
rappeler nanmoins quen cas de sinistre majeur (rgional par exemple),
la saturation du rseau mobile est vite atteinte et peut rendre compltement
inoprante une stratgie de secours reposant sur le recours cette solution.
Tlphonie satellitaire : si la mise en uvre et le cot de cette solution la
cantonnent aujourdhui des fonctions stratgiques, elle reste, pour une
population restreinte, une solution apprciable pendant la dure de
gestion de la crise lie au sinistre subi.
Pour le raccordement au rseau : les mmes prconisations et solutions
que celles dcrites pour le secours du rseau WAN sappliquent.

Bennasar.Livre Page 162 Mardi, 11. avril 2006 12:53 12

162 Chapitre 5. Considrations techniques sur les solutions de secours

5.3.3 Impression
Le secours des moyens dimpression ne fait gnralement pas partie des offres
packages des fournisseurs de solutions de secours. Si limpression ne savre
critique que dans quelques cas bien spcifiques (billettique par exemple), elle
peut tre sensible pour la plupart des entreprises. On considrera galement le
secours ventuel des moyens de mise sous pli.

Stratgies de prvention et de secours


Outre les stratgies gnriques, on considra le point suivant :
Maintenir un stock adquat de fournitures : un stock suffisant dimprims doit tre maintenu en conditions de service sur un site externe celui
que lon cherche secourir. Des contrles doivent tre effectus rgulirement pour valider que ce stock est en conditions oprationnelles (attention au vieillissement ou la dgradation du support ; lobsolescence des
informations pr-imprimes galement).
Pr-dfinition dun processus dgrad : cette prcaution nentre pas vraiment dans le cadre technique de ce chapitre mais plutt dans celui des
procdures fonctionnelles dgrades du PCA. Il convient nanmoins de
dfinir au pralable les modes de raction limpossibilit dimprimer et de
mettre sous pli (responsabilits, flux physiques, etc.).

Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Secours dgrad des lignes dimpression : cette solution vise lutilisation
de moyens existants internes pour secourir les moyens mis hors service.
Ceci implique la sparation physique de lignes dimpression (souvent sur
un site distant) et la mise en place dune procdure dgrade.
Contractualisation dun secours externe : il sagit cette fois davoir
recours un fournisseur (imprimeur, socit de mailing).

5.3.4 Internet
Stratgies de prvention et de secours
On se reportera intgralement aux stratgies gnriques de prvention et de secours.

Solutions de secours
Les solutions de secours suivantes pourront tre considres :
Redondance des accs Internet : tout comme les solutions de secours du
rseau WAN, on pourra considrer le secours par raccordement deux

Bennasar.Livre Page 163 Mardi, 11. avril 2006 12:53 12

5.3 Considrations techniques sur les outils et moyens priphriques

163

accs distincts (soit chez le mme FAI, soit, pour plus de scurit, chez
deux FAI diffrents).
Reroutage du trafic Internet : lors de la bascule sur le site de secours, si
laccs est fourni par le mme FAI que sur le site nominal, le plan dadressage IP est inchang. Si ce nest pas le cas, il faut avoir prvu un nouveau
plan dadressage IP et la mise jour des DNS.

Bennasar.Livre Page 164 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 165 Mardi, 11. avril 2006 12:53 12

6
tudes de cas

Les cas prsents dans ce chapitre sont essentiellement issus de certaines


missions que jai effectues en tant que consultant. Ils prsentent donc une
vision assez fidle de ce que peuvent tre les proccupations des entreprises vis-vis des problmatiques de continuit dactivit. Pour des raisons videntes de
confidentialit, ils sont rendus anonymes, mais jai tent dtre le plus fidle
possible la ralit des situations.
Le choix des cas a t fait sur la base de la varit des problmatiques quils
abordent ainsi que pour leur facult mettre en lumire certains des points cls
exposs dans cet ouvrage1. Ils se focalisent en gnral sur un des aspects du management de la continuit dactivit. Ils sont dcrits sous une forme simplifie pour
en rendre la lecture plus aise. Malgr cette simplification, on notera combien
lapplication de la thorie et de la mthodologie E=MCA peut tre complexe.

6.1

CAS N 1: MISE EN PLACE DUN PLAN DE SECOURS INFORMATIQUE


LOCAL
Le cas n 1 est un cas dcole, trs simple techniquement. Il reprsente cependant une excellente approche du sujet. Peu dentreprises proches du contexte de
ce cas entrent dans une approche de management de la continuit dactivit,
alors que, on le verra, le travail et les investissements induits sont faibles en
comparaison de la scurit apporte.
1. Les cas se focalisent sur la partie fonctionnelle de la continuit dactivit plus que sur la partie
solution technique de secours parce que celle-ci est couverte aux chapitres 4 et 5.

Bennasar.Livre Page 166 Mardi, 11. avril 2006 12:53 12

166 Chapitre 6. tudes de cas

Contrairement lapproche gnrale et aux partis pris du livre, ce cas aborde


essentiellement laspect informatique de la continuit dactivit (mais sous ses
deux aspects, technique et organisationnel).

6.1.1 Lnonc du problme


Lentreprise
Lagence rgionale dune entreprise de service emploie 50 personnes pour couvrir
loffre de service de sa maison mre lchelle rgionale. Elle possde un rseau
informatique local (LAN) qui est reli au rseau de lentreprise.
Lorganisation
Un responsable dagence pilote une quipe commerciale, une quipe administrative ( laquelle est rattach le responsable informatique local) et une quipe de
production.
Le systme dinformation local
Le systme dinformation de lagence est utilis essentiellement pour la bureautique
(traitement de texte, tableur, messagerie lectronique) mais aussi pour une application locale, nomme Asset, qui permet la gestion des ressources locales.
Linventaire du matriel est fait rapidement :
50 postes de travail connects ;
Cinq hubs ;
Deux imprimantes rseau ;
Un serveur de fichiers (pour la bureautique) ;
Un serveur de messagerie ;
Le serveur de lapplication Asset (avec sa base de donnes) ;
Un serveur qui gre laccs au rseau et lauthentification (pare-feu, accs
Internet et authentification des accs aux systmes).

Le contexte et les enjeux


Suite un incendie dans une salle machine de la direction France, la mise en uvre
de mesures de secours informatiques a t dcide. Dlgation a t donne aux
diffrentes agences pour apporter une rponse locale aux enjeux de continuit
locaux. Ainsi, le secours du rseau global nest pas dans le primtre de ltude.
La demande du client
Le responsable informatique local a t mandat pour mettre en place une solution
de secours locale. Il fait appel un consultant pour lassister dans sa dmarche
mthodologique en vue de dvelopper son plan de secours informatique.

Bennasar.Livre Page 167 Mardi, 11. avril 2006 12:53 12

6.1 Cas n 1 : Mise en place dun plan de secours informatique local

167

6.1.2 Lapproche propose et la dmarche mise en uvre


Approche
Le consultant propose une approche base sur la mthodologie E=MCA, restreinte
dans son application mais visant couvrir les points suivants :
Dfinition des scnarios de sinistres envisags,
Dfinition des besoins de secours,
Orientation de la stratgie de secours,
Mise en uvre et validation de la solution technique de secours,
Mise en uvre des modes oprationnels de gestion de la continuit dactivit.

Dmarche
On droule la mthodologie E=MCA partiellement, essentiellement pour les
phases 1 (Mieux connatre lactivit), 2 (Orienter la stratgie de continuit) et 3
(Mettre en place la solution technique de secours).
La ralisation de la phase 1 passe par des entretiens avec les acteurs locaux cls :
Le responsable dagence,
Un utilisateur rfrent de lapplication Asset (ayant une vision managriale),
Un panel reprsentatif dutilisateurs des moyens du rseau local,
Le responsable informatique,
Un technicien informatique comptent sur les aspects rseau et sur laspect
technique de lapplication Asset.

6.1.3 tape 1: Mieux connatre lactivit


Lanalyse des risques et vulnrabilits est rapide et permet de dfinir les scnarios
de sinistre retenu :
Destruction complte de lagence,
Inaccessibilit du site pendant deux semaines.
Le bilan dimpact sur lactivit passe quant lui par lidentification des
ressources informatiques et humaines critiques. Un premier recueil dinformation
permet de dfinir les quelques points dterminants suivants :
Lapplication Asset remonte tous les jours (en batch) les donnes quelle
contient la base de donnes France de la maison mre. Si lon peut considrer quune journe dinterruption est acceptable, il est clair quau-del de
48 heures, les pertes directes dpasseraient les seuils de criticit acceptables.
Le fonctionnement en mode dgrad dAsset ncessite laccs lapplication
et cinq personnes pour en assurer le fonctionnement (avec postes de travail) ;

Bennasar.Livre Page 168 Mardi, 11. avril 2006 12:53 12

168 Chapitre 6. tudes de cas

La messagerie lectronique, quoique moins critique quAsset, est utilise


abondamment pour les transactions quotidiennes. Il est estim que le dlai
maximum dinterruption acceptable est de 4 jours ;
part Asset et la messagerie, aucun systme ou application nest jug critique
dans la mesure o des modes manuels de fonctionnement permettraient des
oprations satisfaisantes, jusqu un seuil intuitif dune dizaine de jours ;
En ce qui concerne les quipements priphriques, il est tabli que limprimante est fortement utilise pour lactivit quotidienne, afin de sortir les
tats Asset. On pourrait sen passer pendant quatre jours, moyennant laccs
Asset et lutilisation palliative de la messagerie lectronique. Au-del, le
fonctionnement dgrad deviendrait vident pour lextrieur et nuirait
fortement limage de lentreprise.
Les dpendances dans la chane du SI et lexploitation des rsultats dentretien
permettent dtablir la liste des quipements critiques :
Le serveur daccs au rseau et dauthentification utilis pour laccs Asset,
Le serveur Asset (application et base de donnes),
Le serveur de messagerie,
Cinq postes de travail (pour assurer le fonctionnement dgrad dAsset),
Un hub pour le rseau restreint des cinq postes,
Le cblage rseau associ,
Lalimentation lectrique de lensemble,
Limprimante rseau Asset,
La climatisation et un local.
Les RTO correspondants sont alors dtermins :
Tableau 6.1 RTO pour les lments critiques du SI
lment

RTO

Serveur dauthentification

48 h

Serveur Asset

48 h

Serveur Messagerie

4 jours

Cinq postes de travail

48 h

Un hub

48 h

Cblage

48 h

Alimentation

48 h

Imprimante

4 jours

Bennasar.Livre Page 169 Mardi, 11. avril 2006 12:53 12

6.1 Cas n 1 : Mise en place dun plan de secours informatique local

169

6.1.4 tape 2: Orienter la stratgie de secours


En consquence de ltude ralise en tape 1, la stratgie de secours choisie vise :
Rpondre aux besoins de secours constats,
Tirer profit de lappartenance une entreprise possdant plusieurs sites,
Privilgier le secours des lments plus faible RTO,
tre la plus conomique possible, et rester en interne lentreprise.
Larchitecture de secours prconise est constitue de :
Un site alternatif parmi deux sites distants de lentreprise possdant une
salle machine, un rseau local, un cblage propre et un secours dalimentation lectrique via des onduleurs et un groupe lectrogne de secours test
rgulirement et dimensionn aux besoins du site ;
Un serveur dauthentification de secours achet, configur et install sur
le rseau local du site de secours ;
Un serveur Asset de secours, achet, configur et install sur le rseau
local du site de secours ;
Un hub spare dormant sur le site de secours ;
Un programme de sauvegarde distance (pilot par le SI du site de secours)
est dcid pour Asset et pour le serveur dauthentification : une sauvegarde complte est planifie toutes les semaines ainsi quune sauvegarde
diffrentielle quotidienne.
Vu les RTO lis au serveur de messagerie, aux postes de travail et limprimante, il est prvu de ne les acheter quen cas de sinistre dclar. Par ailleurs, vu
les scnarios de sinistres retenus (chelle rgionale du sinistre prise en compte),
le site alternatif le plus loign est retenu.

6.1.5 tape 3: Mettre en place la solution technique de secours


Lacquisition des matriels de secours et la mise en place de larchitecture de
secours sont ralises. La stratgie de sauvegarde est mise en uvre.
Un accord formalis est pass avec le site distant. Il prcise en particulier 1 :
Les conditions daccs au site de secours (personnes autorises, conditions
de dclenchement, accs possible hors jours et heures ouvres, etc.) ;
La contrepartie financire verse pour la location dun espace dans la
salle machine, la mise en place de la sauvegarde sur le site de secours, les
1. Son niveau de dtails et dengagements est bien entendu adapt la solution de secours interne
retenue.

Bennasar.Livre Page 170 Mardi, 11. avril 2006 12:53 12

170 Chapitre 6. tudes de cas

oprations de maintenance de base sur les serveurs hbergs en mode courant


et le support informatique en cas de dclenchement du plan de secours ;
La procdure de dclenchement du plan de secours informatique :
Contacts habilits (pour les deux parties) ;
Schma dalerte et dactivation.
Les modalits des tests et rptitions (programme des tests, livrables attendus, dure et frquence des tests).
Un avenant au contrat de travail pour 10 utilisateurs-cls de Asset est pass
pour stipuler quen cas de sinistre majeur, ils peuvent tre appels tre temporairement relocaliss sur le site distant pour assurer la continuit de lactivit.
Une compensation financire est convenue dans lventualit du sinistre.
Une procdure Plan de Secours Partie 1 : technique est rdige pour
dcrire larchitecture de secours retenue, lenchanement des tches pour rendre
la solution oprationnelle.
Une procdure Plan de Secours Partie 2 : fonctionnelle est rdige, qui
dcrit lorganisation de crise (cellule de crise, quipes dintervention), les modalits
dalerte et de dclenchement.
Le plan de secours ainsi dfini est valid par le responsable dagence, le responsable du site de secours, la direction gnrale et le risk manager de lentreprise.
Une session de sensibilisation a lieu pour tous les employs de lagence et un
programme de simulation et de test est dploy.
Les premiers tests techniques sont concluants.

6.1.6 Conclusion du cas n 1


Ce premier cas permet de mettre en vidence que la mise en place dun plan de
secours sur un primtre restreint et une architecture simple est relativement
aise. Ce type de projet na pas un cot trs lev et il apporte une scurit
apprciable lagence concerne.

6.2

CAS N 2: AUDIT DUN PLAN DE REPRISE DACTIVIT ET DFINITION


DU PCA1
Le cas n 2 est encore restreint en primtre pour illustrer le fait que lutilisation
dune partie seulement de la mthodologie E=MCA est parfaitement envisageable.
1. Voir galement ce sujet : 2.2.6, Quelques conseils aux dcideurs / Adaptez la dmarche aux
enjeux. On a recours ici la terminologie PCA pour la clart du titre mais il sagit en fait plus
de la partie oprationnelle du plan de reprise dactivit (plan oprationnel de reprise dactivit).

Bennasar.Livre Page 171 Mardi, 11. avril 2006 12:53 12

6.2 Cas n 2 : Audit dun plan de reprise dactivit et dfinition du PCA

171

Il sagit dun cas qui impose une application pragmatique et simplifie des concepts
et mthodes dcrits dans ce livre.

6.2.1 Lnonc du problme


Lentreprise
Lentreprise est une entreprise du monde des services dont lactivit est centre
sur le contrle de la conformit rglementaire. Plusieurs milliers de professionnels interviennent quotidiennement en France, chez les clients, pour assurer les
prestations de contrle.

Lorganisation
Le systme dinformation est sous la responsabilit du directeur administratif
dun point de vue fonctionnel. Un responsable informatique gre le quotidien.

Le contexte et les enjeux


Lapplication de gestion oprationnelle des quipes dinspecteurs est sensible. La
nouvelle version de loutil, support par une interface web a connu un dmarrage
catastrophique (trois semaines sans utilisation possible au moment de la mise en
production) et a cot sa place au prcdent directeur des SI. La nouvelle organisation a plac le directeur administratif comme responsable de lapplication. Il est
clair pour lui quune nouvelle interruption majeure de lapplication est inacceptable.
Dans ces conditions, il a demand aux quipes informatiques de dfinir un
plan de reprise dactivit pour cette application.

La demande initiale du client


Lobjectif initial de la mission est dauditer le plan de reprise dactivit de lapplication pour sassurer quil rpond aux besoins lis un ventuel sinistre majeur.
Le mandataire, quelque peu angoiss par les enjeux, souhaite avoir la validation
externe dun tiers sur la proposition de PRA dveloppe conjointement par
lhbergeur et les quipes internes. Il veut avoir lassurance que le plan audit est
raliste et suffisant.

Lapplication
Lapplication est au cur de la gestion de lactivit de lentreprise :
Plusieurs centaines dutilisateurs (chargs de clientle) utilisent lapplication
quotidiennement, comme principal outil de travail ;
La facturation issue de loutil se chiffre en plusieurs centaines de milliers
de factures chaque anne ;

Bennasar.Livre Page 172 Mardi, 11. avril 2006 12:53 12

172 Chapitre 6. tudes de cas

La base clients comprend plusieurs centaines de milliers de rfrences pour


environ 2,5 millions dinterventions par an pour les inspecteurs.
Lactivit des inspecteurs est gre par le personnel administratif sur lapplication qui propose des fonctionnalits de :
Gestion de planning ;
Gestion de clientle ;
Gestion de la documentation associe aux interventions (rapports de visite) ;
Gestion de la facturation (en interface avec la comptabilit).
Larchitecture technique de base est une architecture web classique en trois
tiers mais avec tous les lments redonds, des garanties de scurit et de ractivit
importantes et prsentant de ce fait une grande rsilience aux incidents dexploitation. Cette architecture est externalise :
Serveurs HTTP redonds avec rpartition de charge ;
Serveurs dapplication redonds ;
Serveurs de bases de donnes Oracle en cluster ;
Tous les disques des serveurs sont monts en RAID-1 ou RAID-5 (voir
tableau 5.1) ;
Des sauvegardes incrmentales sur bandes de tous les serveurs sont effectues
quotidiennement par robot et sont restaurables dans des dlais infrieurs
4 h (engagement hbergeur) ;
Les serveurs sont tous quips dun antivirus ;
Lensemble de la plate-forme est situ sur un VLAN de lhbergeur dont
laccs est dfendu par un pare-feu ;
Laccs tlcoms lapplication nest en revanche pas redond mais bnficie dun contrat avec le fournisseur qui le contraint une remise en service
en 4 h, 24 h/24 et 7 j/7.

La solution de secours envisage


Si larchitecture secourir est fortement scurise par lhbergeur, elle reste
vulnrable un sinistre de grande ampleur. La solution de secours est, tout
simplement, la plate-forme dintgration qui, elle, nest pas externalise. Larchitecture de cette plate-forme dintgration est une architecture web classique en
trois tiers (http, serveur dapplication, base Oracle), moins scurise que la plateforme de production. Elle prsente nanmoins des serveurs HTTP et serveurs
dapplication redonds et contrls en rpartition de charge. Lquipe informatique

Bennasar.Livre Page 173 Mardi, 11. avril 2006 12:53 12

6.2 Cas n 2 : Audit dun plan de reprise dactivit et dfinition du PCA

173

annonce une reprise sur cette plate-forme en 15 heures aprs dclenchement du


plan de secours.

6.2.2 Lapproche propose et la dmarche mise en uvre


Approche
Lenjeu de confiance est norme pour le client. Lnonc mme du problme
rvle que le client naccorde quune confiance limite ses quipes ainsi qu
son principal fournisseur de service informatique (par ailleurs un grand nom du
domaine pour qui le contrat en question est, sinon stratgique, au moins trs
important en raison de la position en vue de son client, en tant que leader sur
son march). La mission demande est de type ceinture et bretelles dans la
mesure o une tude a dj t ralise pour le secours.
Dans ce contexte, lapproche du consultant devra rpondre aux interrogations
du client en lui apportant lassurance recherche de la viabilit de la solution et
du plan dfini.
La runion de qualification du besoin avec le client permet de mettre rapidement
en vidence quelques lacunes l o lon peut sy attendre :
Les objectifs de secours (RTO et RPO en particulier) nont jamais t dfinis :
la solution de secours envisage est donc la meilleure proposition conjointe
de lhbergeur et des quipes informatiques du client mais le donneur
dordre est rest vasif quant ses besoins ;
Lorganisation du PRA prsente des failles ;
Les modes oprationnels dgrads (plan de continuit oprationnel) ne
sont pas dfinis.
La demande du client est donc requalifie et la proposition de service se base
sur ces premiers constats gnraux. Elle prsente une approche comprenant :
Une analyse critique du PRA technique ;
La dfinition des besoins fonctionnels de secours ;
La dfinition dun PRA oprationnel (quivalent au PCO).

Mthodologie et outils
Pour traiter chacun des points inscrits la proposition de service, on va alors
sappuyer sur des lments de la mthodologie E=MCA et de lexpertise en solution
technique de secours :
Pour lanalyse critique du PRA technique : on sappuiera sur la connaissance dveloppe en solution technique de secours (voir les chapitres 4
et 5) et sur les principes dvelopps dans les phases 2 et 3 de E=MCA ;

Bennasar.Livre Page 174 Mardi, 11. avril 2006 12:53 12

174 Chapitre 6. tudes de cas

Pour la dfinition des besoins fonctionnels de secours : on utilisera essentiellement ltape reine de E=MCA, le BIA ;
Pour la dfinition du PRA oprationnel : on se basera sur les rsultats
du BIA de ltape prcdente et on dveloppera le PRA oprationnel
selon les principes et indications de la phase 4 de E=MCA.

Dmarche
Cette mission, par nature de courte dure (ralise en une dizaine de jours),
comprendra les tapes et travaux suivants :
Lancement de la mission : cadrage mthodologique, revue des objectifs,
validation du planning, des jalons et des interlocuteurs, etc.
Prise de connaissance documentaire : documentation de lapplication,
documentation lie au PRA ;
Tutoring du consultant sur lapplication pour comprendre les principales
fonctionnalits et enjeux ;
Entretien avec les principaux rdacteurs du PRA technique ;
Sminaire BIA avec un panel dacteurs intresss (utilisateurs cls tous
les niveaux hirarchiques, responsable informatique) ;
Validation du BIA ;
Proposition et validation du PRA oprationnel .

6.2.3 Les livrables et les rsultats


Audit du PRA technique
Laudit du PRA technique se droule via une analyse documentaire et un entretien du responsable informatique. Un rapport daudit est formalis dans lequel les
principales lacunes identifies sont :
Labsence de modalits de maintenance en conditions oprationnelles du
PRA ;
La validation de la solution technique de secours na pas t obtenue car
aucun test na t ralis ;
Les modalits de test du PRA nont pas t dfinies ;
Il nexiste aucune disposition prcisant les conditions de retour la normale
dans le PRA ;
Le PRA technique nest pas inscrit dans un plan plus global de continuit
doprations (cest un des buts de la mission que de dfinir ce plan) ;

Bennasar.Livre Page 175 Mardi, 11. avril 2006 12:53 12

6.2 Cas n 2 : Audit dun plan de reprise dactivit et dfinition du PCA

175

Le mode de dclenchement du PRA nest pas dfini (alerte, arbre de dcision, etc.).

Rsultats du BIA
Le BIA est ralis par un sminaire auquel est invit un panel dacteurs intresss
qui deviendront par la suite le noyau de la cellule de crise dans le PRA oprationnel . Participent au sminaire :
Le directeur administratif,
Le responsable informatique,
Un directeur de rgion qui reprsente la vision utilisateur lchelle rgionale,
Un directeur dagence qui reprsente la vision utilisateur plus proche du
terrain,
Une charge de clientle (utilisatrice de lapplication au quotidien),
Un contrleur de gestion fortement impliqu au moment de la spcification
de lapplication.
Influenc par la vision donne par le directeur administratif, le dbat soriente,
dans un premier temps, vers la caractrisation des impacts dune interruption de
courte dure : la solution de reprise propose par les quipes informatiques est
une solution de moyenne disponibilit (reprise en 15 heures) mais il est possible
que le besoin soit un besoin de haute disponibilit (cest le sentiment du directeur
administratif).
Rapidement cependant, devant les critres de la grille danalyse BIA (voir
lexemple du tableau 6.7), les participants du sminaire recadrent la ralit du
terrain par rapport aux enjeux qui sont les leurs. Le tableau 6.2 prsente lvaluation
des principaux impacts en fonction de la dure dinterruption de lapplication.
Lanalyse des rsultats permet de conclure que :
les impacts directs (perte de CA, cot de fonctionnement en mode dgrad et
cots induits pour la reconstitution et le rattrapage du travail) et les
impacts indirects externes (relation clients, image, rglementaire) ne
deviennent significatifs quaprs une interruption dune semaine et critiques
que pour une interruption denviron trois semaines ;
limpact indirect interne (impact psychologique sur le personnel : dcrdibilisation du management, dmotivation des quipes, etc.) atteint son
niveau de criticit beaucoup plus tt en revanche, et devient llment
dimensionnant pour les contraintes de reprise.

Bennasar.Livre Page 176 Mardi, 11. avril 2006 12:53 12

176 Chapitre 6. tudes de cas

Tableau 6.2 valuation de limpact dinterruption de lapplication


Domaine 1
(environ 40 % CA)

Domaine 2
(environ 60 % CA)

Fonctionnalits
impactes

Facturation
Planification
Gestion des rapports

Facturation

Aucun sauf si fin de mois


(25-31) : facturation retarde
Pas visible pour clients

Impact
1 semaine

Planification pas impacte


Pas de perte de productivit
des inspecteurs
Problmes doccupation
des chargs de clientle
Problmes de trsorerie
Difficults de rponse ractive
aux clients (dlais de rapport,
facturation, suivi de rapport, etc.)
Reconstitution : planification,
suivi des interventions, facturation,
gestion des rapports

Impact
2 semaines

Fort impact psychologique sur le personnel


administratif et lencadrement
Perte des outils de contrle et
de management
Chmage technique
Perte de productivit des oprationnels
(20 %)

Mineur sauf si fin de mois


(25-31) : facturation retarde
Pas visible pour clients

Impacts inacceptables tant sur le plan


psychologique que sur le plan business
et qualit
Perte productivit exponentielle

Impact significatif
Un mois de dlai pour
rattraper les saisies
Difficult de pilotage (vrification de la planification)

Impact
3 semaines

En raison de lhistorique de lapplication (dmarrage catastrophique, dbauchage du prcdent directeur des SI), limpact psychologique est critique
bien avant limpact financier et oprationnel !
Il est ds lors convenu que les dlais de reprise annoncs dans le PRA technique seront considrs comme amplement suffisants pour autant que :
Ils soient valids par un test formel ;
Des mesures conservatoires et prventives soient prises, essentiellement
lies limpression papier systmatique de certains tats de lapplication.

Bennasar.Livre Page 177 Mardi, 11. avril 2006 12:53 12

6.2 Cas n 2 : Audit dun plan de reprise dactivit et dfinition du PCA

177

Le PRA oprationnel
Au cours du sminaire BIA, les principales ressources mtier sont identifies et
le fonctionnement en mode dgrad en cas dinterruption prolonge de lapplication est esquiss.
Ds lors, le PRA oprationnel peut tre dvelopp. Il dfinit en particulier :
Lorganisation de crise : cellule de crise et quipes locales de crise ;
Les modalits de gestion de crise : alerte et activation du plan, check-list
de gestion de crises (pour la cellule de crise et lorganisation locale de
crise) ;
Les procdures fonctionnelles dgrades ;
Les conditions de retour la normale ;
Les modalits de maintenance du PRA oprationnel ;
Les modalits de test du PRA : scnarios de crise pour les tests, les modules
de test et leur ordonnancement.
titre dillustration, le tableau 6.3 (sur la page suivante) donne le schma
dalerte et dactivation du PRA oprationnel (une illustration plus complte
dun PCO est donne en annexe).

6.2.4 Conclusion du cas n 2


Le directeur administratif a t rassur par les principales conclusions de la
mission. Les complments apports (validation des besoins de secours et PRA
oprationnel en particulier) lui ont permis de disposer dun systme simple
de management de la continuit de lactivit de lentreprise.
Pour un observateur extrieur, dautres conclusions simposent :
Le contexte dune entreprise peut enlever toute objectivit un acteur interne
pour juger vue des besoins de reprise dun systme. Seule une approche
mthodologique claire et objective permet de recoller la ralit.

Bennasar.Livre Page 178 Mardi, 11. avril 2006 12:53 12

178 Chapitre 6. tudes de cas

Tableau 6.3 Alerte et activation du PRA oprationnel


CHRONO

6.3

ACTION

ACTEUR

<T0

Alerte
Lalerte peut provenir de deux sources : remonte dutilisateurs ou alarme des pilotes dexploitation (en central ou
supervision rseau)
Lalerte (dune nature ou dune autre) est transmise
linformatique France

Support
Exploitation

<T0

Qualification de lalerte
Linformatique France qualifie lalerte :
Confirmation auprs des pilotes dexploitation (sil sagit
dune remonte utilisateurs)
Premier diagnostic sil sagit dune alerte dexploitation
Suivant les conclusions de ce premier diagnostic, lalerte
est qualifie

Informatique
France

T0

Confirmation de lindisponibilit
Toute alerte confirme donne lieu :
Une transmission dalerte au dir. admin. ou son supplant
une information du service support pour diffusion dinformation

Informatique
France

Entre T0
et T0+3h

Information des utilisateurs


Le service Support informe les utilisateurs. Si linformation
est disponible, la nature, la dure anticipe, les impacts
ventuels sont prciss

Support

T0+3h

Saisie de la cellule de crise


Le dir. admin. saisit la cellule de crise et fixe
les modalits de runion

Dir. Admin.

T0+4h

Runion de la cellule de crise


La cellule de crise se runit pour examiner le premier
diagnostic, valuer la situation et prendre les premires
dcisions

Cellule de crise

CAS N 3: MISE EN PLACE DUN PLAN DE CONTINUIT OPRATIONNEL


Le cas n 3 est beaucoup plus vaste que les deux prcdents : il couvre ltude
pour la mise en place dun plan de continuit oprationnel (PCO) dans une
grande entreprise ayant dj un plan de secours informatique. Le contexte politique est prilleux dans la mesure o la direction charge de la mise en place du

Bennasar.Livre Page 179 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

179

PCO est en dlicatesse avec la direction informatique qui ne veut pas donner
accs son plan de secours, jug absolument confidentiel. Lentreprise en question possde neuf sites en rgion parisienne et cherche se prmunir contre le
risque de sinistre global.
Afin de prserver lanonymat, beaucoup dlments factuels ne sont pas
prsents.

6.3.1 Lnonc du problme


Lentreprise en quelques chiffres
Quelques donnes de cadrage :
Plus de 1 000 collaborateurs,
Plusieurs milliards deuros de chiffre daffaires,
Plusieurs millions de clients,
Neuf sites en rgion parisienne,
26 macroprocessus,
Un systme dinformation qui peut traiter plus de mille transactions clients
par seconde (capacit similaire aux principales places financires mondiales).
Pour prserver lanonymat, lactivit de lentreprise nest pas donne. Son
secteur est plutt celui des services. Elle exerce son activit principalement en
France (faible chiffre daffaire ralis linternational).

Lorganisation
Les principales directions de lentreprise sont :
La direction gnrale,
La direction marketing,
La direction commerciale,
La direction du dveloppement international,
La direction ressources humaines,
La direction financire,
La direction des systmes dinformation (la plus nombreuse en effectif)
avec de nombreuses ramifications,
La direction de la communication,
Le service gestion des risques,
Les services gnraux (qui comprennent le service juridique).

Bennasar.Livre Page 180 Mardi, 11. avril 2006 12:53 12

180 Chapitre 6. tudes de cas

La cartographie des processus


Lentreprise a ralis, dans lanne qui prcde, une cartographie exhaustive de ses
processus. Cette analyse sert de base ltude qui suit. Pas moins de 26 macroprocessus sont recenss :
Stratgie : 2
Marketing : 3
Commercial : 4
Production : 4
Systme dinformation : 2 (dcoups en 15 activits)
Support (RH, scurit, finance, etc.) : 11
Il est noter que la socit est trs fortement dpendante de son systme
dinformation, ce qui justifie que 2 processus entiers lui soient consacrs. Ce
nest, cet gard, pas un cas typique.

Le contexte et les enjeux


Initie par la menace terroriste issue des attentats du 11 septembre, ravive par
la crainte dune crue centennale en rgion parisienne, la mise en place dun PCO
rpond une inquitude de la direction vis--vis de sa capacit assurer la continuit de son activit dans un monde o les menaces globales font lactualit.
La mission doit tre ralise sans avoir accs aux informations du plan de
secours informatique qui existe, est cens tre test et efficace mais dont nous ne
saurons rien.
Par ailleurs, et cest encore trop rare pour tre soulign, le mandat de la mission
est confi au service de gestion des risques de lentreprise. Lindpendance est
ainsi totale vis--vis de linformatique.

La demande du client
Le client fait appel un consultant pour dfinir son plan de continuit doprations.
La mission fait suite une mission pralable de ralisation dun inventaire des
donnes et dossiers vitaux pour lentreprise.

6.3.2 Lapproche propose et la dmarche mise en uvre


Approche et mthodologie
Le primtre de la mission (PCO) oriente les tapes de la mthodologie E=MCA
qui sont appliques : 1, 4 et 5.

Bennasar.Livre Page 181 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

181

Les tapes 1 (Mieux connatre lactivit) et 4 (Dvelopper le plan de continuit dactivit) sont presque intgralement ralises. Ltape 5 (Assurer la conduite
du changement, le dploiement du PCO et son maintien en conditions oprationnelles) est ralise seulement dans sa deuxime composante (maintien en
conditions oprationnelles).

Dmarche
Dans le cadre de cette mission, peu dadaptations sont ralises lors de la mise en
uvre de la mthodologie E=MCA. Cest le cas qui suit le plus fidlement les
principes noncs.
La dmarche de classification des activits critiques de lentreprise se base sur
la cartographie des processus dfinie.

6.3.3 tape 1: Mieux connatre lactivit


Diagnostic sommaire de prvention
Le service de gestion des risques ralise rgulirement des audits de prvention
des risques. Notre action sappuie sur les rsultats de ces dmarches et propose
une investigation complmentaire. tant donn le contexte et les antcdents,
un autodiagnostic sur la base dun questionnaire labor par le consultant est mis
en uvre. Cet autodiagnostic est ralis site par site.
Dans le tableau 6.4, un exemple dextrait de diagnostic de scurit dune salle
machine est prsent.
Tableau 6.4 Extrait dun diagnostic de prvention

Incendie

O/N
Les serveurs sont dans une salle ddie

Les salles machine sont climatises

Les salles machine ne servent pas de lieu de


stockage papier

Les salles sont protges par un systme


dextinction gaz Halon ou CO2

Il existe un tmoin de la dcharge de gaz

Le systme dextinction gaz est vrifi


rgulirement

Le systme dextinction gaz fait lobjet


dun contrat de maintenance

Commentaire

Gaz Inergen

Bennasar.Livre Page 182 Mardi, 11. avril 2006 12:53 12

182 Chapitre 6. tudes de cas

Tableau 6.4 Extrait dun diagnostic de prvention (suite)

Moyens de secours

Intrusion

Incendie

O/N

Commentaire

Les salles sont quipes de portes reconnues


coupe-feu

Les consignes dvacuation des locaux sont affiches

Les machines ne sont pas branches sur


des prises multiples

Lensemble des cblages des machines


est correctement identifi

Respect code couleur ?

Tous les cbles lectriques sont sous gaine

Mais sous faux-plancher

Des extincteurs sont prsents dans les locaux


hors Halon et CO2

Les extincteurs sont tests rgulirement

Les extincteurs font lobjet dun contrat


de maintenance

Il existe un systme de dtection/extinction


de fume

Les entres des salles sont protges (code,


camra, badge...)

Accs par badge

Les droits dentre sont grs (arrive, dpart,


changement de fonction)

Arrive seulement

Les entres et sorties des salles sont enregistres


par un systme automatique

Entre uniquement

Des dtecteurs douverture et de prsence existent

Si porte reste ouverte : alarme

Les alarmes sont envoyes sur un poste


de scurit

Il existe un groupe lectrogne

Plusieurs (redondance : 2+2)

Le groupe lectrogne est test rgulirement

15 jours

Le groupe lectrogne fait lobjet dun contrat


de maintenance

Il existe un onduleur sur le site

Toutes les machines en salle sont ondules

Les installations lectriques font lobjet


de vrifications annuelles

Plusieurs

Contrle rglementaire

Bennasar.Livre Page 183 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

183

Tableau 6.4 Extrait dun diagnostic de prvention (suite)

Local autocom

O/N

Commentaire

Les matriels de communication sont dans


une salle ddie

Local autocom ddi

Les entres et sortie de la salle sont protges


(code, camra, badge ..)

Accs par cl (2)

Les droits dentres sont grs (arrive, dpart,


changement de fonction)

Les entres et sorties de la salle sont enregistres


par un systme automatique

Partiellement

Des dtecteurs douverture et de prsence


existent pour le local

Il existe une main courante

Les alarmes sont envoyes sur un poste


de scurit

Tous les quipements sont onduls

confirmer

La ralisation de ce diagnostic de prvention permet de formaliser un rapport


prliminaire et un plan dactions visant scuriser au maximum les infrastructures
avant de formaliser le plan de continuit des oprations. En accord avec le
client, la ralisation du reste de la mission postule que les actions de prvention
prconises sont effectivement dployes.

Cartographie sommaire des sinistres


Il sagit de classer les sinistres potentiels selon leur criticit pour lentreprise
(selon le couple [probabilit, impact]). La ralisation de cette tape est simplifie
dans la mesure o la stratgie de secours du SI est dj dfinie puisque le plan de
secours informatique est en place. La cartographie sommaire des sinistres permet
en revanche de sassurer, a posteriori, que les moyens mis en uvre dans le plan
de continuit des oprations rpondent bien aux besoins exprims dans le bilan
dimpact sur lactivit.
Aprs consultation des experts de la prvention pour les neuf sites concerns,
la cartographie sommaire est tablie. Un extrait en est donn dans le tableau 6.5
(o seuls les lments relatifs aux impacts sont donns, pas la probabilit).

Oui
Oui
Non

Mouvements sociaux

Manifestations (pouvant rendre impossible laccs aux


locaux)

Arrt de travail de longue dure (hors mouvements


sociaux)

Non

Indisponibilit de linfrastructure tlcoms (centraux


Oprateurs)
Oui

Non

Indisponibilit de linformatique cur de mtier

Indisponibilit totale dun prestataire ou fournisseur cl

Non

Indisponibilit des liaisons tlcoms (requises pour le


cur de mtier )

Origine
humaine

Oui

Oui

Ouragans, tornades, cyclones

Atteinte lintgrit/prennit du btiment (suite chocs,


chutes, explosions, etc.)

Oui

Foudre (incendie)

Origine
technique

Oui

Tempte/orage (y compris grle, neige et verglas)

Oui

Oui

Pluies torrentielles (dgts des eaux)

Attentats/actes terroristes

Oui

Inaccessibilit physique

Inondation

SINISTRES

Origine
humaine

Origine
naturelle

ORIGINES

Non

Non

Non

Non

Non

Non

Non

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Destruction
de biens
ou matriels

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Perte
dinformations

IMPACTS

Oui

Oui

Oui

Oui

Non

Non

Non

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Scurit
des
personnes

Tableau 6.5 Extrait de la cartographie sommaire des sinistres

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Oui

Dfaillance
ressources
techniques

MOYEN

MOYEN

MOYEN

GRAVE

GRAVE

GRAVE

GRAVE

CRITIQUE

CRITIQUE

CRITIQUE

CRITIQUE

CRITIQUE

CRITIQUE

CRITIQUE

GRAVITE

Bennasar.Livre Page 184 Mardi, 11. avril 2006 12:53 12

184 Chapitre 6. tudes de cas

Bennasar.Livre Page 185 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

185

Bilan dimpact sur lactivit (BIA)


Rappel : Dans cette mission, la ralisation du BIA na pas pour objectif de
caractriser fonctionnellement le secours technique mettre en place puisque
celui-ci existe dj. Il sagit bien de prparer le terrain pour dfinir le Plan de
Continuit Oprationnel. Ltape BIA est allge par rapport son primtre
classique, celui dcrit dans la mthodologie E=MCA. En consquence, il nest
par exemple pas question dans cette tude de dfinir les RTO (dlai de reprise)
et RPO (degr de fracheur des donnes) du systme dinformation, pas plus que
les points de dfaillance unique technique.
Le BIA est complexe mener. Trois approches sont en effet possibles : lapproche
par site (vision gographique), lapproche par processus (vision mtier) ou lapproche par fonction (vision organisationnelle). Sil est vident que lapproche par
processus est la plus satisfaisante intellectuellement, elle ne peut tre dcorrle
des besoins par site ou de la vue par fonction. De temps en temps, les trois angles
convergent (cas des ressources humaines par exemple : la fonction RH correspond au processus RH et nexiste que sur un site). Mais pour les processus les plus
critiques, ces trois notions divergent passablement. Le parti pris du client est de
privilgier la vision par site pour des raisons pratiques lies au dveloppement et
au dploiement du PCO. Nous aurions prfr privilgier lapproche processus
qui intgre la notion de service intgr, de bout en bout. Au final, il est convenu
de raliser le BIA avec une approche processus (qui simpose, tant donn la
cartographie prexistante) tout en recueillant, pour toutes les informations
collectes, les informations relatives au site et la fonction en vue du dveloppement ultrieur du PCO. Ceci est dautant plus ncessaire que les scnarios de
sinistres retenus cadrent bien avec la formalisation du PCO par site.
Par ailleurs, le choix de lentretien individuel est retenu pour la ralisation du
BIA. Ce choix est fait pour crdibiliser la dmarche en interne, pour assurer une
analyse fine de chaque processus et parce que les agendas du grand nombre
dintervenants consults sont particulirement chargs. En effet, les 40 managers
les plus proches de la direction gnrale sont tous rencontrs. Des complments
dinformation sont obtenus auprs des interlocuteurs techniques identifis.
Llaboration de la grille des critres permettant de jauger le caractre critique
des activits se fait tout dabord avec le service gestion des risques. Une validation
des seuils financiers est obtenue auprs de la direction financire.
Des illustrations de livrables et livrables intermdiaires sont prsentes : dans le
tableau 6.6, la fiche dentretien avec les dcideurs pour la qualification des activits et la collecte des informations utiliser dans le PCO (on se souviendra
quen raison du primtre de la mission, on ne trouvera pas les RTO et RPO
dans ce tableau) ; dans le tableau 6.7, les critres de classification des activits
critiques ; dans le tableau 6.8, un exemple dextrait de matrice BIA.

Bennasar.Livre Page 186 Mardi, 11. avril 2006 12:53 12

Tableau 6.6 Fiche dentretien

186 Chapitre 6. tudes de cas

Bennasar.Livre Page 187 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

187

<

Faible

Nul

0,1

Moyen

Grave

Nul

Cots de
fonctionnement

>

Revenus

Critique

Gravit

Impacts directs

0,1

Cots de
reconstitution

Nul

Interne

Local

Rgional

National

Image

Critres de quantification

Nul

Plainte

Litige

Mention RCS

Suspension
activit

Rglementaire

12

Directs

Niveau des vnements redouts

Nul

Pts de vente

Local

Rgional

National

Satisfaction
clients

Impacts indirects

Tableau 6.7 Critres de classification des activits critiques

SCL

Indirects

Quantification

Bennasar.Livre Page 188 Mardi, 11. avril 2006 12:53 12

188 Chapitre 6. tudes de cas

Bennasar.Livre Page 189 Mardi, 11. avril 2006 12:53 12

Tableau 6.8 Extrait de matrice BIA (deux processus)

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

189

Origine
humaine

Origine
naturelle

Types
dorigine

Arrt de travail brutal du personnel (hors mouvements


sociaux)

Indisponibilit totale dun


prestataire ou fournisseur

O/N

Risque multisite
O

Couverture
police
dassurance

Facteur
aggravant

Mouvements sociaux internes (pouvant rendre impossible laccs aux locaux)

Attentats / actes terroristes

Foudre (incendie)

Tempte/orage (y compris
grle, neige et verglas), ouragans, tornades, cyclones

Pluies torrentielles

Inondation

Sinistres
possibles

Dommages et
pertes dexploitation informatique

Aucune

Aucune

Aucune

Multirisques
immeubles

Multirisques
immeubles

Multirisques
immeubles

Multirisques
immeubles

Police
dassurance

Sont couvertes les pertes dexploitation rsultant


de la carence de fournisseurs (y compris en cas
de grves)

Pas de prise en charge par les assurances

Pas de prise en charge par les assurances

Aucune prise en charge par les assurances


(du ressort des autorits publiques)

Assurance incendie classique

Contrat multirisques immeubles : permet dtre


couvert en cas de sinistre naturel

Contrat multirisques immeubles : permet dtre


couvert en cas de sinistre naturel

Contrat multirisques immeubles : permet dtre couvert en cas de sinistre naturel si ltat de catastrophe
naturelle est dclar par les autorits publiques

Commentaires / Limites

Tableau 6.9 Extraits de la matrice de couverture des polices dassurance

Bennasar.Livre Page 190 Mardi, 11. avril 2006 12:53 12

190 Chapitre 6. tudes de cas

Bennasar.Livre Page 191 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

191

Analyse de couverture des polices dassurance


Lanalyse de la couverture des polices dassurance est faite avec le service gestion
des risques et rvle certaines zones non couvertes. Le diagnostic est classiquement
ralis comme un diagnostic dcart, en comparant les scnarios de sinistres les plus
critiques avec les clauses de couverture des risques par les polices dassurance. Le
tableau 6.9 (page prcdente) illustre quelques constats faits lors de cette analyse.

6.3.4 tape 4: Dvelopper le plan de continuit dactivit1


Systme documentaire
Le PCO dfini repose sur une architecture documentaire trois tages qui permet
une gestion concerte dun sinistre annonc ou avr affectant potentiellement
la continuit de lactivit de lentreprise :
Un PCO global : il est le document chapeau du dispositif : il lintroduit et
prsente les lments ncessaires sa vie et son volution (maintenance,
tests). Il pose les bases de gestion dune crise multisite et sinterface avec
les PCO locaux, deuxime chelon du dispositif ;
Les PCO locaux : ils sont la cl de vote du dispositif dans la mesure o ils
contiennent les check-lists pratiques de raction face un sinistre, les
circuits de remontes dalerte, les arbres de dcision et les informations
ncessaires la prise de dcision. Le niveau local est le niveau daction et
de raction pour les sinistres. Par local on entend site ;
Les fiches rflexes : elles rsument le mode de raction immdiat de tout
employ de lentreprise confront loccurrence dun sinistre. Elles stipulent
le mode dalerte des autorits et de la hirarchie de crise de lentreprise.
Le systme documentaire ainsi dfini peut tre reprsent comme dans la
figure 6.1.

Organisation de crise et responsabilits


Lorganisation de crise du PCO possde, elle aussi, une architecture trois tages
comme le prsente la figure 6.2.

QG2 de crise
Le QG de crise est linstance centrale de dcision, de coordination et de pilotage
pour tous les sinistres consquents. Le recours au QG de crise nest pas systmatique
et nombre de crises de faible ampleur peuvent tre traites au niveau local. Le QG de
crise est particulirement utile pour des sinistres touchant plusieurs sites.
1. On verra galement ce sujet lannexe B Quelques illustrations documentaires de la mthodologie
o un exemple de PCO est donn.
2. Pour Quartier Gnral.

Bennasar.Livre Page 192 Mardi, 11. avril 2006 12:53 12

192 Chapitre 6. tudes de cas

PCA GLOBAL

PCA LOCAUX

Mode de raction globale


de crise :

Mode de raction locale


de crise :

Prsentation du PCA

Responsabilits

QG de crise

Acteurs

Gestion globale de crise

Arbre de dcision

Test du PCA

Checklists

Maintenance du PCA

Annexes informatives

FICHES REFLEXES

Mode de raction immdiate


en cas de crise :
Mode dalerte
Raction face aux diffrents
types de sinistres
Disponible pour tout
employ

Annexes informatives

Figure 6.1 Architecture documentaire du PCO

Figure 6.2 Organisation de crise

Bennasar.Livre Page 193 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

193

Le QG de crise est constitu des membres du comit de direction et a pour


rles et responsabilits de :
Runir toutes les informations critiques pour juger de la gravit du sinistre,
dcider de la marche suivre et coordonner et suivre les efforts internes et
externes dploys pour rpondre la crise ;
Planifier, superviser et suivre lensemble des actions mises en uvre pour
la rsolution de la crise ;
Sassurer que les premires consignes de scurit ou procdures durgence
ont t appliques ;
Assurer la liaison, le support et la coordination avec les cellules locales de
crise, notamment sur le plan des interventions de prestataires cls et des
commandes de produits et services auprs de ces fournisseurs ;
Donner des orientations ventuelles relatives aux moyens de transport,
dhbergement, etc.
Dfinir les actions de communication interne et externe.
Le QG de crise dispose de deux locaux alternatifs pour se runir, en fonction
de la crise et des sites quelle touche. Chaque local est prvu pour hberger le
nombre de personnes suffisant. Chaque local contient les moyens adquats pour
grer la crise (moyens de communication non affects par le sinistre ; moyens
dinformation tels la tl, la radio, un accs Internet ; les moyens bureautiques
adquats ; les outils de travail utiles comme le paperboard, des lampes torches,
un tableau blanc et la papeterie). Par ailleurs, les documents importants dans la
gestion de crise sont prsents (PCO, plan de secours informatique, plans des
locaux, annuaires internes et externes, plan de la rgion, etc.).

Cellule locale de crise


La cellule locale de crise est constitue des :
Responsable de la cellule de crise du site : en gnral un reprsentant de
lentit majeure du site ou de lactivit stratgique,
Responsable de lquipe dintervention,
Responsable de lquipe logistique et relocalisation,
Responsable de lquipe SI,
Responsable communication.
La cellule locale de crise a les responsabilits suivantes :
Obtenir les informations pralables du responsable technique de site
concernant lvaluation pralable du sinistre ;

Bennasar.Livre Page 194 Mardi, 11. avril 2006 12:53 12

194 Chapitre 6. tudes de cas

Planifier, superviser et suivre lensemble des actions dcrites dans le PCO


local ;
Convoquer, superviser et coordonner lensemble des quipes de crise du
site ;
Sassurer que les premires consignes de scurit ou procdures durgence
ont t appliques ;
Assurer la liaison avec le QG de crise le cas chant ;
Proposer et faire valider les actions de communication interne et externe ;
Rendre compte de lavancement et de la mise en uvre du PCO local au
QG de crise.

Trois quipes locales de crise


Lquipe dintervention a les responsabilits suivantes :
Assurer la coordination des efforts entre les autorits civiles et le personnel ;
Assurer la mise en scurit du personnel du site si ncessaire ;
Assurer la rcupration et la mise en scurit des biens matriels et immatriels ;
Rendre compte de lavancement et de la mise en uvre des actions du
PCO local qui lui sont attribues la cellule locale de crise.
Lquipe logistique et relocalisation a les responsabilits suivantes :
valuer les dgts causs par le sinistre ;
Contacter la direction des assurances pour coordonner la mise en uvre
des procdures dassurances ;
Prendre les dispositions ncessaires pour le transport durgence ;
Prendre en charge les problmes lis au personnel (transport, hbergement, etc.) en coordination avec la DRH si besoin ;
Prendre en charge les actions de recblage et/ou reroutage informatique ou
tlcom ;
Assurer les actions de communication auprs du personnel ;
valuer et dterminer les fournitures et matriels ncessaires en liaison
avec lquipe SI et commander, si besoin, auprs des fournisseurs (en coordination avec le dpartement achats) ;
Sassurer de la disponibilit des matriels, fournitures et locaux sur le site
de secours ou pour la solution de secours retenue ;
Coordonner les transferts (personnels et matriels) vers le site de secours ;

Bennasar.Livre Page 195 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

195

Rendre compte la cellule locale de crise de lavancement et de la mise en


uvre des actions du PCO local qui lui sont attribues.
Lquipe SI a les responsabilits suivantes :
valuer et dterminer les fournitures et matriels SI ncessaires en liaison
avec lquipe logistique et relocalisation ;
Rcuprer les dernires sauvegardes du site (internes ou externes) ;
Remonter le systme dexploitation, les bases de donnes, les applications
sur les machines de secours ;
Tester les applications ;
Coordonner la remise en service des systmes ;
Rendre compte de lavancement et de la mise en uvre des actions du
PCO local qui lui sont attribues la cellule locale de crise.

Alerte et activation du plan


La procdure dalerte est synthtise dans le synoptique de la figure 6.3 (page
suivante).

Gestion de crise
La gestion de crise est simplement dfinie par des check-lists qui traduisent les
responsabilits des instances de lorganisation de crise (QG de crise, cellule de
crise locale et quipes de crise).
Des consignes particulires sont dfinies pour le QG de crise et les instances
centrales afin dassurer la gestion dune crise multisite (sinistres naturels de forte
ampleur : inondations, temptes, pluies torrentielles ; attaques terroristes ou
attentats simultans ; paralysie des infrastructures de transport ; sinistres rsultant
dun climat social tendu : mouvements sociaux et grves, manifestations, arrts
de travail). En raison du caractre transverse dune crise multisite, le rle de
coordination des instances transverses (et, en particulier du QG de crise) est
prpondrant. Cest elles de centraliser les informations utiles relatives tous
les sites sinistrs (ex : la capacit daccueil et dhbergement des sites non sinistrs
pour dduire les besoins en relocalisation externe le cas chant). Cest elles de
coordonner la mise en uvre des PCO locaux entre eux pour optimiser les temps
de raction et minimiser les pertes de temps. ce sujet, les tches suivantes
reposent sur les instances centrales :
Assurer le rle de point de contact central ;
Enregistrer intgralement les appels entrants et sortants ;
Prolonger laction des sites pour obtenir les ressources ncessaires ;

Bennasar.Livre Page 196 Mardi, 11. avril 2006 12:53 12

196 Chapitre 6. tudes de cas

XX

Figure 6.3 Alerte et activation du PCO

Assurer la communication avec les mdias ;


Informer le personnel, et en particulier les organisations locales de crise
des avancements ;
Rassembler toutes les informations critiques pour les prises de dcision.

Procdures fonctionnelles dgrades


Les procdures fonctionnelles dgrades sont tablies par les directions mtier,
processus critique par processus critique. Elles dfinissent les modes opratoires
mettre en place en cas de sinistre dans lattente dun retour une situation nominale.

Bennasar.Livre Page 197 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

197

Retour la normale
Le retour la normale passe par trois phases (matrialises chacune par une
check-list) :
Rparations,
Remplacement des quipements et fournitures,
Tests de linstallation (nouvelle ou rpare).
Le retour la normale est pilot et valid par la cellule locale de crise (ou le
QG de crise sil a t dclench).

6.3.5 tape 5: Assurer la conduite du changement, le dploiement


du PCO et son maintien en conditions oprationnelles
Cette tape na t ralise que partiellement dans la mesure o seule une tude
tait requise par le client. Le dploiement du PCO na pas eu lieu dans ce cadre.
Des prconisations sur la stratgie pour dployer le PCO ont t donnes mais
cest essentiellement laspect Maintien en conditions oprationnelles qui a t trait
dans le cadre de la mission, au travers de ses composantes Maintenance et test.
Comme mentionn prcdemment, les modalits de maintenance et de test
ont t intgres au cur du PCO global. Cette intgration est discutable. Je
plaiderai aujourdhui plutt pour un document part car les modalits de
maintenance et de tests viennent quelque peu parasiter un document qui
doit tre oprationnel en cas de crise.

Maintenance du dispositif
Les modalits de maintenance du dispositif PCO (PCO global, PCO local et
fiches rflexe) ont t dfinies selon les rgles prcises dans le tableau 6.10.

Test du dispositif
Afin de sassurer que le PCO fonctionne dans les situations durgence, des exercices
pratiques et des tests fonctionnels rguliers sont dfinis :
Des sessions dexercices pratiques : cest le plus simple et le moins coteux
mettre en uvre. Les participants aux sessions sont choisis parmi les acteurs
impliqus dans la gestion de la continuit dactivit et spcifis dans les PCO
locaux (ci-aprs dnomms acteurs de la continuit dactivit ). Ils doivent
drouler les procdures de continuit dactivit en raction un cas fictif de
sinistre qui leur est propos. Ils ne ralisent dans la ralit aucune opration
grandeur nature. Il sagit dune rvision collective des mesures prconises et
actions mettre en uvre et dun partage dexprience.

Fiches
rflexes

PCO
local

PCO
global

Maintenance du
document + revue
de cohrence avec
lensemble du PCO

Information des
responsables de
cellule de crise
locale

chaque
changement
majeur

2 fois/an

Revue de cohrence + suivi de


la mise jour

2 fois/an

Responsable
PCO global

Responsable
PCO global

Maintenance du
document (soin
particulier pour
les annexes)

2 fois/an

Responsable
cellule de
crise locale

Quoi ?
Maintenance du
document + revue
de cohrence avec
lensemble du PCO

Quand ?

2 fois/an

dfinir

Qui ?

Membre du service
XXX dsign par le
directeur du service
XXX

Directeur XXX

DG

Tous les employs

Membres de lorganisation
locale de crise
(responsable technique
de site + cellule locale de
crise + trois quipes terrain)

Membres de
la cellule de
crise locale

Responsable
cellule de
crise locale

Membre de
la cellule de crise
locale dsign par
son responsable

DG, directeurs oprationnels,


membres du QG de crise,
responsables cellules
de crises locales

DG

Directeur XXX

Membre du service
XXX dsign par
le directeur service
XXX

Diffusion

Validation

Vrification

Proposition

Comment ?

Tableau 6.10 Modalits de maintenance du PCO

Bennasar.Livre Page 198 Mardi, 11. avril 2006 12:53 12

198 Chapitre 6. tudes de cas

Bennasar.Livre Page 199 Mardi, 11. avril 2006 12:53 12

6.3 Cas n 3 : Mise en place dun plan de continuit oprationnel

199

Des tests fonctionnels du PCO : il sagit cette fois de simuler un sinistre


en conditions relles (acteurs leur poste de travail, utilisations restreintes
des outils ventuellement affects par le sinistre, utilisation des canaux de
communication de crise, etc.) pour vrifier le bon droulement des procdures, les temps de raction et de rsolution... Lors des tests fonctionnels,
des oprations de communication intersite, de coordination avec les fournisseurs, voire une relocalisation dquipe et de moyens peuvent avoir lieu.
Afin de limiter limpact des tests fonctionnels sur la productivit et lactivit, ils sont raliss par modules reprsentant chacun un maillon de la
chane de continuit dactivit. Lensemble des tests fonctionnels est ainsi
cens recouvrir la chane complte et donner une vision de bout en bout
du dispositif mis en place.
Les exercices pratiques et les tests fonctionnels sont dfinis pour minimiser
limpact sur lactivit. Les rsultats des tests doivent tre enregistrs, analyss et
doivent donner lieu des actions damlioration, de correction et dinformation.
Les exercices pratiques et les tests fonctionnels sont conus de telle sorte que
chaque acteur de la continuit puisse participer au moins une session par an.

Exercices pratiques
Il est prvu que soit organise une session par site et par an laquelle sont invits
les acteurs de la continuit dactivit tels que spcifis dans le PCO local du site.
La session dexercice pratique est anime par le coordonnateur PCO du service
gestion des risques. Les participants convis sont la cellule locale de crise, le
responsable technique de site, les membres des quipes dintervention, logistique
et relocalisation et SI. Un programme type dune telle session est donn titre
indicatif dans le tableau 6.11.
Tableau 6.11 Session dexercices pratiques PCO
Programme

Contenu

Dure

Introduction
la continuit dactivit

Prsentation du PCO : systme documentaire, fonctionnement, principaux acteurs et instances de dcision


et dexcution
Principales volutions depuis la dernire session

30

Analyse du PCO local

Lecture individuelle du PCO local et QCM

30

Exercice en quipe locale

Cas pratique par responsabilit (responsable technique


de site, cellule locale de crise, quipes locales)

1 h 15

Exercice en organisation
locale de crise

Cas pratique (sinistre et scnario) couvrant lensemble


des acteurs PCO

1 h 30

Debriefing

Debriefing de session

15

Bennasar.Livre Page 200 Mardi, 11. avril 2006 12:53 12

200 Chapitre 6. tudes de cas

Tests fonctionnels
Les tests fonctionnels visent simuler au plus prs la situation de crise. Trois
scnarios de tests sont proposs pour chacune des phases du PCO. Les tests fonctionnels consistent simuler la raction des acteurs face un ou plusieurs des
trois scnarios de crise.
On divise les simulations en trois modules chronologiques dans le droulement du PCO et un module chronologiquement indpendant (module 4). Les
modules peuvent tre tests indpendamment les uns des autres. Pour chaque
module, les rsultats des tests sont enregistrs pour tre postrieurement analyss
et donner ventuellement lieu une volution du PCO. Le service gestion des
risques agit comme organisateur et observateur des tests fonctionnels.
Chaque srie annuelle de tests fonctionnels se doit de tester chaque module
(pour chaque site) pour le scnario de crise retenu pour lanne. Le tableau 6.12
donne un exemple de programme tri-annuel de tests fonctionnels pour un site.
Tableau 6.12 Exemple de programme tri-annuel pour un site
Module 1
Alerte et activation du plan

Module 2
Gestion
de crise

Module 3
Retour
la normale

Module 4
QG de crise

Scnario 1

2003

2003

2003

Pas trait localement

Scnario 2

2004

2004

2004

Pas trait localement

Scnario 3

2005

2005

2006

Pas trait localement

Les modules fonctionnels quant eux, reprennent les principales phases de


gestion de la continuit dactivit telles que dfinies dans le PCO :
Module 1 Alerte et activation du plan : il sagit l de simuler le droulement menant lactivation du PCO. Les acteurs du test sont le responsable
technique de site et la cellule locale de crise.
Module 2 Gestion de crise : il sagit cette fois de simuler le droulement
des tches listes dans le chapitre Gestion de crise du PCO local du
site pour chacune des organisations suivantes :
Cellule locale de crise
quipe dintervention
quipe logistique et relocalisation
quipe SI
Module 3 Retour la normale : ce module droule les tapes du chapitre
Retour la normale du PCO local.

Bennasar.Livre Page 201 Mardi, 11. avril 2006 12:53 12

6.4 Cas n 4 : Retour dexprience pour une crise majeure : les attentats de Londres

201

Module 4 QG de crise : ce test fonctionnel ne se limite pas un site. Il


concerne uniquement la runion du QG de crise pour valider le caractre
oprationnel de linstance (en particulier les locaux de runion et matriels
associs). Il est souhaitable dutiliser ce test grandeur nature pour tenir la
session annuelle de rappel pour les acteurs du QG de crise. Cette session
courte (2 heures) vise rappeler aux participants la structure du PCO, les rles
et responsabilits des acteurs globaux et locaux dans la gestion de la crise.
Les scnarios de crise sont volontairement courts pour tre applicables au
plus grand nombre de sites et laisser ouvertes les discussions, interrogations et
rflexions spcifiques au site.
Scnario 1 : Un incendie a ravag un tage (ou une surface consquente)
du site pendant la nuit puis sest spontanment teint. Au matin, larrive des employs, le sinistre est constat.
Scnario 2 : Le service de veille informe le responsable du site quun
mouvement social est annonc. Le pravis donn est de trois jours ouvrs.
Il est prvu que le mouvement empche laccs au site.
Scnario 3 : En pleine journe, le site est victime dune coupure totale et
prolonge dlectricit.

6.3.6 Conclusion du cas n 3


Dans un contexte plus vaste que les deux cas prcdents, le cas n 3 nous plonge
dans le management de la continuit dactivit dans sa composante la moins informatique : la continuit des oprations. Face une multitude dacteurs, de sites, de
processus et de paramtres, on voit que les lments dterminants seront :
Pour le consultant : lapproche mthodologique adapte au contexte,
lidentification des interlocuteurs et la collecte dinformation ;
Pour le responsable du PCO : la conduite du changement et le maintien
du plan en conditions oprationnelles.

6.4

CAS N 4: RETOUR DEXPRIENCE POUR UNE CRISE MAJEURE:


LES ATTENTATS DE LONDRES1
Le 7 juillet 2005, une srie dexplosions terroristes en plein cur de Londres
causaient la mort dune cinquantaine de personnes et plongeaient la capitale
dans un chaos de quelques jours.
1. BCI : Information & Communications Survey Report, 7th July 2005, 2005. Voir galement Financial Sector Business Continuity Annual Report, rapport du Tripartite Standing Committee on
Financial Stability, octobre 2005.

Bennasar.Livre Page 202 Mardi, 11. avril 2006 12:53 12

202 Chapitre 6. tudes de cas

Avec le recul de plusieurs mois, le Business Continuity Institute a men une


enqute et produit quelques recommandations suite lexprience grandeur
nature de cet vnement dramatique. Bien que visant particulirement les situations
de crise majeure (qui seront souvent cartes des scnarios de sinistre retenu),
ces conseils prsentent un intrt certain car ils sont fonds sur lexprience :

Il apparat ncessaire dtablir un plan de communication : les rseaux de


tlphonie mobile ont t saturs et les capacits des autocommutateurs ont
t largement dpasses.
Le comptage et la mise en scurit des employs sont estims incontournables
mais ont pris plus de temps quescompt.
Il est ncessaire de dfinir un processus de communication avec les employs
pour fournir une information rgulire sur lvolution de la situation pour
lentreprise.
La prparation dun plan de transport et de relocalisation ventuelle des
employs est incontournable.
La capacit rpondre aux interrogations des proches (famille) des employs
doit tre soigneusement planifie (frquent dbordement des moyens techniques
et humains).
Laccs aux infrastructures de secours a t problmatique et ncessite une
planification soigneuse en amont.

Bennasar.Livre Page 203 Mardi, 11. avril 2006 12:53 12

Troisime partie

Perspectives

Bennasar.Livre Page 204 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 205 Mardi, 11. avril 2006 12:53 12

7
Vers un systme
de management de
la continuit dactivit?

Le management de la continuit dactivit est aujourdhui entr dans la


rflexion collective et les sujets de discussion de beaucoup de cercles de rflexion
professionnels. En situer la problmatique dans lentreprise est une autre affaire.
Nous avons vu que la discipline cherche encore se raccorder une fonction ou
un modle tabli. Le sujet peut tre rattach diffrents concepts de gestion de
lentreprise. On pense bien videmment certaines problmatiques dj abordes
dans ce livre comme le management des risques, le gouvernement dentreprise
ou la gestion de la scurit de linformation.
Ce chapitre a pour but de proposer un modle dorganisation du management
de la continuit dactivit, calqu sur les principaux systmes de management en
vigueur aujourdhui comme celui de la qualit.
Le modle propos prsente de faon vidente de nombreuses lacunes. Il est sans
doute trs ambitieux pour le sujet trait. Il donne un cadre peut-tre trop rigide pour
une discipline qui, par nature, doit tre flexible et extrmement ractive. Surtout
il propose un modle continu pour une discipline qui sintresse aux hiatus.
Mais la rflexion prsente ici se veut avant tout provocatrice dides et de
ractions. Elle na pour but que douvrir un dbat et de lancer la rflexion sur un
domaine de recherche o beaucoup reste faire. Cest dans ce sens quil faut lire
les paragraphes qui suivent.

Bennasar.Livre Page 206 Mardi, 11. avril 2006 12:53 12

206 Chapitre 7. Vers un systme de management de la continuit dactivit ?

La proposition faite dans ce chapitre est de dcrire succinctement une organisation possible du management de la continuit dactivit suivant un modle de
systme de management. Il est ds lors utile de prsenter les principaux systmes
de ce type et de comprendre comment la continuit dactivit peut sincrire dans
un systme de management.

7.1

LES PRINCIPAUX SYSTMES DE MANAGEMENT DE LENTREPRISE

7.1.1 Qualit (ISO 9001)


Le systme de management que propose la norme internationale ISO 9001 1 est
un des plus anciens. Il sapplique au domaine du management de la qualit mais
ses principes gnraux (non spcifiques qualit) sont dapplication universelle.
Il est compatible avec la plupart des systmes de management prsents dans
ce paragraphe.
Une prsentation plus dtaille est donne en annexe (voir annexe C.1,
ISO 9001).

7.1.2 Scurit et sant au travail2 (OHSAS 18001)


LOHSAS3 18001 dfinit des conditions pour dvelopper, piloter et maintenir
un systme de management de la sant et de la scurit au travail (SST). La
norme na pas t traduite en version internationale parce que plusieurs pays sy
sont opposs, jugeant que leur rglementation interne tait plusieurs gards
plus contraignante.
LOHSAS 18001 est nanmoins compatible avec lISO 9001 et lISO 14001
pour faciliter lintgration de systmes.

7.1.3 Environnement (ISO 14001)


La dernire version de lISO 14001 (2004) pose les exigences pour dfinir et
piloter un systme de management environnemental. La norme est pleinement
compatible avec lISO 9001 (2000).

1. ISO : International Standard Organisation.


2. Dans ce domaine (sant et scurit au travail), il existe galement le BS8800 et le SIES/ISRS.
3. OHSAS : Occupational Health and Safety Assessment Series.

Bennasar.Livre Page 207 Mardi, 11. avril 2006 12:53 12

7.1 Les principaux systmes de management de lentreprise

207

7.1.4 Scurit de linformation (ISO 17799 et ISO 27001)


Le rfrentiel ISO 17799 ne constitue pas en lui-mme un modle de systme de
management de la scurit de linformation. Il nest quun guide de bonnes pratiques
pour la gestion de la scurit de linformation.
La norme britannique (BS-7799) de laquelle il est issu propose, en revanche,
une partie complmentaire (BS-7799-2) qui pose les bases dun systme de management de la scurit de linformation. Cette partie complmentaire a t traduite,
fin 2005, en norme internationale : ISO 27001.
Complte par lISO 27001, lISO 17799 devient un rfrentiel permettant
dtablir un tel systme et ligible une certification.
Il est noter que ce tandem (ISO 17799 + ISO 27001) est compatible avec
lISO 9001.

7.1.5 thique et responsabilit sociale1 (SA 8000)


La norme SA2 8000 est le premier rfrentiel qui identifie des exigences en
matire de responsabilit sociale (travail des enfants, travail forc, discrimination,
hygine et scurit, discipline, temps de travail, etc.) et qui les intgre dans
un systme de management. Ce rfrentiel est issu de lorganisme SAI (Social
Accountability International). SA 8000 est compatible avec lISO 9001.

7.1.6 Systmes propres lentreprise


Au-del des systmes de management norms, des systmes propres lentreprise
sont souvent dvelopps. Sils natteignent pas le degr de sophistication induit
par les principales normes, ils sont souvent plus pragmatiques et construits sur
une approche assez intuitive des zones de risques de lentreprise.
Jai ainsi pu observer de nombreux systmes de management propritaires ,
allant des plus artisanaux dans les petites structures aux plus labors dans les
entreprises lies la Dfense par exemple.
Lorsquon accompagne une entreprise vers une certification de type ISO 9001, il
est dailleurs assez frappant de constater que cette transformation nest souvent
quune traduction parfois culturellement laborieuse de son propre systme de
management dans un langage et des concepts norms et comprhensibles de
lextrieur.
1. Il existe peu de rfrentiels dans ce domaine et le SA 8000 est le plus rpandu. Nous citerons
nanmoins pour mmoire lAA 1000.
2. SA : Social Accountability (responsabilit sociale).

Bennasar.Livre Page 208 Mardi, 11. avril 2006 12:53 12

208 Chapitre 7. Vers un systme de management de la continuit dactivit ?

Il est vident que plus un systme rpond des critres rpandus, plus son
intgration avec dautres systmes reconnus est aise.

7.2

LINTGRATION DES DIVERS SYSTMES DE MANAGEMENT:


VERS UN SMI1
Avec la multiplication des rfrentiels pouvant donner lieu une certification
dans diffrents thmes (qualit, scurit, environnement, etc.), les entreprises
qui ont, les premires, mis en place des systmes de management pour plusieurs
thmes se sont rapidement aperues quil existait des synergies intressantes mais
aussi, lorigine, quelques difficults dharmonisation.
Un effort considrable a t fourni par les organismes de normalisation pour
permettre la compatibilit des diffrents systmes de management. Si lISO a, de
fait, assur ce travail pour les rfrentiels quil dite, les organismes lorigine
des rfrentiels non traduits en normes internationales ont rapidement compris
lintrt de la compatibilit pour leurs propres publications.
La compatibilit des systmes est le premier pas vers lintgration. Lintgration
vise optimiser la gestion des diffrents systmes en regroupant parmi eux tout
ce qui peut ltre et en utilisant le socle ainsi dfini comme base de management
dcline ensuite suivant les diffrents thmes.

7.2.1 Les concepts intgrateurs


Lintgration ne peut videmment pas se faire sur ce qui est propre chaque
rfrentiel. Il existe cependant des concepts communs tous les systmes de management, qui en constituent le socle de management et qui peuvent se mutualiser.

PDCA
La roue de Demming (PDCA pour Plan Do Check Act ou Planifier dployer
contrler agir) est le schma de base du fonctionnement dun systme de management. Le principe est chronologique et perptuel : il reprsente schmatiquement les principales tapes dun processus damlioration continue.
Dans chacune des quatre phases du processus de Demming, on trouvera diffrents niveaux dintervention :
le niveau de planification, de dcision et dorientation stratgique ;
le niveau de mise en uvre et de dploiement tactique ;
le niveau dexcution et de ralisation oprationnelle.
1. SMI : Systme de management intgr.

Bennasar.Livre Page 209 Mardi, 11. avril 2006 12:53 12

7.2 Lintgration des divers systmes de management : vers un SMI

Figure 7.1 Roue


de Demming

209

Les indicateurs, les mesures, les contrles, la finesse des dtails dans les procdures diffreront ainsi notablement suivant le niveau auquel on se situe.

Plan (planifier)
Pour un systme de management, la partie plan du PDCA consistera principalement en :
Lengagement univoque de la direction gnrale dans le systme de management ;
La dfinition de la politique, des objectifs et des moyens dans le domaine
considr (qualit, scurit, environnement, etc.) ;
La dfinition des rles, responsabilits et autorits dans le domaine concern ;
La mise en place dun systme documentaire adapt permettant de formaliser les rgles et modes dactions : ce systme documentaire est en gnral
compos dun manuel central (niveau stratgique, par exemple le manuel
qualit), de procdures associes (niveau tactique, par exemple la procdure de matrise documentaire) et dinstructions dtailles (niveau oprationnel, par exemple les modes opratoires dautocontrle sur une chane
de production) ;
La dfinition des processus de lentreprise et des conditions dans lesquelles
ceux-ci sont aptes atteindre efficacement leur but, dans le respect des
exigences particulires des diffrents domaines (qualit, environnement).

Do (dployer)
Il sagira dans cette phase dassurer la ralisation des processus tels que planifis
et conformment aux exigences des rfrentiels choisis. titre dexemple, on
peut citer :
La mise en uvre des politiques dfinies (qualit, environnement, scurit
et sant au travail, scurit des SI, etc.) ;

Bennasar.Livre Page 210 Mardi, 11. avril 2006 12:53 12

210 Chapitre 7. Vers un systme de management de la continuit dactivit ?

La prise en compte des exigences qualit dans les activits de conception


de produits ou services ;
La mise en uvre dun processus achat conforme aux exigences qualit ;
La ralisation et la tenue jour de la revue environnementale initiale
(tude dimpact, tude de dchets, etc.) ;
La veille rglementaire environnement et scurit ;
La mise en place des programmes de management environnementaux ;
La mise en uvre des procdures de gestion des incidents de scurit de
linformation ;
La tenue du journal des oprations sur les systmes (scurit de linformation), etc.

Check (contrler)
Le contrle du systme de management sexercera, entre autres, au travers
dactions de :
Audits internes du systme de management (par des auditeurs internes
dment qualifis) ;
Audits externes (de certification ou de surveillance) ;
Mesure de lefficacit des processus mis en place via la tenue dindicateurs
de performance (ralise en gnral par les pilotes des processus et consolids par le responsable du systme de management concern) ;
Remonte des constats de drive (non-conformit pour la qualit, fiches
dincidents de scurit pour la scurit des SI, fiches daccidents pour la
SST, etc.) ;
Mesures spcifiques faites sur lactivit (impacts sur lenvironnement pour
lISO 14001, contrle qualit pour lISO 9001, statistiques daccidentologie
pour la SST, par exemple) ;
coute des clients ou principales parties intresses par la dmarche (au
travers de fiches de rclamation clients, prise en compte des remarques
faites par les acteurs eux-mmes via des fiches damlioration ou une bote
ides, par exemple, etc.) ;
Prise en compte globale (niveau managrial) de lensemble des rsultats de
contrle, lors des revues de direction des systmes de management (souvent
annuellement), etc.

Act (agir)
Les actions entreprises pour agir aprs contrle peuvent tre varies, allant dune
action ponctuelle curative et immdiate, une action de rorganisation impliquant

Bennasar.Livre Page 211 Mardi, 11. avril 2006 12:53 12

7.2 Lintgration des divers systmes de management : vers un SMI

211

de nombreux acteurs et stalant sur plusieurs mois. Parmi cet arsenal dactions
possibles, on citera, entre autres :
La mise en place dactions prventives, correctives et curatives ;
La mise en uvre des plans dactions dfinis suite aux revues de direction ;
La mise en uvre de plans dactions immdiats par les pilotes dun processus
dont les indicateurs de performance indiquent une drive ;
La convocation de runions multidisciplinaires pour la mise en place
dactions de fond, etc.

Approche processus
Selon la norme FD X 50-176 1, un processus est un ensemble dactivits qui
utilisent des ressources pour transformer des lments entrants en lments de
sortie .
Note : cest une succession dactivits ralises laide de moyens (personnel,
quipement, matriel, informations) et dont le rsultat final attendu est un
produit. Un processus prsuppose :
Des lments entrants mesurables,
Une valeur ajoute,
Des lments de sortie mesurables, conformes des critres dacceptation,
Un caractre reproductible.
1. FD X 50-176 Management des processus, AFNOR, juin 2000.

Lapproche processus telle que prconise en particulier depuis la version


2000 de la norme ISO 9001 repose sur :
Lidentification des processus de lentreprise et de leurs interactions (souvent formalise par une cartographie des processus et des fiches descriptives
pour chacun deux) ;
Le management concert des processus (dfinition des objectifs, pilotage,
analyse, amlioration).
Chacun des processus peut se rvler plus ou moins efficace atteindre ses
objectifs et sadapter en permanence son environnement.
La maturit dun processus sera ainsi dfinie comme sa capacit sajuster en
permanence pour atteindre ses objectifs avec efficience. Comme dfinie par les
modles ISO SPICE et CMMi par exemple, la maturit peut schelonner en
plusieurs niveaux allant du niveau 0 (processus qui atteint ses objectifs alatoirement) au niveau 5 (processus optimis, en amlioration permanente).

Bennasar.Livre Page 212 Mardi, 11. avril 2006 12:53 12

212 Chapitre 7. Vers un systme de management de la continuit dactivit ?

Lapproche processus propose ainsi une vision structure de lactivit de


lentreprise, un canevas de management dans lequel pourront se glisser volont
des exigences relatives tous les domaines dans lesquels un systme de management peut se dployer. Ainsi, le processus pourra-t-il intgrer des exigences
qualit, environnement, scurit et, dans le cas qui nous intresse, continuit
dactivit.
Plus un processus intgrera des exigences de continuit dactivit, plus sa
maturit sera grande car sa capacit absorber des alas crotra.

La matrise des risques


Si elle ne figure pas encore expressment dans tous les rfrentiels prcits, la
matrise des risques est nanmoins sous-entendue dans la plupart.
LISO 14001 requiert ainsi une analyse environnementale permanente pour
rechercher les impacts de lactivit sur lenvironnement.
LOHSAS 18001 exige quune analyse des risques professionnels soit mene
(identification des dangers, des risques et matrise des risques).
LISO 17799 demande plusieurs niveaux des dmarches analogues (BIA
dans le chapitre sur la continuit dactivit, identification des risques pour les
accs tiers, etc.).
Le risque implicite principalement soulev par lISO 9001 est linsatisfaction
du client.
Les dmarches bases sur lanalyse des risques supposent de mettre le doigt
l o a peut faire mal . Elles constituent ainsi une excellente introduction aux
concepts du MCA. Les tudes de risques seront dexcellentes donnes dentre
pour le bilan dimpact sur lactivit dune dmarche de MCA. La dfinition des
processus au moyen dune approche par les risques1 permet dintgrer toutes les
exigences.

7.2.2 La construction du tronc commun


Un des principaux avantages du systme de management intgr est quil repose
sur un tronc commun plus efficient piloter. Ce tronc commun est un PPCM2
des systmes quil cherche intgrer et se construit partir des lments dcrits
dans la figure 7.2.
La description des lments du tronc commun est donne dans le tableau 7.1.
1. Voir Annexe C.1, Approche processus par lanalyse des risques (APAR).
2. PPCM : Plus petit commun multiple.

Bennasar.Livre Page 213 Mardi, 11. avril 2006 12:53 12

7.2 Lintgration des divers systmes de management : vers un SMI

213

Figure 7.2 lments constitutifs du tronc commun SMI

Tableau 7.1 Description des lments constitutifs du tronc commun


Programme de management commun

Organisation dentreprise intgre

dfinition dune politique intgre (qualit, scurit, environnement, etc.)


dfinition des objectifs et des cibles
revue de direction unique
veille rglementaire unifie
programme damlioration unique

dfinition intgre des processus


et procdures
optimisation et mutualisation des rles
et responsabilits lies aux systmes de
management
actions communes de communication
interne et externe
actions de sensibilisation et de formation
mutualises et concertes

Suivi du systme intgr unifi

Systme documentaire unique

actions de surveillance et de mesurage


communes
programme dactions correctives,
prventives et curatives unifi
tenue des indicateurs et tableaux
de bord mutualise
programmes daudits internes et externes
en partie mutualiss

politique unique
fiches de description des processus
uniques
procdures uniques (avec plusieurs
volets)
enregistrements unifis (fiches dcarts
et/ou incidents, fiches damlioration,
actions correctives, etc.)

Bennasar.Livre Page 214 Mardi, 11. avril 2006 12:53 12

214 Chapitre 7. Vers un systme de management de la continuit dactivit ?

7.2.3 Les avantages1


Au-del des avantages intrinsques la mise en place des diffrents systmes de
management (amlioration de la qualit, baisse des accidents de travail, diminution
des impacts ngatifs sur lenvironnement), lintgration des systmes prsente
des avantages qui peuvent se dcliner en :
avantages internes (organisationnels, financiers et humains),
avantages externes (commerciaux, communication).

Tableau 7.2 Avantages internes dun SMI


Avantages internes
Organisationnels
Un seul systme
de management
Une meilleure efficacit
Un seul systme
documentaire
Moins de redondance

Financiers

Humains

Moins daudits internes


Cot de certification moindre
Optimisation du personnel
en charge
Optimisation du temps pass
piloter le systme

Motivation plus grande


car dmarche globale
qui fdre les acteurs
Implication plus aise
du personnel
Moins de dispersion dnergie
Formation et sensibilisation
harmonises

Tableau 7.3 Avantages externes dun SMI


Avantages externes
Commerciaux
Avantage comptitif
Positionnement amlior

Communication
Image amliore
Relation avec les parties intresses plus transparente
Conformit rglementaire mieux matrise

1. Daprs ric BRUNELLE, Llaboration dun systme de management intgr : Qualit et Environnement,
thse de Master, Universit de Sherbrooke, 2005.

Bennasar.Livre Page 215 Mardi, 11. avril 2006 12:53 12

7.3 Proposition dun Systme de management de la continuit dactivit (SMGA)

7.3

215

PROPOSITION DUN SYSTME DE MANAGEMENT DE LA CONTINUIT


DACTIVIT (SMCA)

7.3.1 Un systme de management de la continuit dactivit


Les principes intgrateurs des systmes de management que nous venons de voir
constituent des lments fondateurs dune dmarche de MCA : approche processus,
analyse de risques et PDCA sont au cur de la mise en place dun PCA.
Le systme de management de la continuit dactivit (SMCA) prsent
dans ce paragraphe se construit sur ces bases, partir des concepts du tronc
commun et de la mthodologie E=MCA, comme dcrits dans le tableau 7.4.
Tableau 7.4 Description des lments du SMCA
Un programme de management
de la continuit dactivit

Une organisation
de MCA

dfinition dune politique et dune


stratgie MCA
dfinition des objectifs et des cibles
(RTO, RPO, scnarios de sinistres...)
revue de direction PCA

dfinition ou actualisation des


processus et procdures en intgrant
les facteurs et indicateurs MCA
dfinition des rles et responsabilits
lies au SMCA
actions de communication interne
et externe
actions de sensibilisation et de formation

Un suivi du SMCA

Un systme documentaire

suivi du plan de maintien


en conditions oprationnelles
ralisation des tests
programmes daudits du MCA
(internes et externes)

politique et stratgie MCA (BIA,


scnarios, solution retenue)
plan de gestion de crise (organisation
de crise, dclenchement)
plan de Continuit Oprationnelle
(procdures dgrades)
plan de Maintien en conditions
oprationnelles
plan de secours informatique
(procdures techniques)

7.3.2 Vers le management unifi?


Forts des lments poss dans notre description des SMI et du SMCA, nous
pouvons prsent dcrire un modle simple de systme de management unifi
dont un exemple graphique est donn dans la figure 7.3 (qualit, environnement,
scurit et continuit dactivit) :

Bennasar.Livre Page 216 Mardi, 11. avril 2006 12:53 12

216 Chapitre 7. Vers un systme de management de la continuit dactivit ?

Figure 7.3 Unification des systmes de management

Faut-il pour autant voir dans un SMCA un processus unificateur 1 ?


Si le management unifi tel que je viens de le dcrire propose un modle
dj sduisant, certains spcialistes de la continuit dactivit en ont fait une
discipline qui aurait vocation chapeauter les autres. Au lieu de positionner
le SMCA au niveau des autres systmes de management, ils le situent au-dessus,
comme processus unificateur. Je mloigne de ce point de vue parce qu mon
sens, la problmatique de continuit dactivit ne se place au-dessus des
domaines traditionnels des systmes de management (qualit en particulier)
ni par lobjet de son tude, ni par les outils dvelopps. Les enjeux du MCA
restent en fin de compte ceux lis linterruption dactivit, cest--dire ceux
des accidents de parcours majeurs.

7.4

CONCLUSION
Lbauche de modle organisationnel prsent dans ce chapitre (systme de
management de la continuit dactivit) nest quun modle parmi dautres dans
lequel peut sinscrire le MCA dune entreprise. Ses limites sont nombreuses et
plaident pour une rflexion plus approfondie qui sort du cadre et des objectifs de
cet ouvrage. Si les principaux systmes de management de lentreprise traitent
1. BCI, traduction de unifying process.

Bennasar.Livre Page 217 Mardi, 11. avril 2006 12:53 12

7.4 Conclusion

217

du rgime continu de celle-ci, celui du SMCA a pour objet la prise en compte du


rgime de crise. Un modle cyclique continu tel que celui du SMCA trouve
quelques limites pour jouer cette fonction atypique et pisodique.
Quelques autres pistes et modles dorganisation sont creuser et celles qui
semblent les plus prometteuses rattachent le MCA au management global des
risques de lentreprise, la gestion de crise ou au gouvernement dentreprise.

Bennasar.Livre Page 218 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 219 Mardi, 11. avril 2006 12:53 12

Conclusion

La semaine dernire, un VRP est pass chez moi pour nous vendre un adoucisseur deau. Dans ces multiples dmonstrations et calculs de retour sur investissement du systme, il nous a vant les conomies que nous pourrions faire en
eau minrale en bouteille moyennant lacquisition du systme. Quand ma
femme lui a dit que nous aurions de toute faon des rserves deau pour les cas
durgence, il lui a rpondu, un peu agac : Mais madame, il y aura toujours de
leau au robinet !
Il oubliait sans doute les rcents pisodes franais de pnurie locale deau, la
distribution deau en bouteille dans des zones temporairement sinistres, le
rationnement dornavant habituel pendant les priodes de scheresse. Ma famille
et moi conservons toujours chez nous un stock deau potable pour les cas
durgence.
La vision agace du VRP me fait malheureusement penser lattitude
ambiante vis--vis de la sinistralit. On attend beaucoup des pouvoirs publics en
de tels cas. Trop mon sens. Il me semble entendre dans la voix du VRP les
dizaines dchos que jentends longueur danne : Mais monsieur, ce type de
sinistre ne nous arrivera pas ! Je lespre de tout cur mais ne peux mempcher de penser que lon disait la mme chose la Nouvelle-Orlans il y a peu.
Les experts rclamaient depuis une trentaine dannes un budget de quelques
milliards de dollars pour le renforcement des digues de protection de la ville. Les
pouvoirs publics avaient toujours refus de considrer srieusement la possibilit
dun ouragan de type 4. Les premires estimations des pertes financires de
Katrina ouragan de type 4 avancent le chiffre dsastreux de 200 milliards
de dollars. Sans compter le bilan humain et social bien plus proccupant.
Le sens actuel de lhistoire ne laisse malheureusement pas trop de doutes
quant lutilit dun PCA pour une entreprise. Le management de la continuit

Bennasar.Livre Page 220 Mardi, 11. avril 2006 12:53 12

220 Plan de continuit dactivit et systme dinformation

dactivit est une discipline qui me semble, tout aussi malheureusement, promu
un bel avenir.
Si lon ne peut attendre tout des pouvoirs publics en cas de crise, on doit en
attendre beaucoup en amont, pour informer et clairer. Je lance ainsi une invitation
leur attention : le sujet de la continuit dactivit et de la gestion des crises ne
bnficie pas aujourdhui daction concerte de leur part. La sensibilisation du
march sur le sujet est mene par une poigne de consultants et professionnels,
engags dans un travail de mise en garde et de pdagogie. Le tissu conomique
franais, et en particulier, celui des PME/PMI a besoin dveil, de conseils, de
soutien mthodologique et daccompagnement pour traiter correctement ce brlant
sujet. Il y a un besoin criant pour la promotion de pratiques saines, systmatiques, mthodiques et rigoureuses pour aborder les sujets cls que sont la gestion
des risques et le management de la continuit dactivit. Cela relve de la sant
conomique du pays moyen terme et ce ne sont pas les seuls efforts de fourmi
de quelques consultants qui changeront la donne.
Quelques actions symboliques pourraient dj faire beaucoup : la diffusion
dune brochure dinformation, la mise en place de guides mthodologiques adapts
et disponibles gratuitement, la nomination dune mission ministrielle pour la
continuit dactivit, une campagne de communication cible dans la presse
spcialise, la mise en place de pages Internet ddies, etc.
Pour aller plus loin, Patrick Lagadec, directeur de recherches lcole polytechnique et spcialiste mondial de la gestion de crise proposait rcemment de
mettre en place :
des clubs de partage, de questionnement et dexprience [] 1 ;
des forces de rflexion rapide, [] groupes culture diversifie [] mobilisables pour de lappui multiforme en cas dpreuve lourde ;
des partenariats dans laction et les prparations : les crises mergentes
conduisant [] des problmes sans frontires organisationnelles, il
devient urgent dengager les oprateurs notamment les gestionnaires de
rseau des questionnements, des entranements en commun. 2
Sur ce dernier point, il est intressant de noter que le 28 novembre 2005 au
Royaume-Uni, un test grande chelle des plans de continuit des entreprises
du secteur bancaire a t orchestr par plus de mille acteurs des trois institutions
britanniques du domaine (HM Treasury, Bank of England, Financial Services
Authority). 80 entreprises ont particip cet exercice, profitant de llan cr
1. Il y aurait beaucoup attendre des retours dexprience de crises comme celle dAZF en 2001.
2. P. Lagadec, Scurit collective et nouvelles menaces, revue Prventique Scurit (n79 et n80).

Bennasar.Livre Page 221 Mardi, 11. avril 2006 12:53 12

Conclusion

221

pour mener certains exercices internes galement. Un cabinet dauditeurs a prpar


les scnarios de test et a organis lobservation des pratiques1.
Ce type de dmarche ne peut que dcloisonner la prise en compte du problme
et favoriser la prparation mentale et matrielle ncessaire la gestion de la
continuit dactivit lors dpisodes de crise majeure telle que les dernires annes
nous en ont servis. Le secteur bancaire tout entier est bien videmment concern
par lampleur des phnomnes. Mais, quoique sans doute moins ractifs, le secteur
de la sant et certaines industries sont tout aussi vulnrables des crises de
grande ampleur. Il suffit de se souvenir de la canicule de lt 2003 pour sen
convaincre. Ou garder lesprit quun seul ouragan Katrina en France mettrait
genoux notre conomie.
Face la ralit des sinistres de grande ampleur comme les catastrophes naturelles majeures de ce dbut de millnaire ; face la complexit des menaces
globales comme celle de la grippe aviaire ou du terrorisme ; face lvidence de
certains sinistres comme la crue centennale de la Seine (probabilit 1/100), nous
devons saisir les opportunits sans nombre qui soffrent lhomme du XXIe sicle.
Les nouvelles organisations du travail (flexibilit, tltravail2) peuvent constituer
en elles-mmes des stratgies de continuit. La concentration des secteurs dactivit peut favoriser les changes et le dcloisonnement souhaitable pour une
approche concerte de la continuit dactivit. La technologie, qui a elle-mme
introduit une fragilit indniable dans notre conomie, recle des cls incontournables pour la continuit dactivit. Et lhomme, inform, veill, alert,
averti, a beaucoup de cartes en main pour prendre la mesure de la situation et
sorganiser en consquence.

1. Source : newsletter de continuitycentral.com


2. Environ 850 millions de tltravailleurs estims pour 2009 (source IDC).

Bennasar.Livre Page 222 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 223 Mardi, 11. avril 2006 12:53 12

Annexes

Bennasar.Livre Page 224 Mardi, 11. avril 2006 12:53 12

Bennasar.Livre Page 225 Mardi, 11. avril 2006 12:53 12

A
Sigles et abrviations

AR

Analyse de risques

BCI

Business Continuity Institute

BCM

Business Continuity Management

BIA

Bilan dimpact sur lactivit

CRM

Customer Relationship Management

DG

Directeur (ou Direction) gnral(e)

DRH

Directeur (ou Direction) des ressources humaines

DRII

Disaster Recovery Institute International

DSI

Directeur (ou Direction) du(es) systme(s) dinformation

E=MCA

tapes vers le management de la continuit dactivit

ERP

Entreprise Resource Planning (progiciel de gestion intgr)

FAI

Fournisseur daccs linternet

GED

Gestion lectronique de la documentation

GIE

Groupement dintrt conomique

LAN

Local Area Network

MCA

Management de la continuit dactivit

MTBF

Mean Time Between Failures

PCA

Plan de continuit dactivit

PCO

Plan de continuit oprationnelle

PGC

Plan de gestion de crise

Bennasar.Livre Page 226 Mardi, 11. avril 2006 12:53 12

226 Annexes

PMI

Project Management Institute

PRA

Plan de reprise dactivit

PRAp

Plan de reprise dapplication

PSI

Plan de secours informatique

RAID

Redundant Array of Inexpensive Disks

RCS

Registre du commerce et des socits

RH

Ressources humaines

ROI

Return On Investment (retour sur investissement)

RPO

Recovery Point Objective (degr de fracheur des donnes)

RSSI

Responsable de la scurit des systmes dinformation

RTO

Recovery Time Objective (dlai de reprise)

SAN

Storage Area Network

SGBD

Systme de gestion de bases de donnes

SI

Systme(s) dinformation

SIMCA

Systme dinformation du management de la continuit dactivit

SMCA

Systme de management de la continuit dactivit

SLA

Service Level Agreement (convention de service)

SLM

Service Level Management (gestion des niveaux de service)

WAN

Wide Area Network

VLAN

Virtual Local Area Network

Bennasar.Livre Page 227 Mardi, 11. avril 2006 12:53 12

B
Quelques illustrations
documentaires
de la mthodologie

B.1

AVERTISSEMENT
Les trois illustrations documentaires figurant dans ce paragraphe prsentent des
exemples issus de cas rels. En tant que tels, ils ne peuvent prtendre sappliquer
gnriquement un grand nombre de situations. Ils peuvent nanmoins constituer une intressante base de travail, ou mieux, un point de comparaison dans
une phase avance dun projet PCA.
On trouvera par ailleurs, dans les tudes de cas du chapitre 6, dautres illustrations documentaires de la mthodologie.

Bennasar.Livre Page 228 Mardi, 11. avril 2006 12:53 12

228 Annexes

B.2

EXEMPLE DE SYSTME DOCUMENTAIRE ASSOCI UN PCA1


Plan de Gestion de Crise

Cellule de crise oprationnelle


Procdures fonctionnelles dgrades
Plans Fonctionnels propres

Cellule de Crise
Dcisionnelle

Plan de communication

Plan de gestion des Ressources


Humaines

Procdures
Transverses
Plan de reprise du Systme
dInformation

Plan Logistique & Scurit

Figure B.1 Systme documentaire dun PCA

B.3

EXEMPLE DE CANEVAS DENTRETIEN BIA2


Les points suivants pourraient tre considrs pour la prparation des questionnaires BIA et les entretiens qui suivent :
Description de la fonction et/ou du processus : activit, sous-processus,
organisation humaine, hirarchie, autorit et responsabilit, etc.
Dpendances identifies : en particulier les dpendances externes (fournisseurs, prestataires).
Donnes dentre : les donnes et processus ncessaires en entre pour
permettre latteinte des objectifs seront identifis.
Donnes de sortie : les donnes et processus de sortie seront identifis.

1. Voir aussi la figure 6.1.


2. Voir aussi le tableau 6.7.

Bennasar.Livre Page 229 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

229

Contraintes : en particulier, les contraintes rglementaires et celles concernant les autorits de tutelle seront analyses, notamment les contraintes
de reporting lgal.
Saisonnalit : loccurrence dun sinistre prsente-t-il une criticit plus grande
sur lactivit un moment de lanne qu un autre (clture des comptes,
priodes de vente privilgies, priode prcdant immdiatement la fermeture
annuelle dune usine, etc.).
Analyse dimpact : selon la grille des critres dfinis, il sagit de quantifier
les impacts (directs et indirects) sur lactivit : perte de chiffre daffaires,
surcot de fonctionnement dgrad, cot de reconstitution de linformation,
impact sur limage, impact rglementaire, impact oprationnel sur dautres
processus, etc.
Ressources humaines cls : il sagit didentifier les membres du personnel
ncessaire un fonctionnement dgrad.
Ressources systmes dinformation cls : on cherche identifier cette
fois les applications, bases de donnes auxquelles laccs est ncessaire
pour la poursuite de lactivit.
Ressources dinfrastructure cls : il peut sagir de la bureautique (tlphones, fax, imprimantes, copieurs, logiciels locaux, etc.), des locaux
(postes de travail, bureaux, salle de runion, tableaux, etc.), des moyens du
rseau (rseau local, serveurs ou PC local, accs Internet, etc.) ou des
moyens de production spcifiques (machines de production, quipements
individuels de protection, etc.).
Dossiers et informations vitaux : contrats commerciaux, tats papier,
sauvegardes rcentes, copies lectroniques de documents, archives essentielles, etc.
Liens de dpendances entre ressources critiques : les principaux liens de
dpendance entre les ressources cls seront identifis.
Temps dinterruption maximal acceptable : on dfinira pour les ressources cls les temps maximums tolrables dinterruption ou dindisponibilit
pour dfinir les priorits de reprise. Pour les lments du SI, il sagira tout
simplement des RTO et RPO.
Procdures dgrades dj en place : sil existe dj des modes dgrads
prdfinis de gestion de lactivit en cas de problme.
Stratgie de secours possible : par exemple le tltravail, la relocalisation
temporaire sur un site voisin ou le transfert de production sur une autre
usine.
Retour dexprience sur sinistre : si une exprience de sinistre a t vcue,
on identifiera les principales leons en tirer.

Bennasar.Livre Page 230 Mardi, 11. avril 2006 12:53 12

230 Annexes

B.4

EXEMPLE DE PLAN LOCAL DE CONTINUIT DOPRATIONS


Si lexemple suivant est intitul PCA, il sagit en fait dun PCO. Issu du travail
effectu dans le cadre de la mission rapporte dans le cas n 3 (voir paragraphe
6.3, Cas n3 : Mise en place dun plan de continuit oprationnel), il sagit dun PCO
local, la vision par site ayant t privilgie.
Plan local de continuit dactivit
Site de [ complter]
Rvision

1.X

1.X

1.X

Date
metteur
Vrificateur

Sommaire
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

230

Organisation et responsabilits de lquipe de crise du site . . . . . . . . . .

231

Alerte et activation du plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

236

Gestion de crise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

236

Retour la normale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

239

Annexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

241

Introduction
1.1 Objectif
Ce plan de continuit local vise dfinir un mode local de raction face un
sinistre affectant la continuit de lactivit de [entreprise]. Les principaux objectifs
de ce plan sont de :
Minimiser limpact dun sinistre sur les activits de [entreprise] en proposant
une dmarche structure en trois phases :
alerte et activation du plan
gestion de crise
retour la normale

Bennasar.Livre Page 231 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

231

Dfinir lorganisation et les responsabilits dans la mise en uvre de ce plan


local, ainsi que fournir aux acteurs ainsi dsigns des listes de rfrence, ou
check-lists, dactions mener pour assurer la continuit dactivit ;
Identifier les activits, ressources et procdures ncessaires la continuit
de lactivit de [entreprise] pour un site ;
Assurer la coordination des efforts locaux avec les partenaires dans la
gestion de crise (cellule de crise, support interne, fournisseurs externes, etc.).

1.2 Primtre
Le primtre dapplication de ce document est le site de [ complter] de [entreprise]. Cette dfinition inclut :
les locaux ;
les acteurs attachs au site (personnel et prestataires) ;
le matriel : immobilisations corporelles (matriels de bureau, matriel
informatique hardware, etc.) et incorporelles (logiciels en particulier) de
[entreprise] sur le site ;
linformation : les donnes et documents sous toutes formes (papier, base
de donnes, sauvegardes, archives, CD-Rom, etc.).

Organisation et responsabilits de lquipe de crise du site


2.1 Organisation de crise du site
La mise en uvre locale du plan de continuit dactivit de [entreprise] repose
sur des actions :
pilotes par une cellule locale de crise,
ralises par des quipes locales de crise, conformment aux dispositions
dfinies dans le prsent document,
inities par lalerte transmise par le responsable technique de site.
La cellule locale de crise, les quipes locales de crise et le responsable technique
de site constituent ainsi lorganisation locale de crise.
Chaque membre de lorganisation locale de crise est second par un supplant
qui intervient en cas dabsence du titulaire (congs, maladie, etc.) ou dimpossibilit le joindre.
Un membre de lorganisation locale de crise peut assumer plusieurs rles la
fois. Certains membres de lorganisation locale de crise peuvent tre externes au
site (cas de systmes informatiques dlocaliss par exemple). Un membre dune

Bennasar.Livre Page 232 Mardi, 11. avril 2006 12:53 12

232 Annexes

quipe locale de gestion de crise peut intervenir en dbut de gestion de crise


dans une quipe et tre raffect une autre quipe quand les travaux avancent
(cest souvent le cas pour lquipe intervention qui a surtout un rle immdiatement aprs le sinistre).

2.2 Synoptique de lorganisation de crise du site (idem figure 6.2)


2.3 Cellule locale de crise

Constitution
La cellule locale de crise est constitue des :
Responsable de la cellule de crise du site : en gnral un reprsentant de
lentit majeure du site ou de lactivit stratgique
Responsable de lquipe dintervention
Responsable de lquipe logistique et relocalisation
Responsable de lquipe SI
Responsable communication
La cellule locale de crise se runit sur avis du responsable de la cellule locale
de crise dans le local prvu cet effet (tel que dfini dans lannexe 10 : fiche
signaltique de site). En situation de crise, ce local devient le lieu de travail de la
cellule locale de crise.

Nom

Fonction PCA
Responsable
cellule de crise
Responsable
quipe
dintervention
Responsable
quipe logistique
et relocalisation
Responsable
quipe SI
Responsable
communication

Adresse
personnelle

Tlphone
personnel

Tlphone
portable

Statut
(Titulaire /
Supplant)

Titulaire
Supplant
Titulaire
Supplant
Titulaire
Supplant
Titulaire
Supplant
Titulaire
Supplant

Bennasar.Livre Page 233 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

233

Rle et responsabilit de la cellule locale de crise


La cellule locale de crise a les responsabilits suivantes :
Obtenir les informations pralables du responsable technique de site
concernant lvaluation pralable du sinistre (voir figure 6.3, chapitre 6) ;
Planifier, superviser et suivre lensemble des actions dcrites dans le PCA
local ;
Convoquer, superviser et coordonner lensemble des quipes de crise du site ;
Sassurer que les premires consignes de scurit ou procdures durgence
ont t appliques ;
Assurer la liaison avec le QG de crise de [entreprise] le cas chant ;
Proposer et faire valider les actions de communication interne et externe ;
Rendre compte de lavancement et de la mise en uvre du PCA local au
QG de crise.

2.4 quipe dintervention

Constitution
Nom

Fonction
PCA

Adresse
personnelle

Tlphone
personnel

Tlphone
portable

Statut
(Titulaire /
Supplant)

Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant

Rle et responsabilit de lquipe dintervention


Lquipe dintervention a les responsabilits suivantes :
Assurer la coordination des efforts entre les autorits civiles et le personnel ;
Assurer la mise en scurit du personnel du site si ncessaire ;

Bennasar.Livre Page 234 Mardi, 11. avril 2006 12:53 12

234 Annexes

Assurer la rcupration et la mise en scurit des biens matriels et immatriels ;


Rendre compte de lavancement et de la mise en uvre des actions du
PCA local qui lui sont attribues la cellule locale de crise.

2.5 quipe logistique et relocalisation

Constitution
Nom

Fonction
PCA

Adresse
personnelle

Tlphone
personnel

Tlphone
portable

Statut
(Titulaire /
Supplant)

Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant

Rle et responsabilit de lquipe logistique et relocalisation


Lquipe a les responsabilits suivantes :
valuer les dgts causs par le sinistre ;
Contacter la [direction finances/ assurances] pour coordonner la mise en
uvre des procdures dassurances ;
Prendre les dispositions ncessaires pour le transport durgence ;
Prendre en charge les problmes lis au personnel (transport, hbergement, etc.) en coordination avec la DRH si besoin ;
Prendre en charge les actions de recblage et/ou reroutage informatique ou
tlcoms ;
Assurer les actions de communication auprs du personnel ;
valuer et dterminer les fournitures et matriels ncessaires en liaison
avec lquipe SI et commander, si besoin, auprs des fournisseurs (en coordination avec le dpartement achats) ;

Bennasar.Livre Page 235 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

235

Sassurer de la disponibilit des matriels, fournitures et locaux sur le site


de secours ou pour la solution de secours retenue ;
Coordonner les transferts (personnels et matriels) vers le site de secours ;
Rendre compte de lavancement et de la mise en uvre des actions du
PCA local qui lui sont attribues la cellule locale de crise.

2.6 quipe SI

Constitution
Nom

Fonction
PCA

Adresse
personnelle

Tlphone
personnel

Tlphone
portable

Statut
(Titulaire /
Supplant)

Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant
Titulaire
Membre
Supplant

Rle et responsabilit de lquipe SI


Lquipe a les responsabilits suivantes :
valuer et dterminer les fournitures et matriels SI ncessaires en liaison
avec lquipe logistique et relocalisation ;
Rcuprer les dernires sauvegardes du site (internes ou externes) ;
Remonter le systme dexploitation, les bases de donnes, les applications
sur les machines de secours ;
Tester les applications ;
Coordonner la remise en service des systmes ;
Rendre compte de lavancement et de la mise en uvre des actions du
PCA local qui lui sont attribues la cellule locale de crise.

Bennasar.Livre Page 236 Mardi, 11. avril 2006 12:53 12

236 Annexes

Alerte et activation du plan


Dfinition des sinistres
De multiples sinistres peuvent avoir un impact sur lactivit de [entreprise].
Lactivation du plan de continuit dactivit ne sera cependant pas systmatique. Les solutions de gestion de la crise seront diffrentes selon la gravit prvisible ou constate du sinistre. Plusieurs niveaux de gravit des sinistres ont ainsi
t identifis (voir Annexe 7). Les modalits de gestion de la crise sont corrles
ces niveaux de gravit. Deux facteurs permettent de caractriser un sinistre :
lestimation de sa gravit et la dure prvisionnelle dinterruption de lactivit
due au sinistre. La classification des sinistres figure dans les tableaux de lannexe 7.

Alerte et activation du plan


Dans une situation durgence, la priorit absolue de [entreprise] est la prservation de la sant et de lintgrit de ses collaborateurs et prestataires, et ce, avant
le dclenchement dune alerte ou le lancement des actions contenues dans ce
plan de continuit dactivit.
Lalerte est lance par tout membre du personnel de [entreprise] qui constate
un sinistre selon les indications donnes dans les fiches rflexes.
En fonction du type de sinistre (comme spcifi dans les fiches rflexes), le
collaborateur appelle les interlocuteurs dsigns. La procdure dalerte est
synthtise dans la figure 6.3.

Gestion de crise
La cellule locale de crise et chaque quipe de crise se voient attribuer une liste
dactions mener ds que la phase dalerte a conduit lactivation du plan.
Les actions senchanent chronologiquement ce qui permet den optimiser le
droulement.
Cette liste de rfrence constitue une check-list qui sera la base du reporting
entre, dune part, lquipe et la cellule locale de crise, et dautre part, entre la
cellule locale de crise et le QG de crise de [entreprise] (le cas chant).

Bennasar.Livre Page 237 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

237

Cellule locale de crise

EN CRISE
Action

Fait

Activer le centre de gestion de crise local


Informer les membres de la cellule locale de crise du passage en gestion de crise
Rassembler la cellule locale de crise du site dans le centre de gestion de crise
Lancer les actions des quipes de crise du site
Coordonner la gestion de crise avec le QG de crise le cas chant
Superviser et suivre lensemble des actions du PCA local
Autoriser et enregistrer les dpenses additionnelles engages la suite
du sinistre (cot de transports, matriels de scurit, etc.)
Assurer le suivi de la gestion locale de la crise
En coordination avec la DRH et la direction de la communication, proposer
et faire valider les actions de communication interne et externe
Faire un rapport au management et au QG de crise le cas chant

POST-CRISE
Action

Fait

Assurer le retour au processus normal aussi vite que possible


Rassembler les quipes pour lanalyse post-sinistre et le reporting
Planifier les rparations des quipements endommags

quipe dintervention
Action
Coordonner les efforts entre les autorits civiles (le cas chant) et le personnel
Coordonner la prise en charge des membres du personnel ventuellement
blesss (en corrlation avec les autorits civiles et la DRH)
Se mettre disposition des autorits civiles (le cas chant) pour les aider
dans leur mission
Assurer la mise en scurit du personnel par lapplication des consignes

Fait

Bennasar.Livre Page 238 Mardi, 11. avril 2006 12:53 12

238 Annexes

Action

Fait

Scuriser les caisses et autres liquidits sur le site


Identifier, valuer et scuriser le matriel et les fournitures rcuprables
Assurer la scurit du site sinistr (gardiennage supplmentaire si besoin)
Rendre compte la cellule locale de crise

quipe logistique et relocalisation


Action
Raliser lvaluation dtaille du sinistre
Prendre des photos des dgts pour les assurances
Identifier les htels et effectuer les rservations en fonction des besoins
Identifier et rserver les prestataires de transports
Coordonner les transferts et lhbergement du personnel cl vers le site de
secours
En coordination avec lquipe SI et en fonction des matriels rcuprables
(valus par lquipe dintervention), valuer le matriel ncessaire (hors hardware
et software) pour la solution de secours retenue
Aprs accord de la cellule locale de crise, passer commande des matriels de
secours auprs des fournisseurs (en coordination avec le dpartement achats)
Contacter la famille des membres du personnel bless (en corrlation avec
la DRH)
En coordination avec la cellule locale de crise, assurer les actions de communication interne et externe
Coordonner avec la direction finances/assurances le lien avec les compagnies
dassurance
Coordonner lacheminement des matriels vers le site de secours (y compris
les sauvegardes bureautiques)
Assurer les actions de recblage et/ou reroutage informatique et tlcoms
Sassurer que les matriels, fournitures et locaux dfinis dans la solution de
secours retenue sont disponibles sur le site de secours
Sassurer que les locaux sont clos aprs dpart (lectricit et eau coupes,
locaux scuriss, etc.)
Rendre compte la cellule locale de crise

Fait

Bennasar.Livre Page 239 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

239

quipe SI
Action

Fait

Rcuprer les sauvegardes bureautiques du site (interne ou externe)


Rcuprer les sauvegardes du systme (internes ou externes)
En fonction des matriels rcuprables (valus par lquipe dintervention),
valuer le matriel ncessaire (hardware : bureautique et systme) pour la
solution de secours retenue
En fonction des matriels rcuprables (valus par lquipe dintervention),
valuer le matriel ncessaire (software) pour la solution de secours retenue
Aprs accord de la cellule locale de crise, passer commande des matriels de
secours auprs des fournisseurs (en coordination avec le dpartement achats)
Installer et configurer les machines de secours (systme dexploitation, applications, bases de donnes)
Valider le recblage et le reroutage (rseau et tlcoms) avec lquipe logistique
et relocalisation
Raliser les tests techniques sur les machines de secours
Remonter les sauvegardes systme
Tester les sauvegardes systme
Remonter les sauvegardes bureautiques du site
Tester les sauvegardes bureautiques du site
Tester les applications (tests techniques et tests utilisateurs)
Coordonner le recblage et le reroutage (rseau et tlcoms) avec lquipe
logistique et relocalisation
Coordonner les validations bout-en-bout de lensemble du systme
(rseau, hardware, software, etc.)
Redmarrer les systmes quand les tests sont satisfaisants
Rendre compte la cellule locale de crise

Retour la normale
Les modalits de retour la normale dcrites ci-dessous permettent de grer au
mieux un retour une situation nominale.
Dans certains cas, ce retour la normale permet de revenir une situation
identique celle prcdant le sinistre (lorsque les dommages subis sont temporaires,
notamment).

Bennasar.Livre Page 240 Mardi, 11. avril 2006 12:53 12

240 Annexes

Dans une majorit de cas (plus particulirement, lorsque les dommages subis
sont irrversibles et dfinitifs, lors dun incendie par exemple), le retour la
normale ncessite des travaux, voire une relocalisation permanente.
Le retour la normale passe habituellement par 3 phases :
Rparations
Remplacement des quipements et fournitures
Tests de linstallation (nouvelle ou rpare)
Le retour la normale est pilot par la cellule locale de crise. Si un QG de
crise a t mis en place pour le dclenchement du plan de continuit, le retour
la normale ne peut seffectuer sans laccord exprs de celui-ci.
En plus des trois phases numres, le retour la normale passe obligatoirement
par linformation du personnel.

Rparations
Action

Fait

Sassurer que les installations endommages ont fait lobjet de remise


niveau : nettoyage, remise en service des process fluides (eau, gaz, lectricit)
et des infrastructures (ascenseurs, cage descalier, mobilier, etc.)
Sassurer que les matriels non remplacs ont t rpars le cas chant

Remplacement des quipements et fournitures


Action

Fait

Sassurer que les quipements et fournitures de remplacement ont bien t


commands et rceptionns
Sassurer que les quipements et fournitures de remplacement sont installs

Test de linstallation (nouvelle ou rpare)


Avant dautoriser la mise en service oprationnel dune installation ayant subi
des dommages suite un sinistre, les tapes suivantes pourront tre obligatoires.
Il est du ressort de la cellule locale de crise de statuer sur la pertinence de chaque
tape en regard du prjudice subi. Les tests devraient comprendre les tapes indiques ci-dessous :

Bennasar.Livre Page 241 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

Action
Thme
Analyse de risques

241

Fait
Action

Analyse des risques rsiduels


Dfinition du plan de couverture des risques

Tests fonctionnels

Tests applicatifs par les informaticiens


Recette utilisateurs

Tests de performance

Tests techniques sur le hardware


Tests de pr-production (charge, fuite mmoire,
accs simultans, etc.)

Tests de scurit

Scurit physique
Scurit logique
Scurit des communications
Scurit de lenvironnement

Annexes
Annexe 0 : Les principaux contacts utiles en interne
Annexe 1 : Coordonnes du personnel du site
Annexe 2 : Coordonnes des principaux fournisseurs
Annexe 3 : Numros durgence (autorits civiles)
Annexe 4 : Inventaires du site
Annexe 5 : Sauvegardes de donnes
Annexe 6 : Procdures doprations (systme)
Annexe 7 : Matrice dvaluation des dgts et de classification du sinistre
Annexe 8 : Solutions de secours suivant la gravit des scnarios de sinistre
Annexe 9 : Premires consignes de scurit ou procdures durgence
Annexe 10 : Fiche signaltique de site

Annexe 0 : Principaux contacts utiles

Nom

Fonction (Direction/ Division/


Service)

Adresse
personnelle

Poste
tl.
sur site

Tl.
personnel

Tl.
portable

Bennasar.Livre Page 242 Mardi, 11. avril 2006 12:53 12

242 Annexes

Annexe 1 : Coordonnes du personnel du site

Nom

Fonction (Direction/ Division/


Service)

Adresse
personnelle

Poste
tl.
sur site

Tl.
personnel

Tl.
portable

Annexe 2 : Coordonnes des principaux fournisseurs

Fournisseurs actifs (sous contrat ou ayant fourni des biens ou services


dans les deux derniers mois)
Type
de fourniture
Matriel informatique

Commentaires/
Domaine
Bureautique
Bureautique

Site de repli
ou de secours
Stockage externalis

Supports
magntiques
Supports papier

Fluides

Groupe (Fuel)

Mobilier et fournitures
de bureau

Fax
Photocopieur
Fournitures

Prestataires de service

Ascenseurs
Tlviseurs
Rseau interne
Bureautique
Groupe
Onduleurs
Gardiennage

Nom

Adresse

Tlphone

Bennasar.Livre Page 243 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

243

Fournisseurs en backup (pr-rfrencs ou identifis comme pouvant


se substituer lun des fournisseurs actifs en cas de dfaillance)
Type de fourniture

Commentaires/
Domaine

Nom

Adresse

Tlphone

Matriel informatique

Site de repli ou de
secours
Stockage externalis

Tlcoms

Mobilier et fournitures
de bureau
Prestataires de service

Annexe 3 : Numros durgence (autorits civiles)


Organisme

Champ daction

Tlphone

Police

Scurit sur le territoire national

17

Pompiers

Secours aux personnes en cas dincendie,


de catastrophe naturelle

18

SAMU

Secours mdical en cas de maladie,


daccident

15

Centre antipoison
Hpitaux de proximit
Services brls
Chirurgie de la main
Etc.

Bennasar.Livre Page 244 Mardi, 11. avril 2006 12:53 12

244 Annexes

Annexe 4 : Inventaires du site

Bureautique
Type quipement

Modle

Configuration

Quantit

Commentaire

Configuration

Quantit

Commentaire

PC, moniteur, imprimante

Autre matriel de bureau


Type quipement

Modle

vido projecteur, scanner, lecteur cartouches,


modem, etc.

Documents et dossiers critiques


Dossier

Note de criticit

Format (lectronique
ou papier)

Commentaire

Hardware informatique
Type quipement

Modle

Configuration

Quantit

Commentaire

Quantit

Commentaire

Serveur, routeur, switch,


cble, consoles, etc.

Software
Type quipement

Applications et Version

Annexe 5 : Sauvegardes de donnes

Procdure de sauvegarde de donnes : version de rfrence


Rfrence

Intitul

Version jour

Disponible

Bennasar.Livre Page 245 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

245

Liste des donnes sauvegardes


Nature

Identification

Mdia (CD,
DLT, etc.)

Nombre
de copies

Localisation/ Prestataire de stockage

Annexe 6 : Procdures doprations (systme)

Procdure doprations (systme) : version de rfrence


Rfrence

Intitul

Version jour

Disponible

Liste des applications utilises


Nom

Objet

Configuration
ncessaire

Responsable fonctionnel/
Coordonnes

Localisation

Annexe 7 : Matrice dvaluation des dgts et de classification du sinistre


Il sagit des outils daide lvaluation des sinistres pour le responsable technique
de site ds quil reoit une alerte.

valuation rapide du sinistre

valuation rapide de sinistre

Auteur :
Date :
Fait ?

Nature du sinistre
Y a-t-il plus dun site impact ? (Si oui, lesquels ?)
Y a-t-il des blesss ? (Si oui, gravit ?)
quelle dure estimez-vous limpact du sinistre sur
la continuit dactivit ? (1h/ 1 jour/ 1 semaine / 1 mois)
La gestion des oprations et la production sont-ils en jeu ?
Limpact ventuel sur le CA et les pertes financires
indirectes serait :
< 100 keuros ? (faible)
>100 keuros et < 1 Meuros ? (moyen)
> 1 Meuros et < 5 Meuros ? (grave)
> 5 Meuros ? (critique)

Bennasar.Livre Page 246 Mardi, 11. avril 2006 12:53 12

246 Annexes

Auteur :
Date :

valuation rapide de sinistre

Fait ?
Quel est le nombre approximatif demploys dans limpossibilit dexercer leur activit ? (1/ 5/ 10/ 30/ 50/ plus ?)
Y a-t-il un risque de retombes mdiatiques dfavorables
pour lentreprise court ou moyen terme ?
Limpact prvisible sur la satisfaction des clients
est-il critique, grave, moyen, faible, nul ?
Limpact rglementaire prvisible est-il critique, grave,
moyen, faible, nul ?
Remarques

Annexe 8 : Solutions de secours suivant la dure prvisionnelle dinterruption

Processus [ complter]

Infrastructure

RH

1 jour

1 semaine

1 mois

Commentaires

Acteurs cls interne


Acteurs cls externe
Relocalisation
PC + accs
Tlphones
Bureautique

SI

Applications
Autres

Annexe 9 : Premires consignes de scurit ou procdures durgence

Version de rfrence
Rfrence

Intitul

Version jour

Disponible

Bennasar.Livre Page 247 Mardi, 11. avril 2006 12:53 12

B. Quelques illustrations documentaires de la mthodologie

247

Annexe 10 : Fiche signaltique de site


SITE [ complter]
Renseignements cls
1. Type Btiment

2. Nombre tages

3. Superficie

4. Proprit du site

5. Partition

6. Nombre de
personnes sur site

7. Responsable de
site / coordonnes

8. Directions prsentes sur site

9. Sous-sol

10. Centre local de


gestion de crise

12. Accs TC

13. Accs routiers

14. Zone
dimplantation

15. Autre

Environnement
11. Sites sensibles
proximit

Disponibilit du site pour hberger dautres services en cas durgence


21. Superficie
disponible

22. Nombre de
bureaux

23. Infrastructure

24. Matriels
divers

32. Informatique
mtier

33. Tlphonie

34. Liaisons

35. Autre

43. Tlphonie

44. Liaisons

45. Autre

quipements du site
31. Informatique
support

quipements de secours
41. Informatique
support

42. Informatique
mtier

Risques majeurs identifis pour le site


51. Origine naturelle
52. Origine humaine
53. Origine technique

Notes :
1.

Ancien/neuf, IGH, etc.

2.

Au-dessus du sol

3.

En m2

4.

Locaux de lentreprise, locaux lous, locaux partags, etc.

Bennasar.Livre Page 248 Mardi, 11. avril 2006 12:53 12

248 Annexes

5.
6.
7.
8.
9.
10.
11.

12.
13.
14.
15.
21.
22.
23.
24.
31.
32.
33.
34.
35.
41.
42.
43.
44.
45.

Le site est divis ou pas en zones diffrentes


Distinguer personnel et prestataire
Sil existe un responsable oprationnel de site et un responsable hirarchique, faire la distinction
Lensemble des directions qui sont reprsentes sur le site
Surface, nombre de niveaux de sous-sol, etc.
Il sagit du lieu de rassemblement des quipes de crise du site, en cas de sinistre.
Par exemple : hpitaux, industries sensibles, sites militaires, usine de traitement des eaux,
btiments de ladministration publique (ministre, ambassade, mairie, conseil gnral, etc.),
sige social de multinational, caserne de pompiers, commissariat de police, universits, lieux
de culte, lieux de culture (opras, muses, salle dexposition, etc.), centres de transport (aroport, gare ferroviaire ou routire, etc.), entrepts, centre logistique (poste, coursiers, grande
distribution), centres commerciaux dimportance, etc.
Principaux accs par les transports en commun : mtro, RER, bus, TER, etc.
Principaux accs routiers : autoroutes, nationales, etc.
Zone dimplantation : zone urbaine (plus ou moins dense), zone industrielle, ZAC, etc.
Tout autre renseignement concernant lenvironnement du site
En m2
Nombre de salles distinctes
Accs rseau, lignes tlphoniques, etc.
PC, Imprimantes, chaises, tables, armoires, etc.
Comprend les aspects bureautiques et rseau interne : PC, imprimantes, photocopieuses, scanners,
accs rseau et Internet
Comprend les applications lies au SI et les systmes en place autour
Comprend les tlphones, PABX, fax, portables, etc.
Il sagit des liaisons LS, Transpac, etc.
Toute autre information pertinente concernant lquipement du site
Idem 31 quipements de secours correspondants
Idem 32 quipements de secours correspondants
Idem 33 quipements de secours correspondants
Idem 34 quipements de secours correspondants
Idem 35 quipements de secours correspondants

Bennasar.Livre Page 249 Mardi, 11. avril 2006 12:53 12

C
Les dmarches connexes
et les mthodes associes

Plusieurs dmarches adoptes par les entreprises se recoupent avec la dmarche


de continuit dactivit. Les mthodes et outils associs auront dailleurs souvent
une utilit dans lapproche continuit dactivit. Il me semble que les trois
dmarches qui ont le plus de synergies sont les dmarches qualit des SI, scurit
des SI et les approches de type management des risques.
Leurs principales dclinaisons rcentes sont succinctement dcrites. Ces
descriptions nont quun but introductif et ne sauraient constituer des bases de
travail pour leur mise en uvre.

C.1

LA QUALIT (DOMAINE SI)

ISO 9001
Le rfrentiel ISO 9001 est le plus connu et le plus rpandu dans le monde. Il a
pour vocation ddicter les exigences pour la mise en place dun systme de
management de la qualit afin den faire un outil de pilotage de lactivit visant
assurer la satisfaction des clients.
La dernire version du rfrentiel (2000) fonde le systme de management
sur une approche processus de lentreprise, lcoute du client.
Cest surtout en raison de sa notorit, de sa lisibilit sur la scne internationale
et de la possibilit dobtenir une certification quil est choisi.

Bennasar.Livre Page 250 Mardi, 11. avril 2006 12:53 12

250 Annexes

Sil ne prsente aucune spcificit pour le monde des systmes dinformation,


il a nanmoins t retenu comme base du systme qualit par de grands groupes
(comme la direction des systmes dinformation dAir France ou lentreprise
Amadeus par exemple).
Lors de la mise en place dun systme de management de la qualit au sein de
directions SI, il est courant de sappuyer sur dautres modles compatibles qui
servent de tremplins lobtention de la certification ISO 9001. Cest le cas des
modles ISO SPICE, CMMi et ITIL en particulier. La COFACE, par exemple, a
choisi le modle ISO SPICE comme planche dappel vers la version 2000 de
lISO 9001 pour sa DSI.

ISO SPICE
ISO SPICE (norme XP ISO/CEI TR 15504, dite ISO SPICE) est un modle
dvaluation de la maturit des processus du logiciel. SPICE est lacronyme de
Software Process Improvement Capability dEtermination. Si son but premier ntait
pas tant la modlisation que lvaluation, son usage a t souvent dtourn pour
en faire un modle dans la dfinition des processus du cycle du gnie logiciel
(capitalisant en cela les travaux effectus sur lISO 12207). ISO SPICE est clairement orient tudes et dveloppement (au contraire dITIL par exemple qui
est rsolument orient production et services informatiques).
Inities en 1993, les rflexions qui ont abouti la publication du rfrentiel
ISO SPICE visaient spcifier un standard en matire de pratique de dveloppement dapplication. Aujourdhui, le rfrentiel propose un modle de management
de processus ainsi quun ensemble dexigences et de conseils pour lvaluation et
lamlioration de ces processus.
Ce modle propose deux dimensions qui permettent de dcrire la maturit de
chaque processus :
Une dimension Processus qui dfinit les activits majeures du gnie logiciel,
regroupes en cinq familles (activits lies au client, activits dingnierie,
activits de support, activits dorganisation et activits de management) ;
Une dimension Aptitude qui propose des modes dapplication et de gestion
de ces activits en tendant vers des processus de plus en plus efficaces.
Le rfrentiel normatif de SPICE est lui-mme compos de neuf parties dont
la principale est lXP ISO/CEI TR 15504-5 qui prsente le modle lui-mme. Les
autres parties visent dcrire les modalits dvaluation, les critres de qualification
des valuateurs, le vocabulaire associ, etc.
Le modle ISO SPICE propose ainsi 36 processus type, dfinis par des pratiques
de base, et chacun de ces processus type peut tre mis en uvre au sein dune
entreprise un niveau de maturit qui va du niveau 0 (processus incomplet) au

Bennasar.Livre Page 251 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

251

niveau 5 (processus en optimisation). Chaque entreprise qui souhaite samliorer


pourra faire son march parmi les processus type de lISO SPICE et travailler
lamlioration du niveau de maturit des processus choisis. Il est cependant
vident que la vision de SPICE selon un rfrentiel deux dimensions (processus,
aptitude) nest pas orthonorme : la mise en uvre de certains processus comme
la gestion de la documentation (dans la dimension Processus) constitue un prrequis
latteinte dun certain niveau de maturit (dans la dimension Aptitude). Il ny a
pas indpendance complte des deux dimensions.
La vision apporte par ISO SPICE est voisine de la reprsentation continue
du CMMi, qui le lui a emprunt dans sa dernire version.
ISO SPICE a par exemple t utilis comme modle pour la dfinition des
processus mtier de la filiale de distribution en ligne de la SNCF (voyagessncf.com) ou, on la vu, comme outil support de la direction informatique de
COFACE (lors de son passage la version 2000 de la norme ISO 9001).

Le Capability Maturity Model Integration (CMMi)


Le CMMi est un rfrentiel de pratiques cls mettre en uvre pour grer, entre
autres, le dveloppement du logiciel. volution du modle initial SW-CMM
(pour Software Capability Maturity Model), il couvre un primtre plus large (do
le i de CMMi), notamment lingnierie de systmes et lacquisition de logiciels.
Comme le SW-CMM, le CMMi a t conu par le Software Engineering Institute (SEI) de luniversit Carnegie-Mellon.
Le CMMi permet de classer en cinq niveaux de maturit les pratiques de
lentreprise, le niveau de maturit 1 tant le niveau par dfaut que dtient toute
organisation. Le niveau 3 est le niveau moyen gnralement vis (souvent assimil
au niveau des exigences de lISO 9001, quoique cette vision soit contestable).
Pour atteindre chaque tage, lentreprise doit mener des actions damlioration
au niveau de processus cls.
Le modle CMMi ninduit pas dorganisation particulire. Seules les pratiques doivent satisfaire aux exigences du modle. Son champ daction nest pas
non plus la qualit du produit fini. Seuls les processus sont concerns, le postulat
tant que lentreprise a plus de chances de concevoir un logiciel de qualit si les
processus pour le fabriquer sont de qualit.
Une des volutions majeures du modle CMMI est sa double reprsentation :
continue et niveaux.
La reprsentation continue est hrite du modle ISO-SPICE. Parmi les
25 processus du modle, lentreprise peut choisir ceux quelle souhaite optimiser
pour atteindre un certain niveau de maturit, processus choisi par processus
choisi.

Bennasar.Livre Page 252 Mardi, 11. avril 2006 12:53 12

252 Annexes

A contrario, dans la reprsentation niveaux, pour atteindre le niveau 2, sept


processus sont mettre en uvre au niveau des exigences du modle. Latteinte
du niveau 3 repose sur la matrise de 14 processus supplmentaires. Les niveaux 4
et 5 peuvent tre atteints par la mise en uvre de deux processus supplmentaires chacun. Dans le modle niveaux, lentreprise ne choisit pas les processus
quelle souhaite optimiser mais le niveau de maturit global quelle veut atteindre.
Des entreprises comme Thals, JP Morgan Chase & Co., Bosch ou Alcatel
utilisent le CMMi.

ITIL
LInformation Technology Infrastructure Library (ITIL) est laboutissement
dannes de rflexion et dexprience pratique des problmes poss par la gestion
de la production informatique. Le concept cl dITIL est la notion que le service
informatique est prestataire de services auprs des utilisateurs. Lobjectif dITIL
est de constituer un rfrentiel de bonnes pratiques pour la fourniture de services
informatiques. ce titre, il na pas dquivalent en terme dexhaustivit, de
structure et dadoption.
la fin des annes 1980, des groupes de travail de professionnels des services
informatiques (responsables oprationnels, consultants et experts) ont t runis
par la Central Computer & Telecommunications Agency (CCTA), agence gouvernementale britannique charge damliorer lefficacit et la qualit des services
informatiques centraux des ministres. Les rsultats ont t publis sous forme de
guides de bonnes pratiques bientt regroups et commercialiss sous le nom de
Information Technology Infrastructure Library (ITIL).
ITIL sest depuis rapidement rpandu en Europe (en particulier aux Pays-Bas) et
aux tats-Unis o il connat un succs croissant. En France, son utilisation est
encore en retrait mais la prochaine traduction en franais des deux rfrentiels
fondamentaux (Service Delivery et Service Support) acclrera sans doute un mouvement dadoption qui prend rgulirement de la vitesse depuis quelques annes.
Trois concepts cls sous-tendent la construction et lesprit dITIL. Ces trois
concepts ont dailleurs t largement repris dans la nouvelle version de lISO 9001 :
Customer focus (coute client) : le client (lutilisateur) doit tre plac au
centre des proccupations de la direction des SI (la DSI na pas de raison
dtre sans lui).
Lifecycle management (gestion du cycle de vie) : les problmatiques de services
informatiques ne dbutent pas la mise en production des applications et
doivent tre prises en compte ds les phases dtudes et de dveloppement.
Process management (approche processus) : la qualit de service a plus de
chances dtre satisfaisante si on la considre comme rsultant dune
bonne gestion des processus de services.

Bennasar.Livre Page 253 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

253

La bibliothque ITIL se prsente sous la forme dun ensemble de guides de


bonnes pratiques (version papier ou CD-Rom commercialiss par lOffice of
Government Commerce, OGC) traitant les domaines suivants :
Business Perspective : ce livre traite de lorganisation de la fourniture de
services informatiques (organisation de la production, relations entre les
fonctions, rles et responsabilits, relations avec les fournisseurs et prestataires externes, amlioration continue).
Service Delivery : ce livre, lun des deux piliers dITIL, est consacr la
gestion de la fourniture des services (gestion des niveaux de service ou Service
Level Management, gestion des capacits et de la performance, gestion de la
disponibilit, gestion de la continuit de service, gestion financire).
Service Support : cet ouvrage, deuxime pilier dITIL propose les bonnes
pratiques pour la gestion de linfrastructure technique (gestion des configurations, gestion des incidents et des problmes, service desk, gestion des
changements, gestion des mises en production).
ICT Infrastructure Management regroupe les bonnes pratiques ncessaires
pour dfinir les processus, lorganisation et les outils aptes la fourniture
dune infrastructure technique stable (gestion de lexploitation, gestion
des oprations, maintenance, installation, administration de rseaux,
administration des systmes, etc.).
Application Management sintresse aux relations entre tudes et exploitation
(support logiciel, mise en production).
Security Management traite des questions de scurit, particulirement
celles qui peuvent exister dans une convention de service
Planning to Implement Service Management est le recueil des bonnes pratiques
pour la mise en uvre pratique dITIL.
Software Asset Management sintresse aux bonnes pratiques pour la gestion
du parc logiciel (licences, politique de gestion du parc logiciel, etc.).

Approche processus par lanalyse des risques1 (APAR)


Lapproche processus par lanalyse des risques (APAR) nest rien dautre que
lapplication des concepts de management et danalyse des risques lapproche
processus prconise par les mthodes modernes du management de la qualit. Il
ny a pas de paternit revendique ce qui ne constitue, somme toute, que le
croisement de deux outils extrmement rpandus aujourdhui.
La seule nouveaut consiste dfinir le processus partir dune analyse des
risques de non-atteinte de ses objectifs. Une fois les objectifs du processus
1. Acronyme et mthodologie de lauteur.

Bennasar.Livre Page 254 Mardi, 11. avril 2006 12:53 12

254 Annexes

dfinis, lanalyse porte sur tous les scnarios pouvant conduire lchec du processus.
On audite alors le mode de fonctionnement du processus en regard des risques et
on dfinit les mesures complmentaires de rduction des risques pour scuriser
son fonctionnement.
Cette mthode dapproche processus par lanalyse des risques nest pas un
outil de cartographie des processus mais permet davoir une approche pragmatique
lors des redfinitions de processus.

Le Service Level Management pour les solutions externalises (Mthode AASMA)


Point dattention des bonnes pratiques dITIL (ITIL, Service Delivery, 4), le
Service Level Management (ou gestion des niveaux de service) prend tout son sens
dans la mise en uvre dune politique de secours externalise.
Lobjet de la convention de service (ou Service Level Agreement) est de dlimiter le contenu et les conditions de dlivrance du service (en loccurrence, la
mise disposition dune solution de secours externalise). Il sagit de formaliser,
en des termes faciles comprendre pour le client et aiss mesurer pour le fournisseur, des engagements rciproques de service. Le primtre pourra aller de la
simple location dune salle blanche la mise disposition dune infrastructure
ddie soutenue par un personnel entran.
En gnral, les conventions de service mises en uvre dans le cas des solutions de secours sont rarement adosses un suivi dindicateurs pour la simple
raison que le service fourni est plutt la promesse de la fourniture dun service
dans des conditions critiques pour lentreprise. Il en va toutefois diffremment
lorsque la solution de secours est une solution de haute disponibilit o des
oprations de synchronisation sont permanentes, o le secours est test une
frquence trs rgulire et o la solution de backup est parfois utilise comme
environnement de production.
La convention de service est gnralement rdige par le prestataire et
approuve par le bnficiaire. Sont gnralement attaches la convention de
service des pnalits pour non-respect des engagements. Celles-ci sont imputables au fournisseur mais, comme la convention de service exige une rciprocit
dengagement, elles peuvent tre contestables par ce dernier quand le client ne
remplit pas ses propres engagements.
Dans le cas qui nous intresse (solution de secours externalise), une convention
de service reprend en gnral les lments suivants :
Objet.
Primtre couvert par la convention (validit, limites et exclusions, applications ou SI concerns, infrastructure matrielle, localisation gographique, interlocuteurs, responsabilits dans la gestion de la convention, etc.).

Bennasar.Livre Page 255 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

255

Description des engagements de service tant ct fournisseur (disponibilit, dlai de mise en uvre, garantie de mise disposition de personnel,
frquence et modalits de test de la solution, etc.) que ct client (respect
des procdures dalerte et descalade, fourniture du bon niveau dinformation,
mise disposition des donnes des sauvegardes de recours, fourniture des
scnarios et pilotage des tests, etc.).
Dfinition des conditions de satisfaction des engagements.
Description des modalits de contrle du respect des engagements (audit,
tests, visites impromptues, questionnaires, etc.).
Description des pnalits associes au non-respect des engagements : ce
sont souvent des contreparties financires associes aux prjudices subis
par le non-respect des engagements du fournisseur. Dans le cas qui nous
intresse, on voit que ces pnalits peuvent tre importantes. Elles sont en
partie dictes par les tudes menes lors de la phase de bilan dimpact sur
lactivit.
Modalits de rvision du document (frquence, domaines susceptibles
dtre rviss, conditions daccord, etc.).
La mthode AASMA1 (Alignement, attentes, spcification, monitoring,
amlioration), oriente fournisseur de services, reprend les principales tapes
pour la mise en place dune convention de service ou, plus gnralement, dune
dmarche de Service Level Management :
Alignement sur les
objectifs stratgiques

Ajustement et
amlioration

Monitoring
(outils +processus)

Recueil
des attentes clients

Proposition et
ngociation du SLA*

Figure C.1 Mthode AASMA

1. Acronyme et mthodologie de lauteur.

Bennasar.Livre Page 256 Mardi, 11. avril 2006 12:53 12

256 Annexes

Les cinq tapes de la mthode AASMA correspondent aux ralisations


suivantes :
Alignement de la proposition et des engagements de services sur les objectifs stratgiques.
Recueil des Attentes du client (ou des utilisateurs, si la prestation est interne).
Spcification et ngociation du Service Level Agreement (ou convention de
service).
Monitoring du Service Level Agreement.
Ajustement et Amlioration continue.

C.2

LA SCURIT DES SI
Traditionnellement, deux coles coexistent en scurit des systmes dinformation :
lapproche mthode et lapproche bonnes pratiques .
La premire vise dfinir les outils permettant un organisme qui souhaite assurer la scurit de son SI de construire une solution de scurit couvrant ses besoins.
Elle passe par le recensement des risques et vulnrabilits, la dfinition des besoins
de scurit, la dfinition des dispositifs, techniques et humains qui vont donner le
niveau de scurit recherch. Lentreprise est considre comme un objet auquel on
va appliquer une mthode de scurit. Cest une dmarche spcifique chaque
entreprise. On trouve dans cette premire cole les mthodes EBIOS, MEHARI et
@NETS par exemple (il en existe bien dautres, comme OCTAVE ou loutil
COBRA, mais moins rpandues en France). Cette approche est exhaustive, trs
adapte aux besoins spcifiques mais lourde mettre en uvre.
La deuxime postule que les principes et moyens scurit se ressemblent pour
toutes les entreprises et que lessentiel des moyens de scurisation se rsume un
socle commun : les bonnes pratiques. Dans cette approche, lentreprise nest pas
lobjet dune tude spcifique. Lanalyse de scurisation est un diagnostic dcart
(gap analysis) entre les bonnes pratiques et les pratiques de lentreprise. La scurisation passera par la mise en conformit des pratiques aux bonnes pratiques . Cette approche est beaucoup plus pragmatique, plus lgre mettre en
uvre et bien adapte une structure et une activit dentreprises classiques. Les
deux principaux rfrentiels de bonnes pratiques sont dorigine anglo-saxonne :
ITIL et lISO 17799.
Les deux approches ne saffrontent pas sans cesse. La complmentarit des
deux, lorsquelle est bien orchestre par un spcialiste de la scurit, est mme fortement recommande : une analyse de risques base sur une mthode de scurit,

Bennasar.Livre Page 257 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

257

suivie dune mise niveau par rapport un rfrentiel de bonnes pratiques est un
compromis idal entre le cot de mise en uvre et ladaptation aux enjeux et
aux spcificits de lentreprise. Il est de toute faon difficile de faire limpasse sur
une analyse des risques et vulnrabilits, ft-elle simplifie, mme si lon recourt
plus volontiers une approche de type bonnes pratiques .

Quelques mthodes de scurit

EBIOS
EBIOS (Expression des besoins et lidentification des objectifs de scurit) est la
mthode de la DCSSI (Direction centrale de la scurit des systmes dinformation, centre focal de ltat pour la scurit des systmes dinformation ) pour
lapprciation et le traitement des risques relatifs la scurit des systmes
dinformation. Elle sinspire de certains travaux de lOTAN. Elle permet de rdiger
diffrentes formes de cahier des charges de scurit des SI (FEROS, profils de
protection...) et de contribuer llaboration du rfrentiel dun organisme
(schma directeur SSI, politique de scurit des systmes dinformation, tableaux
de bord SSI...). EBIOS sorganise en quatre tapes principales :
Ltude du contexte
Lexpression des besoins
Ltude des risques
Lidentification des objectifs de scurit
EBIOS est une mthode trs complte, qui permet daborder de faon systmatique lanalyse des risques et des vulnrabilits dun systme dinformation.
Elle est utilise notamment dans ladministration franaise. EBIOS propose des
outils et guides pratiques qui permettent sa mise en uvre autonome. Autre
avantage, EBIOS est dans le domaine public. Sa mise en uvre est toutefois
complexe et gourmande en ressources : son exhaustivit et son langage technique
(beaucoup dacronymes et de concepts propritaires) exigent une grande pratique.
Pour ces raisons, EBIOS ne me semble pas convenir, tel quel, aux enjeux de la
plupart des entreprises franaises.
En revanche, sans aller jusqu une mise en uvre complte dEBIOS, beaucoup
dentreprises pourront sinspirer de son outillage pour raliser la phase 1 de la
mise en place dun plan de continuit dactivit (analyse du contexte) : en particulier, les rpertoires des menaces et des vulnrabilits proposent des typologies
fort intressantes pour stimuler la rflexion dun groupe de travail qui se penche
sur la cartographie des risques et vulnrabilits.
Une autre utilisation pragmatique dEBIOS me semble lutilisation de la
dmarche globale de Construction de la scurit dun systme dinformation 1
1. EBIOS, Guide technique, V1.02, p. 13, figure 1.

Bennasar.Livre Page 258 Mardi, 11. avril 2006 12:53 12

258 Annexes

pour btir un systme complet de scurit (politique, architecture technique et


mcanismes de scurit, valuation, etc.). Quoique dans ce domaine, larrive en
norme internationale du rfrentiel BS-7799 ait quelque peu confin EBIOS
des utilisations dans le secteur de la Dfense ou des applications technologiques
trs pointues. Lapproche bonnes pratiques de lISO 17799 est infiniment
plus attrayante pour les entreprises classiques.

MEHARI
MEHARI (MEthode HArmonise danalyse des RIsques) est une mthode
danalyse de risques dveloppe par le Clusif partir de deux mthodes plus
anciennes : MELISA (dveloppe par la DGA et la DCN) et MARION (initi
par le Clusif et lAPSAD). MEHARI est compatible avec le rfrentiel de
bonnes pratiques ISO 17799.
MEHARI est une mthodologie modulable dont le dploiement complet
permet principalement :
Lanalyse des vulnrabilits de lentreprise,
La dtermination des enjeux et la classification des actifs,
Lanalyse des situations risques.
Les applications sont ds lors trs nombreuses :
Classification des actifs dans le cadre de la mise en conformit ISO 17799,
Mise en place dun tableau de bord de la scurit,
Ralisation du bilan dimpact sur lactivit pour la mise en uvre dun PCA,
Dfinition du plan de scurisation dune entreprise,
Management des risques projet,
Mise en conformit aux exigences Ble II,
Audit de scurit, etc.
La modularit de MEHARI et son outil support (le logiciel RISICARE) en
font une mthode apprcie. Mais l encore, son utilisation dans des structures
de type PME/PMI se rvle souvent peu pragmatique.

@Nets
Comme larobase qui dbute son nom le laisse prsager, la mthode @NETS
(issue des travaux de la fdration franaise des socits dassurance) est une
mthode danalyse des risques lis au Net. Elle sapparente aux mthodes classiques MARION et MEHARI mais se veut :
rsolument moins formelle (et moins lourde) mettre en uvre ;
adapte un contexte de rseau ouvert, de type Web.

Bennasar.Livre Page 259 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

259

Classiquement, elle propose une dmarche en quatre phases vers la scurisation


des systmes ouverts, reposant sur la valorisation des objets stratgiques sur systme
dinformation :
Phase 1, analyse de la valeur : au cours de cette phase, on recense et on
valorise les objets sensibles du SI en prenant soin de les situer les uns par
rapport aux autres (dpendances, ordonnancements, etc.) ;
Phase 2, analyse des vulnrabilits : cette phase se rapproche dans sa philosophie dun audit classique de scurit et vise dterminer les failles de
scurit du SI ;
Phase 3, analyse des menaces : cette phase, relativement indpendante des
autres, permet de choisir les scnarios de menaces retenus pour la scurisation du SI ;
Phase 4, orientations de solutions : une fois les objets critiques connus
(phase 1), les principales failles identifies (phase 2) et les scnarios de
menaces choisis (phase 3), on dfinit le plan de scurisation correspondant.
Si la dmarche, on le voit, est classique, les typologies et outils mis en uvre
sadaptent bien au contexte Web. Cette mthode est intressante dans ce contexte
et parvient contourner les lourdeurs des mthodes classiques tout en conservant
une compatibilit avec les principales (MEHARI et MARION).

Les principaux rfrentiels de bonnes pratiques

ISO 17799, BS-7799-2 et ISO 27001


En 1991 sous limpulsion dun groupe dindustriels britanniques (BT, Shell,
Marks & Spencer) soucieux de scuriser les changes dinformations commerciales en ligne, un ensemble de mesures pour assurer la scurit de linformation
est dfini. Le dpartement des transports et de lindustrie britannique (DTI)
parraine la dmarche pour aboutir la publication dun document qui respecte
les normes et standards du British Standards Institute (BSI). La premire volution
du rfrentiel voit le jour en 1995 sous lappellation BS-7799. Le document est
un code de bonnes pratiques pour le management de la scurit de linformation
contenant 100 exigences.
En 1998, des exigences relatives aux problmatiques de lre Internet sont
ajoutes (pour totaliser 127 exigences) et une deuxime partie le BS-7799-2 est
rdige. Elle fixe les exigences de mise en place dun systme de management de
la scurit de linformation (SMSI) ncessaire inscrire une entreprise dans un
schma de certification (analogue lISO 9001 par exemple).
En 1999, une procdure de normalisation acclre a abouti la transcription
du BS-7799-1 en standard international, lISO 17799. Ce modle ISO nintgre

Bennasar.Livre Page 260 Mardi, 11. avril 2006 12:53 12

260 Annexes

pas la deuxime partie du BS-7799 et ne peut donc aboutir la certification


dentreprise.
tape suivante, en 2002, une nouvelle version du BS-7799-2 est publie,
pour la rendre pleinement compatible avec les systmes de management les plus
rpandus : lISO 9001 et lISO 14001, afin de faciliter la mise en place dun
systme de management intgr par exemple.
Dernire volution en date, en 2005, une nouvelle mouture de lISO 17799 voit
le jour et une traduction en norme internationale du BS-7799-2 : 2002 est donne
pour donner naissance, dune part lISO 17799 : 2005 et dautre part
lISO 27001 (ou BS ISO/ISO 27001 dans sa version BSI). LISO 17799 :
2005 ajoute 17 exigences et en modifie certaines pour parvenir un total de
134 exigences. Un chapitre est ajout (Information security incident management) et
un autre est complt (Information systems acquisition, development and maintenance
au lieu de Systems development and maintenance). Pour lheure, lISO 27001 proposera en annexe lISO 17799 : 2005 mais il est prvu, pour avril 2007, que lISO
17799 devienne lISO 27002. La srie ISO 27000 sinscrit ainsi dans la ligne des
sries phares de lISO, cest--dire les rfrentiels ISO 9000 et ISO 14000.
Rfrentiel phare pour la gestion de la scurit de linformation, la norme
ISO 17799 (et maintenant lISO 27001) constitue le rfrentiel le plus rpandu
pour les audits dorganisation de la scurit de linformation ou pour la rdaction
dune politique de scurit de linformation. Il comprend, outre les chapitres
introductifs et les annexes, des exigences relatives :
La politique de scurit
Lorganisation de la scurit de linformation
La gestion des actifs
La scurit des ressources humaines
La scurit physique et la scurit de lenvironnement
La gestion des oprations et des communications
La gestion des droits et des habilitations
Lacquisition, le dveloppement et la maintenance des systmes
La gestion des incidents de scurit de linformation
La continuit dactivit
La conformit aux exigences
La norme ISO 27001 dcrit, quant elle, les exigences pour planifier, mettre
en uvre, contrler et amliorer un Systme de management de la scurit de
linformation (SMSI).

Bennasar.Livre Page 261 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

261

ITIL
Nous avons dcrit le rfrentiel ITIL prcdemment. Nous nous bornerons ici
indiquer quun des volets de ce rfrentiel concerne la scurit de linformation :
il sagit du volet Security Management.

C.3

LE MANAGEMENT DES RISQUES

La sret de fonctionnement
La sret de fonctionnement (SdF) a pour objet ltude des mcanismes qui
conduisent aux incidents et aux accidents et la mise en uvre dactions et dispositifs visant atteindre le niveau dexigences dun systme en terme de fiabilit,
maintenabilit, disponibilit et scurit (critre FMDS).
Lobtention du niveau dexigences implique la prise en compte globale du
systme (approche systmique) pour dtecter les maillons faibles , les points
de dfaillance uniques, les dpendances, etc.
La SdF a pris son essor dans les projets lis des systmes critiques (dfense,
espace, nuclaire, transports, etc.) au sortir de la seconde guerre mondiale.
Finalement, mettre en place un plan de continuit dactivit revient raliser
une tude de sret de fonctionnement applique une organisation (considre
alors comme un systme trs complexe). Il peut ainsi tre utile de transposer
quelques outils de la SdF au contexte PCA.
On trouve dans cette discipline des outils et mthodes destins analyser et
dcrire les causes de dysfonctionnement dun systme. On retiendra en particulier
les mthodes suivantes qui pourront inspirer des approches lors dun bilan
dimpact sur lactivit :
AMDEC (analyse des modes de dfaillance, leurs effets et leurs criticit),
cette mthode vise tudier :
les modes possibles de dfaillance dun systme ;
les effets de ces dfaillances sur les critres FMDS ;
les moyens envisageables pour lamlioration du niveau de sret du
systme.
Arbres de dfaillances, arbres de causes, arbres dvnements : ces mthodes de SdF permettent de reprsenter la logique des combinaisons de faits
ou de conditions qui ont conduit, conduisent ou pourraient conduire des
incidents ou accidents.

Bennasar.Livre Page 262 Mardi, 11. avril 2006 12:53 12

262 Annexes

Management des risques projet : PR2IHSM1


PR2IHSM = Programme de Rduction des Risques par lIdentification, la
Hirarchisation, le Suivi et la Matrise
Un autre domaine dans lequel les mthodes et outils du management des risques
trouvent une application intressante est la gestion de projet. La plupart des
projets informatiques connaissent des dboires pour atteindre les objectifs du
triptyque cots/qualit/dlais. Le Standish Group estimait ainsi en 2004 quun
projet informatique sur cinq est un chec et que trois projets sur cinq nont
quune russite mitige. Il nen reste quun sur cinq qui se ralise
Fort de ce constat, les dmarches de management des risques ont t adaptes
puis adoptes par de nombreuses matrises douvrage soucieuses de laboutissement de leurs projets. Quelques rfrentiels (dont ISO SPICE et son processus
MAN.4 de management des risques projet) sont venus donner une forme aux
outils artisanaux sous-jacents depuis quelque temps au sein des directions informatiques des grands groupes.
Ceci tant, il ne semble pas opportun de mettre en place un management des
risques sur tous les projets informatiques. Mais lorsquun projet comporte des
enjeux forts pour lentreprise, cest un choix coup sr gagnant.
Quels sont les enjeux qui justifient un management des risques projet ?
mon sens, principalement :
Un projet stratgique ou fortement structurant (comme la mise en place
dun ERP).
Un projet dont les enjeux financiers dpassent un seuil critique pour
lentreprise et/ou la direction SI (plus de 5 ou 10 % du budget informatique
par exemple).
Un projet dont les contraintes cots/qualit/dlais sont ambitieuses
(paralllisation importante de lorganisation de projet, dlais trs courts).
Un projet particulirement innovant pour lentreprise (suivant le
contexte, un projet innovant pourra tre aussi pointu que la scurisation
du transfert de donnes par satellite ou ntre que la mise en place dInternet
en 2007 !).
Un projet pour lequel la transparence des actions doit tre forte entre
matrise douvrage et matrise duvre : le management des risques devient un
outil de dialogue, dchange et dengagement rciproque.
La combinaison de plusieurs des facteurs prcdents.
1. Acronyme et mthodologie de lauteur.

Bennasar.Livre Page 263 Mardi, 11. avril 2006 12:53 12

C. Les dmarches connexes et les mthodes associes

263

Dans tous ces cas, la mise en place dune dmarche de management des
risques projet met disposition du chef de projet un puissant outil de management de projet. Lexternalisation du management des risques projet est une
alternative intressante dans la mesure o elle garantit :
Lindpendance des mesures de rduction des risques prconises.
Lexternalisation des frictions lies la mise en uvre et la ralisation des
actions en rduction des risques (le management des risques est trop
souvent peru comme une dmarche connexe sans valeur ajoute).
La prennit de la dmarche tout au long du projet.
chaque fois que jai pu raliser pour le compte dun client ce type de dmarche, jai tenu jour des indicateurs permettant de mesurer lefficacit et le retour
sur investissement dun management des risques projet. Mes observations
semblent montrer que :
La baisse de la criticit globale (somme des produits de la probabilit doccurrence par limpact potentiel, pour chaque risque identifi) de lensemble des
risques pesant sur un projet et imputable la mise en uvre dune dmarche
de management des risques (de type PR2IHSM) volue dans une fourchette
comprise entre 40 et 65 %.
Ce rsultat est rapprocher du cot gnr par la mise en uvre dun management des risques projet. Un ordre de grandeur de ce cot (en charge de travail,
hors budget dinvestissement matriel) peut tre avanc ainsi :
Environ 1 2 % de la charge du projet pour le pilote de la dmarche.
Sans doute proche de 3 4 % de la charge du projet pour les responsables
dactions de rduction des risques. Cette dernire estimation est difficile
donner prcisment tant donn :
quil sagit de tches dilues dans les responsabilits oprationnelles des
acteurs du projet ;
que cette dmarche de management des risques formalise de nombreuses actions qui devraient, de facto, faire partie de ces tches oprationnelles mais sont souvent dlaisses.
La mthode PR2IHSM est un programme qui reprend les quatre tapes classiques de management des risques projet.

Bennasar.Livre Page 264 Mardi, 11. avril 2006 12:53 12

264 Annexes

Identification : recherche systmatique


des risques du projet (typologies tablies
et risques spcifiques)

RISQUES

Hirarchisation : classification des


risques selon limpact potentiel
et la probabilit doccurrence
Suivi : mise en place dun plan dactions
de rduction des risques

PR2 IHSM

Matrise : gestion claire et


proactive des risques ; mise en place dun
tableau de bord de lvolution des risques

Figure C.2 La mthode PR2IHSM

Les outils principaux associs PR2IHSM sont :


La grille dvaluation des risques (probabilit, impact)
Les typologies de risques
La cartographie hirarchise des risques
Le plan de rduction des risques
Le tableau de bord et les outils de reporting de la dmarche

Risk-based testing
La notion de stratgie de test base sur les risques (risk-based testing) reprend les
concepts dvelopps pour toutes les stratgies dinvestigation bases sur les
risques. Tout comme lauditeur financier ou linspecteur de travaux BTP focalisent leurs investigations sur les zones risques de leur champ dtude (faute de
pouvoir tre exhaustifs), le responsable du test dun systme (ou dune application)
peut orienter la stratgie de test sur les zones du systme prsentant, son sens,
les plus grands risques.
Lintrt dune telle approche est videmment un retour sur investissement
de la dmarche trs intressant. On considre gnralement que la rgle des 80/20
sapplique : 80 % des risques sont couverts si lon focalise les tests sur les 20 % du
primtre tudi qui prsentent le plus de risques.
Si lapproche est la mme entre le test dun systme (ou dune application),
laudit financier et linspection de chantiers, on aura compris que toute la diffrence provient de la capacit de lun ou lautre des acteurs dlimiter avec
discernement et jugement professionnel les zones risques dans son activit.

Bennasar.Livre Page 265 Mardi, 11. avril 2006 12:53 12

D
Matrice de correspondance
entre la mthodologie E=MCA
et les Good Practices
Guidelines du BCI

Good Practices Guidelines (BCI)

Stage 5 : Exercising,
maintenance & audit

Stage 4 : Developing
a BCM culture

Stage 3 : Developing
a BCM response

Stage 1 :
Understanding your
business
Stage 2 : BCM
strategies

Business Continuity
Management

BCM Policy
Managing the programme
Incident readiness and
response
Organisation Strategy
BIA
Risk assessment
Organisation (Corporate)
strategy
Process level strategy
Ressource recovery
strategy
Crisis management plan
BCP
Business units
resumption plans
Assessing awareness
Developing a BCM
culture
Monitoring cultural
change
Exercising
Maintenance
Audit

tape/Step

Phase 1 :
Mieux connatre son activit

E=MCA
Phase 4 :
Phase 3 :
Dvelopper le PCA
Mettre en place
le secours
Phase 5 :
Conduire le
changement

Phase 6 :
Piloter

Projet PCA

Maintien en
cond. oprat.

Sensib., form.
et com.

Gestion de
crise

Alerte et
activation

Organisation
de crise

Test de la
solution tech.

Organisation

Mise en place
infra. tech.

Choix solution
technique

Stratgie
locale

Stratgie
globale

Couverture
assurances

AR

BIA

Cartographie
des sinistres

Diagnostic
Prvention

Phase 2 :
Orienter la
stratgie MCA

D. Matrice de correspondance entre la mthodologie E=MCA et les Good Practices Guidelines du BCI
266
MCA

Tableau D.1 Correspondance E=MCA / GPG (BCI)

Bennasar.Livre Page 266 Mardi, 11. avril 2006 12:53 12

Contrle du
PCA

Test du PCA

Retour la
normale

Procdures
dgrades

Bennasar.Livre Page 267 Mardi, 11. avril 2006 12:53 12

Bibliographie

Continuit dactivit, volet 1 (normes, guides de bonnes pratiques et supports


mthodologiques)
BRITISH STANDARDS INSTITUTE (BSI) Publicly Available Specification 56 (PAS 56) : Guide to
Business Continuity Management, 2003.
BUSINESS CONTINUITY INSTITUTE (SMITH D.) Business Continuity Management : Good
Practices Guidelines, guides de bonnes pratiques, 2002 et 2005.
DISASTER RECOVERY JOURNAL (DRJ) & DISASTER RECOVERY INSTITUTE INTERNATIONAL
(DRI INTERNATIONAL) Generally Accepted Practices for Business Continuity Practitioners,
guide de bonnes pratiques, version provisoire, aot 2005.
US NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST) NIST Special Publication
(SP) 800-34, Contingency Planning Guide for Information Technology Systems, guide de
bonnes pratiques, juin 2002.
CLUSIF Plan de continuit dactivit : Stratgie et solutions de secours du SI, rapport de la
commission technique de scurit logique, septembre 2003.
FEDERAL FINANCIAL INSTITUTIONS EXAMINATION COUNCIL (FFIEC) Business Continuity
Planning, IT examination Handbook, mars 2003.
VIRTUAL CORPORATION The Complete Public Domain Business Continuity Capability Model,
V1.3, 20 juin 2005.
BUSINESS CONTINUITY INSTITUTE 10 Standards of professionnel competence, grille des critres
dvaluation des comptences des processionnels du MCA, aot 2003.
BUSINESS CONTINUITY INSTITUTE Academic Syllabus, guide pour la mise en place de formation en continuit dactivit, 30 juin 2005.
BUSINESS CONTINUITY INSTITUTE Business Continuity Management Guide Information, liste
des rfrentiels et guides sur le sujet, 2005
STANDARDS AUSTRALIA/STANDARDS NEW ZEALAND HB 221 : 2004, Handbook, Business
Continuity Management, manuel, 2004.

Bennasar.Livre Page 268 Mardi, 11. avril 2006 12:53 12

268 Plan de continuit dactivit et systme dinformation

US NATIONAL FIRE PROTECTION AGENCY (NFPA) NFPA 1600 : 2004, Standard on Disaster/
Emergency Management and Business Continuity Programs, norme, 2004.
DISASTER RECOVERY INSTITUTE INTERNATIONAL Seven-step business continuity planning
model, mthode, 2003.
US GENERAL ACCOUNTING OFFICE (ACCOUNTING AND INFORMATION MANAGEMENT DIVISION) Year 2000 computing crisis, Business Continuity and Contingency Planning,
aot 1998.
CHANCELLERIE FDRALE (SUISSE) Principes de conduite, pendant, aprs et avant une crise,
aide-mmoire, 2003.
AUSTRALIAN NATIONAL AUDIT OFFICE (ANAO - COMMONWEALTH OF AUSTRALIA) Better
Practice Guide on Business Continuity Management, guide de bonnes pratiques, 2000.

Continuit dactivit, volet 2 (livres, articles, livres blancs, enqutes, tudes)


DELBS F. ET PRUNIER P. (CSC) Le Plan de continuit dactivit (PCA), article, 2003.
CHAU C.-T. (UNIVERSITY OF HOUSTON) Preparing for the unexpected, article, 2004.
LEBLOND T. (ERNST&YOUNG) Continuit dactivit : les enjeux rglementaires et financiers,
article, juin 2004.
FORRESTER (RANKINE C.) Recovery site strategies, white paper octobre 2004.
LONDON FIRST (BCI & NACTSO) Expecting the unexpected, business continuity in an uncertain world, white paper, 2003.
INVESTMENT DEALERS ASSOCIATION OF CANADA Lignes directrices pour llaboration du plan
de continuit dactivit, mai 2004.
BERGER J.-L. & GOLLIARD J.-P. (SOCIETE GENERALE) tude de cas et interview, juin 2004.
TETE F. & GRONIER L. (XP CONSEIL IN MAGSECURS) Avez-vous un PRA ?, juin 2004.
EXEDIS (MAGSECURS) Le plan de continuit dactivit selon Exedis, novembre 2004.
COQUIO F. (ZDNET.FR) Les centres de donnes face aux risques naturels, article, janvier 2004.
GOODWINS R. (ZDNET.FR) Sauvegarde : quelle stratgie adopter pour rsister un sinistre ?, article,
janvier 2003.
MCCORD J.-W. (ZDNET.FR) Sinistres informatiques : vos procdures de rcupration sont-elles
jour ?, article, octobre 2003.
QUANTUM How to create a nimble backup architecture for your data center, white paper, 2003.
HOLD G.(DISASTER
date.

RECOVERY JOURNAL)

Disaster recovery planning process, article, sans

BUSINESS CONTINUITY INSTITUTE Business Continuity Research 2005, tude, 2005.


MARVELL S. (INSIGHT CONSULTING) Business continuity management in the 21st century, article,
sans date.
INSIGHT CONSULTING An Insight Case Study : WestLB AG, tude de cas, sans date.

Bennasar.Livre Page 269 Mardi, 11. avril 2006 12:53 12

Bibliographie

269

GLOVER I. (INSIGHT CONSULTING) Business Continuity Planning : Training is the key, article,
sans date.
BENVENUTO N. & ZAWADA B. (PROTIVITI) The relationship between business continuity and
Sarbanes-Oxley, article, sans date.
TTE F. (XP CONSEIL) La continuit des activits, la sauvegarde des donnes, le plan de secours,
prsentation, aot 2004.
01INFORMATIQUE Les systmes dinformation en pleine transformation, enqute, 30 juin 2005.
CITSEC Citsec Business Continuity Overview, article et mthodologie, sans date.
01INFORMATIQUE Reprise dactivit : noubliez pas le backup, article, 30 juin 2005.
CONTINUITY INSIGHTS (ROJAS B.) BCP the Mariott way, article, 2004.
ROBSON RHODES Steady State Technology solutions for maintaining business continuity plans,
tude comparative des logiciels MCA, 2004.
GROSJEAN C. (DECISION INFORMATIQUE) Sauvegarde sur bandes : superlecteurs ou automates ?, article, 2 fvrier 2005.
LVY-ABGNOLI T. (ZDNET.FR) Sauvegarde sur disque : une approche complmentaire de la
bande, article, 1er dcembre 2004.
RSM ROBSON RHODES Steady State : Technology solutions for maintaining business continuity
plans, livre blanc, 2004.
CORNISH M. (FBCI, RMI) Business Continuity Software, tude ralise initialement pour le
BCI South East Forum, mars 2004.
CORNISH M. (FBCI, RMI) Business Continuity Software - Questionnaire, grille de critres,
2004.
CONTINUITY CENTRAL Business Continuity Software Survey Results, enqute, 29 octobre 2004.
HONEY P. (MERRIL LYNCH & CO) Creating the Master Plan, prsentation, 2004.
INSTITUTE OF DIRECTORS (IOD) Business Continuity Helping directors build a strategy for a
secure future, livre blanc, dcembre 2000.
BUSINESS CONTINUITY INSTITUTE Information & communications survey report, 7th July 2005,
enqute, 2005.
HILES A. Business Continuity : Best Practices, livre, 2e dition, 2004.
VON ROESSING R. Auditing Business Continuity : Global Best Practices, livre, 2002.
PREEMPT INC. How far is far enough ?, rsultats denqute, septembre 2005.
TRIPARTITE STANDING COMMITTEE ON FINANCIAL STABILITY Financial Sector Business
Continuity Annual Report, rapport, octobre 2005.

Continuit dactivit, volet 3 (lois et rglementations)


COMIT DE BLE SUR LE CONTRLE BANCAIRE Saines pratiques pour la gestion et la surveillance
du risque oprationnel, Banque des rglements internationaux, fvrier 2003.
COMIT DE LA RGLEMENTATION BANCAIRE ET FINANCIRE Rglement n2004-02, 2004.

Bennasar.Livre Page 270 Mardi, 11. avril 2006 12:53 12

270 Plan de continuit dactivit et systme dinformation

COMIT DE LA RGLEMENTATION BANCAIRE ET FINANCIRE Rglement n97-02, 1997.


JOURNAL OFFICIEL DE LA RPUBLIQUE FRANAISE Loi n2003-706 du 1er aot 2003 de scurit
financire, aot 2003.
US 107th Congress Public Law 107-204 An act to protect investors by improving the accuracy
and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes :
Sarbanes-Oxley Act of 2002, 30 juillet 2002.
PROTIVITI Guide to the Sarbanes-Oxley Act : IT risks and Control : Frequently Asked Questions, white paper, dcembre 2003.
PROTIVITI Guide to the Sarbanes-Oxley Act : internal control reporting requirements :
Frequently Asked Questions regarding section 404, white paper, 3e dition, aot 2004.
NEW YORK STOCK EXCHANGE (NYSE) Rule 446 concerning Business Continuity and Contingency Plans, 2002.
NATIONAL ASSOCIATION OF SECURITIES DEALERS (NASD) Rules 3510 & 3520 concerning
Business Continuity and Contingency Plans, 2002.
CIVIL CONTINGENCIES ACT 2004 (UK) 2004, Chapter 36, 18 novembre 2004.

Management des risques


HANSSENS D. Dveloppement de la fonction de Risk Manager dans lEntreprise, Mmoire de
licence, Facults universitaires Notre-Dame de la Paix Namur, 2003.
DUPONT ELISE C. (01NET) Un gestionnaire des risques au secours du DSI, article, octobre 2004.
AMRAE ET CCIP Pour une meilleure gestion des risques et des assurances au sein des PME, article, 2003.
MUNIER B. (GRID) Le management des risques : Dcisions, gouvernance et valeur de la firme,
article, 2003.
CAILLAUD F. ET BARTHLMY B. (BUREAU VERITAS) Gestion des risques : jusquo faut-il
aller ?, article, mai 2001.
ANRE MSI Le management stratgique de vos projets par les risques, article, janvier 2004.
KOMOTO S. ET SCHAEFER T. (PWC) What are the risks associated with the implementation of a
project ?, article, 2004.
LAGADEC P. (COLE POLYTECHNIQUE) Preventing chaos in a crisis, McGraw-Hill, mars 2005.
LAGADEC P. (PRVENTIQUE SCURIT N79
article, fvrier-mars 2005.

ET

80) Scurit collective et nouvelles menaces,

LAGADEC P. & X. GUILHOU La fin du risque zro, Eyrolles, 2002.

Management des SI et IT gouvernance


IT GOVERNANCE INSTITUTE (INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION)
CobiT, Control Objectives for Information and related Technology, 3e dition, 1996, 1998, 2000.
UK OFFICE OF GOVERNMENT COMMERCE (OCG) Information Technology and Infrastructure
Librabry (ITIL), srie douvrages de bonnes pratiques, publications entre 1999 et 2004.

Bennasar.Livre Page 271 Mardi, 11. avril 2006 12:53 12

Bibliographie

271

AFNOR XP ISO/CEI TR 15504 dite ISO SPICE, valuation de processus du logiciel, norme,
dcembre 1998.
CLUSIF Retour sur investissement en scurit des systmes dinformation : quelques cls pour
argumenter, rapport du groupe de travail ROSI, octobre 2004.
SOFTWARE ENGINEERING INSTITUTE (SEI) US DEPARTMENT OF DEFENSE & CARNAGIE
MELLON UNIVERSITY Capability Maturity Model Integration (CMMi) V1.1, mars 2002.
CFO RESEARCH SERVICES & PRICEWATERHOUSECOOPERS IT moves from Cost Center to
Business Contributor, rapport, septembre 2004.
CASES LUXEMBOURG Prjudices financiers, fiche thmatique 017, sans date.
VICKOFF J.-P. (RAD) Organisation des dveloppements SEI-CMM & ISO SPICE, article,
2000.
CHAMPENOIS A. Infogrance, livre, ditions Dunod, 2002.
OECD OECD Principles of Corporate Governance, livre blanc, 2004.

Scurit de linformation
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) ISO/IEC 17799 : Information Technology Security Techniques Code of practice for information security management, code de bonnes pratiques, 15 juin 2005.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) ISO/IEC 27001 : Information Technology Security Techniques Information Security Management Systems Requirements, norme, 15 octobre 2005.
BRITISH STANDARDS INSTITUTE (BSI) BS7799-2 : 2002, Information Security Management
System (ISMS), norme, 2002.
FDRATION FRANAISE DES SOCITS DASSURANCE @Nets, Mthode dAnalyse des Risques
lis au Net, mthode V3, 2000.
CLUSIF MHARI : Mthode Harmonise dAnalyse des Risques V3, mthode, 2004.
DIRECTION CENTRALE DE LA SCURIT DES SYSTMES DINFORMATION (DCSSI) EBIOS,
Expression des Besoins et Identification des Objectifs de Scurit, mthode, 2005.
CLUSIF Management de la scurit de linformation, une approche normative : BS7799-2,
dossier technique dcembre 2004.
LUCENT TECHNOLOGY Information security management : understanding ISO 17799, white
paper, avril 2004.
LES ASSISES DE LA SCURIT (P.-L. REFALO ET AL.) Livre blanc : pour un management stratgique des cyber-risques, livre blanc, octobre 2004.
CNRS Scurit informatique (numro 34), magazine avril 2001.
CIGREF Scurit des systmes dinformation : quelle politique globale de gestion des risques ?,
rapport, septembre 2002.
ERNST&YOUNG (ANTONINI P.) La scurit des systmes dinformation dans les entreprises
franaises en 2004, tude, dcembre 2004.

Bennasar.Livre Page 272 Mardi, 11. avril 2006 12:53 12

272 Plan de continuit dactivit et systme dinformation

CLUSIF (COUWEZ M.-A.) Politiques de scurit des systmes dinformation et sinistralit en


France, Bilan 2003, tude, 2003.
PRICEWATERHOUSECOOPERS (POTTER C. & BEARD A.) Information security breaches survey,
rapport 2004.
NET FOCUS (ISRAEL M.) La Dfense en profondeur, livre blanc, aot 2004.
DCSSI (BUREAU CONSEIL) La dfense en profondeur applique aux systmes dinformation,
mmento, novembre 2003.
PRICEWATERHOUSECOOPERS Information security today : a new vision, white paper 2003.
CLUSIF Panorama de la cybercriminalit, rapport, 2004.
ISMS IUG (HUMPHREYS T.) Information Security Management System Standards :
Frequently Asked Questions, livre blanc v5.0, mai 2005.
OECD OECD Guidelines for the Security of Information Systems and Networks : Towards a
Culture of Security, livre blanc, juillet 2002.

Systmes de management
ORGANISATION INTERNATIONALE DE NORMALISATION (ISO) ISO 9001 : 2000, Systmes de
management de la qualit, norme, 2000.
ORGANISATION INTERNATIONALE DE NORMALISATION (ISO) ISO 14001 : 2004, Systmes
de management environnemental, norme, 2004.
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO) ISO/IEC 17799 : Information Technology Code of practice for information security management, code de bonnes
pratiques, 2000.
ORGANISATION INTERNATIONALE DE NORMALISATION (ISO) ISO 9001 : 2000, Systmes de
management de la qualit, norme, 2000.
BRITISH STANDARDS INSTITUTE (BSI) Occupational Health and Safety Assessment Series
(OHSAS), OHSAS 18001 :1999, Occupational health and safety management systems Specification, norme, 1999.
BRITISH STANDARDS INSTITUTE (BSI) BS8800 :1996 : Guide to occupational health and
safety management systems, norme, 1996.
SOCIAL ACCOUNTABILITY INTERNATIONAL (SAI) SA 8000 : 2001, Social Accountability,
norme, 2001.
AFNOR FD X 50-176 : Management des processus, norme, juin 2000.
BRUNELLE E. Llaboration dun systme de management intgr : qualit et environnement,
thse de Master, Universit de Sherbrooke, 2005.
DUCHAMP A. (VOIRIN CONSULTANTS) Le management intgr : un enjeu de performance,
article, aot 2004.

Bennasar.Livre Page 273 Mardi, 11. avril 2006 12:53 12

Sitothque MCA

Note : le nombre dtoiles (*, **, *** ou ****) reflte lintrt


que jattribue aux sites. Cette valuation subjective nengage que moi.

www.drii.org (****) : le site du Disaster Recovery Institute International (cr en 1988 et, ce
titre, une des plus anciennes institutions sur le sujet) ; site amricain gnraliste sur le
MCA ; beaucoup de ressources en ligne (certification professionnelle, emplois, mthodologies, articles, news, calendrier et vnements, etc.) ; lergonomie nest pas des plus
modernes mais le contenu est l !
www.continuitycentral.com (****) : site gnraliste (britannique) qui propose de nombreux
articles et un moteur de recherche performant pour y accder (par thme, rgion du
monde, secteur dactivit, etc.) ; les articles sont en accs libre et sans enregistrement
pralable ; comprend galement une section mthode et conseils de mise en uvre.
www.drj.com (****) : site du Disaster Recovery Journal ; vitrine pour la publication du
mme nom mais propose un contenu trs riche au-del (outils, articles, nombreux white
papers, mthodologies, liens vers la plupart des ressources MCA, modles de documents,
etc.) ; attention, une partie non ngligeable du contenu est rserve aux abonns la
revue, mais labonnement est gratuit pour laccs en ligne !
www.thebci.org (***) : site institutionnel du Business Continuity Institute (britannique) ;
propose les fameux Good Practices Guidelines du MCA et le schma professionnel de
certification (dvelopp conjointement avec le DRI International).
www.contingencyplanning.com (***) : site amricain ; beaucoup darticles archivs en
accs libre (aprs enregistrement) ; outils et mthodologies galement accessibles ;
propose aussi un panthon des personnalits amricaines du MCA (Rudolph Giuliani
par exemple !)

Bennasar.Livre Page 274 Mardi, 11. avril 2006 12:53 12

274 Plan de continuit dactivit et systme dinformation

www.globalcontinuity.com (***) : une partie forum de discussion (avec des partages


dinformations et dexpriences intressants), des tudes et articles mais, part le forum,
le site ne semble plus vivre depuis presque un an.
www.mwcog.org/security/security/continuity (***) : ce site gouvernemental amricain
propose en ligne une application en mode ASP qui permet de construire en deux quatre
heures un PCA pour une PME/PMI en remplissant une srie de questionnaires. En
anglais exclusivement.
www.survive.com (***) : le site dune communaut dacteurs et de professionnels de la
continuit dactivit (cre en 1989). Pour les membres, des modles de documents,
livres blancs, tudes et autre documentation sont disponibles.
www.continuityinsights.com (**) : le site du magazine amricain homonyme cr en
2003 ; publication bimensuelle sur le thme de la continuit dactivit ; le magazine est
intressant, mais le site est surtout une vitrine commerciale ; on peut nanmoins avoir
accs la plupart des articles darchive gratuitement (tude de cas, enqutes, articles de
fond, etc.).
www.continuityforum.com (**) : un forum britannique de discussion sur le sujet de la
continuit dactivit ; intressant pour les nouvelles, les sondages et enqutes ralises, ainsi
que pour la base dchange que le site constitue (1 375 participants pour environ
300 contributions dans les 6 derniers mois).
www.bcmanagement.com (*) : un site amricain essentiellement consacr au march de
lemploi li au MCA (dans les pays anglo-saxons) ; intressant galement pour la page de
liens.
www.bcprofessional.com (*) : site amricain o tlcharger, moyennant inscription,
quelques livres blancs et outils de management des risques.
www.bitpipe.com (*) : site portail vers des livres blancs sur le sujet des technologies de
linformation.

Bennasar.Livre Page 275 Mardi, 11. avril 2006 12:53 12

Index

Symboles
@Nets 258

A
AA 1000 207
AASMA 254
Air France 250
alerte et activation du PCA
89
Amadeus 250
AMDEC 261
AMF 24
analyse
de couverture des contrats dassurances 77
des risques 74
APAR 212, 253
AR 74
aspect contractuel du secours
informatique 127

B
backup dastreinte 120
BIA (Bilan dimpact sur
lactivit) 29, 38, 50, 55,
71, 145, 175
BS-7799-2 259
BS8800 206
BSI PAS 56 23

Business Continuity Institute


10
Business Continuity Plan 26
Business Process Reengineering
11

C
Capability Maturity Model
Integration 251
Central Computer & Telecommunications Agency
252
choix de la solution technique
de secours 81
client/serveur 156
Clusif 4
CMMi 211, 251
COBRA 256
COFACE 250, 251
Comit de la rglementation
bancaire et financire
XVIII, 14
composants
critiques du SI 154
dun PCA 46
comptabilits informatises
24
continuit dactivit XVII
Continuity of Operations Plan
26
contrle du PCA 101

cot
dune heure
dinterruption 4
du secours 137
CRBF XVIII, 14
CRBF 2004-02 XVIII
Crisis Management Plan 26
CRM 11

D
DAS 151
DCSSI 257
diagnostic de prvention 67
direction
gnrale 27
mtier 29
Disaster Recovery Institute
International 10, 22
Disaster Recovery Journal 22
Disaster Recovery Plan 26
disponibilit des solutions 122
DRII 22
DRJ 22
duplication
sur bandes/cartouches
146
sur disque 147

E
E=MCA XXI
EBIOS 257

Bennasar.Livre Page 276 Mardi, 11. avril 2006 12:53 12

276

cueils courants 36
electronic vaulting 150
Ernst & Young 5
ERP 262
tudes de cas 165

F
faible disponibilit 122
FD X 50-176 211
formation 94
fournisseurs de solutions
de secours (SI) 125

Plan de continuit dactivit et systme dinformation

ISO SPICE 211, 250, 262


ISO/TS 16949 19
IT Contingency Plan 26
IT Service Continuity Plan 26

J
journalisation 144
distante 150

L
Lagadec 9, 220, 270

GED 134
gestion
de crise 55, 91
de la relation client 11
lectronique de la
documentation 134
Good Practice Guidelines 21,
23
gouvernement dentreprise
12, 13
guides mthodologiques
du BCI 21

maintien en conditions oprationnelles du PCA 97


management
de la continuit
dactivit 205
des risques 13, 261
des risques projet 262
MARION 258
MEHARI 258
MELISA 258
mirroring 150
mise en place de linfrastructure technique (SI) 83
moyenne disponibilit 122

H
haute disponibilit 122
HB 221 : 2004 25

I
IASC 24
impression 162
industrie pharmaceutique 24
Information Technology
Infrastructure Library
(ITIL) 26, 252, 261
Internet 162
ISO 12207 250
ISO 14001 206
ISO 17799 20, 207, 259
ISO 27001 207, 259
ISO 9001 206, 249

N
NAS 151
NASD 3510/3520 24
NFPA 1600 : 2004 25
normes et standards 19
NYSE 446 24

O
OCTAVE 256
OHSAS 18001 206
organisation
autour de la solution
technique (SI) 85
de crise 88

outils et moyens
priphriques 159

P
PCA 14, 26
PCAI 26
PCE 26
PCF 26
PCO 26, 88
PDCA 208
peer-to-peer 156
PGC 26, 88
pilotage
du MCA 104
du projet PCA 102
plan
comptable gnral 24
dassurance qualit 34
de continuit dactivit
14, 26
de continuit dactivit
informatique 26
de continuit
dexploitation 26
de continuit
doprations 26, 88
de continuit
fonctionnelle 26
de gestion de crise 26, 88
de reprise dactivit 26
de reprise dapplication
26
de secours informatique
26
postes et stations de travail
159
PPCM 212
PR2IHSM 84, 103, 262
PRA 26
PRAp 26
procdure fonctionnelles
dgrades 92
processus unificateur 216
PSI 26

Bennasar.Livre Page 277 Mardi, 11. avril 2006 12:53 12

Index

Q
qualit (domaine SI) 249

R
RAID 147
rcupration et reconstitution des informations 131
Redundant Array of Inexpensive
Disks 147
remote journaling 150
rpartition de charge 149
rplication
asynchrone 150
synchrone 150
rseau
local 156
local sans fil 156
WAN 157
responsable
de la scurit du systme
dinformation 30
du PCA 30
ressources humaines 55
risk manager 29
Risk-based testing 87, 99, 264
ROI 47
roue de Demming 208
RSSI 30

S
SA 8000 207
salles
blanches 119
miroir 120
oranges 119
rouges 120
SAN 151

sauvegarde
distance 150
applicative 145
complte 144
diffrentielle 144
en ligne 147
incrmentale 144
logique 145
physique 145
restauration et disponibilit des donnes 143
systmes 146
sauvetage des locaux
et quipements 131
secours mobile 121
secteur
banques et finance 112
PME/PMI 112
public 113
scurit des SI 256
sensibilisation 94
serveurs 155
Service Level Management
conventions de service
254
SGBD 144
shadowing 150
SI infogr 114
SIES/ISRS 206
SIMCA 133
sites
production rpartie
120
web 158
SMCA 215
SMI 208
Social Accountability 207

277

solutions
de secours des moyens
de production 129
de secours du SI 118
stockage en rseau 151
stratgie
globale de continuit 78
locale de continuit 79
sret de fonctionnement
261
SWOT 78, 80, 82
systme de management
de la continuit
dactivit 205, 215
de la scurit
de linformation
(SMSI) 259, 260
intgr 260
systmes dinformation
du MCA 133

T
tlphonie 161
mobile 161
satellitaire 161
tlsauvegarde 150
test
de la solution technique
(SI) 86
du PCA 99
TL9000 20
typologie des moyens
de secours (SI) 119

V
virtualisation 151
voyages-sncf.com 251

Bennasar.Livre Page 278 Mardi, 11. avril 2006 12:53 12

49603 - (I) - (1,5) - OSB 100 - TYP - MER


Achev dimprimer sur les presses de
SNEL Grafics sa
rue Saint-Vincent 12 B-4020 Lige
Tl +32(0)4 344 65 60 - Fax +32(0)4 341 48 41
avril 2006 37554
Dpt lgal: mai 2006
Imprim en Belgique

TYPE DOUVRAGE
L'ESSENTIEL

SE FORMER

RETOURS
D'EXPRIENCE

Matthieu Bennasar
Prface de Paul Thron

MANAGEMENT DES SYSTMES


D'INFORMATION
APPLICATIONS
MTIERS
TUDES, DVELOPPEMENT,
INTGRATION

PLAN DE CONTINUIT DACTIVIT


ET SYSTME DINFORMATION

EXPLOITATION
ET ADMINISTRATION
RSEAUX
& TLCOMS

Vers lentreprise rsiliente


MATTHIEU BENNASAR
Ancien auditeur informatique
chez PricewaterhouseCoopers,
il est consultant en scurit
et gouvernance du SI et charg
de cours lIAE de Lyon.
Il tait auparavant responsable
de mission au ple conseil
de Bureau Veritas.

PCA et SI

Le management de la continuit dactivit est une discipline


mergente dont lobjectif est de prparer lentreprise faire face
aux crises qui peuvent paralyser ses activits. Englobant la continuit
du systme dinformation, il se matrialise dans un plan de
continuit dactivit (PCA) pragmatique, jour et test.
Cet ouvrage sadresse aux dcideurs de lentreprise qui joueront
un rle dcisif dans cette dmarche ainsi quaux matres duvre
de la continuit dactivit (risk managers, responsables de la scurit
du systme dinformation et directeurs des systmes dinformation).
Structur en trois parties, il donne une vision stratgique de la
continuit dactivit et propose une mthodologie et un arsenal
doutils pour penser et mettre en uvre un PCA.
La premire partie est avant tout destine aux dcideurs qui y
trouveront les grands principes du management de la continuit
dactivit.
La deuxime partie propose une mthodologie en vue dassurer
la continuit dactivit avec le dtail des tapes de sa mise en
uvre : bilan dimpact sur lactivit (BIA), analyse des risques,
tests du PCA... Elle prsente aussi des tudes de cas.
La troisime partie trace les perspectives dvolution du
management de la continuit dactivit.

MANAGEMENT des SYSTMES DINFORMATION

M. BENNASAR

INFOPRO

PLAN
DE CONTINUIT
DACTIVIT
ET SYSTME DINFORMATION
Vers lentreprise rsiliente

Matthieu Bennasar
Prface de Paul Thron

ISBN 2 10 049603 4

www.dunod.com

Das könnte Ihnen auch gefallen