nos magazines

Actualités gestion et logiciel informatique professionnel

Offre et recherche Emploi informatique internet

Salon conférences inofrmatique IT ebusiness 01

Vidéos reportage entreprise acteur informatique

Retrouvez tous les services 01Net dédiés aux professionnels !

Livres blancs e-commerce informatique et nouvelles technologies

Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise

Les synthèses des bonnes pratiques sur les sujets IT du moment

01net Entreprises > Special DSI

Le plan de reprise pour s'obliger à prévoir le pire

Face à la pression concurrentielle et aux contraintes réglementaires, la continuité informatique des processus critiques devient une préoccupation majeure des entreprises. La prévention du sinistre informatique gagne en efficacité grâce aux innovations technologiques, telles que le très haut débit, la virtualisation et la sauvegarde continue.

Frédéric Bergé, Jean-Pierre Soulès et Thierry Jacquot

01 Informatique

le 14/05/08 à 07h00

envoyer
par mail

imprimer
l'article

Partager |

sommaire

Le plan de reprise pour s'obliger à prévoir le pire

La panoplie antisinistre gagne en sophistication et perd en élitisme

Un plan de bataille contre le risque: un marché actif aussi

Les opérateurs et hébergeurs de métier au coude à coude

Une deuxième génération de PCA arrive, plus réactive

Voir tout le sommaire

“ Que se passerait-il si un avion s'écrasait sur notre bunker informatique ultrasécurisé ? ” Depuis la tragédie du 11 septembre 2001, nombre d'entreprises ont répondu à cette interrogation par la mise en place de plans de continuité ou de reprise d'activité (PCA ou PRA). Une démarche qui, par ailleurs, rassure leurs clients. Face à une indisponibilité de leur site principal, qui peut aussi résulter d'une inondation ou d'un incendie, toutes les entreprises n'ont pas les mêmes contraintes. Les banques ont dû prendre le taureau par les cornes depuis longtemps. “ Dans le monde bancaire et financier, les différentes réglementations (Bâle II, Solvency II, LSF, CRBF) constituent autant d'exigences imposant un PCA depuis près d'une dizaine d'années ”, explique Mathieu Bennasar, consultant chez XS Pôle Sécurité (Groupe Lexsi). Les grandes sociétés cotées se sont également mises au diapason, l'avènement de normes comme ISO 27000 justifiant, a posteriori, la mise en œuvre de plan de continuité ou de reprise d'activité.

Partir des besoins métier de l'entreprise

Le plan de continuité d'activité englobe les plans de continuité informatique, métiers, et opérationnel, l'ensemble étant coordonné et planifié. Nec plus ultra de la protection contre le risque d'interruption d'activité, le PCA inclut des dispositifs de gestion de crise et de repli des utilisateurs concernés sur un site tiers sécurisé (externalisé chez un prestataire), ainsi que des procédures de reprise des activités métier et de fonctionnement de l'entreprise en mode dégradé.

Dans les faits, toutefois, peu d'entreprises s'attaquent de front à ce vaste chantier. Il est possible, dans un premier temps, de se focaliser uniquement sur le système d'information (SI). La règle, en la matière, consistant à s'en tenir à ce qui s'avère essentiel à l'activité. L'entreprise décidera que tout ou partie de ses applications doit continuer à fonctionner en cas de sinistre. A la direction générale, donc, de fixer des priorités puis de les hiérarchiser, afin de définir ce qui doit être redémarré ou non, et sous quels délais. Partir des besoins des directions métier pour aborder ensuite la technique, telle est l'approche qui s'impose aujourd'hui.

Tenir compte du facteur humain

De son côté, le plan de reprise d'activité, retenu par nombre d'entreprises, implique une durée minimale d'interruption. Deux paramètres sont à prendre en compte : la perte admissible de données durant le délai d'indisponibilité du système d'information, et son délai maximal admissible de redémarrage. Tout dépend, sur ce dernier point, où le curseur est placé en matière de délai maximal d'indisponibilité du SI. Les temps de reprise exigés pour la reprise d'activité sont, en effet, de plus en plus faibles (souvent inférieurs à quatre heures). Ils approchent, du coup, ceux de la continuité de fonctionnement.

Une fois les moyens techniques identifiés, reste à rédiger les procédures fonctionnelles et techniques nécessaires au pilotage du PRA ou du PCA. Celles-ci recouvrent la liste des salariés impliqués, leur mission, et leur remplaçant éventuel. La formation de ces personnels constitue un passage obligé. Une fois établi, le PCA ou PRA sera soumis à des tests unitaires ou globaux, planifiés ou impromptus, nécessaires au maintien en condition opérationnelle. “ La bonne marche d'un PCA est avant tout une question d'organisation et de fluidité des circuits de décision. Le facteur humain prime dans la démarche ”, souligne Mathieu Bennasar. Après tout, les erreurs humaines ne sont-elles pas plus fréquentes en situation de stress ?

La distance intersites, frein à la haute disponibilité

agrandir la photo

Malgré les progrès technologiques en informatique et télécoms, l'un des freins concerne la répartition d'un système d'information en production entre deux sites éloignés, reste la distance qui les sépare. Plus celle-ci s'avère élevée, plus longs sont les délais d'échange de données.

Glossaire

Procédé de protection “ au fil de l'eau ” des données de production, sauvegardées au fur et à mesure de leurs modifications. Selon les techniques employées, les outils CDP sauvegardent à l'échelle du bloc de données ou du fichier.

Ensemble des actions, processus et modes d'organisation assurant la continuité des activités critiques de l'entreprise. Un PCA dépasse le cadre du SI de l'entreprise.

Ensemble de moyens techniques et organisationnels visant à assurer le secours et la restauration du système d'information en cas de sinistre. Le PRA est une composante du PCA.

Mode de copie de données qui a été introduit pour s'affranchir des délais de latence du réseau. Les mises à jour de données, consignées dans un fichier log ou en mémoire cache sont transférées à intervalles de temps réguliers du site principal vers le site de secours ; il faut cependant accepter de perdre des données en cas de panne du site primaire. Distances intersites typiques : 200 à 300 km.

Mode de copie qui implique qu'une écriture sur un site primaire ne soit acquittée qu'une fois son enregistrement validé sur le site distant. De cette façon, on s'assure de la cohérence des données. Cela expose toutefois à des dégradations des performances de la production consécutives à des temps de latence réseau excessifs ou à des coupures de ligne. Distances intersites typiques : moins de 40 km.

Maximum de pertes de données acceptables en cas d'interruption de la production informatique.

Délai maximal de remise en service de la production informatique fixé pour le PRA. Selon les techniques employées et les contraintes liées à l'activité de la firme, il se compte en jours, en heures ou en minutes.

La panoplie antisinistre gagne en sophistication et perd en élitisme

Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute

01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM