nos magazines

Actualités gestion et logiciel informatique professionnel

Offre et recherche Emploi informatique internet

Salon conférences inofrmatique IT ebusiness 01

Vidéos reportage entreprise acteur informatique

Retrouvez tous les services 01Net dédiés aux professionnels !

Livres blancs e-commerce informatique et nouvelles technologies

Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise

Les synthèses des bonnes pratiques sur les sujets IT du moment

01net Entreprises > Special DSI

Un plan de bataille contre le risque : un marché actif aussi...

Lorsqu'un risque de sinistre menace la continuité de l'activité de l'entreprise, il n'y a pas de place pour l'improvisation. Le marché de la prévention est en pleine croissance et attire de nombreux acteurs tels que les sociétés de services, les opérateurs et les hébergeurs.

Frédéric Bergé, Jean-Pierre Soulès et Thierry Jacquot

01net.

le 14/05/08 à 07h00

sommaire

Le plan de reprise pour s'obliger à prévoir le pire

La panoplie antisinistre gagne en sophistication et perd en élitisme

Un plan de bataille contre le risque: un marché actif aussi

Les opérateurs et hébergeurs de métier au coude à coude

Une deuxième génération de PCA arrive, plus réactive

Voir tout le sommaire

Contraintes réglementaires, concurrence exacerbée, image de marque à préserver : les entreprises ne peuvent pas se permettre d'être aux ' abonnés absents ' trop longtemps. D'où l'émergence des PRA-PCA (plan de reprise d'activité et plan de continuité d'activité). Leur but : réduire au maximum les risques de pannes ou d'autres catastrophes que l'entreprise encourt et, si ces événements surviennent malgré tout, en minimiser au maximum les effets pour retrouver une situation normale le plus tôt possible.

' Les banques, puis les assurances ont été parmi les premières à se doter de PRA-PCA, précise Lionel Pelletier, Senior Executive Advisor à la division grands comptes chez ColtFrance. Mais les autres secteurs y viennent peu à peu. ' Quelques exemples : dans le secteur alimentaire ou pharmaceutique, des pertes de données sur la traçabilité des aliments ne sont pas envisageables ; un site de commerce en ligne ne répond pas pendant une journée et ce sont des milliers de commandes passées chez les concurrents.

Mais toutes les activités d'une société ne peuvent pas être immédiatement secourues et rétablies. Le coût serait prohibitif. ' Chaque entreprise doit se poser deux questions fondamentales, souligne Caroline Fabre, responsable de la gamme SPL BCRS^(*) chez IBM France : quelle est la quantité maximale d'informations que je peux perdre et quel est le délai maximum de reprise d'activité normal sans compromettre le suivi de la société ? Tout le reste découle de là. '

C'est pourquoi un distinguo s'impose entre PRA et PCA, ce dernier étant beaucoup plus ambitieux puisqu'il suppose que l'activité ne s'interrompe pas, en doublant les centres de données par exemple. Encore faut-il qu'ils soient synchronisés. ' Dans le cas de son activité c?"ur de métier, le site web d'un magasin en ligne par exemple, l'entreprise opte pour un PCA, préconise Eric Wiatrowski, directeur sécurité d'Orange Business Services. Mais, pour le reste, un PRA suffit. Récupérer immédiatement des données de facturation n'est, notamment, pas prioritaire. Le tout est de ne pas les perdre. '

Les atouts des opérateurs télécoms

PRA ou PCA ou les deux à la fois, le domaine attire toujours plus d'acteurs. Il y a les ' traditionnels ', comme IBM. ' Nous proposons des solutions de continuité de service depuis une vingtaine d'années, rappelle Caroline Fabre. Depuis quatre ou cinq ans, les entreprises réclament des solutions plus complètes englobant les processus métiers. ' Dans les rangs des prestataires de service se pressent également les opérateurs télécoms. Et pour cause : ils tiennent le réseau, l'un des éléments clés des solutions de sauvegarde. ' Afin d'assurer la continuité des activités critiques, nous offrons des raccordements réseaux qui sont doublés ou de l'hébergement redondé d'applications, précise Eric Wiatrowski. Fort de notre expérience de fournisseur de services de télécommunications temps réel, notre credo auprès de nos clients est " profitez de notre expérience ". '

Dans la même veine, l'opérateur Colt s'est réorganisé en 2007 pour développer ses services professionnels, y compris la continuité et la reprise de service. ' Nous ne nous contentons pas de proposer des produits, nous analysons avec le client ses besoins jusqu'aux processus métier. Ensuite, nous dressons avec lui un plan de crise. '

Même les PME sont aujourd'hui concernées

Autre catégorie d'acteurs, les hébergeurs qui fournissent les locaux sécurisés et les serveurs de secours. C'est le cas d'Interxion. Il abrite à la fois des opérateurs télécoms et les fournisseurs d'accès internet qui y placent leurs points de présence, les ' infogéreurs ', comme HP ou Accenture, ainsi que les sites de secours de grandes sociétés (Carrefour ou Fia-Net par exemple). ' Nous ne faisons pas de conseil, mais nous sommes néanmoins un élément clé des PCA et PRA car nous sommes un lieu de concentration des moyens techniques, déclare Fabrice Coquio, PDG d'Interxion. La présence, dans les mêmes locaux, des réseaux et des moyens informatiques est un atout pour tous les acteurs. ' Certains hébergeurs proposent également des prestations de conseil. Tel Agarik, racheté par Bull en 2006. Les rôles sont clairs à présent. ' Si le client dispose d'un PCA-PRA, il s'installe directement chez nous, explique Laurent Serror, directeur opérationnel d'Agarik. S'il a besoin de conseils pour l'élaborer, Bull est là pour l'aider. Nous n'intervenons que comme prestataire technique. '

Jusqu'à ces dernières années, les PRA-PCA intéressaient surtout les grands groupes et mobilisaient les poids lourds de l'informatique et des télécoms. Aujourd'hui la gestion du risque entre dans la culture des PME et même des TPE. ' Nos clients sont des PME à 45 % ', insiste Caroline Fabre. Ce marché attire aussi de nouveaux acteurs, plus petits et qui, sans négliger les grandes entreprises, adaptent leur offre aux petites sociétés. ' Nous faisons de la sauvegarde automatique pour les entreprises qui n'ont pas de moyens de backup élaborés ', précise Cédric Courteau, directeur solutions e-backup chez RiscGroup. Des agents logiciels sont installés sur les serveurs et, régulièrement, les opérations sont rapatriées chez Risc Group.

L'offre s'étend même aux PC portables. Ces derniers sont également dotés d'agents logiciels et l'utilisateur paramètre la fréquence de sauvegarde automatique des informations. ' Des professions libérales y viennent, révèle Cédric Courteau. Prenons le cas d'un avocat qui planche sur une affaire dans le train et prépare une plaidoirie. Dès qu'il arrive à l'hôtel ou chez son client, il sauvegarde son travail via une connexion 3G. ' En outre, Risc Group propose des prestations de conseil et d'audit. Lorsque les moyens sont très importants, il travaille avec les ténors du secteur comme IBM ou Sunguard. ' Nous faisons notamment les manipulations techniques pour le client. '

Aujourd'hui, la notion de risque évolue. Elle se cantonnait aux catastrophes physiques : incendie, panne, inondation, explosion, etc. Désormais, elle englobe tout ce qui met en péril le fonctionnement d'une entreprise. Le cabinet de courtage en assurances et réassurances Aon en a fait l'expérience avec les attentats du 11-Septembre, ses bureaux étant hébergés dans le Wall Trade Center. Grâce aux procédures de sauvegarde, l'activité a repris trente-six heures plus tard. Depuis, la filiale américaine a incité ses homologues à se doter de PRA-PCA, aux standards de sécurité les plus élevés. ' C'est devenu une nécessité pour nous-mêmes, société de conseil en gestion des risques, et pour nos clients, dit Gilles Proust, directeur d'Aon Global Risk Consulting. Ils nous demandent si nous avons un plan de secours. C'est pour eux un gage de sécurité. '

Les entreprises prennent également en compte le facteur humain (erreur d'un employé, malveillance et même conflits sociaux. ' Lors de grandes grèves de transports en région parisienne, des clients se servent de leur site de repli pour qu'une partie des employés puissent continuer à travailler ' confie Caroline Fabre. Des cabinets évaluent même les risques politiques dans certaines contrées et classent les pays par ' dangerosité '. Pourtant, malgré toutes ces précautions, les spécialistes sont d'accord sur un point : le risque zéro n'existe pas.

(*) Service Product Line Business Continuity Resiliency Services

Les 7 règles d'or pour préparer et faire vivre un plan de secours

1. Analyser les processus métier.
2. Etudier les risques et en tirer des priorités.
3. Si l'entreprise a recours à un prestataire extérieur, elle doit s'impliquer dans l'élaboration du PCA-PRA.
4. Mettre à jour le PCA-PRA en fonction des modifications du système d'information et de l'organisation de l'entreprise.
5. Même en l'absence de changement, réaliser deux ou trois tests par an.
6. Intégrer le PRA-PCA dans tout nouveau projet. Le responsable PCA doit être consulté.
7. Faire vivre le PCA en maintenant éveillé l'intérêt de la direction et du personnel.

Des centres de repli pour poursuivre l'activité

agrandir la photo

Certains prestataires, comme IBM, proposent à leurs clients des centres de repli soit personnalisés, soit mutualisés. Le personnel peut y poursuivre son activité sur des postes de travail configurés en attendant de regagner l'entreprise. Cette solution peut être complétée par le télétravail depuis son domicile, par le biais d'un VPN ou encore par des portables accédant au site de secours via le réseau 3G et au travers d'un VPN.

Ce que devrait contenir un PCA-PRA

L'identification des risques : elle prend en compte les risques techniques mais également environnementaux, sociaux, politiques, opérationnels (fraude, erreur humaine...)
La mitigation des risques : il s'agit de réduire leur impact au maximum en mettant en face de chacun d'eux une solution.
Le cahier des charges : il comporte un volet gestion de la crise, un plan de repli, un plan de secours informatique et un plan de continuité métier.

2 questions à... : Robert Bergeron, responsable de l'offre sécurité de Capgemini Finance & services

A quoi un plan de reprise d'activité ou de continuité d'activité sert-il ?

' Il intervient lorsque la marche normale d'une entreprise est perturbée, et ce jusqu'à l'arrêt total ou partiel de son activité. Il faut alors gérer la crise : c'est le but du PRA-PCA. Le PCA ne couvre pas uniquement le côté technique. Il prend aussi en compte la gestion du personnel et même la communication de crise auprès des clients et des partenaires. Il faut également anticiper les risques liés à l'intervention humaine, qu'elle soit intentionnelle ou accidentelle. Et mêmes ceux systémiques, comme une épidémie. '

D'où vient cet engouement pour ces plans ?

' Au départ, il y a les contraintes réglementaires tels le comité Bâle II pour les banques et Solvency II pour les assurances. S'ajoute la pression concurrentielle. En cas de crise, les entreprises doivent réagir très vite. Il n'y a pas de place pour l'improvisation. Ce souci de limiter les risques gagne tous les secteurs de léconomie. '

envoyer
par mail

imprimer
l'article

La panoplie antisinistre gagne en sophistication et perd en élitisme

Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute

01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM