' Une deuxième génération de PCA arrive, plus réactive '

Florian Carrière : Non, à l'exception du secteur financier sur lequel pèsent, depuis une décennie, des contraintes réglementaires l'obligeant à anticiper les risques d'interruption d'activité. En 2005, une étude du Clusif évaluait à 49 % la part des entreprises de plus 1 000 salariés dotées d'un PCA, limité, en fait, à un plan de secours informatique. Pour les sociétés dont le système d'information est au c?"ur des métiers et dont l'activité de front office s'avère importante, tels les opérateurs télécoms ou les compagnies aériennes, le PCA doit être un objectif prioritaire. Cela est moins vrai dans le monde industriel. Néanmoins, nous avons travaillé pour le compte d'une entreprise pharmaceutique qui s'est aperçue que l'interruption de son informatique empêchait toute traçabilité de ses médicaments, ce qui en rendait toute vente impossible.

FC : A moitié. Lorsque l'on discute avec les opérateurs et les fournisseurs, tout est possible sur le plan technique. Grâce aux progrès réalisés dans les réseaux de télécommunications, il est désormais possible de raccorder des sites à des débits élevés, et ce à des prix raisonnables. Toutefois, les temps de réponse des réseaux pèsent encore trop sur le fonctionnement des applications, et la technologie n'a pas aboli les distances. Dès que l'on veut rapatrier à distance, sur un site secondaire, les traitements effectués sur des grappes de serveurs applicatifs complexes, il s'avère difficile de dépasser 10 à 15 km entre deux sites.

FC : Les sociétés commencent à prendre en compte ce type de risque, notamment celui lié à l'indisponibilité massive de personnel due à une pandémie. Il convient donc de réfléchir aux ressources essentielles au bon fonctionnement de l'entreprise, et de prévoir des reprises progressives d'activité sur les fonctions déclarées comme vitales. Les entreprises s'intéressent également au risque de mouvement social paralysant.

FC : Le document de l'Afnor a le mérite d'exister, mais il a été conçu pour des entreprises qui en sont encore au stade de la prise de conscience. Il n'est pas assez approfondi pour les sociétés plus avancées en matière de continuité d'activité. Autre référentiel, la norme BS 25999, d'origine britannique, définit de manière assez large les bases de la continuité opérationnelle ; elle devrait être intégrée au référentiel 27000 de l'ISO.

FC : Oui, pour la bonne et simple raison que les premiers PCA reposaient sur une logique du tout ou rien. En cas de problème, tout était prévu pour basculer l'informatique sur le site de secours. Ces plans de secours n'étaient déclenchés qu'en cas de sinistre majeur en raison d'une infrastructure lourde, coûteuse et longue à activer. La deuxième génération de plan de continuité s'appuie sur un site de secours qui est soit actif, au sens où il participe au quotidien de l'activité, soit activable, c'est-à-dire capable de prendre le relais très rapidement, même s'il ne participe pas aux traitements informatiques quotidiens de l'entreprise.

FC : Les entreprises du secteur banque et finance, notamment, ont entamé une réflexion sur la notion de sinistre de grande ampleur ou extrême, ce qui pourrait les contraindre à envisager l'activation d'un second site de secours, en recourant cette fois-ci à un prestataire.

FC : Aucune de ces technologies n'a été déployée à grande échelle dans le cadre de la continuité d'activité. Cela dit, tout ce qui concourt à s'abstraire du matériel va dans le bon sens. A ce titre, la virtualisation de serveurs et les efforts d'urbanisation du système d'information contribuent à clarifier et à renforcer lindépendance des différents composants du SI entre eux.