« Gartner Group : 70% des entreprises ayant vécu un sinistre sans avoir mis en place auparavant un plan de secours, déposent le bilan dans les 2 ans. »

« Ernst & Young : +50% des entreprises reconnaissent avoir connu un problème informatique ayant entraîné des pertes financières directes / indirectes. Coût moyen d’une panne informatique 300’000 €. »

Les dirigeants sont de plus en plus appelés à manifester leur sens des responsabilités en veillant à la sécurité de leur personnel et en assurant la disponibilité continue des systèmes essentiels de commercialisation et de production.

Certaines entreprises sont dans l’obligation de mettre en place un PRA (plan de reprise des activités – en anglais DRP : disaster recovery plan) ou un PCA (plan de continuité d’activité – en anglais BCP, Business Continuity Planning) :

• SOX (Sarbanes-Oxley Act de 2002 / NYSE Rule 446 / NASD Rule 3510 & 352 pour les sociétés cotées sur le marché américain) : « D'une façon générale mettre en œuvre les solutions et processus permettant d'éviter une situation de faillite financière (SOX). »
• Bâle II (pour les banques et assurances) : « Vous devez assurer la continuité de l'exploitation informatique en cas de difficulté grave dans le fonctionnement des systèmes. Vous devez assurer la continuité de l'activité des établissements financiers en élaborant et décrivant de façon détaillée un PCA documenté, cohérent et testé. Etre en mesure d'apporter la preuve des éléments indiqués ci-dessus en cas d'audit. »
• Code des Obligations : « dès juillet 2007, obligation de l’organe de révision de vérifier l’existence d’un système de contrôle interne et de le confirmer dans son rapport aux actionnaires. »
• Pour la France : La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière (LSF).
• De manière internationale : ISO 27001 (certification suisse SAS-ISMS) lié à ISO 27002 avec son chapitre 10 « Business continuity management ».

Peu importe la nature des incidents contre lesquels l’entreprise cherche à se prémunir, son plan de continuité des affaires ne doit jamais viser uniquement l’infrastructure technologique. Pour que votre entreprise se remette sur pied sans dommages, il faut que votre plan prévoie le rétablissement de toutes les activités vitales et critiques telles que la prestation des services, la fabrication ou le conditionnement, l’entreposage, la livraison et l’assistance à la clientèle.

Le DRP / PRA s'inscrit donc dans une démarche plus globale : le plan de continuité d'activité. Celui-ci intéresse l'ensemble des responsables fonctionnels. Passer du PRA / DRP au PCA / BCP est l'objectif des prochaines années ; cependant il sera très difficile pour nombreuses entreprises à réussir ce saut.

Définitions

BCP : Business Continuity Plan. En français : Plan de Continuité d’Activité - PCA. Garantir en toutes circonstances la Continuité (pas d’interruption) des activités clés de l’entreprise en cas de sinistre.

RPO (Recovery Point Objective): objectif quant au point de reprise. Quelle est la quantité d’information que l’on accepte de perdre, depuis la dernière sauvegarde jusqu’à l’incident ?

RTO (Recovery Time Objective) : objectif quant au temps de reprise. En combien de temps faut-il redémarrer l’activité, de l’incident jusqu’à la récupération des systèmes et données ?

Le livrable

Le livrable est le document DRP, élaboré dans la démarche présenté ci-dessous. Ce document regroupe l'ensemble des éléments nécessaires pour préparer l'entreprise à un éventuel sinistre (modifications à apporter aux infrastructures, applications, processus, formations...), et le plan d'actions en cas de sinistre et pour restaurer le SI après le sinistre.

Notre objectif est de conduire le client à créer un DRP à son image, adapté à ses besoins et à son contexte.

Notre démarche

Etape préparatoire

• Lancement du projet, avec la désignation des répondants business et des répondants IT comme équipe de projet.
• Présentation du projet aux participants (1h, Powerpoint).
• Planification des interviews et des différents ateliers (un diagramme de Gantt – MS Project sera ensuite fourni).

• Préparation par tebicom d’un questionnaire en vue de l’analyse d’impact business.
• Interviews avec les répondants business, pour l’analyse d’impact business.

• Atelier avec les répondants informatiques et les décideurs, pour définir les stratégies de reprise.
• Atelier avec la direction pour présenter l’analyse d’impact et les stratégies de reprise et choisir la plus adaptée.

• Atelier avec les répondants informatiques pour élaborer les procédures de reprise.

• Atelier avec les répondants informatiques pour préparer la conduite du changement, définir les cahiers des charges pour les différents besoins (hardware, software, services).
• L’établissement des contrats, les commandes et les mises en œuvre des solutions préconisées seront effectuées en dehors du projet DRP.

• Atelier avec les répondants informatiques pour établir le protocole de test.
• Réalisation du test selon le protocole, par les responsables désignés dans le DRP.
• Atelier avec les responsables désignés dans le DRP pour faire la 1ère revue des résultats du test.

Etape 6 : maintenance du DRP

• Cette étape sera menée par les responsables désignés dans le DRP.