La notion de continuité évolue

Complexité à tous niveaux. Dans un grand compte, il n’est pas rare de compter jusqu’à 150 applications qualifiées de «très critiques». Les réseaux sont eux-mêmes sécurisés de façon dynamique, ce qui rend difficile la reconstitution d’arbres de défaillance. La vision «bottom-up», basée sur une nomenclature de composants caractérisés par des taux de défaillance, se heurte à une remise en perspective dynamique en fonction des usages. Simultanément, l’externalisation de pans entiers d’activité amène les entreprises à raisonner plutôt en termes contractuels, les fameux SLA, laissant aux tiers le soin de s’organiser pour y satisfaire. L’heure n’est plus au contrôle de A à Z, mais plutôt à la délégation: «Je te donne mes contraintes et mes exigences, tu me rends un service en conséquence.»

Aujourd’hui, CIO et IT Managers sont appelés à raisonner en termes de niveaux de service, avec la difficulté de les répercuter non seulement en interne, mais aussi sur les différents prestataires tout en maintenant un niveau de réactivité élevé. Qui plus est, il s’agit de maintenir une correspondance entre une analyse sans cesse actualisée des impacts sur les métiers -le fameux BIA (Business Impact Analysis)- et les niveaux de service requis.

Reprise après incident, continuité d’activité, résilience… Si les concepts et les démarches se télescopent, les objectifs s’enchaînent: identifier et anticiper les risques opérationnels avant leur apparition; répondre à des événements inhabituels (naturels, du fait de l’homme, accidentels et intentionnels); assurer les missions critiques, vues du métier et, enfin, conduire une analyse post-mortem pour améliorer l’ensemble, dans des situations semblables.

Une démarche globale qui va dans le sens de la gouvernance d’entreprise, le déploiement de processus dans une préoccupation de qualité et, s’agissant des systèmes d’information, du déploiement de COBIT. Toutes ces démarches convergent et sont à mener de concert.

Selon Gartner Group, les entreprises qui sont en tête aujourd’hui sont celles qui ont développé culturellement une approche de la continuité des activités face aux risques. L’étude montre que si le secteur financier est le plus engagé, la distribution en tire davantage de bénéfices. Dans ce secteur, en effet, on est habitué depuis longtemps à faire face à de nombreux risques: défaillance d’un transporteur, incendie d’un entrepôt, inondation d’un magasin, accidents du travail pour une population un peu précarisée, etc. Bref, un contexte qui a conduit à développer une approche résolument orientée métier.

On voit aussi que la notion de risque s’étend. Le fait qu’Airbus Industries, par exemple, construise des usines hors de la zone Euro est une réponse à un risque avéré, à savoir l’Euro fort. Pour certains analystes, ce choix -a priori politique- s’inscrit néanmoins dans un plan de continuité. On cherchera donc à préciser l’environnement, les relations avec les tiers, les gouvernements, etc.; à documenter les activités critiques, les ressources critiques, les infrastructure, le système d’information; à préciser pour chaque métier la stratégie de continuité d’activité; à développer les plans de continuité des services de support des métiers avec leurs responsables; à créer un état d’esprit propice à l’élaboration des plans et des situations de crise; à mettre en œuvre les plans en cas de crise…

Bref, la vision n’a jamais été aussi large. Elle rassemble les principales activités stratégiques de l’entreprise, également celles des tiers (fournisseurs, clients) et de l’environnement. A la clé, l’agilité de l’entreprise; sa robustesse et sa capacité à rebondir, sans négliger son image.

Plus on s’élève dans la hiérarchie, moins les risques sont pris en compte, analyse Ponemon Institute à l’issue d’une étude réalisée aux Etats-Unis à la fin du printemps auprès de 213 personnes, dont des chefs d'entreprises (14%), des CIO ou encore des directeurs généraux des opérations (COO).

En cause, l’absence de ROI. Selon les résultats de l’étude, 63% des CEO pensent que l'éducation des salariés est primordiale, contre 72% pour les autres personnes. Pour les dirigeants, tant que l'entreprise n'est pas financièrement affectée par des défaillances en provenance du service informatique, la prise de conscience peine à se faire. Ils s'inquiètent surtout des vols (31%) et des pertes (24%) de matériels (portables, clés USB...), alors que seuls 3% d'entre eux considèrent le cyber crime comme une réalité. 



La grande majorité des personnes interrogées s'accordent cependant sur un point, celui de la responsabilité. 85% d'entre eux estiment en effet qu'ils ne sont pas directement concernés si l'entreprise est victime d'une violation de données… Qui alors? Les responsables informatiques, bien évidemment. Dans 53% des cas, ils sont clairement montrés du doigt. Contre 24% pour les autres sondés. Responsables donc, mais sans disposer de ressources supplémentaires…