10 Février 2012
La lettre d'octobre 2008
- [ENQUÊTE] Frais de maintenance SAP : 10 questions pour les champions du nouveau tarif
- [GESTION DU RISQUE] Le plan de continuité, le BCM et la résilience
- [SÉCURITÉ] Faire face à la sournoise pandémie des Malwares
- [SÉCURITÉ] L’antivirus interopérable et normalisé tarde à voir le jour
- [SÉCURITÉ] Dix points de contagion et de menace persistante
- [SOLUTIONS] La collaboration en entreprise à l’ère du web 2.0
- [DEVELOPPEMENT] Les sept piliers du code informatique
- [DSI] Créativité, productivité, flexibilité : la devise de Bruno Ménard, nouveau président du Cigref
- [SMSI] La sécurité des systèmes d’information sort enfin de son ghetto technique
Archives
|
|
[GESTION DU RISQUE] Le plan de continuité, le BCM et la résilience
Dossier - la lettre d'octobre 2008
LE BCM (BUSINESS CONTINUITY PLANNING) GERE LES RISQUES EXTERNES ET INTERNES, DANS UN BUT DE CONTINUITE DE L’ACTIVITE. Comment survivre aux cataclysmes ! Comment greffer un BCM (business continuity planning) dans une entreprise ? Le BCM est un processus pour identifier les risques, répondre à des événements imprévus, assurer les missions critiques, conduire une analyse post-mortem. Au-delà du BCM, la résilience caractérise la capacité de l’entreprise à faire face au pire. Comme d’autres consultants, Gartner enquête et analyse autour de ces nécessités vitales pour les grands comptes.
Par Dominique Moisand, Guide Informatique
Par Dominique Moisand, Guide Informatique
Aujourd’hui, quelles sont les principales dispositions mises en place dans l'entreprise pour garantir la continuité de l'activité dans toutes les circonstances ? La question est devenue de première importance. A l’heure où la panne est maintenant une normalité qu’il fait savoir gérer, les dysfonctionnements à répétition vécus récemment par le Ministère des Armées, l’Etat Géorgien, Google, la bourse de Londres, Voyages-SNCF ou Areva montrent qu’aucune structure n’est à l’abri.
Au début des années 1990, on assimilait le BCM au plan de reprise d’activité des systèmes d’information. L’accent était alors mis sur la sécurisation des centres de calcul, la sauvegarde des données et le basculement d’un site principal à un site de secours. Simultanément, on commençait à se poser des questions liées aux activités Métier : Quelles applications sécuriser en priorité ? Quels utilisateurs privilégier et éventuellement dans quels locaux les installer ? La démarche même de plan de continuité conduit à questionner le quotidien sous un autre angle. Si on ne peut pas compter sur les ressources habituelles (infrastructures, applications, personnes), que peut-on faire en priorité et pour sauvegarder quoi ?
Sur le fond, rien n’a changé, sinon que le BCM englobe très clairement l’ensemble des facteurs de risque, externes et internes, dans une perspective de continuité de l’activité. Depuis longtemps, les plans de reprise d’activité des systèmes d’information ont eu leurs corollaires sur la logistique, les entrepôts, les ressources humaines et, de façon générale, tous les domaines sensibles de l’entreprise. La nouveauté tient dans la vision systémique de l’ensemble pour une capacité de décision au plus haut niveau. Le maître mot est l’agilité, réagir au plus vite et au mieux pour faire face à tout aléa, non seulement en sauvegardant l’essentiel des activités, mais aussi en saisissant les opportunités qui se font jour.
Lien : Définition du BS 25999
Légende : La norme britannique BS 25999 a été conçue pour mettre en place un système de gestion de la continuité des activités, face à des risques divers. Elle comprend deux parties : 1) Un code de bonnes pratiques, 2) Les exigences requises pour un système de gestion de la continuité des activités. Du côté de l’AFNOR, un groupe de travail (Z74-700) sur les PCA (plans de continuité d’activité) s’est spécialisé sur les impacts d'une perturbation du système d'information ou de l'organisation sur les activités métiers.
Sur le plan des systèmes d’information, les choses sont devenues infiniment plus compliquées. Les grands comptes ont jusqu’à 150 applications qualifiées de « très critiques », les réseaux sont eux-mêmes sécurisés de façon dynamique ce qui rend difficile la reconstitution d’arbres de défaillance. La vision bottom-up (du bas vers le haut, du général au particulier) basée sur une nomenclature de composants caractérisés par des taux de défaillance se heurte à une remise en perspective dynamique en fonction des usages. Simultanément, l’externalisation de pans entiers d’activité amènent les entreprises à raisonner plutôt en termes contractuels, les « niveaux de service » (SLA), laissant aux tiers le soin de s’organiser pour y satisfaire.
La mode n’est plus au contrôle de A à Z mais plutôt à la délégation : « Je te donne mes contraintes et mes exigences, tu me rends un service en conséquence ». Cette nouvelle tendance relâche la contrainte, et les espoirs, fondés sur la CMDB. Une vue un peu technocratique de cette base de données en faisait la base de toutes les illusions. Par défaut d’autres systèmes d’information de la DSI, la CMDB se trouvait propulsée comme source d’informations aussi bien sur le service d’assistance ce qui est sa vocation, que sur les composants élémentaires et sur leur fiabilité dans la chaîne de la fourniture des services.
La DSI se retrouve donc, comme les autres entités concernées par le BPM, amenée à raisonner en termes de niveaux de service, avec la difficulté de les répercuter non seulement en interne mais sur plusieurs infogérants la plupart du temps, tout en maintenant un niveau de réactivité élevé. Par ailleurs, elle doit maintenir une correspondance entre une analyse sans cesse actualisée des impacts sur les métiers (BIA : business impact analysis) et les niveaux de service requis. Elle est donc, parmi d’autres services de support, l’une des contributrices de la démarche BCM globale.
Le BCM se définit ainsi comme un processus pour coordonner les activités consistant à 1) identifier et anticiper les risques opérationnels avant leur apparition, 2) répondre à des événements inhabituels (naturels, du fait de l’homme, accidentels et intentionnels), 3) assurer les missions critiques, vues du Métier, après de tels événements, 4) conduire une analyse post-mortem pour améliorer l’ensemble, dans des situations semblables. On pourrait se demander à ce stade si le BCM est une vue de l’esprit plus propre à ouvrir un nouveau budget de dépenses qu’à réduire l’impact d’aléas par définition imprévisibles. En fait, la démarche du BCM porte en elle-même un premier résultat qui est de garantir une meilleure robustesse de l’ensemble des processus. Roberta Witty, en charge du BCM au niveau mondial pour le Gartner Group, indique que 12% des grandes entreprises ont déjà atteint le niveau 4 sur son modèle de maturité. Ce stade correspond à un niveau 4 (le plan est managé) sur 5 (le plan est optimisé) et sanctionne les entreprises qui non seulement ont mis en œuvre un BCM mais sont capables d’en mesurer les résultats et d’en déduire des améliorations.
Le BCM va dans le sens de la Gouvernance d’entreprise, le déploiement de processus dans une préoccupation de qualité et, s’agissant des systèmes d’information, du déploiement de COBIT. Toutes ces démarches convergent et sont à mener de concert. Plus intéressant, Roberta Witty fait le lien entre les entreprises qui ont développé culturellement une approche de la continuité des activités face aux risques et celles qui sont en tête aujourd’hui. On s’aperçoit qu’on trouve les banques qui sont très dépendantes des systèmes d’information mais aussi des secteurs très différents comme la distribution. Dans ce secteur de la distribution, on est habitué à faire face à de nombreux risques : défaillance d’un transporteur, incendie d’un entrepôt, inondation d’un magasin, accidents du travail pour une population un peu précarisée, etc. Ce contexte a conduit à développer une approche du BCM très orientée métier qui rend ce secteur très en avance sur d’autres. Les entreprises qui ont atteint le niveau 4 sont de très grands comptes qui ont su répartir leurs risques en tirant profit de globalisation pour réduire l’ensemble de leurs risques ou plutôt pour leur donner une agilité face aux menaces. Citons, par exemple, Wal-Mart, Home Depot, British Télécom, Deutsch Bank, JP Morgan, Barclay’s.
Le fait d’avoir une envergure mondiale facilite non seulement les choix mais les impose. Le fait qu’Airbus se décide à créer des usines hors de la zone Euro est une réponse à un risque avéré, l’Euro fort, mais aurait pu être une mesure d’un plan de BCM.
Dès lors, un BCM affiche huit principales caractéristiques :
• Définir une politique générale qui sous-tende le plan ;
• Préciser l’environnement, les relations avec les tiers, les gouvernements, etc. ;
• Documenter les activités critiques : ressources critiques, infrastructure, SI ;
• Préciser pour chaque Métier la stratégie de continuité d’activité ;
• Développer les plans de continuité des services de support des métiers avec les responsables ;
• Créer un état d’esprit propice à l’élaboration de plans et de situations de crise ;
• Mettre en œuvre les plans en cas de crise ;
• Piloter le processus de BCM (revues, améliorations, tableaux de bord de suivi).
Quels sont les outils du marché ? Il faut disposer d’une vision des principales activités stratégiques de l’entreprise (RH, DSI, logistique, etc.), des tiers (fournisseurs, clients) et de l’environnement. Ensuite, il faut les lier à leur impact sur les Métiers (BIA : business impact analysis) et les principaux processus de l’entreprise. Aujourd’hui, SUNGARD a racheté STROHL, le leader qui travaillait avec IBM, lequel promeut à présent Coop Systems. HP a son propre outil. BSI se positionne comme un précurseur avec la normalisation BS 999. Et, enfin, il y a de nombreux outsiders comme BMC ou Office Shadow, mais le marché se réorganise.
Comment greffer un BCM dans une entreprise ? Il s’agit d’une cellule de pilotage stratégique et surtout pas d’un Cabinet noir qui doublerait les postes de commandement. Les métiers restent responsables de leurs domaines et la cellule BCM est là pour animer et coordonner les plans, les revues, les décisions au plus haut niveau. Pour un très grand groupe mondial, on parle de 4 ou 5 personnes. Inutile de dire que ce concept ne s’applique pas tel quel aux PME. Quels sont les avantages du BCM ? Le graphique ci-dessous illustre les nombreux avantages que l’on peut en espérer. L’agilité de l’entreprise au niveau mondial, son image, sa robustesse, la qualité de ce qu’elle offre à ses clients, sa capacité à rebondir.
Source : Roberta Witty – Gartner Group 2008
Le BCM nous amène à une nouvelle tendance qui se définit par un mot commun aux français et aux anglo-saxons, la résilience. C’est, d’après le Petit Robert, « la capacité à vivre, à se développer, en surmontant les chocs traumatiques, l'adversité ». Il est intéressant de constater que les spécialistes de la sécurité se tournent de plus en plus vers le modèle humain pour imaginer les réponses aux attaques. Certains partent du système immunitaire pour dépasser le principe du mur anti feu, ici, avec la résilience, on se réfère davantage à la structuration psychologique de l’individu.
En ce sens, la résilience va plus loin encore que le BCM sur lequel elle s’appuie. Il s’agit non seulement de responsabiliser les Métiers et les Services de Support, de leur demander de travailler à leurs plans de secours, de vérifier et coordonner les plans d’ensemble, mais essentiellement, de créer une culture de la réactivité et de la mobilisation en cas de problème grave. Si par exemple un fournisseur stratégique va mal, il faut bien sûr mettre en œuvre un plan de secours mais on peut, éventuellement, faire mieux : le racheter par exemple ! Tout cela, dira-t-on, devrait se traduire aussi par une appréciation incontestable. C’est chose faite : depuis mai 2008, l’agence Moody’s prend en compte l’existence de BCM dans sa cotation des grandes entreprises.
Au début des années 1990, on assimilait le BCM au plan de reprise d’activité des systèmes d’information. L’accent était alors mis sur la sécurisation des centres de calcul, la sauvegarde des données et le basculement d’un site principal à un site de secours. Simultanément, on commençait à se poser des questions liées aux activités Métier : Quelles applications sécuriser en priorité ? Quels utilisateurs privilégier et éventuellement dans quels locaux les installer ? La démarche même de plan de continuité conduit à questionner le quotidien sous un autre angle. Si on ne peut pas compter sur les ressources habituelles (infrastructures, applications, personnes), que peut-on faire en priorité et pour sauvegarder quoi ?
Jusqu’à 150 applications qualifiées de « très critiques »
Sur le fond, rien n’a changé, sinon que le BCM englobe très clairement l’ensemble des facteurs de risque, externes et internes, dans une perspective de continuité de l’activité. Depuis longtemps, les plans de reprise d’activité des systèmes d’information ont eu leurs corollaires sur la logistique, les entrepôts, les ressources humaines et, de façon générale, tous les domaines sensibles de l’entreprise. La nouveauté tient dans la vision systémique de l’ensemble pour une capacité de décision au plus haut niveau. Le maître mot est l’agilité, réagir au plus vite et au mieux pour faire face à tout aléa, non seulement en sauvegardant l’essentiel des activités, mais aussi en saisissant les opportunités qui se font jour.
BCM et Normalisation
Lien : Définition du BS 25999
Légende : La norme britannique BS 25999 a été conçue pour mettre en place un système de gestion de la continuité des activités, face à des risques divers. Elle comprend deux parties : 1) Un code de bonnes pratiques, 2) Les exigences requises pour un système de gestion de la continuité des activités. Du côté de l’AFNOR, un groupe de travail (Z74-700) sur les PCA (plans de continuité d’activité) s’est spécialisé sur les impacts d'une perturbation du système d'information ou de l'organisation sur les activités métiers.
Sur le plan des systèmes d’information, les choses sont devenues infiniment plus compliquées. Les grands comptes ont jusqu’à 150 applications qualifiées de « très critiques », les réseaux sont eux-mêmes sécurisés de façon dynamique ce qui rend difficile la reconstitution d’arbres de défaillance. La vision bottom-up (du bas vers le haut, du général au particulier) basée sur une nomenclature de composants caractérisés par des taux de défaillance se heurte à une remise en perspective dynamique en fonction des usages. Simultanément, l’externalisation de pans entiers d’activité amènent les entreprises à raisonner plutôt en termes contractuels, les « niveaux de service » (SLA), laissant aux tiers le soin de s’organiser pour y satisfaire.
La mode n’est plus au contrôle de A à Z mais plutôt à la délégation : « Je te donne mes contraintes et mes exigences, tu me rends un service en conséquence ». Cette nouvelle tendance relâche la contrainte, et les espoirs, fondés sur la CMDB. Une vue un peu technocratique de cette base de données en faisait la base de toutes les illusions. Par défaut d’autres systèmes d’information de la DSI, la CMDB se trouvait propulsée comme source d’informations aussi bien sur le service d’assistance ce qui est sa vocation, que sur les composants élémentaires et sur leur fiabilité dans la chaîne de la fourniture des services.
Une vue de l’esprit propre à ouvrir un nouveau budget de dépenses
La DSI se retrouve donc, comme les autres entités concernées par le BPM, amenée à raisonner en termes de niveaux de service, avec la difficulté de les répercuter non seulement en interne mais sur plusieurs infogérants la plupart du temps, tout en maintenant un niveau de réactivité élevé. Par ailleurs, elle doit maintenir une correspondance entre une analyse sans cesse actualisée des impacts sur les métiers (BIA : business impact analysis) et les niveaux de service requis. Elle est donc, parmi d’autres services de support, l’une des contributrices de la démarche BCM globale.
Le BCM se définit ainsi comme un processus pour coordonner les activités consistant à 1) identifier et anticiper les risques opérationnels avant leur apparition, 2) répondre à des événements inhabituels (naturels, du fait de l’homme, accidentels et intentionnels), 3) assurer les missions critiques, vues du Métier, après de tels événements, 4) conduire une analyse post-mortem pour améliorer l’ensemble, dans des situations semblables. On pourrait se demander à ce stade si le BCM est une vue de l’esprit plus propre à ouvrir un nouveau budget de dépenses qu’à réduire l’impact d’aléas par définition imprévisibles. En fait, la démarche du BCM porte en elle-même un premier résultat qui est de garantir une meilleure robustesse de l’ensemble des processus. Roberta Witty, en charge du BCM au niveau mondial pour le Gartner Group, indique que 12% des grandes entreprises ont déjà atteint le niveau 4 sur son modèle de maturité. Ce stade correspond à un niveau 4 (le plan est managé) sur 5 (le plan est optimisé) et sanctionne les entreprises qui non seulement ont mis en œuvre un BCM mais sont capables d’en mesurer les résultats et d’en déduire des améliorations.
Dans la distribution, on est habitué à faire face à de nombreux risques
Le BCM va dans le sens de la Gouvernance d’entreprise, le déploiement de processus dans une préoccupation de qualité et, s’agissant des systèmes d’information, du déploiement de COBIT. Toutes ces démarches convergent et sont à mener de concert. Plus intéressant, Roberta Witty fait le lien entre les entreprises qui ont développé culturellement une approche de la continuité des activités face aux risques et celles qui sont en tête aujourd’hui. On s’aperçoit qu’on trouve les banques qui sont très dépendantes des systèmes d’information mais aussi des secteurs très différents comme la distribution. Dans ce secteur de la distribution, on est habitué à faire face à de nombreux risques : défaillance d’un transporteur, incendie d’un entrepôt, inondation d’un magasin, accidents du travail pour une population un peu précarisée, etc. Ce contexte a conduit à développer une approche du BCM très orientée métier qui rend ce secteur très en avance sur d’autres. Les entreprises qui ont atteint le niveau 4 sont de très grands comptes qui ont su répartir leurs risques en tirant profit de globalisation pour réduire l’ensemble de leurs risques ou plutôt pour leur donner une agilité face aux menaces. Citons, par exemple, Wal-Mart, Home Depot, British Télécom, Deutsch Bank, JP Morgan, Barclay’s.
Huit principales caractéristiques
Le fait d’avoir une envergure mondiale facilite non seulement les choix mais les impose. Le fait qu’Airbus se décide à créer des usines hors de la zone Euro est une réponse à un risque avéré, l’Euro fort, mais aurait pu être une mesure d’un plan de BCM.
Dès lors, un BCM affiche huit principales caractéristiques :
• Définir une politique générale qui sous-tende le plan ;
• Préciser l’environnement, les relations avec les tiers, les gouvernements, etc. ;
• Documenter les activités critiques : ressources critiques, infrastructure, SI ;
• Préciser pour chaque Métier la stratégie de continuité d’activité ;
• Développer les plans de continuité des services de support des métiers avec les responsables ;
• Créer un état d’esprit propice à l’élaboration de plans et de situations de crise ;
• Mettre en œuvre les plans en cas de crise ;
• Piloter le processus de BCM (revues, améliorations, tableaux de bord de suivi).
Quels sont les outils du marché ? Il faut disposer d’une vision des principales activités stratégiques de l’entreprise (RH, DSI, logistique, etc.), des tiers (fournisseurs, clients) et de l’environnement. Ensuite, il faut les lier à leur impact sur les Métiers (BIA : business impact analysis) et les principaux processus de l’entreprise. Aujourd’hui, SUNGARD a racheté STROHL, le leader qui travaillait avec IBM, lequel promeut à présent Coop Systems. HP a son propre outil. BSI se positionne comme un précurseur avec la normalisation BS 999. Et, enfin, il y a de nombreux outsiders comme BMC ou Office Shadow, mais le marché se réorganise.
Un avantage en terme d’agilité, d’image, de robustesse, de capacité à rebondir
Comment greffer un BCM dans une entreprise ? Il s’agit d’une cellule de pilotage stratégique et surtout pas d’un Cabinet noir qui doublerait les postes de commandement. Les métiers restent responsables de leurs domaines et la cellule BCM est là pour animer et coordonner les plans, les revues, les décisions au plus haut niveau. Pour un très grand groupe mondial, on parle de 4 ou 5 personnes. Inutile de dire que ce concept ne s’applique pas tel quel aux PME. Quels sont les avantages du BCM ? Le graphique ci-dessous illustre les nombreux avantages que l’on peut en espérer. L’agilité de l’entreprise au niveau mondial, son image, sa robustesse, la qualité de ce qu’elle offre à ses clients, sa capacité à rebondir.
Les avantages du BCM
Source : Roberta Witty – Gartner Group 2008Le BCM nous amène à une nouvelle tendance qui se définit par un mot commun aux français et aux anglo-saxons, la résilience. C’est, d’après le Petit Robert, « la capacité à vivre, à se développer, en surmontant les chocs traumatiques, l'adversité ». Il est intéressant de constater que les spécialistes de la sécurité se tournent de plus en plus vers le modèle humain pour imaginer les réponses aux attaques. Certains partent du système immunitaire pour dépasser le principe du mur anti feu, ici, avec la résilience, on se réfère davantage à la structuration psychologique de l’individu.
En ce sens, la résilience va plus loin encore que le BCM sur lequel elle s’appuie. Il s’agit non seulement de responsabiliser les Métiers et les Services de Support, de leur demander de travailler à leurs plans de secours, de vérifier et coordonner les plans d’ensemble, mais essentiellement, de créer une culture de la réactivité et de la mobilisation en cas de problème grave. Si par exemple un fournisseur stratégique va mal, il faut bien sûr mettre en œuvre un plan de secours mais on peut, éventuellement, faire mieux : le racheter par exemple ! Tout cela, dira-t-on, devrait se traduire aussi par une appréciation incontestable. C’est chose faite : depuis mai 2008, l’agence Moody’s prend en compte l’existence de BCM dans sa cotation des grandes entreprises.
Pour aller plus loin
Les dossiers
Les livres
Forum
- Les domaines de la sécurité de l'information
- La sécurité et l'aspect managérial
- Fonction d'une norme
- L'aspect managérial de la norme
- Le plan de traitement des risques
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Toute l'actu sur ce sujet
Warning: fopen(data/rss/actus/30.xml) [function.fopen]: failed to open stream: No such file or directory in /home/guideinformatique/www/lib/parts/RSS.class.php on line 101
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique et infographie
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire