Présentation générale
Ignorer la problématique du plan de reprise des activités
peut être considéré au mieux comme de
l'irresponsabilité, au pire comme une faute professionnelle au
regard de l'impact potentiel et des règlementations en vigueur
et à venir. Peu d'entreprises peuvent maintenir leur production
sans accès à l'information. Le
référentiel ITIL s'est intéressé au sujet
dès sa première version avec l'ouvrage Contingency
Planning publié en 1989. Sur la version actuelle du
référentiel, ce chapitre fait partie du livre rouge. Nous
sommes donc sur un processus de type tactique en lien direct avec les
plans stratégiques de la DSI et de l'entreprise. En effet, la
continuité des services ne se traite pas uniquement sur le volet
technologique: l'objectif concerne directement l'entreprise. Il s'agit
donc, dans la mission première de la DSI, de supporter les
fonctions métiers en toutes circonstances, et même en cas
d'incident majeur. Désormais, le DSI ne peut plus
échapper à la mise en cause de sa responsabilité
sous prétexte de cas de force majeure.
L'objectif
principal
du processus de gestion de la continuité des services est de
remettre en conditions opérationnelles les infrastructures
informatiques pour supporter les fonctions métiers de
l'entreprise en cas de destruction partielle ou totale des
équipements. Il ne s'agit pas forcément de tout reprendre
(d'ailleurs ITIL propose une option de reprise qui peut paraître
singulière mais qui pourtant est de toute
première importance: ne rien faire). En effet, le plan de
reprise intègre la notion de fonction métier vitale
pour concentrer les efforts sur les fonctions les plus critiques et
ignorer s'il le faut, d'autres fonctions annexes.
Les étapes du processus
Quatre étapes structurent le processus de gestion de la
continuité des services. Elles permettent de développer
puis de déployer les méthodes et les moyens qui
permettront de garantir l'accès à l'information, en
respectant les contraintes d'alignement et l'équilibre entre
investissements et risques à couvrir.
- Lancement:
dès la prise de conscience au sein de la DSI et de l'entreprise,
ITIL recommande de cadrer l'initiative en définissant le
périmètre de couverture, les ressources et les
organisations impliquées.
- Exigences et stratégie:
c'est le travail d'analyse (impact et risques) qui doit amener
l'équipe projet à définir les stratégies de
reprise. Les objectifs du processus y sont définis en accord
avec les exigences des directions métiers. Trois fonctions
composent cette étape: analyse d'impact, analyse des risques,
stratégie de continuité.
- Implémentation:
à partir de la stratégie de continuité
décidée, l'organisation projet est mise en place pour
définir le planning d'implémentation et élaborer
les techniques de reprise pour l'ensemble des solutions couvertes par
le plan. Les activités de cette étape sont: mise en place
de l'organisation, planning d'implémentation,
développement des dispositifs de secours, déploiement des
mesures de réduction des risques, développement des
procédures de reprise et tests de reprise.
- Gestion opérationnelle:
en mode production, le processus veille à la sensibilisation des
ressources et à la formation des experts identifiés. Le
processus de gestion des changements s'assure que toute
modification pouvant impacter la reprise est analysée et
intégrée aux solutions de secours.
Les activités de cette étape sont: éducation
et sensibilisation, audits, plans de tests, gestion des changements et
formations.
Les options de reprise
Six options de
reprise sont proposées par le référentiel ITIL.
Elles permettent d'adapter la stratégie de reprise aux
contraintes et aux exigences des directions métiers.
- Ne rien faire: cas des solutions dont l'entreprise peut se dispenser en cas de sinistre majeur.
- Solution de contournement manuelle: la direction
métier dispose d'un dispositif ou d'une méthode qui lui
permet de continuer son activité sans l'outil informatique.
- Partenariat réciproque: solution de
partenariat entre deux organisations de l'entreprise ou entre deux
sociétés sur un dispositif de secours mutuel.
- Reprise progressive: aussi appelée "cold stand
by", cette option propose une reprise sous 72 heures. Elle concerne les
applications non critiques. L'infrastructure de secours est construite
sur demande en cas de sinistre.
- Reprise intermédiaire: aussi appelée
"warm stand by", et dédiée aux fonctions critiques, cette
option se positionne sur une reprise comprise entre 24 et 72 heures. La
solution de secours, de type mutualisée, est affectée
à l'entreprise au moment du sinistre.
- Reprise immédiate: pour les fonctions vitales,
il est parfois nécessaire de garantir une reprise sous des
délais très courts. Ce qui suppose la mise à
disposition d'un environnement de secours dédié. Cette
option est parfois appelée "hot stand by" car les données
y sont généralement déjà présentes
au moment du déclenchement du plan de reprise.
Toutes ces options peuvent bien évidemment cohabiter pour offrir
un plan de reprise adapté à chaque exigence
métier. La communication, la disponibilité et les mises
à jour des procédures de reprise sont capitales pour
obtenir de cet investissement le retour escompté.
Les avantages du processus
Au delà du fait
que la DSI et l'entreprise n'ont pas forcément d'alternative
à la mise en oeuvre d'un plan de reprise, ce processus apporte
la garantie que les fonctions vitales de l'entreprise continueront
à pouvoir fonctionner même en cas de sinistre majeur. Dans
sa démarche de gouvernance et d'alignement, le DSI dispose
d'un processus clé pour l'élaboration de sa
stratégie.
- Pour les directions utilisatrices:
le processus de gestion de la continuité des services prend en
compte, dès la deuxième étape de son cycle,
l'impact d'un arrêt prolongé du service. Il s'agit ensuite
de développer des solutions adaptées à chaque
profil en fonction du risque, de l'impact et de l'exigence. La
direction métier dispose donc d'un service aligné
à ses besoins en matière de continuité, et sur
lequel la DSI s'engage sur les résultats.
- Pour la DSI:
le référentiel ITIL apporte les bonnes pratiques
nécessaires à un dispositif auquel la DSI ne peut plus
échapper. Les pressions concurrentielles sur l'entreprise
entrainent obligatoirement l'exigence de continuité. La DSI peut
ici capitaliser sur des pratiques largement utilisées dans de
nombreuses entreprises en adaptant le référentiel
à ses propres exigences.
Prochain numéro
ITIL et la gestion de la capacité.
Christian Nawrocki
www.itpms.fr
Transmettez cette newsletter à votre entourage et pour recevoir les prochains numéros inscrivez-vous.
|
