Articles

Les PCA éliminent-ils les cellules de crise?

Image
Nous entendons quelquefois dire dans nos missions que l’approche PCA vient remplacer l’approche « gestion de crise » et la rendre inutile. Or nous pensons que cette position est en partie vraie et en partie fausse. Voici pourquoi. Photo E.Besluau Quand le PCA évite la crise Dans une approche rigoureuse de Continuité d’activité, des actions de réduction de risques ont été menées qui éliminent des situations qui auraient sinon conduit à une crise. Quelques exemples : Votre serveur critique a été rendu plus tolérant aux pannes et a été doublé : la panne de ce serveur est devenue plus rare et provoque de toute façon moins de conséquences qu’avant : des situations de crise sont donc évitées. La partie ‘traitement des risques’ de l’approche CA a effectivement éliminé des cas à crise. Autrefois vous n‘aviez qu’un seul fournisseur pour des éléments critiques de votre production en usine. Le sinistre de ce fournisseur vous a arrêté l’année dernière. Depuis, vous avez musclé un peu votre stock e...

Attention aux mauvaises pratiques des exploitations informatiques !

Image
Il n'est pas rare dans nos missions sur la sécurité et continuité d'attirer l'attention du client sur des faiblesses de son exploitation informatique et de le mettre en garde. En effet, à quoi bon se préparer à l'événement rare (avec un coûteux "PCA"), alors que la panne fréquente n'est pas palliée ! photo : E.Besluau Quelques constats : Nous voyons de plus en plus des exploitations informatiques qui se sont contentés d'accumuler des serveurs dans une salle en espérant que "cela marchera". Il n'y a pas de vision de production de service, la prévention des pannes et arrêts est insuffisante. Les implémentations techniques, les choix réalisés et les méthodes d'exploitation ne permettent pas de fiabiliser l'exploitation. Le risque d'une interruption -potentiellement longue- est alors élevé. Toute mise en place d'un PCA (ou PCIT dans ce cas) est illusoire. Il faut d'abord réaliser une analyse de la situation et réduire les ...

Faut-il opposer Continuité d'Activité et "Résilience opérationnelle" ?

Image
 En lisant des textes récents et des interventions de spécialistes, certains responsables de Continuité d'activité s'interrogent : "On nous parle de résilience, comme si c'était un concept nouveau ! Nous autres RPCA, en faisons depuis longtemps" ! Ce mot de "résilience", que je devais expliquer il y a dix ans, est complétement entré dans les mœurs. Certains l'opposant aux démarche de type PCA. Discutons le sujet pour essayer d'y voir clair. Exemple vécu chez un grand compte En discussion avec un responsable de direction générale, celui-ci me déclare : " Nous avons depuis quelques années développé un PCA. Il est prévu qu'en cas de perte de notre informatique, nous allions récupérer des moyens de secours chez Untel." "Or, récemment nous avons eu une paralysie totale de notre informatique à cause de montées de versions logicielles qui se sont mal passées. Cela nous a arrêtés pendant au moins deux jours. Cela a généré un gros trava...

Bonnes pratiques Data Center

Image
Depuis l'incendie d'OVH à Strasbourg, beaucoup donnent l'impression de découvrir qu'il doit y avoir de bonnes et de mauvaises pratiques. Ayant côtoyé des Data Centers et leurs gestionnaires pendant une trentaine d'années, je rappelle ci-dessous ce que j'ai noté en matière de bonnes pratiques. Ceci concerne les Data Centers "usuels". Photo Ian Battaglia sur Unsplash Le choix de l'emplacement Si on a la possibilité de partir d'une feuille blanche et de choisir son emplacement, on préférera en général : éviter les zones inondables, les zones touchées en cas de rupture de barrage, les zones soumises à submersions marines, s'éloigner des passages de conduites de gaz sous pression, des oléoducs, des autoroutes ou voies de transport où circulent des matières dangereuses, ... éviter les zones Seveso ou la proximité d'industries dangereuses, ne pas se mettre sur des zones soumises à séisme ou voisines d'éruptions volcaniques ou ayant connu d...

Cyber-sinistre : certains sont-ils plus exposés que d'autres ?

Image
La faiblesse des mesures de sécurité expose au risque. Récemment des entreprises de premier plan se sont déclarées victimes de cyber-attaques. Les commentateurs ont tendance à dire que personne n'est vraiment à l'abri de ces attaques. Est-ce vrai ? Analyse. Photo : E.Besluau Il existe des mesures pour se protéger En 1970 on déplorait plus de 10.000 morts sur les routes en France ; les motards roulaient sans casque, les conducteurs d'automobiles ne disposaient ni de la ceinture de sécurité, ni du freinage assisté et encore moins d'airbags. Le marquage au sol (ligne blanche) et les limitations de vitesse en étaient à leurs balbutiements. Nous étions donc dans un monde risqué sans mesures de réduction des risques. Progressivement des mesures de sécurité routière ont été pensées et mises en place. Le nombre de décès sur les routes a été divisé par quatre. L'analogie avec la sécurité informatique est frappante ! Pour les responsables de la sécurité de l'information, ...

Responsable PCA : comment délimiter son territoire ?

Image
     Lorsque des approches continuité d’activité (ou « PCA ») sont introduites en entreprise, elles n’arrivent pas sur un terrain vierge. Il existe déjà des disciplines qui ont la continuité plus ou moins dans leur champ d’action et qui sont en place depuis quelque temps.      Pour un RPCA nouvellement nommé lors d'une création de poste, le tour de piste est un peu compliqué : comment faire le partage ? Faut-il tout revoir ? Comment répartir les rôles ? Voici des éléments de réponse. photo E.Besluau Le terrain est déjà en partie occupé De nombreuses disciplines déjà en place en entreprise ont abordé des sujets que la « Continuité d’activité » couvre aussi. Citons sans être exhaustif : la sécurité des personnes au travail et le traitement des risques menaçant le personnel (le fameux « document unique ») qui se préoccupe de la sûreté de la personne au travail et est gérée par la DRH ; les approches de type « risk management » qui passent en revue divers types...

BIA : cinq erreurs à ne pas commettre

Image
Si l'analyse BIA est au coeur des démarches modernes de management de la continuité, elle est encore assez nouvelle dans les faits et les erreurs de méthode sont encore fréquentes. Petite revue de détail. Photo : E.Besluau Le BIA (Business Impact Analysis ou Bilan d'Impact des Activités) est une étape incontournable de tout Plan de Continuité d'Activité. Il permet de répondre à des questions comme : "quelles activités doivent être continuées ?" "ou reprise en priorité ?" ... "sous quels délais ?" ... "avec quels moyens ?" Autant dire que le BIA est un point de départ essentiel. Cependant, cette analyse de l'entreprise à la recherche de ses activités critiques est très délicate. Dans notre pratique de conseil sur ce sujet, nous voyons des manières de faire qui, à l'usage, nous paraissent vraiment être des erreurs à éviter ! Passons en revue quelques exemples. Erreur N°1 : se tromper de définition Le BIA (Business Impact Analysi...

Halte aux PCA bidons !

Image
Dans nos missions nous voyons quelquefois des ‘PCA vitrines’ qui cherchent à susciter la confiance tout en masquant la réalité et occultant les problèmes. Bien que les normes tendent à y mettre un terme, nous en voyons encore trop. Revue de quelques travers. Photo E.Besluau Travers N°1 : "On vous remet tous les postes de travail en deux mois" Les représentants de cette tendance présentent des tableaux Excel très fournis dans lesquels, service par service, le remplacement des postes de travail est prévu jusqu’au dernier. Les premier délais de reprise sont souvent assez courts (4 heures) et vont jusqu’à deux mois quelquefois. On raisonne en suivant l’organigramme. Ces approches font très souvent l’impasse sur les autres moyens indispensables au service comme l’informatique. On nous dit alors : « l’informatique a son Plan (dénommé PCIT ou autre) cela ira ». Il existe quatre défauts majeurs à cette manière de faire : Elle développe sur deux mois un plan implacable de remplacement...