Comment mettre en œuvre un plan de continuité d’activités

L’épidémie de coronavirus aura mis à l’épreuve de nombreux plans de continuité d’activités, pour les organisations qui en avaient prévu un, et révélé la nécessité d’en avoir un, pour celles qui auront expérimenté en « live » les conséquences de n’avoir pas investi en amont dans un tel dispositif.

I - Les enjeux

La dépendance des entreprises à l’égard du système d’information a historiquement augmenté. Au début des années 2000, seulement une entreprise sur deux assurait avoir une dépendance forte à l’égard de son SI, proportion qui a dépassé les 80 % au début des années 2010, selon le Clusif (Club de la sécurité de l’information français). Depuis, ce chiffre n’est plus publié, mais on se doute que l’on dépasse largement les 90 %, sans parler des entreprises Pure Players qui sont dépendantes à 100 % du Web et des infrastructures logistiques opérées par des tiers.

Hélas, les systèmes d’information peuvent être soumis à des chocs externes (pandémies, terrorisme, tremblements de terre, inondations, piratages…), mais aussi internes (erreurs, attaques internes, pannes…). Toutes les entreprises évoluent désormais dans un environnement de type VUCA, acronyme qui désigne les quatre caractéristiques auxquelles sont confrontées les entreprises : volatilité, incertitude (uncertainty), complexité et ambiguïté. Autrement dit, cet acronyme exprime le fait que les situations sont instables, pour des durées inconnues (volatilité), que leurs causes et leurs effets sont mal connus (incertitude), qu’il y a trop de parties prenantes (complexité) et que les relations causales sont elles aussi inconnues (ambiguïté).

D’où l’importance d’un plan de continuité d’activités (PCA) ou de services. Un PCA est un plan d’action écrit et complet, qui expose les processus et détermine les procédures organisationnelles, techniques et les systèmes nécessaires pour poursuivre ou rétablir la continuité du service d’une entreprise.

La disponibilité se définit comme la capacité d’un système d’information à pouvoir être utilisé à tout moment, en fonction des performances prévues. À tort, la disponibilité est perçue comme allant de soi, mais de nombreux exemples de rupture de performances, y compris concernant des acteurs du cloud, montrent que ce n’est pas le cas.

Si personne ne peut contester la nécessité de disposer d’un plan de reprise des activités, les entreprises françaises souffrent d’un étrange paradoxe. D’un côté, il est indéniable, et peu de dirigeants d’entreprises le contestent, que les systèmes d’information forment l’épine dorsale du fonctionnement opérationnel des entreprises et, de fait, de leur compétitivité. De l’autre, les réflexions et les actions engagées par ces mêmes dirigeants (et ceux qui ont la tâche de gérer au quotidien les systèmes d’information), pour garantir la disponibilité de ces ressources vitales, n’apparaissent guère probantes, même si cette posture va évoluer, suite à l’épidémie de coronavirus.