Les
DSI subissent plus que jamais la pression interne et externe que vivent
les entreprises. La dureté de l'environnement concurrentiel,
la fréquence des accidents externes, l'instabilité des
marchés, la pression des audits comptables et financiers amènent
les DG à exiger un niveau de service élevé et
permanent.
Ils doivent
ainsi repenser leur stratégie et inclure dans
le schéma directeur les moyens pour garantir la continuité de
services quelles que soient la gravité et la fréquence
des incidents. Anticiper pour lutter contre de tels risques et éviter
leurs conséquences est la seule solution. D'autant plus
que 70% des entreprises ayant vécu un sinistre sans avoir
mis en place auparavant un plan de secours, déposent le
bilan dans les 2 ans. (source : Gartner Group).
La tentation pourrait être de se lancer dans une étude
des solutions techniques du marché pour augmenter la robustesse
du système d'information. Mais ce serait occulter les besoins
de tous les utilisateurs du système d'information et surtout
ignorer l'impact des incidents sur le business.
IB
Group propose une prestation d'analyse et de mise en place de
Plan de Reprise d'Activité (PRA)
 AUDIT
FONCTIONNEL PRA
La première étape consiste à réaliser
un audit fonctionnel permettant d'évaluer les besoins réels. Par l'interview
des utilisateurs clefs des principales applications du système d'information,
on définit leur criticité ainsi que les données chiffrées relatives à leur
interruption. Le schéma suivant présente les conséquences financières
moyennes d'un sinistre par type d'activité (source : www.findsvp.com)
| télécommunication et internet |
|
| 100K$ | |
200K$ | |
300K$ | |
400K$ | |
AUDIT
TECHNIQUE PRA
Il
permet de
mesurer la capacité du
système à répondre aux attentes fonctionnelles. On définit à cette étape
la cartographie applicative des ressources employées, de leurs
interdépendances et des flux d'information.
ANALYSE
DES RISQUES PRA
L'analyse
des risques couvre l'étude de la probabilité d'occurrence
des incidents ainsi que de leurs conséquences.
| conséquence sur le business |
catastrophique
grave
mineure |
|
|
| |
improbable peu
probable très probable |
occurrence |
A
partir de ces 3 éléments, la comparaison des capacités, risques et besoins
permet d'élaborer la solution globale qui assurera la reprise d'activité dans
un objectif de continuité de service en limitant les interruptions. Cette
démarche permet d'évaluer le niveau actuel des capacités du S.I.
en termes de taux de disponibilité, les coûts liés à l'arrêt et
ainsi de déterminer le coût du risque engendré (dans l'exemple,
l'heure d'arrêt est estimée à 3.000€).
| Arrêts non planifiés |
Moyen |
Bon |
Très
bon |
Exceptionnel |
| Taux de disponibilité |
98% |
99% |
99,5% |
99,9% |
| Nb d'heures
d'arrêt
/an |
174h43 |
87h22 |
43h41 |
8h46 |
| Coût de l'heure d'arrêt |
3.000€ |
3.000€ |
3.000€ |
3.000€ |
| Coût du risque
engendré |
524.160€ |
262.080€ |
131.040€ |
26.208€ |
D'autre
part c'est aussi l'étape qui permet de valider le modèle financier
du projet et de comparer les coûts liés au projet de plan de secours
avec ceux liés au risque engendré par le niveau actuel des capacités
du S.I. en terme de taux de disponibilité. Et ainsi d'en mesurer
le retour sur investissement (ROI). Gartner Group estime à 2% la
part du budget du service informatique qui doit être mobilisée
pour préparer efficacement un PRA.
Moyens mis en oeuvre
dans le plan de secours |
Procédures
de
restauration |
Redondance
des
données |
Cluster
local avec
redondance |
Cluster
distant avec
redondance |
| Coût du projet |
40.000€ |
100.000€ |
200.000€ |
1.000.000€ |
Coût du risque
avant projet
(ex. 99,2% à 3K€) |
210.240€ |
210.240€ |
210.240€ |
210.240€ |
| Pourcentage
de réduction
du risque |
25% |
65% |
90% |
99% |
| Réduction
du risque |
52.560€ |
136.656€ |
189.216€ |
208.138€ |
| ROI (sur 3 ans) |
294% |
310% |
183% |
négatif |
Dans
cet exemple on constate que la meilleure solution financière est
de type "redondance des données". Cependant il est important de
noter que la réduction du risque engendré ne doit pas être ramenée
qu'au seul ROI, mais que celui-ci constitue un élément non négligeable
parmi une série incluant notamment la perte de données cruciales à la
bonne marche de l'entreprise, sans lesquelles l'activité peut être
sérieusement remise en cause...
Cette
solution globale constitue, en sortie, un projet qui :
- touche
aux procédures
d'exploitation, à l'architecture, à l'organisation
- s'inscrit
dans le schéma directeur permettant de sécuriser l'ensemble
Ensuite
la mise en place du plan de secours nécessite la formalisation
d'un projet précisant le budget, le périmètre couvert en
terme d'applications critiques et la durée de réalisation
par domaine. En effet, ce projet peut s'étaler sur plusieurs
mois ou années pour s'inscrire dans le schéma directeur et
sécuriser par paliers progressifs.
Enfin,
une fois mis en production, le plan de reprise nécessite
de tester régulièrement la globalité de son efficacité, en
prenant en compte tous les aspects: procédures, organisation,
données, ressources, synchronisation jusqu'au poste client,
sans pour autant perturber l'exploitation.
|
