Pourquoi est-il important d’avoir un plan de continuité d’activité ?
Rarement les entreprises ont eu à traverser une période aussi complexe à gérer. Outre la pandémie de COVID-19 avec ses contraintes de déplacement et le repli économique qui s'en est suivi, les DSI doivent faire face à une vague d'attaques informatiques sans précédent, notamment dans le secteur de la santé. Une situation qui a poussé beaucoup d'entreprises à revoir à la hausse leurs PCA/PRA pour contrer ces risques accrus.
Définition du plan de continuité d’activité : Le PCA va bien au-delà du seul aspect IT
Les projets de PCA (Plan de Continuité d'Activité) et de PRA (Plan de Reprise d'Activité) sont souvent abordés comme des projets IT uniquement, or ces approches doivent couvrir l'ensemble des activités et des processus qui constituent le métier de l'entreprise, les systèmes informatiques mais aussi les fournisseurs d'énergie, de logistique et des locaux où les employés pourront reprendre le travail si ceux de l'entreprise ne sont plus praticables.
Un PCA personnalisé pour chaque besoin et abordé sous l’angle business
EBRC aborde la continuité d'activité comme il se doit sous l’angle "Business" et non pas uniquement sur le volet IT d'un PCA. "Un plan de continuité d'activité se décide au niveau de la direction de l'entreprise et doit englober l'ensemble des services délivrés aux clients par l'entreprise. Il ne s'agit donc pas de seulement répondre aux emails mais bien de maintenir la production et continuer à livrer les clients." souligne Jean-Bernard Yata, Consultant Expert – Country Lead France. "Le PCA, en fonction de l’impératif business, pourra prévoir le basculement de l'IT d'un datacenter à un autre, le placement du personnel en télétravail ou l'ouverture d'un plateau tout équipé, prêt à les accueillir en moins de 2 heures. Si la crise est amenée à durer, un PCA peut aller jusqu'à prévoir la répartition de la production d'une usine vers d'autres sites de production, ou même de transférer l'ensemble des activités d'une banque d'un pays vers pour un risque géopolitique comme un conflit armé."
Les ISO 27001 et 22301 établissent le socle sur lequel s'appuyer pour la définition d’un plan de continuité d’activité
Dans ce cadre, l'étude de risque préalable est une étape cruciale lors de laquelle sont évalués l'ensemble des risques réels et potentiels auxquels l'entreprise est soumise. Dans cet exercice, il faut s'appuyer sur des outils existants pour mettre en place les processus de reprise : les normes. La norme ISO 27001 constitue un cadre en matière de sécurité de l'information et l'ISO 22301 liste déjà toutes les menaces, risques et incidents qui peuvent survenir et impacter une entreprise. Ces normes apportent une réelle aide dans le renforcement de la résilience d'une entreprise, mais une certification n'a de valeur que si elle est appliquée estime Jean-Bernard Yata : "Il y a une approche administrative de la certification et une approche beaucoup plus opérationnelle. Plutôt qu'une approche purement théorique de la certification, il faut adopter une démarche pragmatique qui s'appuie sur des éléments qui sont directement transposables aux activités de l'entreprise au quotidien."
Un portail BCMS : piloter le plan de continuité d’activité pour rester opérationnel en toute circonstance
Pour ses besoins internes, EBRC a développé une méthodologie efficace et éprouvée que nous pouvons transposer directement à nos clients en l'enrichissant des spécificités liées à leur activité. Ainsi, EBRC propose à ses clients, Cyber Resilience Portal son propre outil de BCMS (Business Continuity Management System) afin de les aider au pilotage de leur plan de continuité d’activité. "Tous les plans d'action et indicateurs sont formalisés au niveau de l'outil. L'ensemble des utilisateurs concernés peuvent prendre connaissance des processus et des plans d'action à mettre en oeuvre en cas d'incident" ajoute Jean-Bernard Yata. "Lorsque la pandémie de COVID-19 a nécessité un confinement, le plan pandémie d'EBRC préparé dès 2009 pour le H1N1 a pu être déroulé, ce qui a permis à nos équipes de rester opérationnelles. Une expérience aujourd'hui accessible à tous les clients d'EBRC."
EBRC propose une démarche unique sur le marché qui permet aux organisations et entreprises de réduire leur exposition aux risques par un accompagnement sur mesure en conseil et la mise à disposition de services « Trusted » alignés sur les plus hauts standards et certifications, seuls éléments permettant de garantir la résilience.
Le conseil, le différenciant d'EBRC sur le marché de l'hébergement
L'activité d'EBRC va bien au-delà de l’activité d'hébergement de données, c’est aussi une structure de conseil, Trusted Advisory Services, d'une trentaine de consultants certifiés qui permet d’accompagner les entreprises sur la mise en place de services de protection de leurs données, mais aussi un accompagnement vers la certification ISO 22301, initier l'évaluation des écarts vis-à-vis de la norme cible (Gap Assessment) ou encore le BIA (bilan d’impact sur l’activité), démarche préalable indispensable à la mise en place d'un PCA. Surtout, à la différence d’autres cabinets de conseil, l'offre de conseil EBRC s'appuie d’abord sur ses propres retours d'expérience et une approche résolument pragmatique dans la mise en œuvre des plans de continuité d'activité. Un pragmatisme, plébiscité, autant pour l’efficacité des processus que pour les solutions recommandées dans la mise en place des PCA.
Les services résilients d'EBRC
Spécialisé dans la résilience afin de garantir l’accès sécurisé aux données et le fonctionnement permanent des applications IT, EBRC appuie son activité sur trois centres de données certifiés Tier IV. Délivré par l'Uptime Institute, la certification TIER IV est le plus haut niveau de certification que peut atteindre un datacenter en matière de sécurité et de résilience. Les installations d'EBRC affichent une disponibilité de 100%, zéro seconde d’arrêt, depuis... 21 ans ! En parallèle, EBRC dispose de deux sites de reprise d'activité au Luxembourg, soit une capacité de 800 postes de travail entièrement équipés, prêts à accueillir les collaborateurs de ses clients en cas d'incident. Ces infrastructures et les processus certifiés ISO 22301 permettent à cette société européenne de proposer une gamme complète de services résilients dont un plan de reprise d'activité avec un SLA de 2 heures seulement, ou encore l'offre de sauvegarde de données Trusted Backup Recovery Services.
La continuité d’activité : un sujet qui touche toutes les structures
Jean-Louis Gillon, International Business Development Manager d'EBRC :
"La continuité d'activité et les normes sont des sujets qui ne concernent pas uniquement les grands comptes. La taille de notre structure et notre réactivité nous permettent de répondre aux besoins et contraintes d'entreprises plus petites. Ces entreprises voient dans les normes une capacité à valoriser leur activité auprès de leurs grands clients, mais aussi auprès des investisseurs, des actionnaires. Les normes sont un levier, un différenciant pour les entreprises plus petites.
Notre approche pragmatique et réactive nous a permis d'avoir plusieurs références auprès d'entreprises intermédiaires et plus petites, jusqu'à une dizaine de collaborateurs seulement. Mais au-delà de ce besoin de conformité, la certification et la démarche d'amélioration continue c'est aussi un outil pour accroître la pérennité de l'entreprise et l'aider à faire face aux crises de toutes sortes et, d'une certaine façon, un différenciant concurrentiel vis-à-vis de ses rivales."
EBRC, une expertise éprouvée certifiée aux normes les plus exigeantes du secteur
Né en 2000, EBRC (acronyme de "European Business Reliance Centre") s'est positionné sur le marché européen des hébergeurs de données depuis des datacenters Tier IV opérés en Europe. Sur ce marché très concurrentiel, la stratégie d'EBRC a été de fournir des services IT à la fois certifiés aux normes les plus exigeantes du secteur (ISO 27001, ISO 22301, ISO 20000 et ISO 27017) et offrant des services répondants aux exigences règlementaires (PSF, HDS, PCI DSS.). Cette stratégie a permis à EBRC de prendre position non seulement sur les marchés Finance/ FinTechs et RegTechs très dynamiques, mais aussi dans les secteurs de la santé et des sciences de la vie, les institutions internationales, la sécurité, la défense et le spatial ainsi que les services en ligne et les OSE (Opérateurs de Services Essentiels).
Outre cette activité purement technique, EBRC a développé un important pôle conseil afin d'accompagner les entreprises dans l'amélioration de la protection de leurs données et plus généralement dans la résilience de leurs activités. Jean-Louis Gillon, International Business Development Manager d'EBRC, en charge du marché français explique ce positionnement original sur le marché : "Notre approche diffère en cela de beaucoup d'acteurs de l'hébergement, de la sauvegarde des données ou de la cybersécurité. Face au stress de l'attaque informatique, chacun propose des solutions très techniques mais qui ne couvrent qu'un point isolé de la problématique globale. Nous préférons privilégier la continuité, depuis les datacenters où sont stockées les données et les traitements sont opérés jusqu'à l'autre bout de la chaîne, des directions générales jusqu’aux utilisateurs métiers."