Testez régulièrement votre plan de continuité d’activité

Christophe Ajdonik, Business Continuity Manager, EBRC
par S. Etienne 07/12/2022
Banque, Assurance & Fintech
Santé et Sciences de la Vie
Secteur public & Institutions européennes
Défense & Spatial
Technologie et Editeurs logiciels

Mettre en place un plan de continuité d’activité est devenu une condition indispensable pour toute organisation qui veut survivre dans un monde ultra-connecté. D’autant plus que depuis 3 ans les crises sanitaires, géopolitiques ou climatiques s’enchainent et que leurs conséquences impactent instantanément l’ensemble des acteurs économiques. Mais encore faut-il que ce plan soit testé de manière régulière pour évaluer son efficacité et sa solidité. Or, le coût de réalisation de ces tests est important. Se pose dès lors la question de leur périodicité. Est-il si important de tester à intervalles réguliers son plan de continuité d’activité ? Réponses avec Christophe Ajdonik, Business Continuity Manager chez EBRC.

À quelle fréquence faut-il tester son plan de continuité d’activité ?

Il n’y a pas de chiffre magique à fournir, chaque organisation doit se poser cette question et l’adapter en fonction de ses enjeux. Il faut prendre en considération l’exposition aux risques de son propre secteur d’activité, la maturité de l’organisation ou encore le type de tests à mener.  Le facteur humain s’avère aussi un élément important car l’expérience et la répétition d’exercices réguliers permet d’assimiler les bons réflexes et d’être prêt en cas d’urgence. En dehors de ces considérations propres à chaque entreprise il est possible de donner 3 recommandations principales :

  1. Établir un planning des tests, objectivé en fonction des risques à couvrir par périodicité : trimestriels, semestriels, annuels, biennaux (tous les 2 ans), triennaux… 
  2. En fonction des résultats obtenus, la périodicité pourra être modifiée. D’autres paramètres interviennent dans ces choix tels que, le temps dont vous disposez, les impacts potentiels du test sur l’activité et le coût de réalisation. La certification à la norme ISO22301 exige des tests réguliers, et la règlementation pour un secteur d’activité imposent la plupart du temps des fréquences de test. 
  3. L’aversion aux risques de votre entreprise ou de votre direction générale influencera l’appétence aux tests de façon proportionnelle pour renforcer la capacité de résilience, ce sera souvent le juge de paix.

Les objectifs de reprise d’activité n’ont-ils pas également une influence sur la fréquence des tests ? 

C’est effectivement le cas. Des indicateurs tels que, l’objectif de délai de reprise (Recovery Time Objective ou RTO), l’objectif de reprise des données (Recovery Point Objective ou RPO), la durée maximale d’interruption admissible (Maximum Acceptable Outage ou MAO) et l’objectif minimal de continuité d’activité (Minimum Business Continuity Objective ou MBCO) vont également être déterminants dans la périodicité des tests. Par exemple, chez EBRC, nos tests ont lieu à des fréquences différentes en fonction du RTO des différents systèmes techniques informatiques : tous les ans si celui-ci est inférieur à 4 heures, tous les deux ans entre 4 et 24 heures, tous les 3 ans entre 24 et 72 heures et ponctuellement au-delà de 72 heures en fonction des incidents qui auront eu lieu. 

Les scénarios de risques ne concernent-ils que les services informatiques ? 

Absolument pas. Les risques d’interruption d’activité ne se limitent pas aux seuls systèmes informatiques. A titre d’exemple, le personnel peut se retrouver dans l’incapacité d’intégrer un site de production et de travailler suite à un incendie, une inondation ou une coupure d’électricité prolongée. Chez EBRC, nous testons régulièrement notre solution de secours qui consiste à transférer notre personnel dans des espaces aménagés sur les sites de nos data centres où tout est prévu pour qu’il puisse reprendre son activité. Cette solution a fait ses preuves dans des circonstances de crises réelles ayant touché EBRC. Éprouvée à de multiples reprises et validée, elle constitue depuis des années une offre de service pour nos clients. 

La récente pandémie de COVID-19 nous a également permis de rendre plus robustes nos solutions d’indisponibilité du personnel. Nous avons augmenté notre capacité de travail à distance. Nous disposions d’un plan élaboré en 2009 lors de la crise sanitaire de la grippe H1N1 ce qui a permis à nos équipes de rester opérationnelles pendant toute la période du confinement. Si une telle crise sanitaire devait se reproduire à l’avenir, notre vitesse de réaction serait encore plus grande grâce à l’expérience acquise. 

Définissez votre scénario de crise grâce à EBRC

Qui est concerné par les tests du plan de continuité d’activité ?

Il existe des tests pour chaque département ou chaque niveau de la chaîne de réponse. A titre d’exemple, nous organisons des mises en situation avec les gardiens de nos data centres et analysons leur capacité de réaction dans différentes situations : face à un colis piégé, un incendie ou une importante fuite d’eau. Nous soumettons régulièrement l’ensemble de notre personnel à des exercices d’évacuation et de relocalisation. Nous impliquons également périodiquement nos équipes techniques dans des scénarios où des virus, des cyberattaques impactent directement nos data centres. Les membres du comité de direction font également l’objet d’une préparation via des exercices de simulation de crise. La fréquence de ces exercices dépend du niveau de criticité que nous avons défini : une fois par trimestre pour les gardiens des data centres et les équipes techniques et une fois par an pour l’ensemble du personnel et le comité de direction. 

En plus des collaborateurs, les infrastructures techniques doivent également être évaluées, avec ou sans l’intervention des équipes techniques. En cas de coupure d’électricité dans les data centres, les installations de secours prennent-elles correctement le relais ? Les solutions de redondance mises en place en cas d’interruption de serveurs, qu’ils soient physiques ou virtuels, fonctionnent-elles normalement ? Les restaurations des sauvegardes se déroulent-elles comme prévu ? 

Combien de tests EBRC effectue-t-il par an ?

Notre plan de continuité d’activité est étalé sur trois ans et subit annuellement entre 40 et 50 tests. Chaque année, nos tests évoluent parce que nous gagnons en maturité dans la gestion des risques et nous mettons en place des solutions de plus en plus sophistiquées. Et ce pour plusieurs raisons. De nouvelles menaces apparaissent comme par exemple le changement climatique, qui, l’été dernier, a obligé plusieurs data centres au Royaume-Uni à interrompre leur activité, ou la pénurie de composants informatiques. Notre statut de Professionnel du Secteur Financier (PSF de support) et le fait que nous soyons certifiés ISO22301 –système de management de la continuité d’activité - nous obligent à effectuer des tests annuels. Le maintien de nos certifications se fait par des auditeurs indépendants chargés de nous contrôler. Ces audits nous offrent la possibilité d’identifier des pistes d’amélioration nouvelles, enrichissent nos connaissances et élèvent notre niveau de maîtrise.
Pour la plupart des offres de service d’EBRC notre devise est « We practice what we preach » : un critère de différenciation qui nous démarque des sociétés purement centrées sur le conseil sans expérience utilisateur. 

Pour conclure, quels sont les points importants à prendre en considération lorsqu’on veut définir la fréquence des tests ?

Je dirais qu’il y en a trois principaux : 

  1. Premièrement, identifier les exigences en matière de tests de continuité qui sont définies par la règlementation du secteur d'activité, les accréditations/certifications et les attentes clients.
  2. Deuxièmement, la question de la fréquence est intrinsèquement liée à celle de la couverture des tests (que faut-il tester ?). Il est important de définir ce qui doit être testé pour ensuite en déduire une fréquence à la fois nécessaire et acceptable financièrement. Pour ce faire, les éléments à prendre en considération seront :
    • Recenser et classer les risques par ordre de priorité 
    • Recenser et classer les services et activités par ordre de priorité
    • Identifier les éléments de la chaine de réponse à tester (détection, escalation, systèmes techniques, communication, etc.)
    • Différencier les composantes de la chaine de production à tester unitairement pour limiter l’impact business et ceux pouvant être testés en chaîne.
  3. Enfin, opter pour une approche évolutive pluriannuelle. La fréquence et la couverture des tests devraient évoluer chaque année en fonction de l'évolution du degré de maturité des plans de réponse et des tests déjà réalisés.

Se ré-évaluer chaque année est important afin de disposer du contexte, de l’évolution des risques, de l’évolution des moyens de réponse, des scénarios, des périmètres et des objectifs déjà testés pour mettre à jour son plan et la fréquence des tests.

Découvrez nos services de Conseils

Découvrez nos services en Résilience 

Petit lexique de la continuité d’activité

BCP (Business Continuity Plan ou Plan de continuité d’activité) :

Plan d’entreprise visant à mettre en œuvre l’ensemble des processus, des moyens humains, matériels et technologiques pour permettre à l’entreprise de rester opérationnelle après un événement imprévu. 

DRP (Disaster Recovery Plan ou Plan de reprise d’activité) :

Plan d’entreprise visant à mettre en œuvre l’ensemble des processus, des moyens humains, matériels et technologiques pour permettre un redémarrage au plus vite de l’entreprise. 

MAO (Maximum Acceptable Outage ou durée maximale d’interruption admissible) :

Temps nécessaire pour que les impacts défavorables pouvant résulter de la non-fourniture d’un produit/service ou de la non-réalisation d’une activité deviennent inacceptables. 

MNBCO (Minimum Business Continuity Objective ou Objectif minimal de continuité d’activité) :

Niveau minimal de services et/ou de produits acceptable par l’organisme pour atteindre ses objectifs métiers pendant une perturbation.

RPO (Recovery Point Objective ou Objectif de reprise des données) :

Objectif de point de reprise informatique, c’est-à-dire le point à partir duquel les informations utilisées par une activité doivent être restaurées afin de permettre son fonctionnement à la reprise. 

RTO (Recovery Time Objective ou Objectif de délai de reprise) :

Série d’actions qui détermine la durée du processus de redémarrage, de la détection de l’incident jusqu’au recouvrement des ressources.