La recrudescence des catastrophes naturelles et des attentats terroristes dans le monde depuis quelques années semble avoir un effet sur les intentions des responsables des TI au sein des organisations.
Lors d’un événement mis sur pied l’automne dernier par la firme Gartner à l’intention des entreprises de taille moyenne, les participants ont indiqué que le plan de relève et la continuité des opérations étaient devenus à leurs yeux des questions importantes. En fait, plus de 50 % d’entre eux ont dit accorder au sujet une attention accrue par rapport à l’année précédente, phénomène que Gartner attribue principalement aux ouragans qui ont frappé le sud des États-Unis et les Caraïbes en 2005.
Constat semblable dans un sondage mené l’année dernière par Hewlett-Packard : la proportion des organisations qui voient dans les catastrophes naturelles une menace grave pour leurs affaires s’est accrue de 73 %.
Du déjà vu
Cette situation n’est pas tout à fait nouvelle. Au lendemain du 11 septembre 2001, nombreuses avaient été les organisations à inscrire la préparation d’un plan de relève très haut dans la liste de leurs priorités. Malgré tout, seulement 25 % d’entre elles ont mis ce projet à exécution au cours des mois suivants, selon des chiffres publiés aux États-Unis en juillet 2003. Au mois de décembre de l’année suivante, une étude estimait cette fois que la proportion des entreprises ayant mis en oeuvre un plan général de continuité des opérations ne dépassait pas 34 %.
À la décharge des entreprises, il faut dire qu’il ne s’agit pas là d’une mince affaire. D’aucuns sont d’avis que des obstacles importants se dressent sur la route des dirigeants. On évoque au premier chef les coûts liés au plan de continuité des opérations et la difficulté à réaliser une analyse les justifiant. Viennent ensuite les reports répétés en faveur de projets jugés plus urgents, ainsi que la complexité de la tâche – les observateurs reconnaissent qu’il n’est pas facile d’analyser et de définir les besoins en cette matière, ni de mettre le plan de relève à l’essai.
Au-delà de la technologie
Il est permis de croire que ces difficultés sont aggravées par la nécessité d’engager divers intervenants dans le processus. On estime qu’un trop grand nombre d’organisations considère encore le plan de relève comme étant la stricte affaire des TI. Pour que celui-ci réussisse, croit-on, il est essentiel d’obtenir la participation d’au moins deux autres services : les ressources humaines et la gestion des installations. Selon le contexte propre à chaque entreprise, des groupes supplémentaires pourront se joindre à l’effort.
Afin de récupérer efficacement d’un sinistre, il est impératif d’en prévoir l’impact non seulement sur les systèmes d’information et l’infrastructure technologique, mais sur toutes les ressources, y compris les employés, les installations et les procédures. Ce qui exige, idéalement, la collaboration de l’ensemble de la direction, ainsi que de tous les maillons de la chaîne de valeur, incluant fournisseurs et partenaires.
Un tel projet, on le constatera, outrepasse le mandat des TI. Aussi, certaines organisations ont commencé à utiliser le terme continuité des opérations – ou continuité des affaires, selon l’anglais business continuity – afin de bien marquer l’extension des efforts au-delà de la frontière informatique. Par conséquent, l’expression est devenue généralement interchangeable avec « plan de relève » – appelé aussi reprise après sinistre.
Ce qui constitue une erreur aux yeux de Michael Croy, spécialiste de la question à l’emploi de Forsythe Technology, firme de services-conseils de Chicago. Selon lui, le plan de relève porte sur des technologies comme les sauvegardes, la reprise et la restauration. Il doit s’appuyer sur un solide plan de continuité des opérations, qui tient compte de tous les aspects des affaires : ressources humaines, alimentation électrique, transport, denrées, santé, sécurité, etc. Croy est d’avis que si le plan de relève ne comble pas les besoins des unités fonctionnelles, il n’a aucune valeur.
La firme Deloitte évoque une autre raison expliquant l’emploi de ce nouveau terme : le plan de relève ne répond plus uniquement aux sinistres, mais aux interruptions de toutes sortes. On estime que seulement 5 % du temps d’arrêt total est causé par un sinistre. Or, dans certaines industries – les médias et la finance, par exemple – un arrêt de cinq minutes peut entraîner des pertes de plusieurs millions de dollars. Par conséquent, les entreprises ne se préoccupent plus uniquement des inondations, des incendies et des tremblements de terre, mais aussi des incidents réseau, des pannes d’électricité, des actes terroristes, des intentions malveillantes de leurs employés, du vol, ainsi que de la piraterie et des virus informatiques. D’où la préférence pour une expression englobant une réalité plus vaste.
Malgré les différences d’interprétation et les variations dans la terminologie utilisée, il existe un consensus sur l’importance de ne pas confiner au service des TI la mise en oeuvre d’un tel plan. Toutefois, est-ce que les entreprises seront plus nombreuses à passer à l’action afin de se doter d’un plan de continuité des opérations? Cela reste à déterminer.