La fonte des neiges 2017 a produit au Canada, en Outaouais et au Québec notamment, une quantité d’eau phénoménale, occasionnant sur Montréal un débit de 9000 mètres cubes par seconde que le système d’égouts n’a pas pu absorber, et forçant l’évacuation de plus de 1800 foyers, la fermeture de ponts et d’écoles. L’état d’urgence a été déclaré dans 140 municipalités.
Si les catastrophes naturelles ne peuvent être évitées, une bonne gestion de crise préventive permet d’en limiter les conséquences et l’on voit déjà aujourd’hui la différence entre les villes qui ont agi de façon préventive dès la montée des eaux du mois d’avril et celles qui n’avaient rien prévu.
Aujourd’hui la priorité est la sécurité des citoyens, mais demain il faudra regarder les différentes conséquences et voir si certains centres informatiques ont été touchés par les inondations et si des artères de communications ont été noyées.
Alors pour entrer dans le vif du sujet, comment savoir si ses moyens informatiques sont à risques lors d’une inondation?
L’une des priorités est d’identifier et de savoir contacter les bons acteurs. Si en matière d’activation de plan de reprise informatique, les TI seront les principaux acteurs concernés, il est nécessaire d’avoir en amont défini son plan de continuité avec les vice-présidences d’affaires et de tenir un registre à jour des personnes-ressources en cas d’urgence.
Le plan de continuité informatique est une des composantes essentielles du plan de continuité d’activité. L’indisponibilité des ressources critiques essentielles telles que le courant, les voies de circulation et l’inondation de salles informatiques en sous-sol sont des scénarios de risques qu’il convient d’étudier.
Les seuils d’alertes ont-ils été correctement définis? Les durées maximales d’interruption et de reprise de données ont-elles été exprimées et validées?? C’est pour répondre à ces questions qu’il est nécessaire de rencontrer les vice-présidences d’affaires et d’étudier avec elles les conséquences d’une indisponibilité prolongée des moyens informatiques, de l’accès au site, etc. En fait, les scénarios de gestion de crise s’élaborent en tenant compte de l’absence d’électricité dans les zones inondées, de l’hypothèse que l’eau potable n’est pas disponible, ainsi que le chauffage, et de l’indisponibilité de téléphone portable et de télévision pour écouter les consignes de sécurité. Les priorités de l’entreprise sont alors d’assurer en priorité la sécurité du personnel puis de rétablir l’accès à l’énergie ainsi qu’un service minimum. L’objectif en temps de crise étant de se concentrer sur l’exécution du « comment faire » plutôt que de perdre du temps sur le « quoi faire », pour lequel aucun doute ne doit exister.
Le sondage Novipro/Léger 2017 a montré que 32 % des entreprises québécoises, les « décrocheurs informatiques », considèrent les TI comme une dépense ou un mal nécessaire plutôt que comme un investissement pour le futur. Dès lors, on peut donc se poser la question de savoir combien d’entre elles disposent d’un plan de relève informatique? Et combien ont eu la chance de le tester? Si les plus grosses entreprises disposent de centres de données éloignés des zones à risque, ce n’est pas le cas de toutes les organisations qui parfois ont choisi des sites de relève à proximité, qu’elles doivent de plus, partager avec d’autres sociétés touchées. Or plusieurs éléments sont à prendre en compte lors d’une crue :
- Le site primaire ne doit pas se situer en sous-sol, l’alimentation en énergie doit être redondée avec deux sources différentes;
- Le site de relève devrait être suffisamment éloigné du premier pour ne pas risquer de subir les mêmes scénarios de désastre (voies coupées, pannes de courant, inondations…);
- La stratégie de relève doit avoir prévu que d’autres clients puissent avoir été touchés par le même risque au même moment;
- Le site de secours doit tenir compte de la capacité des collaborateurs à se connecter aux ressources informatiques de chez eux ou des sites de repli et tenir compte des perturbations des télécommunications;
- Les ressources informatiques locales et les sauvegardes stockées dans les sièges des entreprises inondés doivent être protégées;
- Enfin, une coordination municipale peut être requise dans les scénarios les plus graves. Parfois, une seule réponse individuelle peut ne pas être suffisante. Ainsi, la Ville de Montréal a proclamé l’état d’urgence afin de mieux coordonner sa réponse uniformément et rapidement sur le territoire.
Pour agir de façon préventive, il faut donc suivre une démarche en 5 phases :
- Analyser les différents scénarios de risques potentiels sur l’organisation (proximité de cours d’eau, risque de tremblement de terre, de pandémie, etc.)
- Analyser les conséquences d’affaires si les scénarios de menaces se réalisaient
- Concevoir les différentes stratégies de continuité (interne, externe.)
- Développer les différents plans de continuité (d’affaires et TI)
- Tester ces plans et former le personnel à périodicité annuelle.
Pour s’aider, les entreprises peuvent s’appuyer sur les principales normes en matière de continuité informatique :
- Les normes ISO 22031 et ISO 27031 pour la gestion, les techniques, concepts et principes de préparation des technologies de l’information et de la communication (TIC) pour la continuité d’activité;
- Le guide pratique BSI PD 25666 pour les tests de continuité et de reprise d’activité;
- ITIL Service Continuity Management pour les processus standards informatiques en matière de continuité.
Alors pour 2017, c’est trop tard pour la prévention, mais le retour d’expérience de cette année sera à prendre en compte dans les stratégies de prévention et d’atténuation du risque futur, car les crues printanières sont habituelles au Québec. Par ailleurs, il se pourrait bien que les inondations que nous vivons actuellement ne fassent que commencer, en raison du réchauffement climatique et de la fonte accélérée des neiges.
Disposez-vous d’un plan de continuité informatique? Vos opérations informatiques ont-elles été touchées par des inondations? N’hésitez-pas à nous faire part de vos retours d’expérience.