Une firme de recherche, un manufacturier d’équipement et un prestataire de services-conseils ont sondé la perception des organisations au sujet de la reprise après sinistre et de la continuité des opérations.
Survivre à un autre Katrina?
La firme de recherche américaine Computer Economics a publié en novembre 2005 les résultats d’un sondage informel effectué auprès des visiteurs de son portail Web, qui cherchait à savoir si leurs entreprises étaient préparées à recouvrir les systèmes et les données essentiels et à relocaliser temporairement les groupes de travail essentiels lors d’un désastre de l’ampleur de l’ouragan Katrina qui a affecté le sud des États-Unis l’automne dernier.
19 % des répondants ont dit que leurs organisations étaient entièrement préparées, 31 % ont avoué que leurs organisations étaient clairement non préparées tandis que 6 % n’étaient pas sûrs des capacités actuelles de reprise après sinistre. Toutefois, près de la moitié des répondants, soit 44 %, ont dit se sentir « partiellement préparés » à faire face à un événement de cette ampleur.
Computer Economics souligne que le fait que des désastres aussi importants que Katrina et la subséquente saison d’ouragans record ne se produisent pas avec régularité, plusieurs entreprises pourraient faire le pari que les coûts d’adaptation de leurs organisations pour assurer une survie à un tel événement sont déraisonnables, en basant leur raisonnement sur les probabilités d’avènement de catastrophes d’une telle sévérité dans leurs régions respectives.
Lenteur sur les campus américains
Selon l’étude Campus Computing Survey produite par le fournisseur d’équipements Sun en septembre et octobre 2005 auprès des directeurs de l’information ou des technologies de 501 collèges et universités aux États-Unis, seulement 57,4 % des campus ont mis en place un plan stratégique pour la reprise après un sinistre relié aux technologies de l’information.
Il s’agit d’une petite progression en comparaison avec les résultats d’enquêtes réalisées en 2004 (55,5 %) et en 2002 (53 %), mais Sun se dit surprise de ce niveau de préoccupation lorsqu’on prend considération les événements du 11 septembre 2001 et les discussions très publiques qui ont suivi à propos de l’importance de plans de reprise des activités impliquant les technologies de l’information après un sinistre. Les sondeurs soulignent également que les ouragans Katrina et Rita devraient rappeler aux institutions d’enseignement l’importance de compléter et mettre à jours leurs plans de réponse face aux sinistres reliés aux TIC.
Passer de la théorie à la pratique
Dans le rapport de l’édition 2004 du sondage Global Information Security pour lequel les directeurs de l’information et de la sécurité de l’information de 1 230 organisations situées dans 51 pays ont été sondés, la firme de services-conseils Ernst & Young rapporte que 77 % des répondants ont dit détenir un plan de réponse aux incidents, dont 61 % ont précisé qu’il avait été testé.
63 % des personnes sondées ont également répondu que des évaluations de la vulnérabilité et de la pénétration des systèmes étaient produites de façon régulière. 11 % des répondants ont dit être fortement en accord que leur niveau de protection était adéquat pour la défense contre les attaques externes, alors que 51 % étaient en accord, 35 % étaient neutres et 21 % étaient en désaccord.
À propos de la continuité des opérations, 77 % des répondants ont dit que leurs organisations possédaient un plan à cet égard, mais on remarque aussi que seulement 58 % de ceux-ci ont indiqué que ledit plan avait été mis à l’essai.
Selon les auteurs du rapport, bien que plusieurs organisations aient un plan de continuité des opérations, peu d’entre elles l’ont testé au-delà d’un exercice sur table. Ils ajoutent qu’en raison des nombreuses interdépendances présentes au sein des organisations, ces dernières devraient mettre leur plan en action de façon régulière pour voir comment il se déroulerait au besoin. Les auteurs ajoutent que les expériences passées ont démontré que la plupart de ces plans ne survivent pas à une mise en application dans une situation réelle.
Dans l’édition 2005 de ce sondage parue récemment, Ernst & Young indique que les notes attribuées aux organisations participantes au sondage en rapport au standard ISO 17799 ayant trait à la sécurité se sont situées sous la moyenne en matière de gestion de la continuité des opérations, mais qu’elles étaient supérieures au sujet de la gestion des incidents liés à la sécurité de l’information.