L’adoption d’un plan de relève ou de continuité par les entreprises est toujours proportionnelle au caractère essentiel des systèmes d’information, mais cette précaution peut être influencée par des causes naturelles ou réglementaires.
La présence d’un plan de relève informatique, depuis longtemps, était importante en fonction de la nature de l’entreprise. Il était plus primordial pour une banque d’avoir un tel plan qu’une entreprise qui se fiait moins sur ses systèmes informatiques pour sa survie.
Toutefois, selon Pierre Taillefer, associé en services-conseils, risques et réglementations, chez PriceWaterhouseCoopers, certains événements des dernières années comme la tempête de verglas de 1998 et les événements du 11 septembre 2001 ont porté les entreprises à accorder une attention accrue à la mise en place d’un plan. Mais ce plan, précise-t-il, a une portée élargie à l’ensemble de l’organisation.
« Au départ, on parlait beaucoup plus d’un plan de relève informatique, mais depuis les cinq dernières années c’est devenu un plan de continuité des opérations plus global. Qu’est-ce qu’on fait s’il y a un sinistre? Où va-t-on? Qui sera là? Quand et comment redémarrons-nous les affaires? Et une partie de ce plan de continuité des opérations est constituée d’un plan de relève informatique. »
M. Taillefer souligne que les fournisseurs de services d’impartition des systèmes informatiques se doivent d’avoir un plan de relève informatique pour assurer le fonctionnement des systèmes de la clientèle. « Les entreprises qui impartissent leurs systèmes doivent s’assurer qu’il y ait dans leur contrat un volet relié à un plan de relève informatique en cas de sinistre chez l’impartiteur », recommande-t-il.
Nouvelles priorités
Récemment, en raison de scandales majeurs, plusieurs pays ont adopté des lois couvrant la préparation des données financières, comme les lois Sarbanes-Oxley aux États-Unis et C-198 et LPRPDÉ au Canada. M. Taillefer mentionne que le projet de réglementation aux États-Unis à l’intention des vérificateurs des structures de contrôle interne incluait à l’origine l’établissement d’un plan de relève ou de continuité des opérations.
«…Mais cela a été enlevé dans la norme finale, car on a dit que cela n’aurait pas d’incidence ou une incidence limitée sur le niveau de précision de l’information financière. Toutefois, les priorités étant mises sur la rencontre des exigences réglementaires d’autres initiatives passent en deuxième priorité, et pour certaines entreprises il peut s’agir des plans de relève », indique-t-il.
Des excuses
Toutefois, plusieurs organisations n’ont pas l’établissement de tels plans en tête. Pour certaines, les systèmes informatiques ne sont pas jugés essentiels à la continuité des opérations. Pour d’autres, les coûts associés aux plans de relève ou de continuité constituent un frein à leur élaboration.
« Il y a un aspect relié aux coûts, non pas forcément de l’élaboration du plan de relève ou de continuité des opérations, mais plutôt de test de ce plan, note M. Taillefer. En tant que vérificateur externe, nous recommandons que le plan de relève soit testé sur une base régulière, notamment s’il y a des changements au niveau des systèmes d’information ou dans les procédures de continuité. Il faut maintenir un document vivant, ce qui coûte cher. »
« Il se peut qu’il n’y ait pas beaucoup de risque de problèmes à l’endroit où l’entreprise est située par rapport à la Floride ou la Californie. Les possibilités de sinistres étant peu élevées, elle dit alors qu’elle n’a pas besoin d’un plan ou qu’il n’est pas nécessaire de le tester de façon aussi régulière que d’autres entreprises. Ce n’est pas forcément justifié, mais c’est une raison qu’une compagnie peut (évoquer) pour ne pas dépenser l’argent nécessaire pour avoir un plan de relève en place », ajoute-t-il.