Reprise d’activité après sinistre : comment gérer les humains et les médias ?
Dans ce troisième volet de la série d’articles consacrés à la reprise après sinistre à l’ère du cloud, nous abordons les composants clés des programmes de formation et de sensibilisation du personnel, ainsi que leur gestion des incidents et le traitement médiatique.
Dans le premier article de cette série sur la planification de reprise d’activité après sinistre à l’ère du cloud, nous nous sommes intéressés à l’évaluation du risque et de l’incidence sur l’activité. Ensuite, dans le deuxième article, nous avons examiné en détail le plan de reprise d’activité (PRA), ou plan DR (Disaster Recovery).
Dans le présent article, nous nous intéressons à la sensibilisation du personnel à ce plan, ainsi qu’à la formation et à la gestion d’un incident.
Votre personnel, la gestion de l’incident et les médias
Le développement d’un PRA pour l’informatique nécessite parallèlement d’élaborer, de documenter et d’approuver diverses activités complémentaires. Et, ce, avant l’achèvement des dispositions prises pour la reprise d’activité après sinistre.
Ces activités sont notamment celles qui suivent. Elles doivent être prises en compte dans une planification qui implique l’usage de technologies cloud à des fins de reprise après sinistre :
- Préparer et mettre à disposition des programmes de sensibilisation et de formation pour s’assurer que tous les employés sont prêts à réagir à une urgence.
- Préparer et documenter des plans de gestion des incidents, IM (Incident Management), pour déclencher une réaction initiale à un événement.
- Se préparer pour le moment où il sera nécessaire de gérer les médias lorsqu’ils se présenteront sur le site.
Cet article s’appuie sur la norme internationale dédiée à la planification des reprises après sinistre informatique, destinée aux entreprises impliquant des utilisateurs finaux. L’article contribue, en outre, à élaborer et mettre en œuvre des programmes de reprise après sinistre. La norme de référence est l’ISO/IEC 27031:2011, Technologies de l’information – Techniques de sécurité – Lignes directrices pour la préparation des technologies de la communication et de l’information pour la continuité d’activité.
Comme il l’a été précisé dans les articles précédents de la série, la reprise après sinistre fournit des stratégies et des procédures permettant aux entreprises de protéger leurs investissements dans des infrastructures opérationnelles et des systèmes informatiques. En matière de reprise après sinistre, l’essentiel de la mission consistera à rétablir un niveau de fonctionnement acceptable de l’informatique, en vue de soutenir les fonctions métier stratégiques, et ce le plus rapidement possible à la suite d’un événement disruptif.
La figure 1 illustre le cycle de vie d’une reprise après sinistre informatique. Elle s’inspire de la norme ISO/IEC 27031. Elle présente l’intégration de la sensibilisation et de la formation, la gestion des incidents et la gestion des médias, et ce sur l’ensemble du cadre et du cycle de vie de la reprise après sinistre. Ce sont trois volets d’activité importants que nous examinerons plus en détail au fil de l’article.
Quelles stratégies de sensibilisation et de formation ?
Selon la section 7.5 de la norme ISO 27031, « un programme coordonné doit être mis en œuvre pour garantir que des processus sont en place en vue de promouvoir régulièrement une sensibilisation à la reprise après sinistre (DR) dans le domaine des technologies de l’information et de la communication (TIC), ainsi qu’en vue d’évaluer et d’améliorer la compétence de tous les personnels concernés, essentiels à la réussite de la mise en œuvre d’activités DR-TIC » (traduction non officielle).
Même en cas de recours à des services cloud pour une reprise d’activité, la sensibilisation et la formation restent souhaitables afin que les collaborateurs comprennent le mode d’utilisation desdits services cloud.
Le processus commencera par l’identification des stratégies et des activités visant à élever le niveau de sensibilisation à la reprise après sinistre. La stratégie la plus importante consiste sans doute à s’assurer le soutien des cadres dirigeants et un financement des programmes de reprise d’activité. Un appui visible et fréquent de la direction générale renforcera la sensibilisation et la participation au programme.
Ensuite, on impliquera le service des ressources humaines (RH) pour qu’il contribue à l’organisation et à la conduite d’activités de sensibilisation. On pense à des briefings par service et des messages sur les panneaux d’information dédiés aux employés. Encouragez les RH à intégrer les briefings sur la reprise d’activité et la continuité métier dans tous les nouveaux programmes d’orientation des salariés.
Les organisations disposant de leur propre intranet impliqueront les employés au moyen de pages Web spécifiquement dédiées à la reprise d’activité. Ces pages proposeront des descriptions du programme, des foires aux questions (FAQ), des liens actifs vers des formulaires et des services, des planifications et autres ressources utiles. Ajustez le contenu pour aborder les services cloud en fonction de leur mode d’utilisation.
Comment élaborer un plan de sensibilisation et de formation ?
L’élaboration de programmes de sensibilisation et de formation doit prendre en compte les activités complémentaires suivantes :
- procéder à une analyse des besoins en matière de sensibilisation et de formation ;
- évaluer les compétences et la compréhension du personnel existant ;
- élaborer un programme continu de sensibilisation et de formation ;
- mettre en place une consignation des activités de sensibilisation et de formation du personnel ;
- déterminer des niveaux de compétence du personnel informatique, et la manière de les pérenniser ;
- élaborer et animer une formation sur les activités de reprise technique ;
- élaborer et animer une formation sur les activités de reprise d’urgence, telles que l’évaluation d’une situation ou encore l’évacuation ;
- élaborer et animer une formation sur une reprise spécialisée, notamment la reprise au moyen de services DR cloud ;
- élaborer et animer une formation sur des activités de retour à la normale ;
- élaborer et animer une formation sur la restauration des processus et systèmes métier ;
- procéder à des évaluations des performances du personnel après sinistre et réévaluer la formation ;
- mettre en place des programmes d’amélioration continue sur la sensibilisation et la formation ;
- En cas de collaboration avec un ou plusieurs fournisseurs de services cloud, on examinera leurs programmes de formation pour déterminer s’ils peuvent opérer avec des activités de formation développées en interne.
Comment planifier la gestion des incidents ?
Lorsqu’un événement non planifié se produit, un plan de gestion des incidents, ou plan IM (Incident Management), contribuera aux mesures suivantes :
- évaluer la nature de l’événement ;
- identifier les implications potentielles de l’événement si sa gravité augmente (ou diminue) ;
- établir des lignes de communication relatives à l’événement ;
- contribuer à rassembler et lancer la ou les équipes formées à la réaction pour qu’elles gèrent l’événement ;
- jouer le rôle de point de décision pour lancer des plans de reprise après sinistre informatique, des plans de continuité d’activité, des plans d’urgence incendie et autres activités de réaction aux urgences.
En cas d’utilisation de services cloud, une forme d’alerte générée par le fournisseur de services cloud pourra entraîner l’activation de plans IM. Une perturbation impliquant des services cloud doit être considérée aussi sérieusement qu’un événement sur site. Les fournisseurs de services cloud peuvent déclencher leur propre plan IM. Il est donc essentiel de pouvoir communiquer avec leurs équipes d’assistance au plus tôt. Cette approche garantit que les utilisateurs du cloud sont conscients de l’impact sur des services dépendant du cloud.
La figure 2 fournit une vue simplifiée de l’utilisation d’un plan IM pour lancer un ensemble d’activités de réaction qui visent à identifier et évaluer l’événement, puis à décider de la manière de réagir.
Pour un environnement cloud, les étapes recommandées sont les mêmes, à ceci près que la communication avec le fournisseur des services cloud doit être établie au plus tôt.
Une fois l’événement déclenché et détecté, trois actions doivent intervenir rapidement :
- s’assurer de la sécurité des employés (par exemple, envisager une évacuation) ;
- évaluer la situation ;
- identifier et lancer les étapes suivantes.
Les plans de réaction aux incidents administrent ces activités ainsi que d’autres, plus critiques en termes de délai. Le déroulé du plan de réaction aux incidents qui suit répertorie différentes activités utiles complémentaires :
- Définir la portée et l’objectif du plan. À savoir, définir les éléments fondamentaux du plan, ce qu’il est censé réaliser et la problématique qu’il traite.
- Définir des hypothèses et des limites en matière de réaction aux incidents. Cette approche définit des activités que le plan pourra ou non lancer. Ces étapes sont importantes lorsqu’un fournisseur cloud est impliqué. En effet, il doit être contacté le plus rapidement possible.
- Équipes chargées de la réponse aux incidents, coordonnées et responsabilités. Cette section répertorie les noms et les coordonnées des personnes affectées à une équipe de réaction aux incidents. Elle pourra spécifier des devoirs et des responsabilités ; par exemple, chef d’équipe, spécialiste de l’évaluation des dommages, agent de liaison avec les premiers secours ou coordinateur d’évacuation.
- Étapes de processus de notification. Elles fournissent au plus vite des informations sur l’incident à des personnes désignées, particulièrement aux fournisseurs de services cloud. Elles identifient la personne à contacter, le délai de contact et les données à communiquer.
- Étapes d’évaluation des dommages. Ici sont définies celles qui seront appliquées suite à l’incident. Ce processus devra être coordonné avec les fournisseurs cloud.
- Étapes de traitement de la déclaration. Ici sont définis des critères destinés à l’équipe de réaction aux incidents, en vue de soit déclarer un sinistre, soit fournir des informations à des personnes désignées (par exemple, les cadres dirigeants) afin qu’elles déclarent officiellement le sinistre. Ce processus devra être coordonné avec les fournisseurs cloud.
- Étapes du processus d’escalade. Ici sont définies les mesures à prendre si la gravité de l’incident augmente (ou diminue). Ce volet implique une communication avec divers acteurs, notamment les premiers intervenants et les fournisseurs de services cloud.
- Décision de lancer des activités d’urgence supplémentaires. La progression de l’incident et les évaluations d’experts peuvent impliquer le lancement d’activités supplémentaires, telles qu’une escalade de la réponse apportée par le fournisseur cloud.
- Étapes de désactivation du plan de réponse aux incidents. Ces procédures de désactivation du plan et de retrait de l’équipe de réponse doivent être coordonnées avec les fournisseurs de services cloud.
- Test du plan. Des exercices périodiques de mise en œuvre du plan IM sont conseillés. Ils garantissent que les procédures du plan sont pertinentes et que les membres de l’équipe en charge sont correctement formés et comprennent leurs rôles et leurs responsabilités. Selon l’approche des tests du fournisseur cloud, un test de coordination impliquant ce dernier peut poser problème.
- Activités d’examen et de maintenance du plan. Une programmation d’examens et d’actualisations du plan permet de valider les noms et coordonnées des membres de l’équipe en charge, les contacts du côté des fournisseurs de cloud et l’adéquation du plan.
Planification de la gestion médiatique
La gestion des médias exige une bonne préparation ; il faut bien comprendre que les informations qu’ils publieront sur l’incident peuvent avoir un impact considérable sur l’organisation.
En matière de traitement médiatique, les principales stratégies sont les suivantes :
- Désigner un ou plusieurs cadres comme porte-parole de l’entreprise. Ce seront alors les seules personnes qui s’adresseront aux médias.
- Désigner une zone dans laquelle les médias pourront s’installer pour mener les entretiens et recevoir les commentaires.
- Disposer de communiqués de presse prérédigés faciles à actualiser en fonction de l’incident.
- Préparer une politique médiatique qui explicite ce qui doit être et ne pas être dit.
- Organiser une formation sur les médias pour les porte-parole désignés afin qu’ils se présentent sous leur meilleur jour lors des interviews.