Reprise d’activité après sinistre : maintenance et amélioration continue
Dans ce dernier volet de la série d’articles consacrés à la planification de la reprise après sinistre, nous étudions de quelle manière et à quel moment doivent intervenir la mise à jour, la maintenance, l’audit, la révision et l’amélioration continue du plan de reprise.
Les articles précédents expliquaient comment créer et mettre en place des plans de reprise informatique après sinistre. Dans le premier article, nous nous sommes intéressés à l’analyse de l’impact métier et à l’évaluation des risques. Dans le deuxième, nous avons examiné en détail le plan de reprise d’activité (PRA), aussi appelé plan DR (Disaster Recovery). Dans le troisième, nous avons vu comment créer un plan de sensibilisation et de formation du personnel, et appris à gérer un incident.
Enfin dans ce dernier article, nous nous intéressons à la mise à jour, à la révision, à l’audit et à l’amélioration continue du plan de reprise après sinistre.
Dernières étapes de la planification de reprise après sinistre
La planification d’un plan de reprise d’activité se termine par les étapes suivantes :
- Élaboration d’un processus visant à assurer la mise à jour des plans informatiques et de toutes les activités IT associées.
- Audit et révision des plans, de telle sorte qu’ils répondent toujours à leur objectif et respectent les normes et les contrôles de gestion en vigueur.
- Définition d’un programme d’amélioration continue pour l’ensemble du programme de reprise informatique après sinistre.
L’utilisation des technologies cloud rend ces dernières étapes aussi capitales que celles citées dans les articles précédents, car les services cloud sont aussi largement sollicités pour les systèmes IT de production que pour les stratégies et la planification de reprise d’activité informatique après sinistre.
Normes référencées dans le PRA
Chaque article de cette série fait référence à une norme internationale importante : ISO/IEC 27031:2011, Technologies de l’information – Techniques de sécurité – Lignes directrices pour la préparation des technologies de la communication et de l’information pour la continuité d’activité. Cette norme est dédiée à la planification des reprises informatiques après sinistre, impliquant des utilisateurs.
Une autre norme, ISO/IEC 24762:2008, aborde la reprise après sinistre du point de vue des fournisseurs de services et doit faire l’objet d’une étude attentive en cas d’utilisation de services cloud. Ces deux normes contribuent au développement et à la mise en œuvre des plans de reprise d’activité.
Les sections 8 (Suivi et revue) et 9 (Amélioration de la PTCA) de la norme ISO 27031 répondent aux points soulevés dans cet article, notamment :
- La direction générale doit s’engager activement dans le PRA.
- Des tests et des exercices doivent être réalisés pour veiller à la mise à jour et à l’adéquation des plans.
- Les plans et programmes doivent être revus et mis à jour régulièrement, en particulier à l’issue d’un exercice.
- Les infrastructures d’exploitation IT doivent être surveillées de manière à détecter toute menace éventuelle.
- Les plans et programmes doivent être examinés par des auditeurs internes (ou externes, le cas échéant) afin de garantir le respect des normes et des réglementations appropriées.
- L’état de préparation de l’entreprise à d’éventuelles perturbations informatiques doit régulièrement faire l’objet d’un suivi et d’une évaluation.
- Dans le cadre du processus de revue, les activités d’amélioration continue veillent à ce que les initiatives de reprise d’activité informatique se déroulent comme prévu.
Maintenance, audit et amélioration continue du PRA
Les articles précédents de cette série expliquaient à quel point les stratégies et procédures de reprise après sinistre aidaient les entreprises à protéger leurs investissements dans les systèmes informatiques et les infrastructures opérationnelles. La reprise après sinistre vise principalement à ramener au plus vite les opérations informatiques à un niveau de performance acceptable après une catastrophe.
Grâce aux services cloud, une entreprise peut survivre plus facilement à une perturbation des activités informatiques. Elle peut compter sur la sauvegarde des applications et données critiques, sur la protection de la connectivité réseau essentielle à l’aide de mécanismes de sécurité renforcés, et sur une participation active aux tests et exercices du PRA.
Toutefois, avant d’investir dans des solutions cloud, mieux vaut examiner en toute connaissance de cause les éventuels fournisseurs de cloud, les services qu’ils proposent et les politiques qu’ils suivent en matière d’assistance client (participation aux tests du PRA, par exemple).
La figure 1, inspirée de la norme ISO 27031, illustre le cycle de vie d’une reprise d’activité informatique après sinistre. Elle montre où s’intègrent la maintenance et l’audit dans le cadre global du cycle de vie du plan de reprise. Dans l’idéal, l’amélioration continue doit intervenir à tous les stades du cycle de vie d’un PRA. Seule une gestion efficace du programme, assortie d’examens et d’évaluations périodiques, permettra d’y parvenir.
Les activités présentées sur la figure 1 doivent être adaptées aux technologies et aux services cloud lorsque ceux-ci sont mis en œuvre dans l’entreprise. Une seule différence : les services cloud se situent en dehors et ne peuvent pas être gérés activement par les utilisateurs. La réussite des technologies cloud dépend du fournisseur et de la façon dont les utilisateurs les maîtrisent.
Élaboration du plan de maintenance d’un PRA
Lors de l’élaboration du plan de maintenance d’un PRA, assurez-vous d’obtenir l’engagement et l’approbation de la direction. Il convient également d’inviter les fournisseurs de services cloud à participer aux activités de maintenance, s’ils proposent ce niveau d’assistance.
Les listes de contrôle suivantes répertorient les principales mesures à prendre pour garantir une maintenance efficace du PR.
Fixez le calendrier des activités de maintenance et incluez les mises à jour concernant :
- les évaluations de risques existantes ;
- les analyses d’impact métier et les mises à jour correspondantes ;
- les révisions du plan ;
- les exercices du plan ;
- les listes de contacts ;
- les activités de formation et de sensibilisation.
Les programmes de maintenance peuvent être lancés à l’aide d’une feuille de calcul dont les titres de colonnes sont présentés à la figure 2.
La maintenance du PRA implique les mesures suivantes :
- Coordonner les activités de maintenance du PR avec les activités informatiques existantes (gestion des modifications, maintenance du matériel et des logiciels, et opérations du service d’assistance). Travailler si possible en coordination avec les fournisseurs de cloud.
- Documenter toutes les activités de maintenance : date et heure de la maintenance, résumé des activités, opérations des services cloud, et approbations obtenues, le cas échéant.
- Tirer parti des ressources internes existantes, comme l’intranet de l’entreprise, pour créer un référentiel sécurisé des activités de maintenance. Coordonner ces activités avec les fournisseurs de cloud.
- Générer et remettre à la direction des rapports de maintenance à intervalles réguliers (tous les trimestres, par exemple) pour faire ressortir l’état d’avancement des activités de maintenance et les problèmes à résoudre.
Élaboration du plan d’audit d’un PRA
Qu’ils soient réalisés par un service interne ou un cabinet externe, les audits réguliers des PRA permettent de vérifier qu’ils sont toujours adaptés aux besoins et conformes aux normes du secteur, ainsi qu’aux politiques informatiques de l’entreprise. Suivez les conseils ci-dessous pour mener cette opération à bien :
- Préparez un plan d’audit du PRA en définissant et en documentant les critères, la portée, la méthode et la fréquence de l’audit (audit annuel, par exemple).
- Ne confiez l’audit qu’aux seuls auditeurs qualifiés. Vérifiez l’expérience des cabinets d’audit en matière de continuité métier, de reprise après sinistre et de services cloud.
- Sélectionnez et engagez les auditeurs et conduisez l’opération de façon à garantir l’objectivité et l’impartialité tout au long du processus.
- Définissez un processus permettant de corriger les lacunes identifiées lors de l’audit dans un délai convenu.
- Vérifiez que les audits portent à la fois sur les organisations internes et externes (soumettez à audit les fournisseurs de cloud, par exemple, pour vous assurer qu’ils sont en mesure de soutenir les stratégies et les plans de reprise de l’entreprise en cas de sinistre). Informez-vous à l’avance de la politique des fournisseurs de cloud quant à leur participation dans les audits des utilisateurs.
- Lancez un audit en cas de changements importants apportés aux services du PRA, aux services cloud et aux besoins de continuité métier et/ou de reprise après sinistre.
- Documentez les résultats de l’audit et présentez-les à la direction générale, qui devra les analyser pour soutenir les mesures correctives nécessaires.
- La norme ISO 27031 permet de se préparer à un audit dans la mesure où elle en identifie les difficultés potentielles.
Déployer une démarche d’amélioration continue
Après l’établissement du PRA, vous pouvez mettre en place un programme d’amélioration continue. Veillez à coordonner les activités relevant de cette démarche avec les fournisseurs de cloud et leurs offres de service.
Cette étape est intimement liée aux activités de maintenance et d’audit abordées précédemment et s’appuie sur les résultats obtenus. Veillez à obtenir l’approbation de la direction générale lorsque vous mettez en place ce type de programme.
Améliorez continuellement les activités du plan de continuité métier et de reprise après sinistre en surveillant l’ensemble du programme et en prenant des mesures à la fois préventives et correctives (analyse périodique des performances du programme, par exemple).
Tenez-vous au courant des changements que connaît l’entreprise (fusion ou acquisition, par exemple), ou des modifications apportées aux offres de service des fournisseurs cloud. Veillez à intégrer ces changements dans les PRA et les programmes s’y rapportant. Il est essentiel que le PRA reflète précisément l’état réel de l’entreprise et de ses activités.