Qu'est-ce qu'un plan de continuité des activités ?
Un plan de continuité des activités est un document qui explique comment une entreprise continuera à fonctionner pendant une interruption de service non planifiée. Il est plus complet qu'un plan dereprise après incident et contient des mesures d'urgence pour les processus opérationnels, les actifs, les ressources humaines et les partenaires commerciaux, autrement dit, pour tous les aspects de l'entreprise qui pourraient être affectés.
Les plans contiennent généralement une check-liste qui inclut les fournitures et les équipements, les sauvegardes de données et l'emplacement des sites de sauvegarde. Les plans permettent également d'identifier les administrateurs des activités. Il indique les coordonnées des intervenants en cas d'urgence, le personnel clé et les prestataires des sites de repli. Les plans peuvent fournir des stratégies détaillées pour assurer le maintien des opérations métiers dans le cas de panne à court et à long terme.
Un composant clé dans un plan de continuité des opérations (BCP) est le plan de reprise après incident. Ce dernier contient les stratégies à suivre pour gérer les interruptions informatiques affectant les réseaux, les serveurs, les ordinateurs et les appareils mobiles. Le plan doit prévoir comment rétablir la productivité des environnements de travail et les logiciels d'entreprise afin de répondre aux principaux besoins des entreprises. Des solutions palliatives manuelles doivent être décrites dans le plan afin que les opérations puissent se poursuivre jusqu'à la restauration des systèmes informatiques.
Un plan de continuité des opérations comporte trois aspects principaux concernant les applications et processus clés :
- Haute disponibilité : prévoir la capacité et les processus pour qu'une entreprise ait accès aux applications indépendamment des défaillances locales. Ces défaillances peuvent concerner les processus opérationnels, les installations physiques, le matériel ou les logiciels informatiques.
- Continuité des opérations : préservez la capacité à continuer à fonctionner pendant une perturbation, ainsi que pendant les interruptions planifiées telles que les sauvegardes programmées ou la maintenance planifiée.
- Reprise après incident: établir un moyen de récupérer un centre de données sur un site différent si une catastrophe détruit le site principal ou le rend inutilisable.
Évolution des plans de continuité des activités
Les plans de continuité des activités ont fait leur apparition à la suite des plans de reprise après incident, au début des années 1970. Les organismes financiers tels que les banques et les compagnies d'assurance ont investi dans des sites de secours. Des bandes de sauvegarde étaient stockées sur des sites protégés, distants des ordinateurs. Les efforts de reprise étaient presque toujours déclenchés par un incendie, une inondation, une tempête ou autre dégradation physique. Les années 1980 ont vu la croissance des sites de reprise proposant des services informatiques partagés, mais l'accent se maintenait sur la reprise IT.
Les années 90 ont vu une forte augmentation de la mondialisation des entreprises et l'omniprésence de l'accès aux données. Les entreprises ont commencé à réfléchir au-delà de la reprise après incident et, de manière plus globale, à l'ensemble du processus de continuité des activités. Elles ont compris qu'en l'absence d'un plan complet de continuité des activités, elles risquaient de perdre leurs clients et leur avantage concurrentiel. En même temps, la planification de la continuité des activités devenait de plus en plus complexe, car elle devait prendre en compte des architectures d'application telles que les applications, le traitement, et les données distribués ainsi que des environnements informatiques hybrides.
Aujourd'hui, les entreprises sont de plus en plus conscientes de leur vulnérabilité aux cyberattaques, capables de les paralyser ou de détruire définitivement leurs systèmes informatiques. En outre, la transformation numérique et l'hyperconvergence créent des passerelles imprévues, sources de risques, de vulnérabilités, d'attaques et de défaillances. Les plans de continuité des opérations doivent inclure une stratégie de cyber-résilience qui peut aider une entreprise à résister à des cyber-incidents capables de les mettre à l'arrêt. Les plans incluent généralement des moyens de se défendre contre ces risques, de protéger les applications et les données critiques et de se remettre d'une violation ou d'une défaillance de façon contrôlée et mesurable.
La question de l'augmentation exponentielle des volumes de données se pose également. Des applications telles que l'aide à la décision, le data warehousing, le data mining et la gestion de la relation client peuvent nécessiter des investissements en stockage de l'ordre du péta octet.
La récupération des données ne se prête plus à une approche unidimensionnelle. L'infrastructure informatique complexe de la plupart des installations a dépassé la capacité de la majorité des entreprises à réagir comme elles le faisaient il y a quelques années. Des études ont montré qu'en l'absence d'une planification adéquate, les entreprises qui se remettaient tant bien que mal d'une catastrophe immédiate ne survivaient souvent pas à moyen terme
Pourquoi un plan de continuité des activités est-il important ?
Il est important de mettre en place un plan de continuité des activités pour identifier et traiter la synchronisation de la résilience entre les processus opérationnels, les applications et l'infrastructure informatique. Selon IDC, en moyenne, une panne d'infrastructure peut coûter 100 000 USD par heure et la panne d 'une application critique peut coûter entre 500 000 et 1 million USD par heure.
Pour résister et se développer en dépit de ces multiples menaces, les entreprises se sont rendu compte qu'elles avaient besoin de faire plus que créer une infrastructure adaptée à la croissance et capable de protéger les données. Les entreprises élaborent désormais des plans de continuité des opérations globaux, qui préservent le fonctionnement des activités, protègent les données, préservent l'image de marque, fidélisent les clients et, en définitive, contribuent à réduire les coûts d'exploitation sur le long terme. Le fait de disposer d'un plan de continuité des opérations réduit les temps d'indisponibilité et permet d'introduire des améliorations durables dans la continuité des opérations, la reprise après incident IT, les capacités de gestion des crises et la conformité aux réglementations.
Pourtant, l'élaboration d'un plan complet de continuité des activités est devenue plus difficile car les systèmes sont de plus en plus intégrés et répartis dans des environnements informatiques hybrides, ce qui crée des vulnérabilités potentielles. L'interconnexion de systèmes stratégiques pour gérer les exigences croissantes complique la planification de la continuité des opérations, ainsi que la reprise après incident, la résilience, la conformité aux réglementations et la sécurité. Lorsqu'un maillon de la chaîne se brise ou est attaqué, l'impact peut se répercuter dans l'ensemble de l'entreprise. Une organisation peut être confrontée à une perte de revenus et à une érosion de la confiance des clients si elle ne parvient pas à maintenir la résilience de son activité tout en s'adaptant et en répondant rapidement aux risques et aux opportunités.
Utilisez le conseil, les logiciels et les solutions cloud pour un plan de continuité des activités
Nombreuses sont les entreprises qui peinent à faire évoluer leurs stratégies de résilience assez rapidement pour faire face aux environnements informatiques hybrides d'aujourd'hui et aux demandes changeantes de leurs activités. Dans un monde connecté, 24h/24 et 7j/7, les entreprises internationales peuvent acquérir un avantage concurrentiel – ou perdre des parts de marché – en fonction de la fiabilité avec laquelle leurs ressources répondent aux exigences cœur de métier.
Certaines organisations font appel aux services de conseil en gestion de la continuité des activités pour identifier et gérer la synchronisation de la résilience entre les processus opérationnels, les applications et l'infrastructure informatique. Les consultants peuvent fournir des conseils en matière de continuité des activités et de reprise après incident pour répondre aux besoins d'une entreprise. Ils accompagnent de manière flexible les étapes d'évaluation, de planification et de conception, de mise en œuvre, ou de test ainsi que la gestion complète de la continuité des activités.
Il existe des services tels que Kyndryl IT Infrastructure Recovery Services qui aident les entreprises à identifier les risques et à s'assurer qu'elles sont prêtes à détecter, à réagir et à se remettre d'une perturbation.
Face à la prolifération des cyberattaques, les entreprises abandonnent progressivement l'approche de la reprise traditionnelle ou manuelle pour passer à une approche de résilience définie par logiciel ou "software-defined resiliency approach". L'approche de Kyndryl Cyber Resilience Service utilise des technologies avancées et les meilleures pratiques pour évaluer les risques, établir des priorités et protéger les applications et les données critiques de l'entreprise. Ces services peuvent aider les entreprises à récupérer rapidement leur infrastructure informatique pendant et après une cyberattaque.
D'autres entreprises se tournent vers des services de sauvegarde dans le cloud, tels que Kyndryl Disaster Recovery as a Service (DRaaS) afin d'avoir une réplication continue des applications, infrastructures, données et systèmes critiques pour une récupération rapide après une panne informatique. Il existe également des options de serveurs virtuels, telles que Kyndryl Cloud Virtualized Server Recovery pour protéger les serveurs critiques en temps réel. Cette solution permet une récupération rapide des applications dans un Kyndryl Resiliency Center afin de maintenir les entreprises opérationnelles pendant les périodes de maintenance ou d'interruption inattendue.
Pour un nombre croissant d'organisations, la réponse réside dans l'orchestration de la résilience, une approche basée sur le cloud qui utilise l'automatisation de la reprise après incident et une suite d'outils de gestion de la continuité des activités conçus spécifiquement pour les environnements informatiques hybrides. Par exemple, Kyndryl Resiliency Orchestration permet de protéger les dépendances des processus opérationnels entre les applications, les données et les composants d'infrastructure. Elle augmente la disponibilité des applications de gestion afin que les entreprises puissent accéder à une vue d'ensemble ou approfondie sur l'objectif de point de reprise, l'objectif de temps de reprise et la santé globale de la continuité informatique à partir d'un tableau de bord centralisé.
Caractéristiques clés d'un plan de continuité des activités efficace
Les composants de la continuité des activités sont les suivants :
- Stratégie : objets associés aux stratégies utilisées par l'entreprise pour effectuer des activités quotidiennes tout en assurant la continuité des opérations.
- Organisation : objets associés à la structure, aux compétences, aux communications et aux responsabilités des employés.
- Applications et données : objets associés aux logiciels nécessaires pour mettre en œuvre les opérations et méthode permettant de fournir la haute disponibilité, utilisée pour implémenter ces logiciels.
- Processus : objets associés au processus opérationnel stratégique nécessaire au fonctionnement de l'entreprise, ainsi que les processus informatiques utilisés pour assurer la fluidité des opérations.
- Technologie : objets associés aux systèmes, au réseau et aux technologies spécifiques au secteur, nécessaires pour mettre en œuvre des opérations et des sauvegardes continues pour les applications et les données.
- Installations : objets associés à la mise à disposition d'un site de reprise après incident si le site principal est détruit.
Le plan de continuité des activités devient une source de référence au moment d'un événement ou d'une crise de continuité des activités. Il constitue le plan directeur de la stratégie et des tactiques permettant de faire face à l'événement ou à la crise.
La figure suivante illustre un processus de planification de la continuité des activités utilisé par Kyndryl. Il s'agit d'une boucle fermée dont l'objectif est l'itération et l'amélioration continues. Le processus de planification comprend trois sections principales :
- Priorité opérationnelle : identifier divers risques, menaces et vulnérabilités et établir des priorités.
- Intégration informatique : prendre les données issues de la hiérarchisation des activités et réaliser une conception globale du programme de continuité des activités.
- Manage : gérer tout ce qui a été évalué et conçu.