Maintien en Conditions Opérationnelles des Dispositifs de Continuité d Activité Olivier de Chantérac 08 novembre 2006
PCA, MCO et ROI Une Responsabilité de Direction Générale ou Métier - Disposer d une Continuité d Activité n est plus une option - L Entreprise doit faire face aux pressions réglementaires et légales - Le développement de sa résilience est un Must Le MCO : une Charge dont on se Passerait Bien - Est souvent vu par les équipes comme charge à assumer en plus du reste! - Il est difficile de faire le lien entre les dépenses et les priorités stratégiques - C est un processus constamment dépassé et rarement à jour - Avec un retour sur investissement difficile à justifier Quelques Avantages Reconnus - Lorsque le PCA fonctionne correctement et qu il est bien intégré à une organisation, il lui procure : Une réponse aux exigences réglementaires de ses autorités de tutelle Des avantages compétitifs De la valeur De la motivation pour ses équipes Une véritable résilience 2
Disposer d un PCA à jour? Recoverers vs. Non-recoverers (ceux qui s en remettent, et les autres ) ValueReaction TM (%) 20 15 10 5 0-5 -10-15 +-25% -20 1 21 41 61 81 101 121 141 161 181 201 221 241 261 Event Trading Day 3 Oxford Metrica 2005
Attentes en matière de PCA Gérer l intégralité du cycle de vie de la Continuité d Activité Accéder aux informations - Indépendamment du lieu et du type de sinistre de la localisation de la connexion des plages horaires des outils et des moyens de communication - En garantissant l intégrité des données restituées Est l expression du besoin d un MCO la disponibilité des données la sécurité des données échangées S adapter - Au modèle opérationnel d aujourd hui - Et prendre en compte les changements de demain Capitaliser sur le patrimoine existant - Plans, Procédures et Autres documents - Ressources : Personnel, Équipements Prendre en compte les spécificités de l entreprise - Vocables entreprise et Continuité d Activité - Multi langue Garantir la productivité sur les activité de Continuité d Activité - Bâtir des canevas réutilisables avec ou sans personnalisation possible - Eviter la double saisie - Solliciter les Utilisateurs à bon escient Organiser le travail - Centraliser les tâches d expertise et génériques - Décentraliser les tâches spécifiques au plus près de l utilisateur - Optimiser les tâches de suivi et de pilotage 4
Cycle de vie de la continuité d activité MCO Disposer de Dispositifs de Continuité et de Reprise d Activité : Précis, Fiables et Cohérents Réactualisés régulièrement 5
Le MCO dans la démarche PCA Volet 1 : Définition de la stratégie du PCA en fonction : de l'exposition aux risques de la sensibilité des processus à ces risques (focalisation sur les processus critiques) Volet 2 : Mise en œuvre de la stratégie en termes de : gestion de la continuité d activité, du pilotage et de la communication continuité de l'activité sous l'angle fonctionnel, technique et organisationnel Volet 3 : Mise en œuvre des mesures du MCO prévues aux étapes 1 et 2! Stratégie Analyse de risques Analyse des impacts métiers Audit de sécurité Stratégie de continuité Stratégie de MCO Conception et mise en œuvre Élaboration des dispositifs du PCA Conception et mise en œuvre des Plans Formation, Tests et Validation Mise en place de l outillage associé au MCO Maintien en conditions opérationnelles Révision et évolution du PCA selon l évolution du Métier et de l organisation Sensibilisation permanente des utilisateurs 6
Adapter le PCA aux évolutions permanentes de l organisation Analyse des risques & Définition de la la Stratégie Conception et et mise en œuvre Maintien en conditions opérationnelles Révision et évolution du PCA Vérifier l'efficience et la pertinence des procédures au fil du temps Adapter le PCA aux évolutions d'ordre technologique et organisationnel de l'entreprise S assurer de la conformité du PCA aux exigences règlementaires Sensibilisation des utilisateurs Diffuser la culture PCA au sein de l organisation Préparer et sensibiliser l organisation à la gestion de Crise Former les acteurs du PCA aux mesures de contournement Exercices de simulation 7
Maintien en Conditions Opérationnelles du PCA Organiser et gérer au travers d un dispositif unique l ensemble des informations provenant de différentes sources (RPCA métiers, DSI, MG ) souvent conservées sur des supports hétérogènes et limités : Excel, Word, Powerpoint, Visio. Assurer la cohérence globale de l ensemble de la documentation et actualiser les différentes bases (personnel, immobilier, matériel ) Aider à la qualification des nouveaux processus : sensibilité, DIMA Maintenir à jour le dispositif en affectant aux RPCA métiers et à la coordination PCA, des tâches récurrentes avec date butoir Le MCO se conçoit dès le début du process de continuité d activité. L envisager a postériori de la mise en œuvre des dispositifs, est déjà trop tard! 8
Roue de la Fortune du MCO Référentiels Méthodologiques Organisation Gestion des Changements Pilotage MCO Gestion des Connaissances Coût Gestion des Exercices Outillage 9
Référentiels Méthodologiques Existe t il des référentiels méthodologiques? Quels sont les processus, services et activités à déployer? MCO BCI : Business Continuity Institute - www.thebci.org : Guide de Bonnes Pratiques http://www.thebci.org/gpgdownloadpage.htm ITIL : Infrastructure Technology Information Library - www.itsmf.fr COBIT : Control Objectives for Information and related Technology - www.isaca.org/cobit Cadre de travail commun (vocabulaire, livrables, activités ) Démarche industrielle Accès aux bonnes pratiques 10
Gestion des Changements MCO Comment dois-je m y prendre? Comment réagir aux événements? Prise en compte immédiate des changements? Changements urgents ou non urgents? Prise en compte différée des changements? Comment réactualiser les changements? Quels sont les événements déclencheurs? Gestion des événements versus Gestion des révisions Comment garantir la cohérence de mes Plans? 11
Gestion des Connaissances Comment s assurer de la performance de mon personnel en cas de besoin? Développer les reflexes du personnel à mobiliser en cas de besoin : Equipes de Gestion de Crise Personnel en charge des processus critiques COMPLEXE SIMPLE Complexité Education et Sensibilisation Familiarisation du personnel (séance plénière, Journal d entreprise, ) Complexité Formation et Entretien des connaissances Formation présentielle sur le dispositif de continuité d activité et sur les solutions mise en œuvre Personnel Fréquence Expertise Complexité Mise en pratique par simulation Jeux de rôle (Gestion de crise, ) Personnel Fréquence Expertise MCO Personnel Fréquence Expertise 12
Gestion des Exercices Comment s assurer de l interopérabilité de mes dispositifs en cas de besoin? Quelle organisation à mettre en place? Eprouver opérationnellement les dispositifs de Continuité d activité : SIMPLE - Plans - Solutions (site de repli, ) Complexité Exercice technique Tests portés sur les ressources en charge de supporter les Processus métiers Vérification de bon fonctionnement Complexité Exercice fonctionnel Tests par domaine fonctionnel Vérification de bon fonctionnement Complexité Exercice de bout en bout Tests complets mais limités à un périmètre fonctionnel de l entreprise Reprise de l activité COMPLEXE Complexité Exercice complet Tests sur un ensemble plus large du périmètre de l entreprise (géographique et métier) Reprise de l activité 13 MCO
Coût Quelle est la charge de travail prévisionnelle en ETP? Quels sont les métriques? Quels sont les postes de couts? Quel est le budget annuel? MCO Hypothèses 4 scénarios Destruction totale du site ou Accès impossible Ressources Informatiques détruites Périmètre Géographique inaccessible Ressources Humaines non disponibles 5 types de Plans Gestion de crise Mesures Conservatoires Reprise des Opérations Reprise des Ressources d Infrastructure Retour à la Normale Organisation PCA : Décentralisée Gouvernance PCA : Centralisée Maturité de l organisation PCA et des Processus PCA 3 années d expérience de MCO Outillage des processus Organisation PCA clairement identifiée avec sponsor Exercice de bout en bout avec reprise réelle: 1 par an 14
Coût MCO Métriques - Nb et types de scénarios à maintenir - Nb et types de type de Plans - Maturité des Processus PCA et de l organisation - Outillage des Processus Charge de maintenance annuelle pour un processus métier à vitaliser : 1 à 2 j.h environ Hors participation aux exercises 15
Outillage MCO Quelles sont les technologies pour supporter la démarche PCA et MCO? Le PCA/PRA démarre logiquement sur le papier Un outil peut vraiment aider - Dans le cadre du passage en mode MCO, l outil est reconnu comme le seul moyen de conserver les données à jour Car il a été conçu spécifiquement pour ce type de fonctions Il fournit un cadre méthodologique établi pour démarrer son PCA simplement Il intègre l expertise des plus expérimentés sur le sujet Il réduit les coûts d administration Il permet la délivrance d un support permanent aux utilisateurs Il évolue en fonction des besoins du marché 16
Outillage : Périmètre Shadow-Planner Pilotage des Incidents et des Sinistres (IM) Analyse d Impact Métier (BIA) Gestion des Risques (RM) MCO Platform Evaluation de la Conformité (CS) Gestion de Crise et des Plans (BCP) Plateforme intégrée et modulaire de nouvelle génération, totalement Web et multilingue, adaptable au modèle opérationnel de toute Entreprise 17
Outillage : Architecture Shadow-Planner Direction Employés Responsable PCA Cellule de Crise Gestionnaires Administrateurs Prestataires Fournisseurs Services Publics Médias Documents Papiers Fax Emails Internet Intranet / Extranet SMS Portail d accès et de services (Forums, Support, Guides utilisateurs, Communication en cas de crise ) BIA RM BCP IM CS Administration (Sécurité, Bibliothèques, Dictionnaires de langues, Log, Canevas d Email et d impression ) Analyse d Impact Métier Gestion des Risques Gestion de Crise et des Plans Reporting et Tableaux de Bord Pilotage des Incidents et des Sinistres Evaluation de la Conformité Passerelles d intégration (Ressources, ) Workflow (Gestion des changements : Evénements et Révision) Référentiel (Ressources, Processus, Plans d actions, Procédures, Annexes, Rôles, Questionnaires ) 18
Shadow-Planner dans le Cycle de vie de la Continuité d Activité MCO BIA CS IM BIA BCP RM Maintenance et Mise à jour Phase 5 Support Acquisition Phase 1 Initialisation CS IM BCP RM CS BIA Validation, Simulation et Formation RM Phase 4 Phase 2 Phase 3 Conception et Développement BIA Evaluation et Stratégie CS IM BIA BCP RM IM BCP CS RM IM BCP 19
MCO : Affectation d une tâche Shadow-Planner L utilisateur est prévenu par email qu une tâche sur une objet Shadow- Planner lui a été attribuée. Il pourra l accepter ou la refuser. Dans ce cas l administrateur réaffectera la tâche à quelqu un d autre 20
A qui appartient le MCO? Un MCO efficace est - Partagé entre l IT et les Métiers IT coté DRP et expertise technique Métier coté processus, conformité et management - Intégré dès le début du PCA Les Difficultés classiques reposent sur - La coordination - La cohérence - La communication - Le retard à l allumage 21
Conclusion Disposer d un PCA opérationnel n est plus une option L appropriation des éléments des plans de continuité d activité par les acteurs est la meilleure façon de gérer leurs attentes Seul un MCO outillé et pensé dès l origine de la démarche PCA sera capable de couvrir les besoins de l Organisation et permettra l implication des différents acteurs, Responsables, contributeurs et gestionnaires de plans «Ce n est pas le plus fort d une espèce qui survit, ni le plus intelligent, mais celui qui est le plus réactif au changement» Charles Darwin 22
Groupe Office-Shadow Editeur de logiciels Britannique - Création 2001 - Focalisation exclusive sur la gestion de la PCA/PRA avec une solution logicielle de nouvelle génération dédiée et hébergée - Forte croissance à l International en cours en Europe, US, Asie Pacifique Développement au Royaume Uni Effectif : > 50 personnes - > 25 développeurs - 8 consultants Plus de 145 clients - Focus géographique actuel sur l Europe & Asie-Pacifique - Des clients de tout type De la PME à l Entreprise Internationale Dans tous secteurs d activités Office-Shadow en France - Couverture Europe Francophone - 6 personnes à ce jour - Clients Société Générale, Groupe Réunica Bayard, Groupe Caisse d Epargne, Cortal-Consors, UCB, Assurances Fédérales 23
Quelques Clients Shadow-Planner à ce jour 24
Office-Shadow en France Merci de votre attention! Tél : 01 46 21 77 07 info@office-shadow.fr 25