Le plan de continuité d’activité doit être un projet culturellement accepté par l’entreprise

Caroline Fabre est responsable de la gamme SPL BCRS chez IBM France. Elle explique pourquoi il est important que les entreprises du mid-market mettent en place des plans de continuité d’activité. Elle précise également  le rôle du  prestataire extérieur dans cette démarche (Publi-reportage).

Qu’est ce qui peut amener aujourd’hui une entreprise du mid-market a investir dans les plans de  continuité d’activité (PCA) informatique ?
Caroline Fabre : Ce n’est pas qu’une question de taille. Les besoins d’une entreprise du  mid-market à investir dans les plans de continuité d’activité sont plutôt liés aux risques qu’elle encoure.  Dans certains métiers, les contraintes  réglementaires sont très importantes et une continuité d’activité est exigée. C’est le cas, par exemple, des banques et des assurances. Parfois, le PCA peut être exigé par le donneur d’ordre : les entreprises étendues sont de plus en plus dépendantes de leurs sous-traitants ce qui peut représenter un risque pour elles. Pour se prémunir , elles contraignent leur partenaire par contrat de faire état d’un PCA.  Certains organismes qui accompagnent ou financent des PME demandent aussi des assurances dans la continuité d’activité. Ils  veulent être certains que l’entreprise peut faire face à un sinistre. Enfin, parmi les entreprises qui sont les plus motivées à mettre en place un PCA, on trouve celles qui ont déjà eu un sinistre personnel ou qui connaissent une entreprise proche de la leur qui ont été touchées. Chez IBM, nous faisons régulièrement des réunions d’information et nous remarquons qu’elles sont particulièrement  suivies dans les régions qui ont connu des sinistres comme dans les Landes après le passage de la tempête Klaus en 2009.

Comment doit être conçu un PCA ?
Caroline Fabre : Avant de mettre en place un PCA, l’entreprise doit se poser les bonnes questions : qu’est ce qu’il faut protéger : Les données ? Les collaborateurs ? Le système d’information ? la production ? Quelle est la perte maximale de données que l’on peut admettre ? Quel est le délai maximal d’interruption? Ce qui est clé, c’est de déterminer la criticité des éléments. Le plan de continuité doit être le reflet de la considération des risques et en fonction de ces différents critères, le fournisseur va pouvoir adapter son offre.  Mais cela ne suffit pas. Pour être efficace, le dispositif doit savoir évoluer  sinon il devient inopérant. Il doit pouvoir s’adapter aux changements de l’entreprise, par exemple, si celle-ci a fait de la croissance externe. Et il doit également pouvoir prendre en compte l’évolution des risques.

Caroline Fabre : Pourquoi faire appel à un prestataire externe pour mettre en place un PCA ?
Il y a plusieurs raisons qui légitiment le recours à un prestataire extérieur pour un plan de continuité. D’abord l’expérience. Les clients sont rarement confrontés à des gros sinistres comme un incendie, une inondation ou une quelconque destruction. Les équipes internes manquent donc d’expérience quand il y a un incident. Alors que le prestataire a l’habitude. Ses équipes savent s’organiser en amont mais aussi pour la remise en marche du système. Par ailleurs, l’entreprise et surtout dans le mid-market n’ont pas toujours les moyens d’avoir des locaux supplémentaires pour héberger leurs solutions de stockage ou de back-up. Sans compter que les entreprises pensent pouvoir s’appuyer sur leurs sauvegardes mais elles ne testent pas la  « restaurabilité ». Or on constate qu’à peine 70% des données sont « restaurables ». Enfin, recourir à un prestataire, c’est avoir l’assurance que le système et les données sont protégés et mis à jour en temps réel. Cet aspect est très important car les petites structures considèrent qu’elles peuvent très bien mettre en place leur propre PCA. Or souvent, les personnes qui sont chargées du plan de continuité sont basculées vers d’autres activités et le PCA interne devient vite inopérant. Cependant, pour réussir, même avec un prestataire extérieur, il faut que le projet soit culturellement accepté en interne : c’est une décision de l’entreprise en général.