PRI, PRA, sauvegarde informatique et restauration… Les systèmes d’information sont si imbriqués dans les activités économiques qu’un arrêt ou une anomalie ont immédiatement des conséquences pour les entreprises. Pour que les aléas soient des situations gérables et récupérables il faut respecter des bonnes pratiques de management des systèmes d’information. Sans celles-ci, pas de résilience mais une épée de Damoclès sur la tête de l’entreprise, car il s’agit bien d’un risque existentiel pour l’organisation, ses clients et ses salariés. Parcours dans le savoir-faire d’une entreprise résiliente aux accidents informatiques.
La sauvegarde informatique, premier pilier
L’élémentaire des précautions est la sauvegarde informatique. En pratique, on se contente souvent d’avoir mis en place la première phase qui à elle seule n’est pas suffisante. Une sauvegarde n’est “complète” que lorsqu’ont été mis en place des tests de restauration ! C’est le seul moyen de valider que le processus fonctionne complètement d’une part, et que d’autre part les données que l’on protège sont bien récupérables. Également important : ces tests doivent être réguliers. Combien de fois on s’aperçoit, trop tard, que le support de sauvegarde était saturé ou indisponible… Et tant qu’à faire, les alertes n’ont pas été prises en compte. Oui, la sauvegarde est une servitude quotidienne. Ô combien utile et nécessaire : c’est une assurance “prévoyance” pour la vie de l’entreprise.
La robustesse du système d’information
Le Plan de Reprise Informatique (PRI) vise à prévoir une solution de continuité de service du système d’information. Un ensemble de moyens techniques sera à disposition immédiate ou bien sous un délai d’un prestataire connu à l’avance. Pour les applications et les données, on disposera de procédures écrites pour un rétablissement complet, toujours sous un délai contractuel. Un PRI concerne donc le cœur du système d’information et du réseau : les serveurs, leurs applications et leurs données. Une question stratégique émerge : quid d’un système dans le “cloud” ? Autrement dit avec un hébergement externalisé, infogéré ? Vous avez raison de vous poser la question, car cela change complètement la donne et l’approche d’un PRI, qui devient plus simple dans l’approche technique.
L’entreprise résiliente
PRA : Plan de Reprise d’Activité. Non seulement le SI est fiabilisé, mais également l’ensemble des moyens de travail des collaborateurs. Un exemple simple pour comprendre le principe : on prévoit la possibilité de déployer dans un autre lieu la totalité des outils et données pour permettre à l’ensemble (ou à une partie) des collaborateurs de reprendre une activité normale. Ceci a été pensé, par exemple, dans de grandes métropoles, pour circonvenir à des situation de crise des transports (grèves, aléas climatiques, terrorisme…) Un site B est “prêt à l’emploi” sous un délai court, minimisant l’effet d’une conjoncture exceptionnelle. Le PRA est une disposition stratégique pour la continuité d’action de l’entreprise.
Sécurité informatique : le 2e pilier
La sécurisation, quand à elle, garanti l’intégrité des systèmes et des réseaux, également des locaux : toute personne de l’entreprise élargie aux fournisseurs, ne peut accéder à un “territoire” au delà de ses prérogatives et de ses besoins. Le réseau est le champ le plus sensible et le moins évident à sécuriser : les compétences nécessaires sont souvent externes, au moins dans la conception.
Après avoir parcouru quelques briques pour la résilience du patrimoine informationnel de l’entreprise, comment fait-on pour articuler celles-ci, avec quelles garanties et quels coûts ? Une DSI aura pour mission de proposer et de faire valider un niveau de garanties, qui devra être finalement celui d’un niveau de service contractuel (ou SLA, Service Level Agreement). Nécessairement issu d’un dialogue avec la Direction Générale, ce niveau prendra en compte les exigences attendues. Exemple pour une sauvegarde :
• Quel périmètre de données souhaite-t-on assurer ? Quel volume cela représente-t-il, en tenant compte d’une croissance en volume dans le temps ?
• Quelle fenêtre temporelle doit-on conserver ? Au minimum journalière, elle peut être plus fréquente. Elle est souvent dégressive (un effacement progressif conservera des intervalles de plus en plus grands)
• Quel délai pour un rétablissement après sinistre ? Quelles ressources exceptionnelles seront mobilisées ?
Les moyens techniques et les coûts viennent ensuite. Dans tous les cas de figure, c’est un compromis entre l’assurance du risque et son budget. Ne pas oublier également que tout celà induit un “maintien en condition opérationnelle” de l’ensemble des équipements, tout simplement des mises à jour continues pour s’assurer de la fiabilité, et d’un suivi opérationnel pour en surveiller le bon fonctionnement.
Trois mots clés pour une informatique solide
Cette approche montre que “sécuriser, fiabiliser, maintenir” est un incontournable de la stratégie de gestion d’un système d’information au sens large, comprenant outre la “technique”, les ressources humaines et l’organisation de l’entreprise. L’état de l’art dans ce domaine comporte des opportunités stratégiques avec l’appui d’une infogérance de type “Cloud”, car dans ce cas, l’expertise et les moyens ne peuvent être qu’au-dessus des ressources internes à l’entreprise, pour un coût moindre à service équivalent ! Ce type de service fait l’objet de normalisation : encore une garantie supplémentaire en faveur de l’infogérance.