Caroline Le Donche (Provadys) : Les PCA sont-ils vraiment efficaces ?
Au-delà des contraintes règlementaires, la mise en place d'un Plan de Continuité d'Activité (PCA) répond à un objectif purement opérationnel : il doit permettre à une entreprise de pouvoir faire face à tout évènement de nature à affecter le fonctionnement «normal» de ses activités critiques.
Aussi, le déclenchement d'un PCA survient uniquement dans des circonstances « extraordinaires » ou « exceptionnelles » ; circonstances pendant lesquelles les membres de la cellule de crise doivent avoir toute confiance dans les moyens qui sont mis à leur disposition.
Plusieurs questions se posent alors : comment, dans ces circonstances, et plus largement à tout moment, maintenir ce niveau de confiance ? Quels sont les critères sur lesquels se reposer et qui permettent de l'évaluer ?
La maturité
La notion de « maturité » permet de répondre à ces questions. Or, il n'existe à ce jour aucune méthodologie efficace permettant d'évaluer la maturité d'un dispositif de continuité d'activité ; même si l'on peut en mesurer l'efficacité. Elle peut, en effet, être évaluée lors de tests ou lors d'un déclenchement (face à une situation particulière).
La maturité, quant à elle, relève plus de la capacité à garantir l'efficacité et la fiabilité des dispositifs de continuité.
En l'absence de modèle normalisé pour l'évaluation de la maturité des dispositifs de continuité d'activité, il est possible de s'inspirer du modèle CMMI (Capability Maturity Model Integration). Le CMMI est un modèle de référence qui définit un ensemble structuré de bonnes pratiques ainsi qu'une échelle de mesure de la maturité à cinq niveaux transposable de la manière suivante:
- Niveau 1 : « Initial » / Initial - Le dispositif de continuité ne repose que sur les compétences et connaissances des collaborateurs.
- Niveau 2 : « Piloté » / Managed - Les principales phases du dispositif de continuité sont implémentées et formalisées.
- Niveau 3 : « Standardisé » / Defined - Le premier cycle ISO 22301 est effectué ; la culture de la continuité d'activité se développe.
- Niveau 4 : « Quantifié » / Quantitatively managed - Un processus de MCO (Maintien en Condition Opérationnelle) est défini et formalisé ; une surveillance permanente est mise en place.
- Niveau 5 : « Optimisé » / Optimizing - L'ensemble du dispositif de continuité d'activité (projet PCA et processus MCO) est piloté et fait l'objet d'une surveillance permanente.
Les critères de maturité
Une fois les niveaux de maturité définis, il est nécessaire de déterminer des critères de maturité pertinents qui nous permettront d'évaluer et de suivre la maturité du dispositif de continuité dans le temps.
Ces critères peuvent alors se définir selon des axes organisationnel (existence d'un budget, identification des acteurs et des rôles associés, etc.), méthodologique et opérationnel (réalisation et formalisation des phases essentielles du projet PCA, test des solutions de secours mises en place, etc.), et documentaire (réalisation et formalisation des principaux livrables PCA, intégration de la notion de continuité d'activité dans les kits d'accueil des nouveaux arrivants, etc).
La tableau de bord
Il est alors possible, via l'utilisation de questionnaires basés sur des questions fermées et des descriptions de situation, de juger la maturité des dispositifs de continuité, mais aussi de les modéliser graphiquement donnant ainsi la possibilité d'en suivre l'évolution dans le temps et d'alimenter un tableau de bord.
Ce tableau de bord permet de piloter, apprécier et faire progresser le niveau de maturité. La valorisation de la « maturité » renforcera la confiance dans le dispositif de continuité et impliquera davantage les différents acteurs pour la mise en ouvre d'un processus d'amélioration continue.
Voir aussi
Silicon.fr étend son site dédié à l'emploi IT
Silicon.fr en direct sur les smartphones et tablettes
Sur le même thème
Voir tous les articles Cloud