Définition de la continuité des activités Tout ce que vous devez savoir

La continuité des activités rassemble les personnes et la technologie pour aider les entreprises à se préparer et à surmonter les interruptions des opérations commerciales normales. La planification de la continuité des activités englobe la reprise après sinistre, la restauration des services informatiques suite à une panne inattendue, mais son objectif est plus large. L'objectif d'une stratégie de continuité des activités est de maintenir l'activité opérationnelle, que les opérations soient impactées par une catastrophe imprévue, comme un tremblement de terre, ou un événement planifié, comme l'application d'un correctif d'infrastructure majeur.

Définition de la continuité des activités

Les chefs d'entreprise utilisent la continuité des activités comme paradigme pour le maintien des opérations, même dans une capacité temporairement limitée, en cas de perturbations inattendues ou planifiées des processus métier normaux. Ces perturbations peuvent inclure des catastrophes naturelles, des cyberattaques, des conflits armés ou d'autres cas de force majeure, des pandémies mondiales, des coupures de courant dues à des tempêtes ou des inondations, des défaillances d'infrastructure, des activités de maintenance planifiées et même le départ inattendu d'un collaborateur clé. Les technologies de cloud computing telles que la conteneurisation et la virtualisation peuvent aider à rendre les mesures de continuité des activités plus abordables pour les entreprises de toutes tailles.

Points à retenir

• La continuité des activités implique de développer des processus à l'avance pour maintenir la disponibilité en cas de perturbations inattendues ou planifiées des opérations normales.
• La planification de la continuité des activités est une méthodologie permettant de s'assurer qu'une entreprise dispose des processus en place pour maintenir ses fonctions critiques.
• La planification de la continuité des activités implique la constitution d'une équipe, l'évaluation des risques, l'identification des opérations prioritaires et la mise en place d'un plan de reprise après sinistre capable de remettre en ligne l'infrastructure et les données informatiques critiques en temps opportun.
• La continuité des activités n'est pas une proposition unique. Le plan doit être pratiqué et testé régulièrement afin que les gens connaissent leurs responsabilités et que les lacunes du plan puissent être identifiées et comblées.
• Une nouvelle génération de cloud computing, en particulier la conteneurisation, a rendu la continuité des activités et la reprise après sinistre plus efficaces et rentables qu'il y a même 10 ans.

Explication de la continuité des activités

Les entreprises adoptent généralement des stratégies pour contrecarrer les menaces existentielles telles que les concurrents établis, les nouveaux venus sur le marché, les changements soudains dans le comportement ou les goûts des clients et les modifications technologiques.

Cependant, une autre menace qui est plus difficile à planifier est un événement inattendu, généralement temporaire, qui rend difficile ou impossible pour l'entreprise de continuer à fonctionner comme d'habitude. Les événements naturels tels que les ouragans et les vagues de chaleur prolongées peuvent entraîner une perte de l'énergie électrique utilisée pour gérer les installations ou les services informatiques critiques. Des entités criminelles ou des États-nations peuvent interrompre les opérations informatiques ou détenir des données contre rançon. D'autres types d'événements, tels que la mort ou le départ inattendu d'un collaborateur clé, les perturbations de la supply chain dues à la guerre ou aux grèves du travail, et les boycotts des consommateurs, sont également difficiles à planifier.

Les entreprises qui réussissent élaborent donc des plans de continuité des activités afin de fournir un modèle pour la façon dont les managers et les autres collaborateurs devraient réagir en cas d'événements aussi extraordinaires.

D'un autre côté, les entreprises qui n'ont pas de plans de continuité des activités sont confrontées à un risque important. Même en tenant compte de variables telles que le secteur d'activité, la taille de l'entreprise et le type d'activité, le temps d'arrêt de la présence en ligne d'une entreprise peut à lui seul coûter entre 2 300 et 9 000 dollars par minute, ce qui ne tient pas compte du coût des dommages causés à sa réputation et à ses relations commerciales.

Pourquoi la continuité des activités est-elle importante pour les entreprises ?

La plupart des entreprises peuvent résister au ralentissement ou à l'arrêt de leurs activités pendant une courte période, bien que les banques, les services publics, les fournisseurs de soins de santé et les entreprises de certains autres secteurs ne se voient pas offrir ce luxe et doivent respecter les exigences légales et s'assurer qu'elles peuvent reprendre leurs opérations normales presque immédiatement après une perturbation.

Dans la plupart des cas, indépendamment des exigences réglementaires, les entreprises peuvent mal se permettre une perturbation prolongée de leurs activités, car même les clients les plus patients trouveront éventuellement d'autres fournisseurs. En fait, un temps d'arrêt prolongé chez un concurrent peut permettre à d'autres acteurs du secteur de gagner des parts de marché.

Lors de la planification de la continuité des activités, les entreprises doivent également prendre en compte les partenaires, les fournisseurs et les supply chains sensibles, où les pannes pourraient avoir des effets irréparables en cascade.

Qu'inclut la continuité des activités ?

Dans ses termes les plus simples, la continuité des activités est l'idée qu'une entreprise poursuivra ses opérations en dépit de catastrophes, d'événements, d'actes néfastes ou d'autres calamités qui interrompent temporairement le cours normal des affaires. Les plus courants sont les suivants :

• Évaluer des fonctions telles que la production, le service client, les ventes et le marketing et les classer par ordre de priorité. En cas d'urgence, votre entreprise peut ne pas être en mesure de mettre toutes ses fonctions en service immédiatement, de sorte que savoir lesquelles sont les plus essentielles à son succès est crucial pour survivre aux premières minutes, premières heures et premiers jours.
• Évaluer les principaux fournisseurs et prestataires de services pour leur adaptabilité et leur flexibilité. Assurez-vous qu'ils disposent de leurs propres plans de continuité des activités et, dans le cas des fournisseurs informatiques, qu'ils disposent de processus de redondance, de réplication de données et d'autres processus de reprise après sinistre pour garantir que votre entreprise ne subira pas de perturbations dans ses opérations.
• Veiller à ce que l'entreprise respecte les normes locales, nationales et internationales pertinentes, ce qui est le plus important dans les secteurs de la finance, des soins de santé et des services publics.

Qu'est-ce qui est inclus dans un plan de continuité des activités (PCA) ?

À la base, un plan de continuité des activités est la simple reconnaissance par le leadership que des événements perturbateurs imprévus, souvent hors du contrôle de l'entreprise, se produiront inévitablement et qu'ils devraient prendre des mesures pour s'assurer que l'entreprise sera en mesure de continuer à faire des affaires, même si c'est dans une capacité limitée pour une courte période de temps.

Un PCA doit inclure le plan de reprise après sinistre, qui, comme son nom l'indique, est un cadre pour la récupération des systèmes et, surtout, des données après une panne inattendue. Les événements qui peuvent causer une telle panne comprennent des ouragans ou des tornades qui coupent l'électricité ou rendent les déplacements dans les bureaux d'entreprise impossible, des conflits armés qui perturbent les supply chains, des cyberattaques qui rendent les systèmes inopérables et des pandémies mondiales qui obligent les gens à travailler à domicile. Mais la cause la plus fréquente de la catastrophe est une erreur humaine, telle qu'un collaborateur qui tombe involontairement pour une arnaque de phishing ou un administrateur de base de données qui ne se contente pas d'appliquer un correctif logiciel avant que le système ne soit compromis.

Et bien qu'il soit vrai que les événements futurs sont impossibles à prédire, ne pas s'y préparer serait insensé et contraire aux lois et réglementations régissant de nombreuses industries. Comme Dwight D. Eisenhower, l'ancien président américain et commandant suprême des forces alliées en Europe pendant la Seconde Guerre mondiale, a déclaré : « Les plans sont inutiles, mais la planification est tout ».

En d'autres termes, les événements inattendus peuvent rendre les détails de nombreux plans non pertinents ou anachroniques, mais le processus même de planification aide à préparer une entreprise pour tout ce qui peut venir. Eisenhower a également déclaré à propos de la planification : « Si vous n'avez pas planifié, vous ne pouvez pas commencer à travailler, du moins intelligemment ».

Néanmoins, la reprise après sinistre fait partie intégrante d'un PCA efficace, mais n'est pas la seule composante clé. Un PCA complet devrait inclure les éléments suivants :

• Analyse de l’impact sur l’entreprise. Déterminez quelles fonctions et quels processus sont essentiels à la survie de l'entreprise et comprenez l'impact de leur interruption. Cette analyse doit être continue, mais elle est particulièrement importante lorsque l'entreprise se développe sur de nouveaux marchés de produits ou de nouvelles zones géographiques et lorsqu'elle ajoute des technologies de base telles qu'un nouveau data center ou une nouvelle infrastructure cloud. Par exemple, une entreprise ayant des activités clés dans des zones touchées fréquemment par des tempêtes tropicales devrait envisager de construire ou de louer des installations dans des zones situées en dehors du chemin d'une tempête typique.
• Plan de communication. Établissez des canaux de communication clairs pour les parties prenantes internes et externes afin de fournir des informations opportunes et précises en cas de crise.
• Bien-être et sécurité des collaborateurs. Planifiez les capacités de travail à distance et donnez la priorité à la santé et à la sécurité des collaborateurs et de leur famille par rapport à d'autres considérations.
• Évaluation et gestion des risques. Évaluez comment les clients, fournisseurs ou autres partenaires clés dont dépend l'entreprise peuvent réagir aux perturbations soudaines de l'entreprise, comment les supply chains peuvent être affectées, quels problèmes juridiques peuvent survenir et quelle exposition l'entreprise aux catastrophes naturelles et autres perturbations.
• Résilience de la supply chain. Élaborez des stratégies pour gérer les risques liés à la supply chain, notamment en diversifiant les fournisseurs et les options d'approvisionnement dans la mesure du possible. Imaginez un scénario dans lequel l'entreprise doit déménager vers un ou plusieurs sites secondaires.
• Formation et sensibilisation. Formez régulièrement les collaborateurs sur leurs rôles en cas de catastrophe ou d'autres perturbations majeures de l'entreprise afin qu'ils soient à l'aise avec les procédures et les protocoles qu'ils devraient suivre.

Créer un plan de continuité des activités

La planification de la continuité des activités est essentielle à la survie d'une entreprise en cas de catastrophe naturelle ou d'autre perturbation du cours normal des activités. En effet, environ 25 % des entreprises ne rouvrent pas après des catastrophes, selon l'Agence fédérale de gestion des urgences des États-Unis. Les entreprises doivent prendre les mesures suivantes pour créer un PCA efficace :

1. Identifiez un responsable de la continuité des activités (BCM, business continuity manager) et indiquez clairement que le BCM bénéficie du soutien total des dirigeants. Dans les grandes entreprises, le BCM relève souvent du directeur financier.
2. Le BCM doit constituer une équipe représentant les principales fonctions métier, telles que la production, les ventes, le service client, l'informatique, les opérations, les ressources humaines et le marketing.
3. Cette équipe travaille ensuite à identifier les domaines de l'entreprise qui sont essentiels aux opérations en cours, tels que l'informatique, l'infrastructure de télécommunications, la gestion du bâtiment, la gestion des fournisseurs et la paie, ainsi que les clients qui génèrent des montants importants de revenus. En règle générale, les entreprises associent leurs plans de continuité à deux indicateurs : un objectif de durée maximale d'interruption (RTO) et un objectif de perte de données maximale (RPO). Le RTO est la durée maximale nécessaire pour remettre les systèmes informatiques critiques en ligne. Le RPO est la quantité de données que l'entreprise peut se permettre de perdre avant qu'elle ne soit endommagée au-delà des limites acceptables déterminées.
4. Créer une liste des parties prenantes clés, y compris leurs coordonnées complètes et leurs domaines de responsabilité. Le BCM devrait s'assurer que les copies physiques de la liste sont facilement accessibles dans un certain nombre d'emplacements spécifiés. En d'autres termes, ne présumez pas que les versions numériques de la liste, ou quoi que ce soit d'autre, seront disponibles pendant une interruption.
5. Déterminez les domaines d'activité prioritaires en cas de perturbation et si les déploiements actuels permettent une récupération dans le délai RTO indiqué. Une unité opérationnelle ou une équipe métier nécessite-t-elle une sauvegarde simple, une réplication de données vers un site secondaire ou une protection et une récupération des données en temps réel ? Par exemple, s'il est déterminé que l'entreprise ne peut pas tolérer la perte d'un site de e-commerce pendant plus d'une heure, mais que le déploiement actuel de ce site nécessiterait un délai de récupération de quatre heures, le service informatique peut avoir besoin de modifier l'architecture du site ou de trouver un nouveau fournisseur. De plus, reconnaissez les risques que l'entreprise est prête à accepter parce que les couvrir serait trop cher et les compenser d'une autre manière, par exemple en achetant une police d'assurance.
6. Créez des plans de communication pour l'ensemble de l'entreprise et pour chaque domaine fonctionnel. Assurez-vous que les principales parties prenantes sont au courant de ces plans et peuvent y accéder en cas de perturbation.
7. Identifier les lieux, y compris les bureaux à domicile, qui pourraient être utilisés comme lieux de travail temporaires si les bureaux principaux sont inaccessibles pendant de longues périodes. Prévoyez de rendre les données et les applications critiques disponibles le plus rapidement possible à ces emplacements.
8. Examinez les principaux fournisseurs et fournisseurs de services pour vous assurer qu'ils disposent de leurs propres PCA qui protègent votre entreprise en cas de perturbation importante.
9. Mettez le plan en pratique en expliquant à toutes les parties prenantes les mesures à prendre en cas de perturbation. Configurez un calendrier pour tester ces plans au moins une fois par an afin d'identifier et de contrôler les changements entre les fournisseurs, le personnel ou les installations.

Enfin, les experts conseillent de rendre les opérations de récupération aussi automatisées que possible, permettant aux parties prenantes et aux travailleurs de se concentrer sur le plan global de continuité des activités. Un exemple est l'utilisation de systèmes de basculement qui basculent automatiquement vers des serveurs ou des réseaux de sauvegarde en cas de défaillance des principaux. L'automatisation augmente les chances d'obtenir un résultat positif et prévisible.

Tester un plan de continuité des activités

Les plans de continuité des activités ne valent que ce que valent les habitudes des personnes qui les utilisent. Bien que la prévision d'une catastrophe réelle soit presque impossible, il est tout à fait possible de simuler un événement perturbateur afin que le personnel puisse pratiquer les actions qu'il devra probablement effectuer. Avant qu'un test puisse avoir lieu, les parties prenantes doivent avoir vu et assimilé le PCA.

Les tests devraient évaluer les éléments clés du plan, y compris les temps de réaction aux pannes de courant et aux pannes informatiques, la viabilité des systèmes de communication internes et externes, ainsi que les procédures d'alerte et d'activation pour le personnel clé.

Le test permet non seulement de familiariser les gens avec leurs responsabilités en cas de perturbation, mais il aide également à identifier les lacunes ou les défauts du plan afin qu'ils puissent être résolus avant une urgence réelle.

Les bonnes pratiques pour ce type de test sont les suivantes :

• Tests sur table. Cela implique d'amener les principaux intervenants dans une salle de conférence physique ou virtuelle, de décrire un événement perturbateur, puis de demander à chacun d'entre eux de dresser la liste des actions qu'ils prendraient conformément au PCA qu'ils auront déjà lu.
• Tests de cheminement. Aussi connu comme un test de récupération simulée, il s'agit d'une version plus complète de l'exercice sur table. Dans ce test, les collaborateur parcourent physiquement les étapes qu'ils feraient en cas de perturbation. Par exemple, le personnel de gestion des installations démontrerait comment il s'assurerait que les générateurs de sauvegarde fonctionnent, et quelqu'un dans le service informatique utiliserait le document d'informations de contact pour entrer en contact avec votre data center ou votre fournisseur de services cloud.
• Services de test tiers. Les fournisseurs externes testent la préparation du personnel de votre entreprise et des principales parties prenantes à réagir à des perturbations simulées, y compris les demandes de ransomware et d'autres actes néfastes. Les entreprises spécialisées dans la cybersécurité peuvent tester les collaborateurs pour s'assurer qu'ils ne tombent pas sous le coup du phishing ou d'autres astuces psychologiques qui peuvent entraîner des violations des systèmes informatiques.

Les BCM devraient effectuer des tests au moins une fois par an et établir un format permettant aux intervenants de partager et d'examiner les résultats.

Normes de continuité des activités

Les plans de continuité des activités dans certains secteurs, notamment les services financiers, les services publics et les soins de santé, sont soumis aux normes locales, nationales et/ou internationales. En fait, plus de 120 réglementations de gestion de la continuité des activités s'appliquent à divers secteurs, selon DRI International, un cabinet de conseil en reprise après sinistre à but non lucratif. Il s'agit notamment des réglementations de la Security and Exchange Commission, de la Financial Industry Regulatory Authority et de la loi Sarbanes-Oxley aux États-Unis, ainsi que du cadre réglementaire international BASEL III pour les banques et de la norme ISO 22301 de l'Organisation internationale de normalisation.

Parmi les autres normes de continuité des activités figurent les normes SP 800-34 et 24762 du National Institute of Standards and Technology et la norme NFPA 1600 de l'US National Fire Protection Association pour la continuité, l'urgence et la gestion des crises. Les réglementations plus générales en matière de continuité des activités comprennent le règlement général sur la protection des données de l'UE, qui, parce qu'il régit le stockage et la diffusion des données, est également pertinent pour la continuité des activités.

Continuité des activités et reprise après sinistre

La continuité des activités et la reprise après sinistre sont étroitement liées. Les deux sont des plans organisationnels pour survivre et se remettre rapidement d'une perturbation potentiellement catastrophique de l'entreprise, et les deux sont également étroitement liés à l'informatique, compte tenu de la dépendance des entreprises à l'égard de l'infrastructure et des applications informatiques.

Pour ne citer qu'un exemple de la dépendance de toutes les entreprises à l'égard de l'informatique, la plupart des sites sportifs professionnels aux États-Unis n'acceptent plus les paiements en espèces, ce qui signifie que les systèmes informatisés de point de vente doivent être opérationnels pour qu'ils puissent vendre de la nourriture, des boissons, du matériel et d'autres biens.

Continuité des activités ou reprise après sinistre

La norme ISO 22301 définit la continuité des activités comme « procédures documentées qui guident les entreprises pour répondre, récupérer, reprendre et rétablir un niveau prédéfini d'opérations après une perturbation ». La reprise après sinistre est un sous-ensemble de la continuité des activités qui implique la restauration des services informatiques, de manière incrémentielle si nécessaire. L'une des principales différences entre la continuité des activités et la reprise après sinistre réside dans le fait que la continuité des activités prend en compte toutes les interruptions d'activité, y compris celles qui sont planifiées.

Technologie et continuité de l'activité

La continuité des activités dépend d'une grande variété de facteurs, y compris le secteur dans lequel une entreprise opère et la nature de la perturbation elle-même. Mais à l'ère de l'information, la quasi-totalité de la continuité des activités dépend d'un certain niveau de fonctionnalité informatique. Il est donc crucial pour les entreprises de s'assurer qu'elles disposent de niveaux appropriés d'infrastructure redondante et de réplication de données, non seulement pour soutenir le cours normal des affaires, mais également pour s'assurer que l'entreprise peut fonctionner suffisamment efficacement lors d'un événement perturbateur.

Plus les RTO et les RPO sont courts, mieux c'est pour assurer la continuité. Cependant, le coût de réalisation de tout RTO ou RPO augmente à mesure que chaque objectif devient plus court. Les choix architecturaux peuvent aider. Les chefs d'entreprise doivent envisager d'utiliser le cloud computing et, de manière optimale, les conteneurs pour isoler davantage les données critiques des systèmes perturbés. Ils doivent également rechercher des fournisseurs de services cloud disposant d'installations de basculement géographiquement disparates.

L'un des avantages du cloud computing du point de vue de la continuité des activités est ce qu'on appelle des « déploiements pilot light », où les sites secondaires ou les copies des workloads de l'entreprise peuvent être aussi petits qu'une seule machine virtuelle (VM) ou qu'un seul conteneur. Dans le cas d'un basculement, cette machine virtuelle ou ce conteneur unique peut, si nécessaire, lancer un processus automatisé qui permet à votre entreprise de mettre en place le reste de l'infrastructure. En utilisant un déploiement pilot light, les entreprises n'ont besoin de payer que pour cette ressource unique plutôt que de répliquer un système entier.

Une autre stratégie est l'architecture dite « bleue-verte » :, où au lieu d'avoir quatre à six environnements redondants pour le développement et les tests et un autre pour le déploiement de production, une entreprise déploie seulement deux environnements redondants et distribués. Disons que l'environnement « bleu » correspond à la production et l'environnement « vert » au développement et aux tests. Une fois le développement terminé, l'environnement « vert » devient l'environnement de production principal et l'environnement « bleu » est utilisé pour le développement, les tests et la reprise après sinistre. Ce cycle se répète alors.

Simplifiez votre stratégie de continuité des activités avec Oracle Cloud Infrastructure

Oracle simplifie et rend plus abordable l'élaboration d'un plan de continuité des activités holistique. Etant donné qu'Oracle Cloud Infrastructure (OCI) a été développé plus tard que les autres clouds à très grande échelle, il a été conçu pour améliorer l'efficacité et la fiabilité, réduire la latence et offrir une flexibilité supérieure par rapport aux clouds concurrents. En plus des conteneurs, OCI dispose de machines virtuelles flexibles, ce qui signifie que les entreprises ne peuvent acheter que la puissance de calcul dont elles ont besoin. D'autres fournisseurs offrent moins de flexibilité, ce qui oblige les clients à surprovisionner leurs instances, ce qui leur coûte plus cher. OCI dispose de plusieurs régions cloud géographiquement séparées dans de nombreux pays, ce qui permet aux clients de rester conformes aux réglementations en matière de souveraineté des données tout en ayant des emplacements disparates à des fins de continuité des activités.

Sur la base de dizaines années d'expérience de développement et de retours concrets des clients, Oracle a développé les bonnes pratiques appelées Oracle Maximum Availability Architecture (MAA). Oracle MAA fournit le plan pour implémenter des solutions de haute disponibilité, d'évolutivité, de reprise après sinistre et de protection des données dans les environnements Oracle Database.

Les bonnes pratiques Oracle MAA, mises à jour par une équipe de développeurs Oracle, valident en permanence l'utilisation intégrée des fonctionnalités de haute disponibilité d'Oracle Database, telles qu'Oracle Real Application Clusters et Oracle Data Guard, à l'aide de techniques d'ingénierie du chaos et d'autres méthodologies de test.

Oracle MAA est également étendu avec le service Oracle Cloud Infrastructure Full Stack Disaster Recovery. OCI Full Stack Disaster Recovery organise la transition du calcul, de la bases de données et des applications entre les régions OCI dans le monde en un seul clic. Les clients peuvent automatiser les étapes nécessaires à la récupération d'un ou de plusieurs systèmes métier sans repenser ou modifier l'architecture de l'infrastructure, des bases de données ou des applications existantes, et sans avoir besoin de serveurs de gestion ou de conversion spécialisés.

De plus, Oracle Autonomous Database et Oracle Exadata Database Service disposent d'une redondance intégrée, ce qui signifie que les clients ne paient pas de frais supplémentaires pour la réplication de données dans la même zone de disponibilité.

Les attentes en matière de continuité des activités ont changé à mesure que le paysage technologique évolue. Par exemple, la plupart des entreprises pensaient aux RTO en termes d'applications dites de niveau 1, mais les options de cloud computing moins coûteuses, telles que les pilot lights, signifient que les entreprises peuvent se permettre de créer des plans de continuité des activités pour toutes leurs applications.

FAQ sur la continuité des activités

Quels sont les 4 piliers de la continuité des activités ?

À la base, la continuité des activités consiste à rassembler une équipe axée sur la continuité des activités, à évaluer les domaines de l'activité les plus à risque lors d'un événement perturbateur, à créer un plan pour maintenir les opérations à des niveaux minimalement viables, puis à répéter et tester cette planification régulièrement.

Quelle est la différence entre la continuité des activités et la reprise après sinistre ?

La continuité des activités est une approche organisationnelle pour s'assurer qu'une entreprise peut continuer à fonctionner dans une certaine mesure par toute perturbation, planifiée ou non, tandis que la reprise après sinistre se concentre sur la reprise des systèmes informatiques.

Pourquoi avoir un PCA est-il important ?

Les entreprises qui n'ont pas de plans de continuité des activités mis à jour sont plus à risque que celles qui le font. Au pire, elles peuvent cesser définitivement leurs activités en raison d'une perturbation inattendue importante des opérations normales qui pousse les clients vers la concurrence, perd des données et s'avère coûteuse à réparer.