Disponibilité

Disponibilité

SILVER PARTNER Microsoft

Fort de son partenariat avec Microsoft depuis de nombreuses années, AMJ-groupe rejoint les Silver Partner Microsoft pour les Solutions Cloud. Cette certification la place ainsi dans le top 5% des partenaires Microsoft.

Découvrez les principales solutions Cloud Microsoft.

AZURE

Azure est la plateforme de cloud computing de Microsoft. Elle est constituée d’une gamme croissante de services intégrés (analyse, calcul, base de données, fonctions mobiles, mise en réseau, stockage et web) qui accélèrent la migration et votre productivité, tout en vous permettant de faire des économies.

OFFICE 365

Que vous soyez à votre bureau ou en déplacement, vous tirez parti d’un ensemble d’outils de productivité haut de gamme et familiers. Les logiciels Office, toujours à jour, vous permettent de créer, de modifier et de partager des documents à partir de votre PC/Mac ou de votre appareil iOS, Android ou Windows avec tous vos collègues en temps réel.

PCA ou PRA ?

En voilà une bonne question !

J’entends souvent dire qu’il s’agit de la même chose. D’un point de vue un peu global c’est effectivement un peu la même chose. Dans les deux cas, il s’agit bien de mettre en place un plan pour permettre de faire face à un sinistre susceptible de toucher les différents moyens de production d’une entreprise (informatique, locaux, ressources humaines).

Cependant, sur le fond, il existe deux nuances très importantes : le « R » de reprise et le « C » de continuité.

PRA : plan de reprise d’activité

Le PRA induit une notion de reprise. Or qui dit reprise dit arrêt. Dans le cadre d’un PRA, on suppose que l’activité s’arrête, que des moyens de secours sont mis en place et que l’activité reprend après un certain laps de temps plus ou moins long.

PCA : plan de continuité d’activité

Dans le cadre du PCA, on suppose que l’activité continue et donc qu’elle ne s’arrête pas.

Dans la pratique cela à des conséquences extrêmement importantes en termes de solutions techniques à mettre en œuvre en cas de sinistre des moyens informatiques. En effet, les solutions de continuité induisent notamment des systèmes de miroring en temps réel, voire des systèmes de clustering sur sites distants qui peuvent s’avérer extrêmement couteux. De plus, si cette notion de continuité est bien susceptible de s’appliquer à un sinistre des moyens informatiques, elle ne s’applique toutefois pas à un sinistre des locaux ou des ressources humaines.

Bien entendu, les solutions de reprise s’appliquent à tous les types de sinistres et sont généralement beaucoup moins onéreuses en ce qui concerne le sinistre des moyens informatiques.

Il arrive souvent que des solutions de continuité soient mises en œuvre pour certains systèmes alors que d’autres (moins critiques) feront l’objet de solutions de reprise. Il n’est donc pas anormal de parler de PRA/PCA, mais il s’agit bien de deux notions différentes.

Cohérence des analyses de risques

S’il est bien un problème qu’il est nécessaire d’éviter c’est de solliciter plusieurs fois des personnes pour poser les mêmes questions.

Pourtant c’est bien ce qui se passe dans de nombreuses entreprises lorsque d’un côté l’on sollicite des utilisateurs dans le cadre d’une analyse de risques et que de l’autre on les sollicite dans le cadre d’un plan de continuité d’activité. Cela est d’autant plus gênant que ces démarches sont assez consommatrices de temps. De plus, le fait de solliciter deux fois les utilisateurs sur des sujets identiques donne un peu un sentiment de désorganisation.

En effet, l’analyse de risque va généralement s’attacher à qualifier les impacts de la perte des critères suivants :

  • Disponibilité
  • Intégrité
  • Confidentialité
  • Preuve (traçabilité)

Dans le cadre de la démarche d’élaboration de PCA/PRA, une analyse de risque va également être menée au niveau de la phase dite d’analyse d’impacts. Elle va aussi s’attacher à déterminer les impacts de la perte des moyens de production mais de façon beaucoup plus fine. Elle va notamment évaluer le temps pendant lequel il est possible de se passer de ces moyens.

Dans les analyses de risques, le problème est que les analyses de perte de disponibilité qui sont menées restent assez générales et ne sont pas suffisantes pour déterminer de façon précise les moyens de continuité/ reprise d’activité. En effet, dans le cadre des PCA/PRA relatifs au sinistre des moyens informatiques, il existe deux éléments absolument fondamentaux dans ce domaine qui sont :

  • La Durée d’indisponibilité maximale autorisée (DIMA)
  • Perte de données maximale admissible (PDMA)

Ce sont ces éléments qui vont permettre de dimensionner les solutions techniques à mettre en œuvre.

Or les analyses de risques du type EBIOS, MEHARI, …ne rentrent pas dans ce niveau de détail et ne peuvent pas être utilisées telles quelles pour déterminer les solutions de continuité ou reprise d’activité.

Il existe donc une nécessaire mise en cohérence des analyses de risques avec les démarches de plans de continuité d’activité avant de solliciter les utilisateurs.

Il est d’ailleurs regrettable que cette problématique de cohérence ne soit pas abordée dans le référentiel ITIL.

Retour en haut