L'Agence de presse de l'innovation

À Niort, où sont implantés bon nombre d’assureurs, se développent des convention de solidarité entre confrères.

© dynamosquito

Comment poursuivre son activité après un incident informatique ?

La crise sanitaire et le récent incendie d’OVHcloud à Strasbourg nous rappellent l’importance d’organiser des plans de continuité d’activité (PCA). Certes, chaque organisation va développer sa propre boîte à outils. Notamment en gestion de crise. En revanche, il y a fort à parier que la résilience soit à construire collectivement grâce à la solidarité entre les organisations à l’échelle d’un territoire.

Article publié sur InfoProtection.fr le 1 Avril 2021.

Sur fond de pandémie due au SARS-CoV-2 et d’accélération des cyberattaques par rançongiciels, le récent incendie du centre de données alsacien d’OVHcloud, le ténor européen de l’hébergement de données, d’applications et de serveurs dans le Cloud, a fait l’effet d’une bombe. En effet, 3,6 millions de sites Web de ses clients ont été impactés, voire arrêtés. Pour plupart, les propriétaires de ces sites n’avaient pas souscrit de service de sauvegarde automatisé. Toutes leurs données ont alors été perdues ! Les autres ont dû décompresser l’image de leurs données sauvegardées, réinstaller les systèmes d’exploitation, reconfigurer leurs applications métiers ainsi que leurs systèmes de gestion des identités et des accès. Tout ce grand désordre révèle une faille de taille : les organisations sont mal pourvues en Plan de continuité d’activités (PCA).

La crise sanitaire du Covid-19 et les cyberattaques qui ont suivi nous rappellent l’importance d’organiser son propre PCA.

© Anton Maksimov Juvnsky / Unsplash

Une notion née dans le secteur informatique

Mais qu’entend-on exactement par PCA ? La notion remonte au 14 juillet 1977 lors de la grande panne du réseau électrique qui plongea New York dans le noir pendant 36 heures. Scènes de panique et de pillage, arrêt des centres de données informatiques, arrêt du New York Stock Exchange (NYSE), la Bourse de Wall Street…. Les grands constructeurs américains d’ordinateurs, les leaders des sociétés de services numériques, les opérateurs télécoms et les majors du logiciel ont alors ouvert des centres de données de secours avec des alimentations électriques et télécoms provenant de sources différentes et des infrastructures redondantes.

La notion de PCA est née du grand Black-out électrique en 1997 qui a plongé dans le noir la ville de New York. Les ténors américains de l’informatique ont alors ouvert des centres de données de secours.

© Massimo Botturi / Unsplash

Le PCA s’étend à tout l’écosystème de l’entreprise

Depuis les années 70-80, la notion de PCA a dépassé la sphère purement informatique pour se globaliser à l’échelle de l’écosystème entier d’une organisation. Incluant même ses sous-traitants. À présent, le PCA constitue « un ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes et le cas échéant de façon temporaire, des prestations de services essentiels de l’entreprise en mode dégradé puis la reprise planifiée des activités, explique Cécile Weber, responsable PCA du groupe Maif et vice-présidente du Club Continuité d’activité. Le PCA inclut également un dispositif de gestion de crises majeures, un plan de reprise des activités du système d’information ainsi que des plans de continuité d’activité pour chaque métier. »

Déjà très aboutie, cette définition a été complétée en 2012 par de la norme NF EN ISO 22301-3 qui retient le PCA comme : « la capacité de l’organisme à poursuivre la production de produits ou la prestation de services à des niveaux prédéfinis acceptables après un incident perturbateur. » Plus simplement, le PCA est donc « un ensemble de mesures et de moyens, garantissant la continuité des activités vitales, afin d’assurer la résilience, voire la survie d’un organisme, à la suite d’un sinistre majeur de toute nature », résume Cécile Weber qui est également autrice de l’ouvrage Plan de continuité d’activités et gestion de crises qui vient de paraître chez Afnor éditions. Lequel a reçu la médaille 2021 de l’Académie des sciences commerciales.

Le PCA : une priorité à 79 % en France

selon-la-derniere-etude-de-genetec-la-priorite-en-matiere-de-securite-porte-a-hauteur-de-79%-sur-le-pca.
Selon la dernière étude de Genetec, la priorité en matière de sécurité porte à hauteur de 79 % sur le PCA. © Genetec

Aujourd’hui, où en sont les organisations (entreprises, administrations, collectivités locales) ? « Certaines entreprises, comme dans la banque et l’assurance, ont été contraintes par la réglementation de mettre en place un PCA. Viennent ensuite les Opérateurs d’intérêt vital (OIV) ainsi que les opérateurs de service essentiel (OSE), reprend Cécile Weber. À l’heure actuelle, bien des entreprises s’inscrivent dans une démarche PCA ou, pour le moins, s’en posent la question. Notamment en raison de la crise sanitaire. » En effet, la généralisation du télétravail a exposé de façon inattendue les systèmes d’information et les systèmes de sécurité physique dans les entreprises à la menace cyber. D’où la nécessité d’anticiper le risque en concevant un PCA.

À cet égard, Genetec, l’éditeur canadien de plateforme unifiée de gestion de la sécurité physique (contrôle d’accès, détection périmétrique, vidéosurveillance…) confirme cet intérêt dans sa toute récente étude intitulée La sécurité physique dans la région EMEA en 2021 : un changement de cap pour répondre aux nouvelles exigences opérationnelles : « Sur les 1 500 répondants retenus (utilisateurs de systèmes de sécurité physique, intégrateurs, consultants…), la cybersécurité est la priorité stratégique pour 2021 chez 67 % des répondants en raison du télétravail car leur exposition au risque cyber s’est largement étendue. Du coup, 70 % des budgets de systèmes de sécurité vont augmenter ou rester stables, détaille Cyrille Becker, directeur général de Genetec pour l’Europe. En France, la priorité en matière de sécurité porte à hauteur de 79 % sur le PCA. L’importance accordée à la poursuite des activités est donc prépondérante et englobe certainement la cybersécurité. »

cecile-weber-responsable-pca-du-groupe-maif-et-vice-presidente-du-club-continuite-d-activite.
Cécile Weber, responsable PCA du groupe Maif et vice-présidente du Club Continuité d’activité. © Maif

Rien ne se passe jamais comme prévu

Reste à savoir comment mettre en place son propre PCA. Bien sûr, il faut commencer par analyser et hiérarchiser les risques qui, dans son environnement, peuvent toucher l’entreprise afin de concevoir une organisation capable de faire face à une situation exceptionnelle. Une fois ce travail effectué, l’entreprise mettra en place les moyens nécessaires pour organiser la continuité d’activité en fonction de ses particularités : un bâtiment de repli, des solutions de télétravail, le recours intensifié à un sous-traitant ou un confrère. « Le PCA est une boîte à outils qui comprend des solutions testées et régulièrement actualisées, à la disposition de la gouvernance, souligne Cécile Weber. Mais il faut bien partir du principe que la crise ne se présentera jamais comme on l’a imaginée. »

Solidarité inter-entreprise

Dans la boîte à outils du PCA, apparaît une notion assez révolutionnaire : la solidarité entre les organisations face aux nouvelles menaces. Citons l’exemple d’Inex Circular. Avec sa plateforme d’intelligence artificielle au service de l’économie circulaire, créée en 2012, a contribué à bâtir bénévolement, il y a tout juste un an, une filière complète pour produire du gel hydroalcoolique. En deux semaines, son équipe huit personnes est parvenue à recruter et gérer un bataillon de 119 démarcheurs volontaires. La start-up appuie sa plateforme Cloud sur l’Open Data qui rassemble 5 000 bases de données librement disponibles en Europe. « À partir de là, l’intelligence artificielle (IA) nous aide à prédire où seront produits quels déchets à valoriser, en quelle quantité et avec quelle qualité », explique Olivier Gambari, PDG de l’entreprise. Au début du premier confinement, ce « Tinder des déchets » a été sollicité par la CCI Grand-Est et l’Agence régionale de santé (ARS) Grand-Est. Objectif : trouver les stocks de matière première (éthanol, alcool, peroxyde d’hydrogène, glycérol, glycérine…) pour mettre en place d’une filière de production de gel hydroalcoolique à destination des hôpitaux. La société a alors identifié près de 4 000 entreprises potentielles à démarcher. Bref, une filière industrielle complète a ainsi été structurée en deux semaines ! Résultat, 61 millions de flacons représentant une valeur de 75 millions d’euros ont été fabriqués en six semaines !

Olivier Gambari (premier à gauche en premier plan) et Pierre Beuret (juste à côté) sont respectivement PDG et DG d’Inex Circular. Ces huit personnes ont mis sur pied une équipe de 119 démarcheurs volontaires pour créer une filière de gel hydroalcoolique en deux semaines.

© Inex Circular

Conventions territoriales d’entraide

Dans cet esprit, Cécile Weber évoque les conventions d’entraide entre les organisations comme vecteurs de résilience collective sur un territoire donné. « Chez nous à Niort, où sont implantés bon nombre d’assureurs, nous entretenons des échanges réguliers avec d’autres confrères pour nous aménager une certaine solidarité si besoin en était. Par exemple, nous pouvons bénéficier de certains de leurs équipements qui ressemblent aux nôtres. Et réciproquement. On s’en doute, il y a un cadre à poser. Notamment en termes de confidentialité des données. » D’où l’intérêt de coucher noir sur blanc les termes de la convention d’entraide.

À Niort, où sont implantés bon nombre d’assureurs, se développent des convention de solidarité entre confrères.

© dynamosquito

Avec le dérèglement climatique, la montée des eaux, les inondations, les épisodes de sécheresse, la raréfaction des ressources et de la biodiversité ainsi que la géopolitique de l’exode climatique, il serait intéressant de systématiser à l’échelle des territoires une mosaïque de conventions d’entraide entre les organisations (entreprises, collectivités, administrations…) qui n’opèrent pas forcément sur le même secteur. « Les collectivités territoriales pourraient en être à l’initiative car, localement, si une entreprise tombe, les autres seront impactées », insiste Cécile Weber. Autrement dit, pour que les PCA tiennent leur promesse de résilience, il faudra penser collectif et local car aucune organisation ne pourra s’en sortir seule.

Avec le dérèglement climatique, les inondations brutales risquent de se développer. Les PCA devront en tenir compte.

© Chris Gallagher / Unsplash

© Erick Haehnsen