Tester régulièrement son système d’information est une bonne pratique de pilotage de la performance du SI en permettant de fournir la preuve de l’efficacité d’un plan de continuité. Mais face à la multiplication des menaces et des risques, et au-delà des aspects technologiques, comment aider les équipes et dirigeants à prendre les bonnes décisions en cas de crise ? Là aussi le test et l’entrainement à la prise de décision en situation de stress vont avoir un impact positif. Faisons le point avec Sungard Availability Services, dont les équipes organisent environ 40 exercices de gestion de crise par an à partir de la France.

 

Le périmètre et les prérequis de l’exercice de crise

L’exercice concerne l’ensemble des FLIPS, c’est-à-dire toute l’entreprise dans ses aspects Financier, Légaux, d’Image, de Production, et Sociaux. Il implique la mobilisation de tous les métiers de l’entreprise, car casser les silos va renforcer la prise de décision en situation de crise. En effet anticiper les risques les plus redoutés (géographiques, matériels, technologiques, humains) ne suffira pas si le DSI et l’ensemble du board ne se sont pas entrainé à partager des informations, dialoguer, analyser et réagir ensemble face au risque.

 

Ce qu’apporte la préparation à la prise de décision en situation extrême

Que ce soit face à la Cybercriminalité, au terrorisme, ou bien aux catastrophes naturelles, la partie la plus délicate d’un plan de gestion des risques (et de résilience) est la prise de décision. Décider d’évacuer un bâtiment ou de déclencher un plan de secours ne s’improvise pas et doit donc se préparer sur 3 niveaux : les équipes, les processus de décision et les systèmes.

Sur ces 3 plans il est de la responsabilité des dirigeants de maintenir un plan de continuité à jour et d’accélérer la détection des incidents pour minimiser les impacts. Les applications People Centric rendent cette question de la détection particulièrement sensible. Via un malware l’exfiltration de données peut en effet être à la fois furtive et massive, comme une fenêtre ouverte sur votre système d’information et qui resterait béante pendant 6 ou 12 mois !

Il est important d’aller au-delà du guide de procédure. L’exercice permettra aux dirigeants de s’entrainer à faire des arbitrages. Les enseignements clés : accepter une partie du risque, ne pas perdre de temps, savoir trancher, être agile, accepter l’incertitude, prendre des décisions et enfin agir !

 

En quoi les exercices de crise peuvent bénéficier à la DSI ?

-          Réaffirmer la position du DSI dans l’entreprise :

Prendre l’initiative de tester la capacité de l’entreprise à continuer de fonctionner et de performer en situation de crise permet en fait de remettre la DSI dans son rôle de super coordinateur. En effet, la DSI est l’une des fonctions métier qui sera impactée en cas de crise, mais elle ne doit pas être perçue uniquement comme le fournisseur des infrastructures. La DSI montrera qu’elle est bien au cœur de la stratégie de l’entreprise.

-          Montrer le savoir-faire de la DSI :

Comme nous venons de l’introduire, l’exercice n’est pas que IT, mais il permet au DSI de montrer son savoir-faire, de sensibiliser et de bénéficier de moyens pour lutter contre certains risques, notamment le cyber risque. Autre bénéfice : avec les bons arguments en main négocier un budget et convaincre la direction générale de soutenir un projet.

-          Travailler la proximité avec les autres directions métier :

Le DSI pourra privilégier une démarche structurante, pas théorique, mais au contraire très axée sur la mise en pratique. A la clé un meilleur dialogue et un partage de bonnes pratiques entre la DSI et les autres directions métiers. Déjà en apprenant le jargon des uns et des autres !

Une des méthodes employées pour favoriser la communication et la coordination entre les équipes est dans la constitution même du scénario du test, dont chaque acteur n’aura qu’on des éléments pour inciter au partage d’information.

-          Contribuer à réduire l’impact des risques, bien au-delà de l’IT :

Les équipes pourront partager des bonnes pratiques allant de la communication de crise à la préservation des preuves sur une scène de cybercrime.

Par exemple face au cyber attaques, l’équipe sécurité IT a souvent naturellement tendance à travailler seule. Mais ce réflexe peut au contraire mettre en danger l’entreprise. Une faille informatique peut en effet rapidement dégénérer en problème de continuité. De la même manière, Ransomware ou cryptolockers sont souvent traités uniquement d’un point de vue technologique, sans avertissements aux services juridiques pourtant également concernés. Circonscrire artificiellement le problème en ne communiquant pas avec les autres équipes n’est pas la solution. Les responsables IT et business doivent aujourd’hui savoir comment travailler ensemble en situation extrême comme en mode opérationnel, ils doivent donc pouvoir aussi se tester en amont.

Pour aller plus loin : le rôle du conseil externe dans un exercice de situation de crise. Avec la méthodologie de Sungard Availability Services en amont, pendant et après un test de situation de crise.

 

 

Envie de commenter cet article ou de nous proposer votre propre témoignage ? Inscrivez-vous sur Atout DSI !

FavoriteLoadingAjouter à mes favoris

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.