Suivre Kyndryl

S'adapter et répondre aux risques avec un plan de continuité des opérations (BCP)

Qu'est-ce qu'un plan de continuité des opérations ?

Un plan de continuité des opérations (BCP) est un document qui explique comment une entreprise doit continuer à fonctionner pendant une interruption de service non planifiée. Il est plus complet qu'un plan de reprise après incident et contient les éventualités correspondant aux processus métier, aux actifs, aux ressources humaines et aux partenaires commerciaux, à savoir tous les aspects de l'activité qui sont susceptibles d'être affectés.

Les plans contiennent généralement une liste de contrôle incluant les fournitures et les équipements, les sauvegardes de données et les emplacements des sites de sauvegarde. Un plan peut également identifier des administrateurs du plan et indiquer les coordonnées des intervenants en cas d'urgence, du personnel clé et les fournisseurs de sites de secours. Les plans peuvent fournir des stratégies détaillées sur la maintenance des opérations métier dans le cas d'indisponibilités à court et à long terme.

Un composant clé d'un plan de continuité des opérations (BCP) est un plan de reprise après incident. Ce dernier contient des stratégies à suivre pour gérer les interruptions informatiques affectant réseaux, serveurs, ordinateurs personnels et le appareils mobiles. Le plan doit préciser comment rétablir la productivité dans les bureaux et le fonctionnement des logiciels d'entreprise afin de répondre aux principaux besoins opérationnels. Des solutions palliatives manuelles doivent être décrites dans le plan afin que les opérations puissent se poursuivre jusqu'à la restauration des systèmes informatiques.

Un plan de continuité des opérations comporte trois aspects principaux concernant les applications et processus clés :

  • Haute disponibilité : Fournir la capacité et les processus nécessaires pour qu'une entreprise ait accès aux applications, quelles que soit les défaillances locales. Ces défaillances peuvent toucher des processus métier, des installations physiques, du matériel ou des logiciels informatiques.
  • Continuité des opérations : Conserver la capacité à fonctionner en cas de disruption, ainsi que pendant des interruptions planifiées telles que les sauvegardes planifiées ou la maintenance planifiée.
  • Reprise après incident : Définir une solution permettant de rétablir un centre de données sur un site différent si une catastrophe détruit le site principal ou le rend inutilisable.

 

Évolution des plans de continuité des opérations

Les plan de continuité des opérations ont fait leur apparition à la suite des plans de reprise après incident, au début des années 1970. Les organismes financiers tels que les banques et les compagnies d'assurance ont investi dans des sites de secours. Les bandes de sauvegarde étaient stockées sur des sites protégés, distants des ordinateurs. Les tâches de reprise étaient presque toujours déclenchées par un incendie, une inondation, une tempête ou un autre catastrophe physique. Les années 1980 ont vu la croissance des sites de reprise commerciaux proposant des services informatiques partagés, mais l'accent restait mis sur la reprise IT.

Les années 1990 ont entraîné une forte augmentation de la mondialisation des entreprises et l'omniprésence de l'accès aux données. Les entreprises ont commencé à réfléchir au-delà de la reprise après incident et, de manière plus globale, à l'ensemble du processus de continuité des opérations. Elles ont compris qu'en l'absence d'un plan complet de continuité des opérations, elles risquaient de perdre leurs clients et leur avantage concurrentiel. En même temps, la planification de la continuité des opérations devenait de plus en plus complexe, car elle devait prendre en compte les architectures d'application telles que les applications réparties, le traitement réparti, les données réparties et les environnements informatiques hybrides.

Aujourd'hui, les entreprises sont de plus en plus conscientes de leur vulnérabilité aux cyberattaques, capables de les paralyser ou de détruire définitivement leurs systèmes informatiques. En outre, la transformation numérique et l'hyper-convergence créent des passerelles imprévues, sources de risques, de vulnérabilités, d'attaques et de défaillances. Les plans de continuité des opérations doivent inclure une stratégie de cyber-résilience qui peut aider une entreprise à résister à des cyber-incidents capables de les mettre à l'arrêt. Les plans incluent généralement des moyens de se défendre contre ces risques, de protéger les applications et les données stratégiques et de se remettre d'une violation ou d'une défaillance de façon contrôlée et mesurable.

La question de l'augmentation exponentielle des volumes de données se pose également. Des applications telles que l'aide à la décision, l'entreposage des données, l'exploration de données et la gestion des ressources client peuvent nécessiter des investissements de l'ordre du péta-octet pour le stockage en ligne.

La récupération des données ne se prête plus à une approche unidimensionnelle. L'infrastructure IT complexe de la plupart des installations a dépassé la capacité de la majorité des entreprises à réagir comme elles le faisaient il y a quelques années. Les recherches ont montré que, sans planification adéquate, les entreprises qui se sont d'une manière ou d'une autre rétablies après une catastrophe, n'ont souvent pas survécu à moyen terme.

 

Pourquoi un plan de continuité des opérations est-il important ?

Il est important d'avoir un plan de continuité des opérations en place pour identifier et traiter la synchronisation de la résilience entre processus métier, applications et infrastructure IT. Selon IDC, une panne d'infrastructure peut, en moyenne, coûter 100 000 USD par heure. Une panne critique d'application peut coûter entre 500 000 et 1 million USD par heure.

Pour résister et se développer en dépit de ces multiples menaces, les entreprises se sont rendu compte qu'elles ne pouvaient pas se contenter de créer une infrastructure adaptée à la croissance et capable de protéger les données. Les entreprises élaborent désormais des plans de continuité des opérations globaux, qui préservent le fonctionnement des activités, protègent les données, préservent l'image de marque, fidélisent les clients et, en définitive, contribuent à réduire les coûts totaux d'exploitation sur le long terme. Le fait de disposer d'un plan de continuité des opérations réduit les temps d'indisponibilité et permet d'introduire des améliorations durables dans la continuité des opérations, la reprise après incident IT, les capacités de gestion des crises d'entreprise et la conformité aux réglementations.

Pourtant, l'élaboration d'un plan détaillé de continuité des opérations est devenue plus difficile car les systèmes sont de plus en plus intégrés et répartis dans des environnements informatiques hybrides, ce qui génère des vulnérabilités potentielles. L'interconnexion de systèmes stratégiques pour gérer les exigences croissantes complique la planification de la continuité des opérations, ainsi que la reprise après incident, la résilience, la conformité aux réglementations et la sécurité. Il suffit qu'un seul maillon de la chaîne cède ou soit attaqué pour que le choc se répercute dans toute l'entreprise. Une entreprise peut devoir faire face à une perte de revenus et à l'érosion de la confiance des clients si elle ne parvient pas à préserver sa résilience métier tout en s'adaptant et en réagissant rapidement aux risques et aux opportunités.

 

Prestations de conseil et solutions logicielles et cloud pour un plan de continuité des opérations

De nombreuses entreprises peinent à faire évoluer leurs stratégies de résilience suffisamment vite pour répondre aux besoins des environnements IT hybrides actuels et aux modifications des exigences métier. Dans un monde toujours connecté, 24h/24 et 7j/7, les entreprises internationales peuvent acquérir un avantage concurrentiel – ou perdre des parts de marché – en fonction de la fiabilité avec laquelle leurs ressources répondent à leurs exigences de cœur de métier.

Certaines entreprises utilisent des services externes de conseil en gestion de la continuité des opérations pour identifier et résoudre la synchronisation de la résilience entre les processus métier, les applications et l'infrastructure IT. Les consultants peuvent fournir des conseils flexibles en matière de continuité des opérations et de reprise après incident pour répondre aux besoins d'une entreprise : évaluations, planification et conception, mise en œuvre, tests et gestion intégrale de la continuité des opérations.

Il existe des services proactifs, tels qu'Kyndryl IT Infrastructure Recovery Services, qui aident les entreprises à identifier les risques et les préparent à détecter un risque d'interruption, à y réagir et à effectuer une reprise.

Face à la prolifération des cyberattaques, les entreprises abandonnent progressivement l'approche de la reprise traditionnelle/manuelle pour passer à une approche de résilience définie par logiciel. L'approche de Kyndryl Cyber Resilience Services fait appel à des technologies de pointe et aux meilleures pratiques pour évaluer les risques, prioriser et protéger les applications et données stratégiques. Ces services peuvent aider les entreprises à récupérer rapidement leur informatique pendant et après une cyberattaque.

D'autres sociétés se tournent vers des services de sauvegarde dans le cloud, tels que Kyndryl Disaster Recovery as a Service (DRaaS) qui assure la réplication continue des applications, de l'infrastructure, des données et des systèmes stratégiques, permettant une reprise rapide suite à une panne informatique. Il existe également des options de serveur virtuel, telles que Kyndryl Cloud Virtualized Server Recovery, afin de protéger les serveurs stratégiques en temps réel. Cette solution permet une récupération rapide de vos applications dans un centre Kyndryl Resiliency Center, les entreprises pouvant ainsi rester opérationnelles pendant les périodes de maintenance ou d'indisponibilité imprévue.

Pour un nombre croissant d'entreprises, la solution passe par une orchestration de la résilience, approche basée sur le cloud qui utilise l'automatisation de la reprise après incident et une suite d'outils de gestion de la continuité conçus spécifiquement pour les environnements IT hybrides. Par exemple, Kyndryl Resiliency Orchestration protège les dépendances des processus métier entre les applications, les données et les composants de l'infrastructure. Il augmente la disponibilité des applications métier, ce qui permet aux entreprises d'accéder, depuis un tableau de bord centralisé, aux informations globales ou détaillées nécessaires concernant leur objectif de point de reprise (RPO), leur objectif de temps de reprise (RTO) et la santé globale de la continuité informatique.

 

Principales caractéristiques d'un plan de continuité des opérations (BCP)

Les composants de la continuité des opérations sont les suivants :

  • Stratégie : Objets associés aux stratégies utilisées par l'entreprise pour effectuer des activités quotidiennes tout en assurant la continuité des opérations.
  • Organisation : Objets associés à la structure, aux compétences, aux communications et aux responsabilités des employés.
  • Applications et données : Objets associés aux logiciels nécessaires pour mettre en œuvre les opérations métier, ainsi que la méthode permettant de fournir la haute disponibilité implémentant ces logiciels.
  • Processus : Objets associés au processus métier stratégique nécessaire au fonctionnement de l'entreprise, ainsi que les processus informatiques utilisés pour assurer la fluidité des opérations.
  • Technologie : Objets associés aux systèmes, au réseau et aux technologies spécifiques au secteur, nécessaires pour mettre en œuvre des opérations et des sauvegardes continues pour les applications et les données.
  • Installations : Objets associés à la fourniture d'un site de reprise après incident si le site principal est détruit.

Le plan de continuité des opérations devient une référence source en cas d'événement ou de crise de la continuité des opérations. Il est aussi le plan directeur de la stratégie et de la tactique permettant de gérer l'événement ou la crise.

La figure suivante illustre un processus de planification de la continuité des opérations utilisé par Kyndryl Global Technology Services. Il s'agit d'une boucle fermée qui prend en charge l'itération et l'amélioration continues en tant qu'objectifs. Le processus de planification comprend trois sections principales :

  • Priorisation métier (Business prioritization) : Identifier les divers risques, menaces et vulnérabilités, et établir des priorités.
  • Intégration à l'IT (Integration into IT) : Les informations en entrée de la priorisation métier sont utilisées pour créer un programme global de continuité des opérations.
  • Gérer (Manage) : Administration des éléments qui ont été évalués et conçus.
Priorisation métier, intégration à l'IT, Gestion