L`audit du plan de continuité

dossier :Audit
L’audit du plan de continuité :
un contrôle des risques de l’entreprise
Antoine Dubois,
• La revue n° 78 - Mars 2005
Associé ADVESE, CISA
Responsable des activités d’Audit
16
La prise de conscience d’un besoin
de gestion de la continuité d’activité
est apparue brutalement à la suite
de l’incendie du siège du Crédit
Lyonnais en mai 1996. Malgré ce
choc, son développement dans les
entreprises ne s’est fait que très progressivement, et principalement sur
les marchés de la banque et de l’assurance. Des évolutions réglementaires récentes, comme la loi sur la
sécurité financières en 2003 et une
prise de conscience plus claire, par
les dirigeants, du poids du système
d’information dans leur activité, ont
accéléré cette tendance. Le contrôle
des risques informatiques comme
« maîtrise de la continuité » est devenu une préoccupation réelle de l’entreprise.
La gestion d’un plan de continuité
d’activité est une discipline à part
entière, confiée à des équipes
spécialisées issues des services clés
de l’entreprise : direction générale,
direction métier, ressources humaines
et informatiques, responsable de la
continuité, etc.. De plus en plus
structurée, elle permet à l’entreprise
de gérer rapidement une crise suite
à une perturbation importante et
inattendue de ses activités. Comme
toute fonction exécutée peu fréquemment, le plan de continuité nécessite
un contrôle périodique de l’ensemble de ses composantes : chaîne
décisionnelle, ressources nécessaires
et capacité d’activation. Ce sont les
caractéristiques des contrôles de
cette activité que nous allons essayer
de préciser ici.
Le plan de continuité répond au
besoin impératif de l’entreprise de
pouvoir maintenir dans le temps sa
capacité opérationnelle pour exercer
ses activités profitables. A ce titre, il
doit posséder plusieurs éléments :
une évaluation précise des dépendances métiers vis-à-vis du système
d’information, une stratégie de
recouvrement partiel et complet, la
description des ressources nécessaires à son exécution, le planning
de mise en œuvre et la mesure du
niveau de confiance réel dans sa
réalisation. Ce dernier point est
important, car il traduit l’adaptation
du plan aux évolutions de l’entreprise.
La durée des cycles informatiques
est de l’ordre de 3 à 5 ans, ce qui correspond aussi à la durée de validité
maximale d’un plan. Les caractéristiques du plan sont relativement
connues, elles servent à adresser un
type particulier de risque. L’analyse
d’impact notamment, permet d’évaluer les risques de perte de profit en
cas d’arrêt d’activité. La stratégie de
recouvrement elle, traite les risques
de délais et de coûts de la reprise.
Certains scénarios de recouvrement
possèdent un coût de mise en
oeuvre qui peut s’avérer incompatible avec le montant des pertes que
l’entreprise pourrait assumer. Après
cette étape, les responsables peuvent commencer à construire le plan
de reprise en identifiant les ressources internes et externes nécessaires. L’entreprise évalue ainsi son
risque de dépendance à l’égard
d’une ressource clé : une personne,
un système, un processus, un prestataire, etc… Les mouvements importants des effectifs informatiques et
l’absence d’une volonté affirmée de
capitalisation dans beaucoup d’entreprises conduisent à concentrer
fréquemment les savoir-faire entre
les mains d’une seule personne. Sur
ces derniers points (planning de
mise en œuvre et niveau de confiance), l’entreprise mesure sa maturité
pour une activité nouvelle. C’est la
compréhension et la gestion de
l’ensemble de ces risques qui
garantissent la capacité de l’entreprise à réagir le jour d’une interruption. Il appartient à l’audit du plan de
continuité de l’activité de contrôler
tous les éléments cette chaîne.
Fondamentalement l’audit du plan
de continuité d’activité répond aux
règles rigoureuses de tout audit
informatique. Il doit être confié à un
acteur totalement indépendant de
sa définition, mise en œuvre ou participation. La première étape de la
démarche correspond à la création
d’un périmètre, basé sur l’analyse de
l’environnement de l’entreprise.
Cette compréhension mobilise des
expertises et des expériences
variées portant aussi bien sur les
métiers de l’entreprise (compréhension des enjeux, des valeurs, des
contraintes légales) que sur le système d’information lui-même (compréhension de son organisation
opérationnelle, des technologies
mises en œuvre, des partenariats).
Elle garantit à l’auditeur, la connaissance des risques clés. La seconde
étape a pour objectif de définir la
charte d’audit. Elle traduit, d’un côté
Audit dossier
Plusieurs méthodologies sont disponibles pour servir de support à la
préparation du contrôle. Les méthodologies généralement utilisées
pour l’évaluation de la continuité
informatique sont COBIT (Control
Objectives for Information and related Technology) ou ISO 17799.
L’audit nécessite fréquemment l’utilisation intelligente de plusieurs
méthodologies, pour la constitution
du référentiel de contrôles adapté à
la problématique spécifique du plan
de continuité de telle ou telle
entreprise.
Dans le cadre du plan de continuité,
trois catégories de contrôles sont
généralement utilisées.
La première correspond à l’évaluation effective de la stratégie de
continuité d’activité. En règle générale, une entreprise sait définir très
précisément son besoin de continuité sur ses métiers de base.
Cependant, avec le développement
du réseau, l’externalisation des activités annexes et l’augmentation de
la dépendance informatique vis-àvis de partenaires, définir une stratégie efficace de continuité d’activité
implique la prise en compte de
métiers externes à l’entreprise. Il est
par exemple impensable pour un
constructeur automobile de ne pas
tenir compte des flux et des systèmes présents chez ses principaux
fournisseurs de pièces détachées
pour sa stratégie de continuité. Cela
se traduit par la définition précise du
métier des partenaires indispensable au fonctionnement de l’entreprise et surtout, par celle de la qualité de la relation mise en place. D’un
point de vue légal en France, les
prestations de services ne sont pas
réellement engagées sur les résultats. Il n’est pas envisageable de couvrir l’intégralité d’une perte de production par le contrat d’externalisation. C’est pourquoi les contrôles
doivent vérifier la continuité des
processus métiers tant en interne
qu’en externe.
La seconde catégorie de contrôles
s’applique à la constitution du plan
de continuité et au document clé qui
le constitue, le plan de reprise d’activité. Le plan comprend les ressources,
les processus et les systèmes nécessaires à la gestion de la crise. La composante du système d’information
est en général la mieux maîtrisée et
repose sur une offre technique relativement mature : architecture redondante, unité de stockage de type
SAN, clustering géographique, etc…
Le choix des systèmes de continuité
est dicté par le temps de reprise d’activité souhaité (Recovery Time
Objective) et le point de reprise d’activité (Recovery Point Objective).
Plusieurs contrôles importants
concernent l’efficacité des processus
de décision, d’analyse des problèmes et de reconstruction des
capacités opérationnelles. Pour cette
partie, le plan doit s’appuyer sur les
processus de l’entreprise. Une majorité des processus de reprise doit
être proche des processus métiers
connus et donc maîtrisés. La complexité et les facteurs de risques proviennent généralement de l’enchaînement d’un grand nombre d’activités sur une période de temps relativement courte, plutôt que sur un
processus en particulier. En outre, les
contrôles doivent aussi vérifier que
le plan contient non seulement les
opérations de gestion de crise, mais
aussi les processus de retour à la
normale. Le dernier élément concerne la disponibilité des ressources
nécessaires à l’exécution du plan.
Les contrôles doivent s’attacher à
mesurer l’efficacité de la chaîne décisionnelle. Autre facteur important
de risques qu’il convient d’éliminer :
la concentration de responsabilités
sur une ressource unique. Avec la
pression budgétaire actuelle sur la
fonction informatique, il est extrêmement rare d’avoir une redondance complète des compétences sur
toutes les activités de production.
Pour cette fonction largement externalisée, certaines sociétés possèdent
même très fréquemment un correspondant unique avec les prestataires
en charge de l’exploitation. Comme
pour les processus, la disponibilité et
la coordination dans un délai court
d’un grand nombre de personnes
avec des profils très différents
constituent les éléments les plus
importants à contrôler.
La dernière catégorie de contrôles
correspond au maintien du plan de
continuité en conditions opérationnelles. Il s’agit là de mesurer la réalité
des tests effectifs et périodiques, la
communication et la formation de
tous les acteurs et le cycle d’évolution du plan. La gestion des tests est
coûteuse et même risquée pour
l’entreprise. Pour une place de marché européenne, la réalisation d’un
test de basculement avec un arrêt
complet de la production, a nécessité
un an de négociation avec l’ensemble des acteurs. Les tests imposent de mobiliser de nombreuses
ressources pendant le temps nécessaire à son exécution. Dans certains
cas l’entreprise privilégiera de tester
périodiquement certaines parties
du plan jugées plus critiques que les
autres, notamment par crainte du
risque d’arrêt de production.
Comme dans toute chaîne, la valeur
du plan correspond toujours à celle
du maillon le plus faible. A ce titre il
est fréquent que l’investissement
humain nécessaire à la compréhension des différents éléments du plan
et du rôle de chacun soit insuffisamment évalué.
On le voit, l’élaboration et la gestion
d’un plan de continuité d’activité
mobilisent une grande majorité des
compétences de l’entreprise. Certes
les équipes techniques jouent un
rôle prépondérant dans le redémarrage des systèmes, mais c’est avant
tout la direction générale et les
directions métiers qui fixent, en cas
de crise, les priorités en terme d’acti-
• La revue n° 78 - Mars 2005
la volonté et l’engagement de la
direction à contrôler sa capacité
opérationnelle et de l’autre, les
moyens et ressources nécessaires à
une évaluation efficace. La charte est
un document de communication et
d’engagement. Elle doit être
construite comme telle et validée
par tous les participants de l’audit. A
partir de cette étape, le processus
est relativement classique et associe
le travail d’évaluation à la rédaction
d’un rapport.
17
dossier :Audit
vité et de besoins. Le périmètre de
l’audit doit inclure l’ensemble des
services de l’entreprise. L’une des
tendances actuelles consiste à focaliser les efforts du plan de continuité
sur la maîtrise des données et leur
restauration. La prolifération des
solutions garantissant la duplication
et la sauvegarde de toute modification, pratiquement en temps réel, en
est le meilleur exemple. Or il règne
une certaine confusion entre l’importance de la donnée et celle de
l’information. Par définition, l’information possède un sens qui la rend
compréhensible et exploitable. C’est
la continuité d’accès à cette information intelligente que l’on cherche à
garantir. C’est cet objectif qui doit
influencer la démarche de mise en
œuvre du plan.
Enfin, il est important d’évaluer précisément le type de risque auquel
l’entreprise est soumise. Un cataclysme ou un événement catastrophique majeur sert à faire prendre
conscience de la réalité des risques.
Dans les faits, ceux-ci ne constituent
pas le type de danger auquel l’entreprise doit faire face le plus fréquemment. De plus en plus de sociétés
dépendent, par exemple, de flux
d’informations (logistique, financier,
production) externes pour fonctionner. L’impossibilité de re-synchroniser un flux suite à une interruption
de service, peut constituer une source
de pertes inacceptable. La mesure
de cette dépendance fait partie du
périmètre complet de l’audit. Un
troisième élément souvent évoqué
correspond à la disponibilité des ressources clés dans la gestion de la
crise. Or, par nature, leur disponibilité
peut être compromise suite à un
événement catastrophique. Pour y
palier, un niveau de capitalisation
minimum de l’information doit exister
afin d’être accessible le moment
voulu, particulièrement si cette
information fait partie des savoirfaire majeurs de l’entreprise. Force
est de constater que la pérennisation de l’information fait malheureu-
sement partie des budgets fréquemment remis en question par la direction des systèmes d’information. De
plus, c’est une démarche qui n’est
efficace que lorsqu’elle est imposée
par la direction !
En synthèse, l’audit du plan de continuité d’activité obéit à des règles
strictes. Il nécessite une connaissance approfondie des enjeux de l’entreprise, des contraintes légales et
de son patrimoine technologique.
Sa mise en œuvre nécessite une
volonté affirmée de la direction
générale face à une demande des
actionnaires et des sociétés d’assurance. Pour être efficace, la
démarche doit s’inscrire dans la
durée avec un contrôle périodique
de l’activité. Or, faute de moyens, il
arrive encore que le principe fondamental de séparation des responsabilités, entre réalisation et contrôle,
ne soit pas appliqué, au risque de
remettre en cause la validité de
l’exercice.
EUROPEAN IT AUDIT OPPORTUNITY
Sara Lee Corporation (NYSE: SLE), headquartered in Chicago, IL USA is a leading global consumer
products company with annual sales of more than $19 billion. Leading brand names in Europe
include: Sara Lee, Douwe Egberts, Sanex, AmbiPur, DIM, Wonderbra and Bimbo.
THE POSITION IS FOR
BARCELONA OR PARIS.
ONE
IT AUDIT SENIOR
WHO CAN BE BASED IN EITHER
• La revue n° 78 - Mars 2005
IT Internal Audit Senior
18
Perform reviews of IT general controls, applications, network and platform security to assess IT risks,
ensure compliance with IT policies and legislation, and identify opportunities for improvement.
Assess technology related business initiatives linked with ERP projects and electronic commerce tools.
Must possess an undergraduate degree, plus 3+ years experience with a “Big 4” accounting firm and/or
a large corporation’s internal audit department. A professional accounting or IT (CPA or equivalent,
CIA, CISA…) qualification is required.
These positions offer high career visibility with the potential to move into various roles throughout
our businesses in Europe. Travel of 65% to 70% is required. All candidates must speak fluent English
and have the ability to speak other European languages.
Please send your CV to [email protected] or fax to Brooke Zahara, Sara Lee Corporation on
+1-312-419-3184. We will be conducting interviews in Europe in December.
Sara Lee
www.saralee.com