Leçon de l'Incendie d’OVH : investir dans la continuité d’activité n’est pas un luxe

Selon Netcraft, spécialiste américain du monitoring d'Internet, 3,6 millions de serveurs web représentant 464 000 noms de domaines se sont retrouvés hors ligne suite à l'incendie qui a ravagé dans la nuit du 9 au 10 mars une partie du site d'OVHCloud à Strasbourg. OVH déclare quant à lui 12 000 à 16 000 clients touchés.

La même source précise que plus de 18% des adresses IP attribuées à OVH dans leur dernière enquête sur les serveurs web ,publié il y a deux semaines , ne répondaient plus le 10 mars entre 7h et 8h du matin .

Un plan de reprise a été annoncé par OVH pour les services restaurables mais il y aura beaucoup de business qui n’auront pas la possibilité de redémarrer leurs activités suite à une fatale perte de données. D’où se pose la question de l’importance d’anticiper ce genre de situation. Par conséquent nous pouvons nous demander si cette situation est inévitable ? comment peut on prévoir un tel incident chez un opérateur de renommée internationale ? Est-ce qu’on ne devrait pas prévoir des sauvegardes chez d’autres opérateurs ou en local ? Comment peut-on être sûre de pouvoir continuer à servir nos clients en cas d’une telle crise ?

La continuité du business est une problématique qui était débattue il y a des années par les professionnels en la matière et qui est maintenant normalisée par l'Organisation Internationale de Normalisation ISO. D’ailleurs la norme ISO 22301 a été publiée depuis 2012. Elle définit les exigences pour mettre en place un système de management de la continuité d'activité. Elle se base sur des analyses de risque et d’impact des processus métier afin de définir ceux jugés critiques pour la survie de l’entreprise ainsi que les prérequis nécessaires pour assurer une reprise des activités en cas de crise ou incident majeur. Elle vise également à mettre en œuvre des processus et des outils pour bien gérer la situation de crise en définissant les procédures du retour à la normal dans les délais convenables pour l’entreprise et sa clientèle. Elle inclue également la gestion de la communication de crise qui, si elle est mal gérée, peut empirer la situation de l’entreprise et peut même mener à sa disparition.

Assurer la continuité des services informatiques est devenu une chose vitale pour l’entreprise. Cette ambition requiert une prise de conscience de l’importance d’adopter les bonnes pratiques en la matière et une volonté d’investir dans la survie de l’organisme en cas d’incident majeur. Cet investissement doit impérativement toucher les volets suivants :

• Faire monter en compétence les équipes internes par le biais des formations pour les équipes spécialisées et des séances de sensibilisions pour tout les employées de l’entreprise.

• Assurer le leadership nécessaire pour gérer le sujet sans oublier de responsabiliser toute les entités organisationnelles de la continuité de leur service.

• Faire appel à des spécialistes et des experts en matière de continuité d’activité pour accompagner les équipes internes dans la démarche de mise en place du plan de continuité d’activité (PCA).

• Exiger des tests annuels du PCA et prévoir des réunions au niveau des instances de gouvernance afin de l’évaluer et l’améliorer conformément aux besoins et moyens de l’organisme.

• Lancer des missions de gestion de risque et d'étude d'impact business afin d'identifier les services critiques de l'organisme et les risques qui les menaces.

• Prévoir des audits de votre PCA par des experts externes afin d’identifier les défaillances ainsi que les points d’amélioration.

Il faut rappeler que la qualité d’un service est définie par son utilité et sa garantie. Cette dernière définit l’avenir du business et son image de marque . Elle est traduite pour un service informatique par les efforts déployés en matière de sécurité des SI ainsi que de continuité d’activité. Ces efforts ne peuvent être efficaces et efficients que s’ils respectent les bonnes pratiques définit par les experts à l’échelle mondiale. Finalement il faut dire que s’approcher de ces bonnes pratiques n’est pas un luxe mais une obligation business afin de bénéficier des expériences des acteurs internationaux et se donner plus de chance pour vaincre les risques qui peuvent impacter votre activité.