Quel fut l’impact des attentats du 9/11 sur le secteur ICT?

La catastrophe qui s’est produite il y a dix ans, n’a pas causé que des pertes humaines. Après que de nombreuses victimes aient reçu les premiers secours, des dizaines d’entreprises furent confrontées de manière dramatiquement aiguë à un énorme défi en matière de reprise après sinistre et de ‘business continuity’.

La catastrophe qui s’est produite il y a dix ans, n’a pas causé que des pertes humaines. Après que de nombreuses victimes aient reçu les premiers secours, des dizaines d’entreprises furent confrontées de manière dramatiquement aiguë à un énorme défi en matière de reprise après sinistre et de ‘business continuity’. L’ICT y a joué un rôle tout particulier, dans la mesure où elle toucha quasiment toutes les entreprises orientées ‘services’ dans les secteurs des banques, des assurances et d’autres connexes. Pour la plupart des entreprises, l’ICT constituait aussi l’élément physique de leur environnement de production.

Trop léger Il est immédiatement apparu que les plans de ‘business continuity’ n’étaient souvent pas prêts à affronter ce genre de catastrophe. Il y avait par exemple une entreprise qui avait certes fait les choses comme il fallait en prévoyant un fournisseur télécoms primaire et un autre fournisseur en réserve. Malheureusement, l’on a constaté ensuite que les deux fournisseurs exploitaient eux la même installation de commutation… dans l’une des tours du WTC. Une autre entreprise encore disposait de plusieurs centres de traitement aux alentours, qui fonctionnaient mutuellement comme une ‘fall-back facility’ (installation de repli). C’était là une bonne approche, si ce n’est que ce jour-là, ces centres étaient tous indisponibles en même temps.

En outre, ce n’était pas une sinécure que de recréer la capacité de traitement du back-office, mais un autre défi se posait encore: celui de prévoir aussi un poste de travail pour tous les collaborateurs. Pas évident, lorsqu’il fallait trouver à cette fin de l’espace dans d’autres filiales…et que ces filiales n’étaient elles-mêmes pas immédiatement accessibles suite aux perturbations du trafic (aérien). Le travail à domicile était bien entendu une possibilité, mais dans ce cas aussi, il fallait prendre en considération des aspects comme la capacité télécom nécessaire, ainsi que la sécurisation des terminaux. La téléconférence était également très populaire, mais la capacité et les installations disponibles étaient limitées, de sorte qu’il n’était pas directement possible de faire face à la demande subite.

Encore et toujours trop léger L’on pouvait espérer que durant les 10 années nous séparant du 9/11, les entreprises auraient adopté une approche plus réaliste et réfléchie de la ‘business continuity’. Ne serait-ce qu’à cause du fait qu’au fil des ans, il y eut suffisamment de cas à grande échelle ayant nécessité un plan de ‘business continuity’. Pensons ici à l’éruption du volcan islandais, au récent séisme au Japon, mais aussi à la menace de la grippe aviaire (qui ne devint heureusement en fin de compte pas une réalité). Sans parler des cas où des entreprises individuelles ont été touchées par une catastrophe ou par une sérieuse attaque de piratage. Nous ne pouvons malheureusement que constater qu’il n’y a pas vraiment eu de progrès dans de trop nombreuses entreprises, les péripéties des centrales nucléaires de Fukushima n’en étant que le point d’orgue le plus récent.

A chaque fois, il apparaît que les entreprises doivent apprendre à évaluer leurs risques de manière plus approfondie et consistante, et que la ‘business continuity’, c’est bien plus que simplement installer du nouveau matériel et en prévoir une copie de réserve (de préférence… utilisable). Il faut prendre comme base les processus, les personnes ad hoc et les moyens requis (comprenez: suffisants), pour en arriver à un scénario qui fonctionne réellement. Un scénario qui conduit à la poursuite de l’activité au plus haut niveau possible, compte tenu de tous les services et processus nécessaires. Un ‘que veux-je/dois-je/peux-je faire’ dans différentes circonstances et pour différentes menaces. Et l’on ne peut être certain de son fait que si l’on teste ce scénario dans la pratique, puis qu’on le réajuste et qu’on le teste encore!

Réfléchir en largeur et en profondeur Les attentats du 9/11 et les cas ultérieurs nous apprennent que les catastrophes extérieures peuvent arriver à grande échelle hier, aujourd’hui et demain. Qu’il faut réfléchir à la survie d’une entreprise de manière aussi approfondie que possible dans les aspects les plus divers. Pour l’ICT, cela se situe au niveau du hardware, du software, des télécoms, mais aussi de leur accès par les collaborateurs, en ce compris leur utilisation par le reste de l’écosystème de l’entreprise, comme les fournisseurs et les clients. Ratissez large, aussi large et profond que possible, mais en tenant compte aussi d’un rapport coûts/profits sain. L’exagération excessive nuit tout autant que l’inobservance de la ‘business continuity’.

Pensez à tout cela, si vous envisagez par exemple le passage à plus de ‘cloud’. Demandez aux fournisseurs en question davantage d’informations que simplement une belle promesse SLA sur papier (en ayant toujours présente à l’esprit la réflexion que tous les grands fournisseurs ‘cloud’ ont déjà eux-mêmes connu de graves problèmes). Mettez-les sur le grill quant à leurs pratiques opérationnelles, à leur propre ‘business continuity’ et à propos de la manière dont vos besoins de gouvernance et de mise en conformité (‘compliance’) seront protégés. Un passage au nuage peut du reste vous aider à mettre en oeuvre une ‘business continuity’ plus solide, mais vérifiez quand même que vous ne risquez pas de tomber de Charybde en Scylla.

Et par-dessus tout, faites-vous conseiller, si vous n’en sortez pas lors de l’élaboration ou l’adaptation de votre plan de ‘business continuity’. Comme lorsque vous souscrivez une assurance, vous faites appel à l’évaluation d’un expert. Une bonne ‘business continuity’ peut faire la différence entre ‘résister lors d’une période difficile’ et une ‘faire soudainement faillite’. Une raison de plus d’y réfléchir calmement et intensément. Les attentats 9/11 sont en soi une sérieuse incitation à réagir de la meilleure manière.