24 Juin 2008 © NEFTIS 2008 IBM innovation 2006 3/25/2017 2:22:38 AM 4:3 Aspect Ratio
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Introduction
NEFTIS intervient dans le domaine de la Continuité et de la Conduite de Projets Consulting : nous vous indiquons la bonne direction Analyse de Risques Business Impact Analysis Stratégie Gestion de la Crise PRA-PCA Plan de Continuité en cas de Pandémie Direction de Projet : dans les temps… Projets généraux Projets de transformation « Continuité »
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Consulting : Analyse de Risques (1/2) NEFTIS aide les entreprises à déterminer les risques : ceux qui doivent être traités et ceux qui peuvent être écartés Les risques à prendre en compte sont de deux natures : les risques internes Les incendies Les dégâts des eaux L'interruption de l'alimentation électrique Les pannes de climatisation Les risques biologiques (légionellose,...) Les mouvements sociaux internes à l'entreprise,... les risques externes Les inondations Les tremblements de terre Les ouragans Les mouvements sociaux extérieurs à l'entreprise Les risques Seveso Les attentats, Les épidémies,...
Consulting : Analyse de Risques (2/2) Gérer les risques, c’est combiner de façon optimale, les plans de prévention Et les plans de continuité NEFTIS s’appuie sur une méthode simple et efficace Lorsqu’on mène une analyse des risques, on détermine un indice de risque fondé sur l'évaluation des trois facteurs suivants : ►La gravité de l'accident ►La probabilité de l'événement ►L'exposition au(x) danger(s). Par conséquent, l'indice de risque est calculé par la formule GRAVITÉ x EXPOSITION x PROBABILITÉ = RISQUE
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Consulting : Business Impact Analysis (1/3) NEFTIS aide les entreprises à estimer les conséquences de toutes natures d’un sinistre Les conséquences d'un sinistre sur une entreprise peuvent être dramatiques pour celle-ci, si elle n'a pas prévu l'impact de l'arrêt, même partiel de son fonctionnement. La question de la durée maximale d’indisponibilité admissible est primordiale Chaque indisponibilité se traduit par des conséquences qui peuvent être : Économiques (ventes perdues, temps non travaillé, impact boursier, coût de resaisie, etc.) Non économiques (baisse de la qualité de service, non respect d'engagements, impacts réglementaires, dégradation de l'image, perte de réputation, risque de perte d'un agrément, etc.). On doit déterminer la Perte de Données Maximale Admissible On doit chercher à évaluer les conséquences des pertes de données : Celles qui étaient dans le S.I. et qui n'avaient pas encore fait l'objet de sauvegarde Celles qui ne peuvent plus être saisies pendant la durée de l'interruption provoquée par le sinistre
Consulting : Business Impact Analysis (2/3) Un B.I.A. c’est (entre autres) Analyser le fonctionnement de l'entreprise Mettre en place une métrique spécifique pour mesurer les conséquences d'un arrêt du S.I. (car toutes les conséquences ne sont pas toujours mesurables naturellement) Mesurer les conséquences des pertes de données. Intégrer les questions de saisonnalité : une interruption peut être sans effet un milieu de mois et être catastrophique un 24 décembre (imaginez une panne du système de caisse dans une grande surface) Analyser si des procédures "manuelles" sont encore possibles (c'est fréquemment le cas) permettant un mode de fonctionnement dégradé Et établir une synthèse (souvent un moyen terme) entre toutes ces exigences pour aborder de façon rationnelle l'étape de la stratégie.
Niveau de Gravité de l’Interruption Consulting : Business Impact Analysis (2/3) Exemple de métrique élémentaire Une synthèse facile à comprendre Niveau de Gravité de l’Interruption Très Grave Empêche le fonctionnement du secteur dépendant de l’application. Il n’y a aucune mesure palliative. Pertes difficiles à estimer. Effet d’image important. Sévère Empêche le fonctionnement du secteur dépendant de l’application. Il y a des mesures palliatives limitées dans le temps. Pertes de revenus, défaut qualité évident pour le client final. Coûts organisationnels. Moyen Diminue l’efficacité du secteur utilisateur. Pertes probables de revenus mais contrôlées. Défaut qualité significatif perceptible par le client final. Léger Diminue l’efficacité du secteur utilisateur. Pas de perte notable. Défaut qualité acceptable. Aucune Aucun impact véritable. Perte de confort. L’axe 1 représente la sensibilité financière L’axe 2 représente la sensibilité commerciale L’axe 3 les autres sensibilités Niveaux signification 0, 1 Le secours ne présente que des intérêts mineurs ou de confort 2 Le secours présente un intérêt certain 3, 4 Le secours est pleinement justifié
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Consulting : Stratégie de Continuité (1/3) NEFTIS aide les entreprises à construire la Stratégie de Continuité Les gestionnaires d'infrastructures et de systèmes sont très préoccupés par les pannes. Leur métier consiste à faire fonctionner simultanément de façon harmonieuse et prévisible des milliers ou des dizaines de milliers de matériels et de logiciels. Les causes de panne - amenant frustration et insatisfaction - sont donc multiples. Nous nous attachons à traiter la question des Plans de Continuité et d'une manière générale à diminuer l'impact des sinistres.
Consulting : Stratégie de Continuité (2/3) Probabilité d’occurrence Gravité 1 Domaine Non traité D Domaine du PRA C Domaine de la haute Disponibilité B Domaine de la sûreté de fonctionnement A Jour Année Décennie, Siècle Millénaire
Consulting : Stratégie de Continuité (3/3) Exemple d’approche stratégique : Le Dual Site et le Campus avec secours classique n’apportent pas les mêmes réponses en matière de continuité. PDIA = Perte de données admissible, DMIA = Durée de redémarrage admissible (en heures) Mouvements sociaux à l’extérieur de l’entreprise Mouvements sociaux dans l’entreprise Sinistre Destruction physique d’un des deux bâtiments (DUAL SITE ou CAMPUS) Destruction totale du CAMPUS Sinistre régional Blocage d’un terrain avec ses bâtiments Blocage des deux terrains éloignés du Dual Site Grève générale étendue Grève des transports routiers Emeute de quartier Manifestation contre l’entreprise q Campus Dual Site Campus et secours classique Solution u Le Client est-il protégé ? PDIA/ DMIA OUI 0/0 NON Partiellement 0/? Le Client est-il protégé ? PDIA/ DMIA OUI 0/0 Partiellement NON 0/? Le Client est-il protégé ? PDIA/DMIA OUI 0/0 {24} / {6-72} Partiellement
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Consulting : Plans de Reprise d’Activité – Plans de Continuité d’Activité (1/2) NEFTIS aide les entreprises à mettre en place les Plans de Continuité et les Plans de Reprise d’Activité Un Plan de Reprise d'Activité (PRA) est un ensemble de plans organisés entre eux qui s'enchaînent dans le temps. L'objectif d'un PRA est, à la suite d'un sinistre, de redémarrer la production informatique d'une entreprise. Un Plan de Continuité d'Activité (PCA) intègre tous les éléments nécessaires à la reprise de l'activité des utilisateurs et pas seulement le Système d'Information. Trois types de plans composent un PRA Les plans de secours techniques Ils adressent les questions techniques relatives à la reprise de fonctionnement des infrastructures. Pour leur plus grande partie ils sont conçus et réalisés par la Production Informatique. Il y a souvent des aspects architecturaux. Ces plans sont les plus complexes et doivent faire l'objet de tests aussi fréquents que possible. Les plans de secours généraux Ils concernent la gestion de la crise proprement dite. Suivant la profondeur d'analyse et la structure de l'entreprise ils touchent de façon différenciée les utilisateurs, la DSI et la Direction Générale. Ils doivent être conçus en relation avec le mode de fonctionnement et l'organisation de l'entreprise. Les Plans de secours utilisateurs Ils sont destinés à permettre aux utilisateurs de retrouver des infrastructures physiques leur permettant de travailler. Ils comprennent aussi des éléments permettant la resynchronisation des données. Un plan de secours utilisateurs comprend également les éléments permettant aux utilisateurs de travailler dans des conditions hors de la normale (restauration, transports,...)
Consulting : Plans de Reprise d’Activité Plans de Continuité d’Activité (2/2) Plan d'exploitation en veille Plan de sauvegarde Plan de restauration Plan de reprise réseaux Plan de remise en marche du système et des applicatifs Plan de reprise de l'éditique Plan de retour à la normale élémentaire sur site initial intact Plan de rattrapage Plan de resynchronisation Plan de fonctionnement production en secours Plan de reprise des échanges extérieurs sur site de secours Plans Techniques Plan de gestion de la crise Plan des premières mesures Plans de communication interne externe Plans Généraux Plan de continuité amont Plan de repli Plan de continuité aval Plan de resynchronisation récupération réintégration Plan de fonctionnement en secours Plans Utilisateurs
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Consulting : Gestion de la Crise (1/3) NEFTIS aide les entreprises constituer les plans, mettre en place Les procédures, gérer les instruments de communication de crise Gérer une crise nécessite, pour ne pas aller à la catastrophe, une préparation minutieuse, tant l'improvisation en certaines circonstances peut faire autant de dégâts que le sinistre initial. L’utilisation des compétences cachées est un des secrets d’une bonne gestion de crise Plutôt que de décrire les besoins en terme de profil de poste (par exemple un ingénieur système) on décompose les tâches en tâches élémentaires qui nécessitent des compétences plus morcelées : par exemple savoir "booter" un serveur. Il suffit alors de décrire les compétences nécessaires aux tâches élémentaires et de questionner tous les acteurs potentiels pour référencer tous leurs savoirs élémentaires. Au moment d'une crise où l'on ne dispose en général que d'une fraction souvent faible du personnel la gestion des ressources est alors optimale car il est possible de faire faire une tâche par une personne différente de celle qui la réalise habituellement.
Consulting : Gestion de la Crise (2/3) Maîtriser la communication (interne et externe) Est une des clés essentielles du succès Pendant la crise, une équipe spécifique doit fonctionner et agir pour gérer la communication interne et externe. La mission de cette équipe est de centraliser, regrouper et rediffuser les informations en relation avec le nouveau mode de fonctionnement de l'entreprise. Elle agit en osmose complète avec le QG de crise. Elle doit mettre en oeuvre : le Plan de communication interne Diffusion des consignes opérationnelles. Diffusion de l'informations générale. Communication avec les organismes dirigeants. Le Plan de communication externe Communication vers les clients. Communication vers les fournisseurs. Communication vers les partenaires. Communication vers les autorités de tutelle et de contrôle. Communication vers les actionnaires. Communication vers les pouvoirs publics. Communication vers le public et les médias. Le contenu de la communication sera évidemment adapté au cas d'espèce mais une grande partie peut être préparée et examinée tant du point de vue du vocabulaire à employer que des conséquences juridiques qui peuvent en découler.
Consulting : Gestion de la Crise (3/3) Manager une crise c’est définir une organisation spécifique En plus de l’organisation il faut prévoir : Des moyens de communication alternatifs. Une logistique adaptée. Des circuits d'information et de décision courts. De nouveaux rôles pour les acteurs dans le but de maximiser l'efficacité de la structure par le déploiement des compétences "cachées".
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Consulting : Les plans en cas de Pandémie (1/3) NEFTIS aide les entreprises à mettre en place un Plan en cas de Pandémie Le risque d'une pandémie trouve aujourd'hui une réalité dans une nouvelle sorte de grippe aviaire qui trouve son origine dans le virus H5N1. Ce virus est à l'origine d'une épizootie mal contrôlée depuis plusieurs années. Les conséquences épidémiologiques directes de ce virus sont modestes (quelques centaines de morts fin 2006) mais comme on sait que les pandémies de grippe humaine ont pour origine la mutation d'un virus aviaire la menace est très réelle. La prise de conscience est récente et résulte de la remise en perspective historique de la pandémie de grippe dite Grippe Espagnole qui ravagea le monde en 1918 provoquant des dizaines de millions de morts. Une pandémie de même ampleur pourrait provoquer cent millions de morts ou plus et provoquer des désordres économiques et sociaux de très grande ampleur. Du point de vue d'une bonne gouvernance, les entreprises doivent appréhender le risque et s'y préparer. A la différence d'un sinistre physique une Pandémie laisse intactes les infrastructures physiques et touche les hommes et les femmes. Tout l'art d'un plan Pandémie consiste à : Délimiter les activités stratégiques qui doivent être maintenues. Gérer les compétences des personnels de façon à maximiser l'utilisation des compétences cachées Mettre en place un plan de management de la crise adapté à des effectifs variables et géographiquement dispersés.
Consulting : Les plans en cas de Pandémie (2/3) Principes de constitution d’un Plan en cas de Pandémie Déterminer les fonctions critiques L’entreprise doit déterminer ses activités critiques avec comme arrière-plan des effectifs en forte diminution. L’approche est la même que celle qui préside à un BIA mais il faut en plus tenir compte des instructions des pouvoirs publics. L'idée consiste à déterminer les effectifs et les compétences nécessaires au maintien des activités critiques. Définir les sites critiques Il est nécessaire de réduire les sites ouverts à cause des difficultés à assurer les opérations classiques de maintenance et de sécurité. D'autre part il faut remplir certaines fonctions logistiques supplémentaires : distribution des masques, désinfection des locaux et des postes de travail. La fermeture peut être la conséquence d'une bonne gouvernance mais aussi résulter des instructions gouvernementales de quarantaine ou d'isolement. Dans les sites restés ouverts il peut être judicieux de prévoir un zoning adapté : une diminution de la densité du personnel est fortement conseillée. Aborder les questions juridiques La pandémie pose des problèmes épineux en terme de relations du travail et de responsabilité : entre les obligations qui résultent des contrats de travail et les contraintes qui pèsent sur les employeurs de ne pas faire prendre des risques aux salariés (sans compter le droit de retrait et les difficultés de transports) existe une zone grise où il est prudent de ne pas improviser. D'autre part, la non réalisation des obligations contractuelles commerciales risquent d'amener, postérieurement à la crise, des contentieux qui ne seront pas tous purgés par la mise en avant de la force majeure.
Consulting : Les plans en cas de Pandémie (3/3) Principes de constitution d’un Plan en cas de Pandémie La Gestion des ressources humaines Il est indispensable de maintenir des référentiels spécifiques des personnels. En effet, le management, lui aussi, va être touché par la maladie. Il faudra donc disposer d'un maximum d'informations pour qu'un manager alternatif puisse gérer avec efficacité des secteurs non familiers. La formation des personnels à des mesures d'hygiène pendant la pandémie est une tâche utile : lavage des mains, désinfection des postes de travail,... La gestion de la crise Il est nécessaire d'avoir des plans de communications internes et externes adaptés à chaque niveau de la pandémie (à partir de quand demander au personnel non indispensable de rester chez lui pour prendre un exemple). Il faut prévoir les procédures de communication avec les fournisseurs, clients et partenaires (sur la base de groupe de personnes à groupe de personnes et non d'individu à individu). L'élaboration d'annuaires spécifiques et de moyens de communication alternatifs fait également partie du travail à réaliser AVANT la crise.
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è
Direction de Projet : Projets généraux (1/3) NEFTIS aide les entreprises à gérer des Projets dans la sphère des Systèmes d’informations NEFTIS a assuré la direction des Projets suivants : La fusion des systèmes d'Informations de deux Banques (Barclays et l'Européenne de Banque) La fusion de Centres de Traitements Informatiques (100 personnes) Le déménagement de Centres de Traitement Informatique La réalisation d'un PRA d'une grande Banque La réalisation des Tests de Bascule de secours de grands centres de traitement informatique La définition de l'architecture et la mise en œuvre d'une très importante production Z/OS d'une grande Compagnie d'Assurances
Direction de Projet : Projets de transformation « Continuité » (2/3) La fixation d’une infrastructure cible destinée à rendre des services nouveaux en terme de continuité ou de PRA suppose que soit menée la trajectoire vers la cible. Le rôle du Directeur de Projet est de fixer le détail des objectifs de chacun des projets nécessaires pour : ► Définir les moyens et méthodes pour arriver aux objectifs, ► Proposer en fonction de son expertise sa propre vision et ses recommandations pour atteindre l’objectif ► Évaluer la charge correspondante ► Évaluer une enveloppe financière propre à chaque solution proposée ► Fixer les délais en fonction des objectifs fixés par le client, ► Déterminer les compétences et forces nécessaires, ► Fixer les modalités de réception des éléments de la cible. La conduite de la transformation prend la forme d’une assistance à la maîtrise d’ouvrage et relève de la mission d’un Directeur de Projet. Le projet sera découpé en chantiers : Objectifs, périmètre, démarche méthodologique, pré-requis et composition de l’équipe seront fixés. Définition des tâches principales de chaque chantier Les risques de chaque chantier seront définis ainsi que les relations entre les chantiers. Les principales tâches de chaque chantier seront décrites dès le départ. Des dispositifs spécifiques de contrôle et suivi interne seront mis en place dans chaque chantier
Direction de Projet : Projets de transformation « Continuité » (3/3) Dispositif De Pilotage Des Chantiers (Rôles Et Responsabilités Management des projets (PM) C’est le « responsable du bon déroulement de tous les chantiers ». Il a pour tâche : ► D’assister les chefs de projet des chantiers dans la conduite des chantiers et le respect des délais ► De suivre les actions du projet ► De faire remonter les problèmes aux pilotes et experts adéquats ► De regrouper les informations de suivi de tous les chantiers et rédiger une synthèse et un tableau de bord général ► De suivre les demandes de changement ► De suivre les incidents ► De préparer et d’animer les comités de pilotage des chantiers ► De faciliter les échanges entre chantiers et veiller aux dépendances entre ceux-ci Chef de chantier C’est le « gestionnaire du chantier ». Il apporte son expérience du domaine à l’équipe, tout en assurant la maîtrise opérationnelle de l’ensemble du chantier. Il a pour tâches : ► De respecter les jalons et délais de livraison de son chantier, notamment par le maintien du périmètre ► De maintenir la qualité des livrables du chantier ► De réunir les différents groupes de travail et de coordonner leurs activités ► De participer à la rédaction des comptes-rendus ou des relevés de conclusions ► De suivre les actions du chantier ► De remonter les incidents au management des projets ► De retransmettre au niveau supérieur les décisions susceptibles de faire problème (par exemple celles qui ont un recouvrement non nul avec d’autres chantiers). ► De remonter des informations périodiquement au management des projets
Sommaire è Sommaire è Consulting : L’analyse des Risques è Consulting : Business Impact Analysis è Consulting : Stratégie de Continuité è Consulting : PRA et PCA è Consulting : Gestion de la Crise è Consulting : Les Plans en cas de pandémie è Direction de Projet è Questions - Réponses