En 2023, les organisations de tous types doivent faire face à une multitude et une diversité de risques rendant la résilience organisationnelle, et en particulier la résilience IT, essentielle. Si les Plans de Continuité d’Activité (PCA) et les Plans de Reprise d’Activité (PRA) ont pour objectif d’assurer la continuité des services informatiques critiques en cas d’incident majeur, la résilience IT vise à minimiser les impacts opérationnels, financiers et réputationnels liés aux interruptions non planifiées des Systèmes d’Information, dans un contexte où la dépendance technologique des organisations ne cesse de croître.
Alexis de Saint Jean, Directeur de l’Innovation, nous partage sa vision de la résilience en général, et IT en particulier. Il nous montre comment quelques bonnes pratiques alliées à la plateforme Blueway permettent de prévoir… L’imprévu !
Peux-tu nous donner ta définition de la résilience d’une organisation ?
La résilience d’une organisation est sa capacité à faire face à l’imprévu, de quelque nature que ce soit. Dit d’une autre façon : comment dois-je me préparer pour « prévoir l’imprévu » et quelle est ma capacité à réagir face à celui-ci. Et donc à continuer mon activité et à délivrer mes services ou produits à mes clients. La résilience de l’organisation est donc plus complète que la résilience IT, puisqu’elle dépasse la simple gestion des outils informatiques, même si ces derniers sont totalement indispensables dans ce contexte.
Pour que tout se passe bien en cas d’incident, il faut également compter avec une organisation qui va de pair, ainsi que la gestion des ressources humaines. Sans oublier les éléments de communication de crise qui encadrent cet imprévu. C’est une chaîne complète qui doit être établie pour gérer sa résilience.
Interopérabilité entre processus et données : le cœur de l’agilité d’une entreprise.
Et plus précisément, peux-tu expliquer le concept de résilience IT ou résilience informatique ?
Aujourd’hui, le Système d’Information (SI) a une place centrale dans la résilience de l’organisation. Par exemple, si une entreprise perd son SI, elle perd son ERP et à partir de ce moment-là il ne va plus pouvoir se passer grand chose : tout est bloqué. Le SI doit mettre en œuvre sa résilience IT en suivant deux axes principaux pour permettre le Plan de Continuité Informatique (PCI) ou le Plan de Reprise Informatique (PRI).
Le premier est technique : comment l’infrastructure IT et comment les outils informatiques sont construits pour justement gérer un imprévu (une pelleteuse qui arrache un câble haut débit par exemple, ou une cyberattaque, un Cloud Provider qui rencontre des problèmes importants …) ?
Le second est organisationnel : comment le SI est organisé d’un point de vue fonctionnel pour gérer sa résilience IT ? Il faut en effet disposer d’une vision claire des dépendances IT de son SI, mais également de qui intervient (qui peut agir, qui doit faire quoi) sur ce système. L’exemple de la pandémie de COVID a bien montré que, dans cette forme de crise, le problème ne venait pas des systèmes mais de la non-disponibilité des personnes : c’est donc aussi un problème d’organisation des ressources humaines. L’hyperautomatisation est l’un des moyens d’augmenter la résilience dans ce contexte.
Quels sont tes conseils pour bien préparer sa résilience IT ?
Il est par nature difficile de prévoir l’imprévu. Pour bien se préparer, il faut commencer par faire une BIA (Business Impact Analysis) en prenant du temps pour identifier les risques, les outils, faire une cartographie de l’existant et un diagramme des dépendances, sans oublier de sensibiliser les équipes via des simulations de problèmes. Car il faut garder à l’esprit, lors de sa préparation, que l’objectif de la résilience d’un SI est de ne jamais avoir à la tester (en condition réelle). C’est-à-dire de ne jamais arriver au point où la situation deviendrait bloquante, pour le SI et pour l’organisation. Même en mode dégradé, l’activité principale doit continuer. L’identification et la hiérarchisation des services critiques pour l’entreprise sont donc primordiales : ceux qui doivent continuer coûte que coûte, ce qui peuvent attendre une demi-journée ou une journée et les autres.
Besoin d’y voir plus clair sur votre projet d’ESB ou de plateforme d’intégration de données ?
Peux-tu nous donner des exemples de menaces capables de mettre à mal la résilience du Système d’Information ?
Il faut déjà avoir à l’esprit que les menaces peuvent être aussi bien externes qu’internes. Car si les problèmes externes à l’organisation sont celles qui nous viennent le plus rapidement à l’esprit, notamment les cyberattaques très médiatisées actuellement, il ne faut pas oublier les menaces internes bien réelles (les prestataires sont inclus). Ce qui peut prendre la forme d’une simple erreur de manipulation en production par exemple, peut entraîner des conséquences catastrophiques. Le problème peut également être de nature RH avec la pénurie des compétences : ce qui arrive lorsqu’un savoir important de l’organisation est concentré sur une seule personne. Cette situation amène donc un SPOF (Single Point of Failure ou point de défaillance unique) dans sa résilience si ce collaborateur (et son savoir) quitte le groupe.
Comment le pilotage du SI avec la console de supervision Blueway peut rendre une résilience plus efficiente ?
Pour rendre une organisation plus résiliente, il faut avoir une approche globale et connaître la criticité de ses processus métiers et leur dépendance les uns vis-à-vis des autres. C’ainsi qu’une plateforme comme Blueway peut participer à la résilience d’une organisation. Avec son approche centrale, elle est déjà en mesure d’aider à faire la préparation d’analyse des impacts puisqu’elle est capable de cartographier tous les flux de données. Donc de montrer très clairement les dépendances dans un contexte IT.
Et en cas d’imprévu, Blueway peut agir sur plusieurs niveaux. Tout d’abord sur les couches « basses » d’architecture car la plateforme peut être complètement distribuée. Il est donc possible « d’éclater » l’intégralité des services sur différents data centers (On Premise ou dans le Cloud) pour facilement mettre en place du load balancing (le fait de répartir la charge) et du failover (opération de sauvegarde). Ensuite, en remontant d’un niveau, le fonctionnement en bus applicatif de Blueway et sa capacité de découplage (qui évite donc les problèmes rencontrés par les architectures point à point quand un service tombe), permet de redémarrer un système très rapidement. Blueway participe donc à la résilience IT dès la phase de réflexion jusqu’au moment redouté de l’imprévu, pour permettre la continuité de service avec un minimum de dégradation.
L’agilité ne doit pas viser uniquement l’intégration de nouvelles solutions, ou de SI externes, mais également l’évolution même du SI et sa gouvernance. Ce qui se traduit par la capacité de faire des analyses d’impacts rapides, de monitorer, de faire évoluer son urbanisation facilement et plus globalement tout son socle technologique. Phoenix, la plateforme d’échange de données et d’automatisation des processus de Blueway, répond à ces critères et aide justement les organisations à devenir plus agile, les collaborateurs à être plus autonomes, et tisse des liens durables au sein de chaque écosystème. Elle a été pensée pour placer l’humain au cœur de la stratégie de l’organisation, en supprimant de nombreuses contraintes techniques liées aux enjeux métiers. C’est de cette façon que Phoenix exploite tout le potentiel de votre SI, vous permettant de rester agile et résilient dans un environnement en constante évolution.
Échangez sur l’interopérabilité de votre SI avec un expert Blueway !