Le Clusif (Club de la Sécurité des Systèmes d'Information Français) et le CCA (Club de la Continuité d'Activité) se sont récemment associés pour organisé un événement, le 10 avril 2014, consacré aux plans de gestion de crise (PGC), de reprise d'activité (PRA) ou de continuité d'activité (PCA). Lors de cette manifestation, six intervenants ont partagé leurs expertises et retours d'expérience : Lazaro Pejsachowicz (Clusif), Nicolas de Thoré (CCA), Stéphanie Ruelle (CCA), Thierry Autret (Groupement des Cartes Bancaires), François Tête (Devoteam), Vazrik Minassian (Adenium) et, en animateur de la table ronde, Jean-Marc Gremy (Clusif).

Prenant appui sur un exemple datant du 11 septembre 2001, Lazaro Pejsachowicz a d'abord insisté sur la dimension humaine des PRA, PGC et PCA. En l'occurrence, les employés d'une entreprise située dans le World Trade Center de New-York n'ont pas été touchés par l'attentat ayant détruit la tour avant leur arrivée. Mais le PRA reposait sur un site peu distant, une autre tour. Les premiers redémarrages de systèmes ont pu avoir lieu sur ce site de repli dans les trois jours comme prévu. Mais devoir travailler dans une autre tour juste après l'attentat a déclenché une psychose parmi les collaborateurs. L'emploi d'une cellule psychologique, seule, a permis un vrai redémarrage de l'entreprise.

Les risques doivent être gérés de façon transverse

De façon générale, le déclenchement puis le suivi des plans va être le fait d'hommes et de femmes en situation de stress réagissant en fonction d'un vécu antérieur, éventuellement traumatique. L'une des grandes difficultés est l'aveu ou le déni d'incompétence. Refuser de s'avouer dépassé par une situation problématique, et donc refuser de lancer la procédure de secours adéquate, peut aboutir à une vraie crise à partir d'un simple incident.

PRA, PGC et PCA ont chacun leur rôle dans la continuité d'exploitation. Mais chacun doit prévoir toutes les dimensions nécessaires : organisationnelles (qui décide le déclenchement ?), technologiques, logistiques, humaines... Les risques doivent être gérés globalement et de façon transverse. Cela nécessite que les utilisateurs soient impliqués dans la gestion d'incident.

Que ce soit pour réussir cette implication ou simplement vérifier le bon fonctionnement des procédures, la réalisation d'exercices réguliers est indispensable.