Réflexion sur le plan d’urgence


Dilbert security plan

Est-ce que votre plan d’urgence ressemble à ceci …

J’adore cette image, d’ailleurs c’est pour la raison que je fais cet article. Non, ce n’est pas à cause que j’aime Dilbert. Mais bien parce que tout le monde trouve l’image très drôle, mais combien de compagnies réellement ont des plans d’urgence? Non désolé, un plan dans sa tête, ça ne compte pas. Désolé aussi un plan qui n’est que sur le réseau de l’entreprise non plus, un simple incendie font que la récupération du plan serait problématique. En fait, j’étais déjà tombé sur une étude que prêt de 80% des PME au Québec ne survivrait pas si leur serveur central tombait en panne et n’était pas récupérable. C’est effrayant! Mais quel est donc ce document qui peut sauver des compagnies d’une faillite souvent assurée? Comment bien le monter ? Et surtout où mettre ce plan pour éviter de le perdre lorsque la situation arrive ?

Objectif du plan

Premièrement un plan d’urgence n’est pas un simple document, mais une série de documents et d’autres objets pour restaurer la compagnie lorsqu’un problème survient. Donc c’est une série ou chaque document débute par une mise en situation et avec un plan en étape des choses à faire pour restaurer la situation. Avec cette série de documents, on va aussi retrouver une liste de mot de passe de tous les serveurs à jour, les sauvegardes des serveurs, la liste des numéros de téléphone (Client, Employé, Fournisseur…). Aussi une liste de compagnie à appeler lors d’une urgence, exemple une compagnie qui pourrait louer les serveurs nécessaires pour remonter l’environnement de travail. En plus d’être en mesure de remonter la compagnie, il faut aussi être en mesure de rétablir la compagnie en entier moins d’une semaine maximum. Donc, restaurer les serveurs, l’environnement de travail pour les clients et les employés. Le délai de 1 semaine n’est possible que si les clients ne sont pas impactés, sinon c’est 24hrs maximum.

Comment créer le plan d’urgence efficace

Il faut faire une réunion pre-mortem pour l’entreprise, cette réunion peut-être administrative seulement. J’en ai déjà parlé dans un article de ce genre de réunion, donc je passerai vite sur le déroulement. Mais, j’ai bien spécifié pre-mortem et non post-mortem, sinon il est rendu trop tard sinon! (Je précise que ceci n’est pas une farce, la plus part du temps on fait le plan une fois que la catastrophe est arrivée)

Mais voici un jeu qui peut-être fait comme introduction à la réunion. Demandez à tous les employés d’écrire 5 situations critiques qui pourraient faire faillite la compagnie. Voici le genre de liste:

  • L’administrateur du réseau a un accident
  • La bâtisse passe au feu
  • Un disque dur du serveur principal lâche, malgré qu’il soit en RAIDS
  • Un client n’est pas satisfait et nous poursuit en justice, ce qui nous fait perdre d’autre client au passage
  • Un pirate entre sur notre réseau
  • On découvre un Crack pour notre logiciel sur internet ou une version de notre logiciel sans sécurité

Voici quelques exemples qu’il faut discutés lors de la réunion. Il faut aussi trouver des solutions et surtout tout mettre sur papier (ou à l’ordinateur). Assurez-vous que tous les mots de passe des serveurs soient aussi toujours mis à jour dans le plan d’urgence.

Où mettre le plan d’urgence

Habituellement, il y a 3 endroits où le plan doit être placé: dans un coffre fort dans la compagnie que l’administration au grand complet doit avoir accès, une copie à la banque (pensez y mettre aussi des Sauvegardes des serveurs en même temps) et la dernière optionnelle, sur le réseau, dans un endroit restrictif à l’administration seulement. Pensez à maintenir à jour votre plan d’urgence, des sauvegardes ou des mots de passes périmées ça ne sert pas à grand-chose. N’oubliez pas dans les possibilités de catastrophe, la perte du président pourrait être une des situations, donc si le plan n’est acceissble que par lui, ce n’est pas pratique si le problème c’est que justement il n’est plus là!

Pratiqué

Étrangement chaque fois que j’ai apporté le sujet de faire une simulation du serveur principal meure et qu’il faut exécuter le plan d’urgent, j’ai toujours reçu un accueil favorable, mais étrangement la suite qui est de le simuler tarde toujours à venir. Il faut tenir notre bout et insister à faire la simulation, c’est le meilleur moyen de s’assumer que le plan d’urgence va fonctionner. Combien de fois que j’ai vu la situation qu’un serveur plante et que le technicien ce rend compte que les 2 dernières semaines de sauvegarde sont corrompues ou pire on carrément échoué, mais personne ne les vérifiait.

Conclusion

Faire ceci, ça prend quoi 3-4 heures au total et peut-être 1 heure par mois de maintenance. Même si c’est un serveur interne qui tombe, combien pourrait coûter l’impact à l’entreprise? Quand on dit que mieux vaut prévenir que guérir, ici c’est la même situation. Prévenir coûte beaucoup moins cher que de tout perdre parce qu’on n’a pas voulu mettre un peu de temps sur ce genre de plan.

Avez-vous un plan d’urgence où vous travaillez?

Est-ce qu’un plan vous a déjà sauvé la vie ?

Maxime Savard

Advertisements

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l’aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s