Le long chemin vers un vrai PCA
Le groupe Kerneos (ex Lafarge Aluminates) a recours à un logiciel de gestion de plan de continuité d'activité, pour l'aider dans la création, la mise à jour et l'utilisation d'un référentiel mondial de procédures garantissant la continuité maximale de l'activité. Kerneos est le leader mondial des solutions à base d'aluminates de calcium destinées aux industries du réfractaire, à la sidérurgie ou à la chimie du bâtiment. La société est présente dans 17 pays et compte 8 unités de production (3 en France, 1 au Angleterre, 1 aux USA, 5 en Chine), 2 stations de broyage (1 en Afrique du Sud, 1 au Brésil) et 1 centre de recherche. La question de la continuité d'activité chez Kerneos a débuté en 1988, par un PSI (Plan de Secours Informatique) dans le cadre d'une réflexion groupe intitulée « réagir vite et bien ». Le PSI fait partie du PRA « Nous l'avons présenté au Comité de Direction en simulant un accident grave avec de fausses unes de journaux, décrit Patrick Boussage, responsable architecture technique systèmes et réseaux à la DSI. De quoi motiver le comité de direction qui a demandé que la démarche soit poursuivie. Le PSI est l'une des composantes d'un PRA (Plan de Reprise d'Activité), qui définit « comment remettre l'entreprise en marche après un incident l'ayant arrêtée ». Après cinq années d'écriture de procédures et de tests partiels, Kerneos a réalisé, en 1993, le premier véritable test complet d'un Plan de Continuité d'Activité (PCA), dont l'objet est d'assurer « la permanence d'exploitation sans arrêt même en cas d'incident ». Demande d'un produit d'automatisation A cette époque, toutes les procédures étaient écrites sur du papier, les premières l'ayant même été à la main. Après la période du 11 septembre 2001, Kerneos a utilisé un outil d'indexation de cette documentation papier, créé par la société de conseil Devoteam pour ses propres consultants, mais cette démarche a vite révélé ses limites. Il a été demandé que Devoteam développe un outil stratégique dont la feuille de route, soit réalisée en collaboration avec ... Photo : Patrick Boussage, responsable architecture technique systèmes et réseaux à la DSI de Kerneos ... les entreprises clients. « C'est ainsi qu'est né Parad, que nous utilisons encore, explique Patrick Boussage. Parad sert à gérer les procédures (qui fait quoi et quand) en cas de sinistre. « Au départ, il gérait seulement les problèmes informatiques mais aujourd'hui nous gérons tous types de scénarios catastrophe : pannes électriques, pandémies, incendies, inondations ... avec des procédures pour la DSI, bien sûr, mais aussi pour les directions métiers, les fonctions supports (services généraux...) et la gestion de crise elle-même, dont la communication de crise, détaille Patrick Boussage. Piloter le PCA Parad, tout comme les autres logiciels de ce type, est un gestionnaire séquentiel de tâches en fonction de scénarios pour dire qui fait quoi quand. Chaque tâche peut être utilisée dans une multitude de scénarios et sa mise à jour impacte donc tous les scénarios utiles. Si la salle informatique est partiellement détruite et que la cuisine du restaurant d'entreprise est inondée, ce n'est pas pareil que si toute la salle informatique est inondée. « Le logiciel apporte en fait une dimension de pilotage au PCA. A terme, l'idée est d'indiquer que tel moyen technique est touché afin que le logiciel définisse quel processus métier est touché et propose une réponse, précise Patrick Boussage. Un prestataire peut exécuter les processus Chez Kerneos, les processus de gestion de crise ont été conçus de telle sorte que personne ne soit indispensable. Le mode de fonctionnement n'est pas « Monsieur Untel doit faire ça » mais « Un individu ayant telle compétence doit faire ça et voici la liste des individus compétents ». Aujourd'hui, les procédures sont écrites de telle sorte que du personnel extérieur ne sachant rien de l'entreprise puisse les exécuter. Au départ, le logiciel était monoposte et installé sur deux portables placés dans des coffres à deux endroits différents. Aujourd'hui, le logiciel est accessible en mode Web ... ... de partout, et installé sur le site de secours. « Nous sommes en train de dupliquer son installation dans nos différentes filiales à l'étranger avec des mises à jour croisées automatisées. D'une manière générale, nous sommes en train de faire en sorte de pouvoir reconstruire tout notre SI à partir d'une filiale à l'étranger, ajoute Patrick Boussage. Le vendre comme un outil d'amélioration de la qualité Reste la question critique : comment convaincre sa direction générale qu'il faut investir dans un PCA ? Au début, chez Kerneos, il a été vendu comme une assurance. « Mais la réaction classique est alors de dire « ça coûte cher » et c'est le sujet le plus vite raboté. Nous en avons donc fait un moyen d'amélioration continue de la qualité, indique Patrick Boussage. Par exemple : un test de crash machine a permis de bien maîtriser l'arrêt et le redémarrage, ce qui a été très utile pour un déménagement ; il y a eu un fort impact sur les choix de matériels et de logiciels mais aussi sur les procédures ordinaires de travail. Depuis 2007, Kerneos réalise des tests impromptus complets ou partiels pour valider son PCA.