Article: Conformité en matière de reprise après sinistre : Vous n’êtes pas tout seul

Conformité en matière de reprise après sinistre : Vous n'êtes pas tout seul

L'évolution rapide du régime de réglementation canadien fait pression sur les entreprises afin qu'elles se conforment aux règlements et disposent d'un plan adéquat leur permettant de faire face à la situation en cas de sinistre.

Selon Laurie Elliott, directrice principale, Solutions de reprise après sinistre chez SunGard Availability Services (entreprise établie en Pennsylvanie), l'histoire est un peu la même aux États-Unis, où la volonté de protéger les données et d'atténuer les risques liés à la reprise des activités est devenue une priorité essentielle ces dernières années. SunGard (filiale en propriété exclusive de SunGard Data Systems Inc.) est l'un des principaux fournisseurs de services logiciels et de technologie au monde.

« Il existe tellement de régimes réglementaires et ceux-ci évoluent tellement rapidement que les entreprises soumises à la réglementation s'exposent à des pénalités par suite de non-conformité », explique Laurie Elliott lors d'une récente entrevue.

SunGard, qui possède un grand centre de reprise après sinistre à Mississauga, travaille avec Allstream dans la mise en œuvre de plans de reprise après sinistre partout au Canada. M^me Elliott affirme que le marché pour de tels services a connu un essor rapide ces dernières années, parce que les entreprises comprennent mieux le coût que représentent les interruptions de service et que les exigences de réglementation ne cessent de croître.

La largeur de bande compte
« Combinés aux services d'Allstream, nos services offrent au client une solution de bout en bout, puisqu'une capacité de réseau exceptionnelle est essentielle pour assurer une reprise des activités réussie », déclare Laurie Elliott. « Étant donné qu'Allstream s'y entend en matière de largeur de bande de réseau, il est plus facile de travailler avec les clients et de bâtir la solution optimale afin de leur offrir la sécurité et la protection des données en dehors des emplacements, ainsi que la connectivité à l'emplacement de reprise des activités en cas de sinistre. »

M^me Elliott estime que ce besoin croissant des entreprises pour une sécurité accrue des données est attribuable au fait que de plus en plus d'entreprises sont confrontées à des interruptions de service et ont besoin de transférer des copies de leurs données à l'extérieur de leurs emplacements aux fins de la reprise après sinistre. Auparavant, les principales causes de pannes étaient dues à des coupures de courant, à des défaillances matérielles et à des catastrophes naturelles, en particulier celles liées au climat. Au cours des dernières années, nous avons constaté une hausse marquée du nombre de pannes imputables au crime informatique. Afin de protéger leurs données, les entreprises modifient actuellement leurs exigences en matière de sécurité des données, non seulement en ce qui concerne les données en transit, mais également les données au repos stockées à l'emplacement local et à l'emplacement éloigné.

Comprendre l'entreprise
Lorsqu'elle commence à travailler avec une entreprise pour l'aider à établir ou à améliorer son plan de reprise après sinistre, Laurie Elliott explique que son objectif premier consiste à comprendre parfaitement le fonctionnement global de l'entreprise, sans se limiter aux TI.

« Nous devons savoir (i) quels sont ses objectifs commerciaux, (ii) en quoi les TI contribuent à ses activités actuelles et comment l'entreprise prévoit les utiliser à l'avenir, (iii) quelles sont les menaces qui planent sur l'entreprise, (iv) l'impact des pertes commerciales quotidiennes ainsi que (v) le type de pénalités auxquelles l'entreprise pourrait s'exposer en cas de non-conformité », précise Laurie Elliott.

Une fois cette analyse terminée, M^me Elliott explique qu'elle « classe » les fonctions de l'entreprise par ordre décroissant en commençant par les plus urgentes. Par exemple, les applications nécessaires pour la commercialisation des produits pourraient s'avérer plus urgentes que les ressources humaines ou la paye, des fonctions qui ne requièrent peut-être pas une attention immédiate.

« Nombreuses sont les entreprises qui traitent tout de la même façon, mais il est nettement préférable et bien plus important d'élaborer un processus adéquat de reprise après sinistre », explique Laurie Elliott.

Pourquoi maintenant?
SunGard a défini quatre raisons qui justifient le fait que les entreprises devraient repenser ou améliorer leur plan de reprise après sinistre.

L'un des scénarios les plus courants est l'arrivée d'un nouveau dirigeant, peut-être un chef de direction ou un chef des finances, qui n'est pas satisfait du programme dont il a hérité. « Ce type de personne reconnaît le besoin de prendre des décisions plus éclairées en matière de finances, tout en comprenant le rendement du capital investi afin d'assurer l'exploitation de l'entreprise », observe Laurie Elliott.

Dans le deuxième scénario, l'ancien chef des services informatiques a échoué la vérification en matière de reprise après sinistre. « Comme l'entreprise est souvent soumise à des amendes et à d'autres répercussions à cause de ces infractions, la direction remplacera parfois ce membre du personnel par un candidat qui possède une meilleure compréhension de la réglementation, des pénalités et des technologies, ainsi que des procédures et des processus auxquels l'entreprise doit se conformer », explique-t-elle.

Le troisième scénario, c'est lorsqu'une entreprise a connu un sinistre et qu'elle n'a pas été en mesure de reprendre ses activités correctement, soit parce qu'elle manquait de personnel ou d'employés compétents, soit parce que ses procédures et son équipement n'étaient pas adéquats. La reprise après sinistre va bien au-delà de la simple restauration des données dont vous faites la sauvegarde tous les jours. Pour une reprise des activités réussie, vous devez mettre en place des procédures appropriées qui vous permettent de restaurer les données, les systèmes et les connexions entre les systèmes afin de prendre en charge l'interdépendance des applications des processus commerciaux, tout en rétablissant la connexion de l'utilisateur final à ces processus.

Dans le quatrième scénario, l'entreprise n'était pas entièrement conforme à la réglementation. Comme nous l'avons mentionné, les normes en matière de conformité évoluent fréquemment; la loi exige, par exemple, que l'emplacement de relève ou de reprise après sinistre de l'entreprise se trouve loin de son secteur géographique immédiat. « Ce n'est pas judicieux que de simplement passer d'un immeuble à l'autre », explique Laurie Elliott. « Ces immeubles seraient probablement desservis par le même système électrique, ils pourraient être touchés par la même inondation, et ainsi de suite. Dans certains cas, l'emplacement de reprise peut se trouver à quelques rues, mais certains règlements exigent une distance minimum de 300 kilomètres entre les deux emplacements. »

Une réglementation en constante évolution
Surveiller la réglementation peut prendre beaucoup de temps et s'avérer risqué, constate Laurie Elliott. Par exemple, les entreprises canadiennes qui font des affaires aux États-Unis peuvent devoir comprendre et appliquer les règles de chaque État.

« Lorsque nous travaillons avec des entreprises pour les aider à se conformer aux réglementations en vigueur, nous leur offrons les meilleures pratiques afin qu'elles puissent mettre en œuvre des technologies de pointe, ainsi que des procédures conçues aux normes ISO et des conseils d'expert en matière de reprise après sinistre », explique M^me Elliott. « Avec SunGard comme deuxième emplacement de relève et de reprise après sinistre, ces entreprises savent que nous maintenons des normes de sécurité élevées et que nous disposons d'un vaste éventail de capacités de système qui nous permet de nous adapter rapidement aux changements, tant au niveau de la configuration de leurs systèmes que de leurs exigences, afin de les aider à commercialiser leurs nouveaux projets dans les meilleurs délais. »

Laurie Elliott ajoute que les entreprises qui tentent d'assumer elles-mêmes la planification de la reprise après sinistre se trouvent confrontées à de nombreux enjeux. Parmi ceux-ci, il faut mentionner l'achat ou la location d'un deuxième immeuble et l'entretien de celui-ci, ainsi que l'embauche de personnel pour ce nouvel emplacement. M^me Elliott fait remarquer qu'en tirant profit du réseau d'Allstream, SunGard permet aux clients de diminuer, voire de supprimer leurs dépenses en immobilisations liées aux installations et à l'équipement de l'emplacement de reprise après sinistre, réduisant ainsi les coûts de reprise dans une proportion pouvant aller jusqu'à 70 %¹.