Aide mémoire continuité ou reprise d’activité à l’attention des décideurs, managers et encadrants.

Sans prétention de ma part, je vous propose un ensemble de questions à vous poser afin de vous guider dans vos futurs investissements et actions à mener en terme de systèmes informatique, télécommunication sécurité des locaux.

Elles ne sont pas exhaustives, mais toutefois suffisantes pour éviter de multiples déconvenues, déterminer quand rechercher l’aide de spécialistes et permettre de prioriser, planifier vos actions et investissements. En y répondant vous identifierez vos forces et faiblesses.

Ces questions pratiques, je me les suis posées à un moment ou un autre de ma carrière, j’ai souvent du y répondre moi-même pour exécuter mes missions.
La difficulté souvent rencontrée est le peu d’intérêt des décideurs pour ces questions, car elles soulèvent des problèmes qui engendrent des investissements matériels, humains, des changements d’habitudes difficiles à vendre à l’encadrement et gestionnaires.
C’est pourquoi j’ai adressé cette page aux décideurs en général, qui seul ou regroupés sont les plus à même à chercher les réponses auprès des spécialistes métiers sous leurs ordres. Le but étant qu’ensemble, avec leur équipes, ils puissent compléter les réponses, arbitrer, prioriser, investir, former pour, qu’à terme, l’organisation gagne en efficacité, sécurité et pérennité. Cela peut-être un outil de cohésion des équipes supplémentaire.
C’est actuellement une grosse partie de mon activité professionnelle qu’inventorier les systèmes (quantitativement, qualitativement, stratégiquement, financièrement) et faire remonter des améliorations possibles. Certaines mesures sont faciles, rapides à appliquer et pour un coût nul à modique si anticipées. D’autres plus complexes techniquement, humainement ou financièrement nécessitent une réflexion approfondie et parfois de l’aide extérieure.

J’ai volontairement répété les termes procédures documentées, essais, tests, capacité du personnel à les appliquer.
Ce n’est pas pour rien, je le constate tous les jours, sans répétition des actions, une crainte s’installe chez l’usager, et le jour venu, il est impuissant par peur de mal faire.
A contrario il ne faut pas être anxiogène, juste être conscient qu’en cas de difficulté, il faut des actions simples, ordonnées et réfléchies par avance pour éviter la panique.
Dans l’urgence, malgré l’habitude, un geste peut-être oublié avec certaines conséquences. Une procédure testée, répétée peut aider si elle est suivie d’un retour d’expérience, actualisation après usage.

J’ai volontairement répété certaines questions dans plusieurs chapitres afin d’en déduire des points clés pouvant être oubliés (secours électrique….)

Suis-je capable de répondre à Qui fait Quoi, Comment et Quand le fait-il, avec Qui et Quoi, Quels cadre et limites technique, humaine, commerciale, juridique.

Puis-je identifier les systèmes opérationnels pour mon activité?

  • Puis-je les classifier par ordre d’importance VITAL, TRES IMPORTANT, IMPORTANT, PEU IMPORTANT, ACCESSOIRE?
  • Certains de ces systèmes sont-ils interconnectés, inter-dépendants (application et son serveur…)
  • Une redondance existe-t’elle, est-elle envisageable? A quel coût? Je dois arbitrer
  • Sont-ils connus de mon encadrement? Sait-on les situer et y accéder ? Leur accès est-il réglementé, encadré?
  • Ai-je les ressources humaines, techniques en interne ou externe pour mettre en oeuvre les 3 premiers niveaux? A quel coût? Je dois arbitrer les priorités et conséquences avec mon encadrement.
  • Ai-je un contrat de support pour ces systèmes? A quel délai? avec qu’elles limites (obligation de moyen ou de résultat). A quel coût? Je dois arbitrer les priorités et conséquences avec mon encadrement.
  • Est-il possible de mettre en oeuvre un palliatif, quitte à avoir des opérations supplémentaires à la remise en service?
  • Un Plan de Continuité d’Activité a-t’il été établi?
    • comment fonctionner en mode dégradé, avec moins de personnel?
    • que privilégie-t’on, comment, avec qui?
    • puis-je délocaliser mon activité sur un site distant ou en télétravail?
      • site déjà actif dans le cadre du PCA
      • ai-je du matériel dédié au télétravail? des accès sécurisés?
      • si je laisse mon personnel utiliser son matériel dans l’urgence, qu’elle précautions ai-je prise pour mon SI?
  • Un Plan de Reprise d’Activité après interruption ou PCA a-t’il été établi?

Puis-je identifier les personnes ressources indispensables pour mon activité?

Puis-je me passer de système de télécommunications sans mettre en péril mon activité, l’image de mon entreprise?

  • Qu’elle est la durée maximale pendant laquelle je peux me passer de système téléphonique?
  • Puis-je dérouter les appels entrants au niveau du portail opérateur, pour se laisser le temps de corriger les défauts sans perte de clients?
    • se référer à votre informaticien, chargé télécommunications, votre prestataire
  • En cas de coupure électrique aurais-je du téléphone entrant/sortant, pendant combien de temps?
    • se référer à votre informaticien, chargé télécommunications, votre prestataire
    • qu’elles ont mes solutions sans électricité? sont-elles facilement mise en oeuvre, par qui, à quel coût? Est-ce envisageable, si non, ai-je un plan de crise à appliquer?
  • Sais-je qui contacter en cas de panne?
    • Numéro des contrats, lignes téléphoniques par opérateur
    • Numéro d’appels , portail support, courriels, fax des opérateurs et intermédiaires techniques
    • Ai-je des fiches réflexes compréhensibles pour tout le monde?

Qu’elle est la durée maximale pendant laquelle je peux me passer de système informatique sans mettre en péril mon activité?

Suis-je dépendant d’une application métier, d’un matériel ou infrastructure spécifique?

  • Ai-je en interne les ressources humaines et techniques pour être indépendant en cas de panne?
  • Ai-je besoin de souscrire un contrat de support, de former mon personnel aux opérations réflexes.
  • Ai-je un plan de secours en cas de panne? Une de ces mesures par exemple:
    • une sauvegarde fiable et testée, synchronisée, avec un delta horaire, journalier, une sauvegarde hors-ligne
    • des procédures papier à l’ancienne pour maintenir l’activité minimale
    • une installation de secours synchronisée ou activable dans un délai raisonnable.
    • les mesures palliatives ou/et correctives sont elles testées et connues de mon personnel? Font-elles l’objet d’une actualisation?
    • qui faire intervenir en cas de problème? Ai-je des fiches réflexes avec contacts et procédures?
    • mes intervenants habituels sont-ils en mesure de dépanner tous les cas, dois-je prévoir un échelon supérieur d’escalade.
    • ai-je des procédures palliatives en attendant la réparation du problème?

Puis-je tracer les accès à mes systèmes opérationnels?

Les ai-je bien recensés?

en limiter l’accès physique par une protection des locaux,

ai-je une liste de qui peut accéder aux différents locaux, à qu’elle heures? quels jours? avec quelle clé, quel code ou numéro d’usager. Ai-je une télésurveillance, intervention avec des consignes à jour?

Puis-je assurer l’alimentation électrique de secours, pendant combien de temps?

  • Est-ce suffisant pour procéder à une sauvegarde des systèmes opérationnels avant coupure? La procédure est-elle documentée? Est-elle testée régulièrement?Mon personnel sait-il le faire?
  • Peux-t’on arrêter les systèmes proprement? La procédure est-elle documentée? Est-elle testée régulièrement? Mon personnel sait-il le faire?
  • les conséquences d’un tel arrêts sont-elles connues? ont-elles un impact sur mon activité?
  • La remise en service doit-elle faire l’objet d’une intervention externe, de précautions particulières, est-elle documentée?
  • Secours Électrique, les batteries de mes onduleurs sont elles changées régulièrement ? Sont-elles couvertes par un contrat de maintenance ou une procédure interne?

Sais-je qui contacter en cas de panne?

Panne téléphonique et informatique

  • Numéro des contrats, lignes téléphoniques par opérateur
  • Numéro d’appels , portail support et identifiants actifs, courriels, fax des opérateurs et intermédiaires techniques
  • Ai-je des fiches réflexes compréhensibles pour tout le monde?
  • Fiche d’identification des matériels
    • marque, modèle, n°série
    • situation et accès physique
    • importance pour la structure (vitale, très important, normal, peu s’en passer)
    • Sous garantie ou contrat de support? qui appeler en fonction du créneau

Panne électrique, Fuite ou coupure d’eau, de gaz

  • Ai-je des fiches réflexes compréhensibles pour tout le monde? facilement accessibles
  • Ai-je des plans de situation des Points de Comptage tableaux électriques, Robinets et Vanne de coupure
  • Fiche d’identification des Points de Comptage, Robinets et Vanne de coupure
    • Importance pour la structure (vitale, très important, normal, peu s’en passer)
    • qu’elles sont les fonctions impactées en cas de coupure de chaque robinet, vanne disjoncteur
    • type, modèle, n°série,
    • Numéro des contrats, compteurs par fournisseur
    • Numéro d’appels , portail support et identifiants actifs, courriels, fax des opérateurs et intermédiaires techniques
    • Sous garantie ou contrat de support? Qui appeler en fonction du créneau horaire?

Problème de fermeture des locaux

  • Ai-je les moyens humain et matériels interne de condamner en urgence une porte dégradée ou cassée?
  • Ai-je un contrat de support avec un spécialiste, sous quel délai?
  • Dois-je faire surveiller les locaux par un personnel interne ou organisme extérieur?

Problème d’alarme intrusion et incendie

  • Ai-je des fiches réflexes compréhensibles par tout le monde? Mesures palliatives à appliquer en cas de défaillance, facilement compréhensibles et accessibles.
  • Ai-je des plans de situation des zones de protection et détecteurs
    Fiche d’identification des centrales, détecteurs
    • Importance pour la structure (vitale, très important, normal, peu s’en passer)
    • qu’elles sont les fonctions impactées en cas de défaillance de chaque détecteur
    • type, modèle, n°série,
    • Numéro des contrats par fournisseur
    • Numéro d’appels , portail support et identifiants actifs, courriels, fax des opérateurs et intermédiaires techniques
    • Sous garantie ou contrat de support? Qui appeler en fonction du créneau horaire?

Accès aux locaux sensibles

  • Les locaux sensibles ont-ils été identifiés? (Salles serveur, baies techniques, alimentation électrique, coffres, entrées/sorties, dossiers confidentiels…)
  • Sont-ils soumis à une réglementation particulière? laquelle?
  • Le personnel « métier » est-il identifié? a-t’il été habilité, à quoi, quand, où, sous le contrôle de qui?
  • Les intervenants extérieur ont-ils été identifiés?Ont-il été habilités, à quoi, quand, où, à quel titre ou contrat, sous le contrôle de qui?
  • Le personnel d’entretien est-il identifié?Ont-il été habilités, à quoi, quand, où, à quel titre ou contrat, sous le contrôle de qui?
  • Le personnel de surveillance gardiennage a-t’il été identifié?Ont-il été habilités, à quoi, quand, où, à quel titre ou contrat, sous le contrôle de qui?
  • Des habilitations spécifiques, des badges, codes, clé ont-ils été distribués et consignés dans un registre ou application? Si oui où est-il, qui le met à jour, selon qu’elle périodicité? Dans le cas d’une application, est -elle conforme au RGPD, CNIL?
  • Des horaires d’accès spécifiques ont-elles été définies? Consignées et diffusées aux télésurveilleurs, responsables de secteurs, secours….
  • Des modalités spécifiques ont-elles été établies, documentées diffusées à qui de droit?
  • Ménage en présence / hors présence des employés selon les sites, ouverture au public
  • Accès réglementés aux locaux, accès tracés, personnels autorisés limités, traçage des mouvements de clés, badges habilitations
  • Habilitation techniques (électrique, formation incendie….) des personnels concernés
  • Protocole de nettoyage spécifique (avec ou sans humidité, usage de solvants….)

Sécurité des personnes ressources

  • Ont-elles été identifiées pour leur importance
    • Stratégique et décisionnelle
    • Technique et métier
    • Degré de confidentialité, accès à des données sensibles
    • ces éléments sont-ils répertoriés dans les fiches de postes pour une recherche simplifiée?
  • Des accès hiérarchisés aux données de l’organisation sont-ils définis?
  • Suis-je conforme au RGPD? Qui peux me renseigner en interne ou externe? Mes cadres métiers sont-ils informés, à former?
  • Des habilitations internes (accès, délégation, intérim, signature…), professionnelles (aipr, apsad, secourisme, électrique, caces …) et sécurité (CD, SD….) sont-elles nécessaires pour l’activité ?
    • Nécessitent-t’elles un recyclage, une actualisation, sous quel délai et procédures? L’ai-je prévu au budget formation?
  • Dois-je prévoir une sécurité particulière de certaines d’entre-elles pour des missions sensibles? Déclaration aux autorités, protection rapprochée, accès distant aux ressources….

Il est difficile pour une seule personne de pouvoir répondre seul à ces questions. Dans votre organisation pouvez-vous identifier les personnes « ressource » pouvant vous aider à y répondre?

Avez-vous un organigramme clair de votre structure?
Pouvez-vous y préciser les personnes ressources par thématique rencontrée?
Avez-vous en interne quelqu’un de confiance, ouvert, ayant une vue transversale et esprit d’analyse à qui confier cet inventaire?
Envisageriez-vous le cas échéant de créer un groupe de personnes, un poste dédié?
Seriez-vous prêt à lui accorder une certaine liberté de mouvement, d’investigation?
Seriez-vous prêt à l’appuyer auprès de l’encadrement, à impliquer ce dernier dans la démarche? C’est dans son intérêt, mais il est parfois difficile de lui ouvrir les yeux, car c’est humain on n’aime pas toujours que quelqu’un d’autre pointe vos lacunes, qu’elles soient subites (manque de moyens, de latitude…) ou vraies (perte de compétences….).
Le tout est de pouvoir faire admettre que tout excellent que l’on puisse avoir été, le monde évolue et qu’il est parfois difficile de suivre sans un peu d’aide extérieure.