Depuis septembre 2001, le monde a changé et les organisations ont appris une dure leçon qu'elles ont tout intérêt à traduire en actions

L'an dernier, nous avons été confrontés à la réalité de la précarité de la vie et avons pris conscience de la nécessité d'user de précautions pour nous protéger. Non seulement les attentats contre le World Trade Center et le Pentagone nous ont-ils rappelé à quel point la vie est fragile, mais ils ont incité certains à agir.

Tant sur le plan humain que sur celui des affaires, on a tiré de nombreuses leçons importantes. Les attentats terroristes ont mis au jour de façon frappante les pires et les meilleurs aspects de la préparation des entreprises en vue d'une catastrophe. Comme l'explique Phil Grewar, directeur général d'une filiale de gestion du risque de Colombie-Britannique, «les événements nous ont fait prendre conscience avec plus d'acuité des faiblesses de nos plans antisinistres». Aujourd'hui, un nombre plus élevé d'entreprises reconnaissent la valeur du plan antisinistre et comprennent mieux l'ampleur des éléments à prendre en considération lorsque l'on conçoit ce genre de plan.

La destruction des tours jumelles est incompréhensible. Pour les spécialistes en reprise après sinistre, la façon dont les entreprises ont été touchées et la difficulté avec laquelle elles ont repris leurs activités démontrent toute l'importance de leurs conseils, dont trop souvent on ne tient pas compte, et jettent un éclairage nouveau sur cette question. Chaque entreprise qui occupait l'une des tours du World Trade Center a sa propre histoire.

Ainsi, une grande banque d'investissement a perdu cinq experts en informatique qui constituaient les piliers de son plan antisinistre. Comme personne ne pouvait conseiller l'entreprise à l'égard des questions importantes (on n'a pu qu'informer le site de secours du désastre), il en est résulté une grande confusion. (Le contrat relatif au site de secours portait essentiellement sur la sauvegarde des systèmes et l'affectation d'une petite équipe de relève.) La remise sur pied fut lente et douloureuse.

Une banque new-yorkaise comptant 1 500 employés disposait d'un plan de reprise qui datait de trois ans, alors que ses besoins en informatique avaient triplé et que son fonctionnement était considérablement différent en raison de changements organisationnels. On n'y avait prévu aucun lieu de travail de rechange, aucun processus de communication des instructions, ni aucun moyen de communiquer avec les employés.

Un gestionnaire de fonds, dont les bureaux sont demeurés inaccessibles pendant des semaines, a appliqué son plan avec succès. La stratégie de reprise provenait du plan élaboré en vue du passage à l'an 2000 et prévoyait l'utilisation des bureaux des ressources humaines de Jersey City. Au grand étonnement de nombreux clients, l'entreprise avait repris ses principales activités le 14 septembre.

On peut se demander si on prend désormais les risques au sérieux. La société de recherche Gartner a établi la statistique suivante : deux sociétés sur cinq qui subissent un sinistre font faillite dans les cinq ans qui suivent. Selon une étude effectuée par Ernst & Young s.r.l. auprès d'importantes entreprises canadiennes, 36 % des répondants admettent qu'il leur faudrait, pour rétablir leurs systèmes critiques et leurs processus d'affaires électroniques à la suite d'un sinistre, une période plus longue que celle qu'ils estiment nécessaire au bon fonctionnement de l'entreprise. En outre, 26 % de ces grandes sociétés ne disposent d'aucun plan de poursuite des activités, 25 % n'ont pas de plan antisinistre pour leurs installations informatiques et 41 % n'ont pas de plan global de gestion des situations de crise. De nombreuses entreprises considèrent encore que la planification est un exercice coûteux, non rentable et dont la valeur reste à prouver.

Nombre d'entreprises pourront fonctionner sans serveur d'imprimantes pendant quelques jours ou même sans leurs systèmes pendant une semaine. Cependant, lorsque le fonctionnement dépend en continu d'un progiciel de gestion intégré ou du commerce électronique, le temps acceptable d'indisponibilité se mesure en minutes. La dépendance à l'égard des systèmes de gestion est telle que la planification antisinistre est essentielle.

De nombreux locataires du World Trade Center, grandes sociétés disposant de bureaux à divers endroits et de plans antisinistres coûteux, ont tout de même connu des difficultés, parce qu'ils avaient sous-estimé l'aspect humain de la question et avaient considéré que les employés, à l'instar du matériel, pouvaient être déplacés facilement et poursuivre leurs activités s'ils avaient un endroit pour travailler. Il n'était pas réaliste de s'attendre à ce que les employés, sous l'effet du traumatisme, travaillent normalement dans une situation inhabituelle et dans un lieu de travail temporaire, même si certains en ressentaient le besoin pour avoir l'impression d'être utiles en cette période de stress.

Quelle leçon les planificateurs doivent-ils en tirer? Qu'il faut penser davantage à l'aspect humain d'une reprise. Les planificateurs prévoient maintenant l'intervention de conseillers en gestion du stress et des moyens de communiquer de façon continue et positive l'évolution de la reprise. Pour aider à atténuer l'anxiété, ils définissent clairement les rôles et responsabilités de chaque membre du personnel.

Comme certaines entreprises ont mis des jours à retrouver leurs employés, les plans antisinistres prévoient désormais la mise en place de processus pour retracer le personnel. Par exemple, au cours du processus de reprise, une entreprise a utilisé son site Web pour faire connaître à son personnel l'état de la situation et pour lui donner des instructions. Les planificateurs cherchent également des moyens de regrouper le personnel le plus rapidement possible, parce que le fait pour les employés de se retrouver entre eux a un effet salutaire sur leur moral. Une entreprise touchée par le 11 septembre a fait appel à des consultants et à des confrères de confiance d'une autre entreprise, car des personnes de l'extérieur peuvent aborder la situation avec plus d'objectivé, mettre les événements en perspective et aider à établir les priorités lorsque le personnel a de la difficulté à travailler de façon efficace.

Commandement
Peu importe l'excellence d'un plan sur papier, il ne sera d'aucune utilité si les décideurs clés ne sont pas en place pour le mettre en œuvre. À New York, nombre d'entre eux étaient absents, ce qui a retardé la décision d'évacuer les immeubles et de mettre les plans en application. Les planificateurs examinent sérieusement la nécessité d'avoir sur place les bonnes personnes au bon endroit pour que la chaîne de commandement puisse rapidement être mise en œuvre. Les vacances du personnel clé sont devenues un aspect pris en compte dans certains plans antisinistres.

La planification du commandement peut comporter la mise sur pied d'une équipe d'urgence composée de personnes hautement spécialisées (p. ex., administrateurs de bases de données et ingénieurs de réseaux). Leur expérience en matière de reprise a permis à nombre de planificateurs de comprendre l'importance d'établir des relations solides avec certains fournisseurs stratégiques comme les sociétés de télécommunication, les fournisseurs de matériel et de logiciels, le gouvernement et les autres partenaires d'affaires.

Comme les problèmes surgissent souvent des menus détails, les planificateurs réexaminent les plans pour s'assurer que tous les aspects sont bien documentés et qu'une autre personne peut prendre les choses en main si le responsable est absent. Bonne documentation ne signifie toutefois pas documentation complexe. Le plan doit être facile à suivre, car les responsables de son exécution risquent d'être sous le choc ou de manquer de sommeil.

Il est impossible de prévoir toutes les combinaisons de situations, mais il arrive au cours du processus de reprise qu'il faille régler un certain nombre de problèmes simultanément. Ainsi, la perte de vies et d'installations à New York s'est compliquée par la rupture des lignes de communication et des conduites de gaz, et l'apparition peu après du virus Nimda. La mise sur pied préalable d'équipes efficaces de prise de décisions pouvant résoudre rapidement les problèmes constitue désormais un élément important des plans.

Emplacements
Dans le World Trade Center, les plus petites sociétés ne disposaient pas d'autres emplacements, mais les plus grandes possédant d'autres installations ont été déjouées par une tragédie qui a eu des répercussions beaucoup plus importantes que ce qu'elles avaient prévu. Les mesures relatives aux réseaux électrique et téléphonique se sont révélées inadéquates lorsque l'ensemble du quartier a été touché.

«Ces événements ont fait comprendre aux sociétés canadiennes que la perte de communication simultanée avec des emplacements multiples sur un territoire métropolitain n'est pas inconcevable», explique Dave Hammers, vice-président des SI chez Hepcoe Credit Union. Son entreprise a toujours été proactive en matière de planification antisinistre, mais il précise que ces événements vont influer sur la planification à l'avenir.

Étant donné que les avions étaient cloués au sol et que d'autres infrastructures de transport étaient inutilisables ou surchargées après les attentats, le personnel responsable de la reprise ne pouvait se rendre aux emplacements de secours ou récupérer les données de sauvegarde qui se trouvaient à l'extérieur. On ne pouvait non plus accéder aux immeubles structurellement sécuritaires situés dans le périmètre touché, en raison des dommages causés autour de ceux-ci. En outre, le fait que certains aspects des plans antisinistres reposaient sur le fonctionnement d'autres entreprises (fournisseurs de matériel et de logiciels) s'est révélé problématique, parce que ces entreprises s'efforçaient elles aussi de se remettre de la situation.

Aujourd'hui, les entreprises examinent sérieusement les lieux de résidence du personnel et les obstacles que pourrait poser le transport vers les emplacements de secours. Le plan repose-t-il sur des infrastructures de transport qui seront inutilisables? Est-il possible de répartir les principales activités de sorte que l'entreprise puisse continuer à fonctionner si une région doit interrompre les siennes? On intègre dorénavant aux plans des systèmes de télécommunication de rechange. En raison de la rupture et de la surcharge des services à fil, le courriel sans fil et les téléphones cellulaires se sont avérés utiles lors des événements du 11 septembre.

Informatique
Certaines entreprises touchées ont été en mesure de réacheminer les données sans problème ni interruption de service. Leur succès est attribuable à l'intégration de la redondance à leurs systèmes. Celles qui n'ont pas de systèmes redondants se penchent sur la technologie qui permet d'effectuer des sauvegardes des données en temps réel dans des lieux éloignés. Cependant, cette technologie coûteuse et difficile à appliquer nécessite que le matériel, les logiciels ainsi que les connexions réseau et les services de réseau puissent exécuter des opérations déjà établies dans le centre de sauvegarde.

L'étude d'impact qui permet d'identifier les systèmes critiques et non critiques est un des aspects importants de la planification antisinistre. Aujourd'hui, les entreprises font une distinction entre les systèmes critiques et non critiques, et celle-ci est moins importante que prévu puisque, compte tenu de l'état actuel de l'intégration des applications, pratiquement tous les systèmes sont critiques. De nombreux plans avaient été fondés sur ce dont une entreprise peut se passer à court terme. La longue période de reprise que beaucoup d'entreprises ont connue en a fait ressortir la faiblesse. Les planificateurs se demandent aujourd'hui : «Si un élément est considéré comme non critique, pourquoi existe-t-il?» Les stratégies de sauvegarde sont également vitales. Dans un cas au moins, la stratégie de sauvegarde des données relatives à la production a été adéquate, des sauvegardes ayant été effectuées en un endroit éloigné. Malheureusement, les systèmes de création de programmes ont été sauvegardés localement, ce qui a entraîné des pertes importantes, puisqu'il a fallu reprogrammer les applications. En outre, de nombreuses entreprises ont perdu des documents cruciaux, parce qu'elles n'effectuaient pas de sauvegarde régulière.

Gestion de la poursuite des activités
Bien que les plans antisinistres occupent désormais une meilleure place sur la liste des priorités, ils sont inutiles si on n'en tient pas compte. Encore faut-il les mettre continuellement à jour et à l'essai pour que les employés soient bien préparés et qu'on vérifie s'ils sont adéquats. La planification devrait constituer un processus stratégique continu, résultant d'une attitude ancrée de la part de l'entreprise. Celle-ci devrait également passer de la planification antisinistre à la gestion de la poursuite des activités, ce qui signifie prendre en considération la continuité de l'ensemble des processus d'affaires. La planification de la reprise consiste essentiellement à reconnaître l'inévitabilité d'une interruption des systèmes. La gestion de la poursuite des activités signifie qu'il faut faire en sorte que les systèmes soient conçus pour ne pas faillir.

Espérons ne jamais revivre une tragédie comme celle du 11 septembre, mais on peut en tirer de précieuses leçons. Les risques sont réels et peuvent se matérialiser, et la planification en prévision d'une catastrophe est la seule façon d'y survivre.