Chaque année, à l'approche de la saison des ouragans dans l'Atlantique, de nombreuses entreprises se rendent compte qu'elles sont menacées par un événement catastrophique de type "cygne noir". Les événements de type "cygne noir" sont une source constante de risque dans des États comme la Floride, où de nombreuses communautés sont sujettes à des perturbations dues aux tempêtes côtières. Ce risque est particulièrement aigu pour les entreprises qui dépendent du stockage de données en ligne, s'il y a une chance que leurs données critiques soient perdues ou corrompues. La théorie du cygne noir ou théorie des cygnes noirs décrit un événement perturbateur qui surprend, a un effet majeur et est souvent rationalisé de manière inappropriée après coup, avec le recul. Le terme est basé sur un ancien dicton qui présumait que les cygnes noirs n'existaient pas, mais le dicton a été réécrit après que des cygnes noirs ont été découverts dans la nature. Considérons le scénario suivant...

"Nous avons tendance à penser aux catastrophes en termes d'attaques contre le World Trade Center, d'ouragan Katrina ou d'autres événements de grande ampleur. Cependant, il arrive parfois que des événements moins notables se produisent et aient un effet catastrophique sur une entreprise. En février 1981, un incendie d'origine électrique s'est propagé dans le sous-sol du State Office Building de Binghamton, dans l'État de New York, et a mis le feu à un transformateur contenant plus d'un millier de gallons d'huile chargée de toxines. D'abord considérées comme des PCB, les toxines se sont rapidement révélées contenir de la dioxine et du dibenzofurane, deux des substances chimiques les plus dangereuses jamais créées. L'incendie a dégagé de la fumée et a rapidement envahi l'immeuble de 18 étages. Lorsque le transformateur a brûlé, la suie a pénétré dans les conduits de ventilation de l'immeuble et a rapidement répandu la suie toxique dans tout l'immeuble. Le bâtiment était tellement contaminé qu'il a fallu 13 ans et plus de $47 millions d'euros pour le nettoyer avant qu'il ne puisse être réintégré ou utilisé. En raison de la nature de l'incendie, le bâtiment et son contenu, y compris tous les documents papier, les ordinateurs et les effets personnels des personnes qui y travaillaient, n'étaient pas récupérables. Ce type d'événement serait irrécupérable pour de nombreuses entreprises". - Operations Due Diligence, publié par McGraw Hill

Quel effet aurait sur le fonctionnement de votre entreprise un ouragan catastrophique qui toucherait toute une région ou un événement perturbateur localisé comme un incendie ? Pourriez-vous survivre à ce type d'interruption ou de perte ? La dépendance à l'égard des données en ligne s'est accrue dans pratiquement tous les types d'entreprise, de même que le risque que la perte de ces données perturbe le fonctionnement de l'entreprise, voire entraîne sa faillite complète. En réponse à ces menaces, les approches utilisées pour atténuer ces risques ont évolué au fur et à mesure que le volume de données en ligne a continué de croître. À l'origine, le concept de reprise après sinistre (DR) est apparu comme une stratégie d'atténuation axée sur la récupération des données critiques après un événement perturbateur, en donnant à l'entreprise la capacité de rétablir les opérations informatiques interrompues.

La reprise après sinistre (DR) implique un ensemble de politiques et de procédures qui permettent de restaurer les données commerciales critiques et de remettre l'infrastructure informatique dans un état antérieur. À l'origine, la reprise après sinistre était considérée comme le domaine du département informatique, qui était chargé d'atténuer les risques. Pour minimiser le risque, des sauvegardes du système étaient programmées fréquemment et des plans agressifs de DR comprenant des procédures de démarrage à froid des serveurs et des sauvegardes de données étaient mis en œuvre.

L'objectif était de restaurer l'infrastructure au dernier point où les données avaient été sauvegardées (à l'époque, généralement sur bande). Les pratiques acceptables en matière de reprise après sinistre permettaient de redémarrer le système informatique lorsque l'alimentation électrique de l'installation était enfin rétablie... À moins qu'il ne s'agisse d'une zone inondable ou que l'installation de stockage de sauvegarde hors site n'ait également été touchée. Dans les deux cas, le fonctionnement de l'installation pouvait potentiellement être perturbé pendant un certain temps et la restauration des données était également potentiellement à risque en fonction de l'endroit où les sauvegardes étaient stockées.

Les stratégies de reprise après sinistre ont évolué en même temps que la technologie, ce qui a donné naissance à de nouveaux concepts qui ont évolué vers les exigences d'une solution de continuité des activités en tant que moyen d'atténuer les risques. Encore considérée comme le domaine de l'informatique, la technologie a évolué vers des solutions telles que les serveurs fantômes, les emplacements de données distribués et la transmission de données en masse à grande vitesse avec l'hyperconnectivité. Les données n'ont plus besoin d'être "récupérées", elles doivent simplement être connectées à des emplacements distribués où elles peuvent être consultées à distance. La continuité des activités a atténué le risque de perte de données et a permis à une entreprise de se remettre beaucoup plus rapidement et efficacement d'un événement de type "cygne noir", car ses serveurs ne sont jamais tombés en panne.

À l'origine, la continuité des activités englobait la planification et la préparation visant à garantir que l'infrastructure informatique d'une organisation reste intacte, ce qui permettait à l'entreprise de retrouver un état opérationnel dans un délai raisonnablement court à la suite d'un événement de type "cygne noir". Aujourd'hui, la technologie a évolué vers des solutions en nuage qui placent les données et les applications dans des sites distants, de sorte qu'il semblerait que la responsabilité informatique pour atténuer le risque de perte ou d'altération des données en ligne ait été résolue. Avec des solutions hautement connectées et entièrement distribuées, certaines personnes pensent que la nécessité d'assurer la continuité des activités pourrait perdre de son importance. Rien n'est moins vrai...

Le fait est que le risque n'a jamais été uniquement lié à la perte des données, mais à la perte de la capacité de l'entreprise à fonctionner. Certaines entreprises ne peuvent tolérer la moindre perturbation de leurs activités. Il s'agit notamment des entreprises de soins de santé, d'assurance et de communication, des fournisseurs de services logistiques essentiels, des prestataires de services de transport et des administrations locales. C'est lors d'événements de type "cygne noir" que les services et produits fournis par ces entreprises peuvent être le plus nécessaires. Les besoins d'autres entreprises moins critiques, dont les activités pourraient être interrompues pendant des jours, voire des semaines, mais qui pourraient être confrontées à un risque financier important, peuvent également faire de leur maintien en activité une question de survie de l'entreprise.

La technologie d'aujourd'hui a complètement dissocié le traitement des affaires et les données de l'utilisateur en déplaçant les infrastructures informatiques critiques dans le nuage. La technologie de l'informatique dématérialisée permet aux utilisateurs de travailler à distance, mais l'utilisation de l'informatique dématérialisée ne permet pas d'atténuer totalement le risque opérationnel. Cela signifie que les personnes ont désormais remplacé les ordinateurs en tant que chemin critique pour la poursuite des activités. L'activité de l'entreprise est plus susceptible d'être interrompue parce que le personnel clé n'est pas préparé à poursuivre ses activités en cas d'événement de type "cygne noir". Ils ne disposent pas d'installations planifiées de manière proactive pour soutenir les opérations lors d'événements perturbateurs pouvant durer des heures, des jours ou des semaines. En particulier dans des régions comme la Floride, où des catastrophes naturelles de grande ampleur telles que les ouragans peuvent perturber les services de communautés entières, les entreprises résilientes doivent se préparer à l'avance à maintenir leurs activités pendant un événement perturbateur. La capacité d'une entreprise à poursuivre ses activités pendant les périodes de détresse est une mesure de sa résilience.

La résilience des entreprises : fait passer la continuité des activités à un autre niveau, car elle en fait le domaine de la gestion des opérations plutôt que de la laisser au seul département informatique. Lors de la planification de la reprise après sinistre ou de la continuité des activités, le lien critique est désormais constitué par les personnes qui sont nécessaires pour faire fonctionner les systèmes critiques à distance. Il est vrai que, dans certains cas, le personnel peut travailler à domicile ou à partir d'installations distantes exploitées par l'entreprise, mais ce n'est pas toujours une solution satisfaisante et, même lorsque c'est le cas, les entreprises se retrouvent souvent à se démener pour rattraper le temps perdu, en essayant de déterminer qui fait quoi et "comment pouvons-nous y parvenir dans ces circonstances". En cas de cygne noir, qu'il s'agisse de perturbations régionales comme les ouragans ou de perturbations locales comme les incendies, de nombreuses personnes dont dépend l'entreprise peuvent être privées d'électricité, d'internet ou même du téléphone nécessaire pour leur permettre de travailler depuis leur domicile. Étant donné qu'il est impossible de placer des personnes dans le nuage, la résilience des entreprises nécessite une planification, une formation et une pratique afin que votre personnel sache comment et quand se mobiliser.

Les entreprises résilientes intègrent la réponse au cygne noir dans leurs opérations courantes afin que, en cas de besoin, à un moment où l'entreprise et le personnel sont sous pression, chacun sache comment réagir de manière efficace et efficiente et où aller pour fournir cette réponse. La résilience de l'entreprise exige une installation spécialisée qui a été renforcée pour résister aux événements du cygne noir et qui a été conçue pour fournir les services de soutien dont le personnel et l'infrastructure informatique auront besoin. La résilience de l'entreprise exige une planification proactive et l'intégration de procédures d'exploitation dans les plans d'exploitation standard de l'entreprise, afin d'inclure des opérations à distance par du personnel critique formé et mobilisé pour répondre à des événements perturbateurs, ainsi qu'une pratique proactive pour garantir que, lorsque des opérations à distance sont nécessaires, le personnel est prêt.