Mon Business doit-il être dépendant de mon système d’information ?

A l’époque où être connecté n’est plus un must mais une simple commodité, cette question peut paraître hors sujet. Ne pas être connecté, voilà qui peut être vu comme un must, pratiquement inaccessible. Mon business le permet-il ?

Pour pouvoir se targuer de cette indépendance, mon activité ne peut naturellement relever de l’e-business. Quid du BtoB ? A la trappe également : les clients risquent de m’orienter vers des solutions électroniques et dématérialisées qu’il sera difficile de rejeter parce qu’eux-mêmes fonctionnent ainsi. D’une manière générale, l’écosystème de mon activité : ses fournisseurs, banques, administrations, voire collaborateurs, vont me pousser à fournir des données. De fil en aiguille, cela me conduira inexorablement à les gérer en tant que telles, donc à être connecté. A ce stade, la barrière est souvent économique (le coût de l’automatisation de ma PME en croissance). Pour avoir une chance d’être indépendant de mon Système d’Information, mon business devrait donc être local, peu développé, limité à une activité de proximité, où pratiquement aucun écart temporel n’est constaté entre les flux de matières et les flux financiers et d’information, sauf évènement exceptionnel (la maison ne fait pas crédit). Ainsi, il y aurait bien des informations, mais elles ne seraient pas systématisées et ne persisteraient pas. D’un point de vue formel, elles ne constitueraient pas des données. En résumé, une activité locale, en BtoC, de petite envergure serait donc la condition première de l’indépendance au Système d’Information. Ce type de business ressemblant fort à celui de la boutique du coin, nous choisirons désormais cette dénomination.

La dépendance au SI se soigne !

Pour maintenir cette indépendance, la boutique du coin choisit ses fournisseurs critiques avec une attention particulière quant aux modalités d’échanges  : commandes, livraisons, règlements. Elle devra sûrement les systématiser un peu, mais en s’appuyant sur d’anciennes technologies (face-à-face, téléphone, papier, crayon) comme moteur de son Système d’Information ou comme alternatives à une informatique rudimentaire. En fait, elle tentera de contrôler sa dépendance au Système d’Information pour préserver son essence.

Tout comme la boutique du coin, le DSI (ou le Directeur Informatique / le Responsable Informatique suivant la taille de la structure) a la responsabilité d’organiser et de contrôler cette dépendance lorsqu’elle est bien installée, dans une entreprise qui peut-être a été la boutique du coin, mais n’a pu le rester.

A un premier niveau, le DSI doit assurer la continuité du service du Système d’Information, alignée sur l’activité. Ainsi, le Plan de Continuité de l’Activité, ou son pendant en cas de sinistre, le Plan de Reprise d’Activité s’imposeront au DSI qui devra être le maître d’œuvre de la continuité/reprise du Système d’Information. Les solutions doivent être alignées sur une situation de crise pour l’organisation, mettant en péril l’activité, quand ce n’est pas toute l’entreprise. Pas d’improvisation : il s’agit au contraire d’une élaboration détaillée qui doit synchroniser dans l’urgence une activité en mode dégradée et les seuls composants « vitaux » du Système d’Information: le temps et les coûts sont les contraintes.

Limiter la dépendance consiste aussi à cartographier les quartiers du Système d’Information selon la criticité des fonctions de l’entreprise qu’ils supportent, et d’évaluer pour chacune d’elles le degré de dépendance optimal : couplage plus ou moins fort des modules aux plans fonctionnels et techniques, localisation géographique des composants du Système d’Information, recours à l’externalisation, etc. Autant de caractéristiques à ajuster pour améliorer la capacité de fonctionnement en mode restreint ou dégradé.

Dans le cadre du PRA, une partie du succès tient aux procédures qui doivent se substituer au Système d’Information opérationnel lorsque celui-ci est défaillant, jusqu’à ce que le Système d’Information puisse reprendre le relais en mode « secours » ou « reprise ». Systématiser de telles procédures dès la conception des systèmes peut s’avérer pertinent même hors PRA : les indisponibilités partielles de fonctions du Système d’Information peuvent en tirer parti et apparaître comme de simples incidents avec un impact mesuré sur l’activité. Toutefois, les composants du Système d’Information ont pour certains leur criticité propre, indépendante des fonctions de l’entreprise. La transversalité des infrastructures, comme le réseau et les outils de productivité, au premier rang desquels la messagerie, en sont l’exemple. Ils sont devenus de simples commodités, et ils sont fortement couplés à l’ensemble du Système d’Information.

Soigner sa dépendance est un processus lui-même continu : l’entreprise évolue dans ses pratiques, il faut faire évoluer le PCA/PRA. Son efficacité doit être démontrée : il faut le tester, en mode simulation.

N’oublions pas que son coût est en balance avec le coût du risque, dont la probabilité généralement faible ne plaide pas pour donner carte blanche et chèque en blanc au DSI.

2 réponses
  1. Olivier Roecker
    Olivier Roecker dit :

    J’ai bien aimé le retour en arrière : la boutique du coin… Effectivement, qui veut se passer d’un système d’information doit maintenant produire un effort.
    A la lecture de l’article, j’ai un doute sur les objectifs respectifs d’un PRA et PCA:
    Le PRA n’est-il pas la description des opérations que je doit réalisé quand je n’ai pas de SI ? Par exemple la mise ne place d’une main courante devant mon stock pour noter les entrées/sorties ?
    Et le PCA, décrit comment je reconstruit mon SI et comment j’enregistre à posteriori le contenu de la main courante dans le SI une fois cellui-ci a nouveau disponible ?
    Peut-on avoir un exemple de PCA et PRA ?

    Répondre
  2. philippe.tronc
    philippe.tronc dit :

    Les évolutions des technologies, et en particulier les outils de virtualisation permettent d’accéder à des PRAs/PCAs dans des conditions économiquement acceptables, même pour de petites organisations.
    En revanche, l’approche par la gestion des risques et l’analyse de criticité des données reste un point de passage obligé et un vrai challenge de maturité pour les Organisations. C’est à ce prix que Sisyphe retrouve un peu de sérénité.

    Répondre

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *