Avoir un plan d’urgence ou être prêt à faire face?

Dans la prévention des risques, je distingue trois niveaux : comprendre le risque, avoir un plan et être prêt. Selon les cas, vous allez accepter le risque ou vous préparer pour le réduire. Pour les risques qui touchent à vos opérations critiques, il n’y a pas de secrets, il faut être prêt. Je vous explique comment passer d’un niveau à l’autre.

Prenez le risque d’inondation dans votre maison. L’appréciation du risque est simple : « La rivière est assez loin, il n’y a jamais eu d’inondations dans mon quartier ». Dans ce cas, vous vous appuyez sur la chance que le risque ne se réalise pas. Vous pouvez aussi avoir un plan d’urgence : « Je contacterai mon assureur, j’ai mes factures dans un tiroir avec des photos des objets de valeur, je mettrai des sacs de sable à la porte d’entrée ». Enfin, vous pouvez être prêt, en testant votre plan : avez-vous les coordonnées de votre assureur ? Où sont les sacs de sable ? Comment allez-vous mettre les meubles en hauteur ? Vous allez apprendre et améliorer votre plan, vous serez alors véritablement prêt !

Pour vous donner des repères concrets, je vais prendre l’exemple d’un cabinet de médecine sportive.

Les rendez-vous sont gérés dans un outil en ligne. Le secrétaire médical utilise l’outil pour les personnes qui prennent rendez-vous sur place ou par téléphone. Les thérapeutes ont accès à l’agenda et documentent leurs soins dans des dossiers médicaux.

Étape 1 – Prendre conscience de mon contexte de risques

La première étape est d’être conscient du risque. Si cela semble évident, il n’en est rien. Notre cerveau n’est pas très bon dans l’évaluation des risques. Ainsi, des évènements improbables, mais impressionnants nous semblent plus critiques que ce qui pourrait réellement nous arriver. Les médias mettent en avant certains évènements. Ils en font des histoires sensationnelles qui nous empêchent d’identifier les bons risques. Ainsi, j’ai plus peur de me faire attaquer par un requin que d’être terrassée par un virus transmis par un moustique. Pourtant c’est le deuxième risque qui est le plus important. De la même façon, j’ai plus peur quand l’avion décolle que de rouler tous les jours dans la circulation à vélo, alors que le risque en avion en très faible.

Pour bien évaluer les risques, voici ce que je vous propose :

  1. Identifiez vos opérations critiques
  2. Listez les outils et processus que vous utilisez pour ces opérations
  3. À partir d’une analyse générique du contexte de risques, déterminez ce qui s’applique à vous.

Souvenez-vous du rasoir d’Ockham : les solutions les plus simples sont les meilleures. Les scénarios de risques les plus évidents sont les plus probables. Vos scénarios devraient avoir le moins de conditions possible. Sinon, vous allez traiter des exceptions et perdre votre temps.

Dans le cas du cabinet médical, l’opération la plus critique est bien entendu les soins et traitements.

Pas besoin d’ordinateur pour réaliser les soins. Toutefois, les thérapeutes s’appuient sur les données enregistrées dans les dossiers médicaux pour adapter exercices et traitements. Les deux logiciels critiques sont la base de données médicale et la gestion des rendez-vous. Les risques principaux sont une attaque disruptive (ex. ransomware) ou une fuite de données médicales qu’elles soient hébergées chez eux ou chez leur fournisseur en SaaS. Le risque est toutefois plus important pour les données enregistrées localement sur les postes.

Étape 2 – Documenter un plan de réponse et de continuité

Maintenant que vous avez quelques scénarios d’évènements qui pourraient impacter vos opérations critiques, il faut décider ce que vous allez faire. Vous préparer c’est bien entendu réduire le risque et ses impacts s’il se réalise.

Plus vous allez passer de temps à analyser votre contexte, vos opérations et décider ce que vous devriez faire, moins vous aurez d’incidents. C’est une situation équivoque : si vous vous préparez, vous baissez votre niveau de risque. Alors, prenez garde à ne pas relâcher vos efforts et donc d’être victime d’une cyberattaque.

Une fois le risque identifié, que pourriez-vous faire pour l’éviter, réduire son impact, le transférer, ou gérer la situation s’il devait se réaliser ?

Lors de la création de votre plan d’urgence, vous aurez besoin d’outils et de solutions. Il vous faudra bien sûr les mettre en place. C’est bien de savoir quoi faire, mais c’est encore mieux d’avoir les moyens de le faire. Votre plan combinera la réponse à l’incident, la reprise de vos systèmes informatiques et la continuité de vos opérations.

Voici le Plan d’urgence minimal pour notre cabinet médical

Pour éviter la perte de données, le secrétaire médical fait une sauvegarde tous les soirs, qu’il range dans un tiroir fermé à clé. Il imprime également les rendez-vous du lendemain au cas où. Les thérapeutes gardent leurs notes papier, et font des sauvegardes de leurs dossiers médicaux toutes les semaines, sur un disque externe également. L’objectif est de pouvoir restaurer les données en cas de compromission de leur système.

Étape 3 – Simuler un incident

La théorie et la pratique sont souvent très différentes. C’est bien d’avoir un plan, mais c’est encore mieux de le tester. Les choses se déroulent rarement comme prévu, et c’est moins agréable de le découvrir dans l’urgence. Vous avez différents moyens de tester votre plan.

Vous pouvez effectuer une simulation partielle. De façon planifiée, vous utilisez une des solutions de secours que vous avez prévue. C’est utile lorsque vous mettez en place un nouvel outil, comme un moyen de communication d’urgence externe à votre environnement informatique. Réaliser des tests lors de la mise en place est idéal pour s’assurer de son bon fonctionnement.

Vous pouvez organiser une simulation selon un de vos scénarios de façon autonome, ou vous faire accompagner. À partir de votre scénario, vous imaginez que les évènements se déroulent et vous mettez en place le plan d’urgence. Pour plus de réalisme, vous pouvez interrompre volontairement certains de vos équipements.

Enfin, la solution la plus formatrice est la simulation non préparée. C’est le même principe que l’alarme incendie. Quand elle se déclenche, très peu savent si c’est un exercice ou une véritable évacuation. Vous lancez le scénario, en informant le minimum de personnes. Je vous conseille de vous faire accompagner pour ce type d’exercice. Vous ne voulez pas qu’une simulation d’incident tourne au désastre réel !

Évidemment, l’impact opérationnel est plus important, mais c’est aussi plus formateur. Personne ne sait si c’est une vraie attaque ou un exercice et vous détecterez les écarts dans votre plan d’urgence plus rapidement. Cet investissement réduira de beaucoup le temps d’interruption de votre environnement informatique en cas d’incident réel.

Voici un exemple de test du plan d’urgence du cabinet médical

Un dimanche, la thérapeute, qui a mis en place les systèmes, essaye de restaurer une sauvegarde. Malheureusement, elle n’y arrive pas. Elle cherche, mais ne trouve pas de solution. De plus, elle se rend compte que tout le monde ne fait pas les sauvegardes aussi souvent que prévu.

À la suite de l’exercice, elle améliore le plan d’urgence. Avec le fournisseur, elle documente et teste la procédure de restauration de la base de données médicale. Elle note les coordonnées de personnes qui pourraient aider. Comme elle n’est pas toujours la première au cabinet, elle prépare des fiches réflexes, qu’elle place à côté de l’alarme. Elle informe tout le monde et rappelle les risques et les responsabilités de chacun.

Enfin, elle prévoit de refaire un test dans quelques mois, mais cette fois, elle fera une simulation non préparée, pour vérifier la réaction de ses collègues.

Avancer par petits pas

Avec cette méthode en trois étapes, vous serez prêts. Connaitre vos opérations critiques est à la base de décisions éclairées. Il vaut mieux être prêt à faire face qu’avoir un simple d’urgence non testé.

Avancez une étape à la fois: il n’y a pas de bonne ou mauvaise façon de faire. Vous pouvez réaliser tout le processus, mais en vous concentrant sur un secteur ou une seule activité. L’important est de prendre conscience de votre situation et de poser des actions concrètes pour préserver la continuité de vos activités.