Renforcez la résilience de votre entreprise avec la méthode M.E.R.C.I

Dans un contexte où les menaces informatiques et les perturbations opérationnelles sont de plus en plus fréquentes, il devient crucial pour les entreprises d’adopter des stratégies efficaces pour assurer leur continuité d’activité. La résilience organisationnelle repose sur une capacité à anticiper, réagir et s’adapter face aux crises. La méthode M.E.R.C.I offre un cadre structuré et pragmatique pour renforcer cette résilience en s’appuyant sur cinq étapes clés.

A l’instar du RSSI et DPO, il est indispensable avant tout de nommer un RAR (Responsable des Activités Résilientes) qui doit disposer de bonnes connaissances des activités métiers de l’entreprise. Il assure le pilotage du projet, en coordination avec les métiers, la qualité, l’informatique et les prestataires externes.

Cette phase d’étude est constituée de l’analyse des risques et de la conception du système de résilience. Examinons le contenu de ces deux composantes.  

Etude de contexte, définition du périmètre, identification des activités critiques, liste des sources de menaces, définition des critères de sécurité, définition des objectifs de continuité, cartographie du système, des processus, des ressources, et des applications. 
Etude des événements redoutés, étude des scénarios de menaces.
Etude des risques, étude de mesures de sécurité

Exemple : il a été accepté de ne pas créer de site secondaire pour des raisons de coûts. Cependant, en cas de sinistre majeur dans la salle informatique principale, trois applications critiques doivent pouvoir repartir en moins de 72 heures (l’ERP / CRM, la messagerie et la comptabilité).  

Selon les résultats de l’analyse des risques et des mesures de réduction des risques, cette étape permet de concevoir les mesures organisationnelles et techniques à mettre en œuvre dans chacun des services métier concernés.  

Exemple, avec la description de deux processus : 

– Sauvegarde externalisée : identification des données à externaliser selon les niveaux de services définis (SLAs), choix de l’hébergeur, choix du logiciel de sauvegarde, définition des scénarios de test/ restauration, formation du personnel informatique, …  

– Hébergement des trois applications critiques : méthodologie, accès distants, réhydratation des données, test, formation du personnel informatique.

Cette phase est l’implémentation des processus définis en phase de conception. Exemple avec l’utilisation de la technologie Veeam qui permet de répliquer les trois machines virtuelles on-premise au sein du datacenter de l’hébergeur, et création du repository permettant d’héberger les sauvegardes des données. 

Cette phase concerne tout ce qui permet d’améliorer votre résilience, par des tests réguliers, des revues de conception, des retours d’expérience, des mesures d’indicateurs de satisfaction, l’identification des modifications applicatives éventuelles, la réalisation de tableaux de bord… 
Exemple : test de bascule durant un week-end, accès distant via un client léger, test de bascule on-premise, mesures des temps d’accès. 

Cette dernière phase est fondamentale car elle permet de mettre à niveau tous les interlocuteurs de l’entreprise : collaborateurs, clients, Direction, actionnaires, fournisseurs, assureurs… Elle a pour vocation de montrer la maîtrise de la résilience d’entreprise et donc de rassurer tout un écosystème. Elle est inscrite évidemment dans le processus de communication ad hoc.   

La résilience d’une organisation est un processus continu qui nécessite une approche structurée et proactive. La méthode M.E.R.C.I. fournit un cadre robuste permettant d’aborder chaque étape de manière méthodique, depuis la gestion et l’élaboration jusqu’au contrôle et à l’information. En appliquant cette méthodologie, vous renforcez la capacité de votre entreprise à surmonter les crises et à maintenir ses opérations critiques. Il est essentiel de continuer à tester, ajuster et communiquer régulièrement pour garantir une résilience durable et efficace.