Panne informatique : comment maintenir l'activité ? - La Semaine Vétérinaire n° 1928 du 18/01/2022
La Semaine Vétérinaire n° 1928 du 18/01/2022

Digital

ENTREPRISE

Auteur(s) : Par Fabrice Jaffré

Une panne informatique paralyse de nombreux pans de l'activité d'une clinique vétérinaire. Adopter une posture proactive, par la rédaction de quelques procédures, va limiter sensiblement les conséquences de l'arrêt informatique et donc améliorer la résilience de la clinique. Mode d'emploi.

Les origines d'une panne de l'informatique sont multiples : phénomène naturel (incendie, inondation...), défaillance des systèmes (panne électrique, disque dur endommagé...), erreurs humaines, actions malveillantes internes ou externes. Les conséquences sont nombreuses au sein de la clinique vétérinaire, avec notamment l'impossibilité de consulter le dossier d'un animal, d'imprimer une ordonnance ou une facture, de passer une commande, d'accéder au planning des rendez-vous.

Même si des sauvegardes récentes sont disponibles, la restauration et la reprise complète de l'activité peut, selon l'origine de l'incident, durer quelques jours, voire quelques semaines. Afin de maintenir au mieux l'activité pendant le rétablissement de l'informatique, le vétérinaire a tout intérêt à avoir anticipé une organisation de secours : le plan de continuité opérationnelle (PCO).

Ce plan contient les procédures décrivant le plus précisément possible comment assurer les activités prioritaires de la clinique pendant l'indisponibilité de l'informatique, autrement dit en "mode dégradé". Il n'est qu'un des volets du plan de reprise d'activité (voir encadré).

Il n'y a pas de plan standard : chaque plan est adapté au fonctionnement propre à la clinique, à l'appétence au risque et aux choix de l'équipe, de même qu'un registre des traitements de données (lié au RGPD) ne peut pas être un copier-coller du registre de la clinique voisine.

La préparation du plan en amont de tout sinistre va grandement aider l'équipe à traverser au mieux la crise. De plus, l'existence de ce plan pourrait devenir prochainement un critère d'éligibilité à la souscription d'une assurance cyber. Mais par quoi commencer ?

La première étape consiste à lister les différentes activités impactées par un arrêt de l'informatique. Elle se fera au cours d'un exercice sur table. Il est important de sensibiliser toute l'équipe à l’impact qu’aurait une panne informatique sur le fonctionnement de la clinique au quotidien, et de les associer dès le début, afin de trouver collectivement les solutions les plus pertinentes.

Les activités seront ensuite priorisées en fonction de la criticité de leur arrêt. On pourra par exemple définir trois niveaux d'impact : faible, fort, majeur (voir tableau).

Une fois le recensement et la priorisation faits, reste à imaginer un mode de fonctionnement de secours (le mode dégradé), et ce pour chaque activité dont l'arrêt est jugé critique. Le but est de trouver, collectivement, des contournements opérationnels.

Par exemple, en cas de panne informatique qui se prolonge, on peut mettre en place la procédure suivante pour la rédaction des ordonnances : l'assistante récupère dans une armoire des ordonnances vierges avec duplicata (pour ressaisir les ordonnances dans le logiciel une fois la panne terminée), avec la dernière version papier du dictionnaire des médicaments vétérinaires (DMV) et un mémo papier rappelant les mentions obligatoires devant figurer sur l'ordonnance.

Une fois validée la procédure, viendra le temps de sa formalisation dans un document détaillant les rôles et responsabilités de chacun, le processus, les ressources nécessaires (en termes de matériel, de formation, de logiciel...) et leur localisation. Dans l'exemple choisi, il faudra anticiper l'achat d'ordonnances vierges pré-imprimées avec duplicata et s'assurer régulièrement d'avoir la dernière version papier du DMV.

Une approche radicalement différente pourrait consister (dans le cas d'une panne informatique due à une cyberattaque) à utiliser un ordinateur portable de secours non connecté au réseau, pré-équipé de la dernière version du logiciel de gestion de la clinique en monoposte, sur lequel on viendra restaurer la dernière sauvegarde disponible. Cela implique l'achat et la mobilisation d'une imprimante et d'un ordinateur à jour, ainsi qu'une procédure détaillée de restauration de la sauvegarde.

En somme, la procédure retenue dépend de multiples facteurs : la durée d'interruption acceptable, la probabilité de survenue du sinistre, le coût, la facilité de mise en place du mode dégradé, etc. Enfin, il faudra s'assurer de la bonne compréhension et de l'appropriation de la procédure par l'ensemble des collaborateurs. Attention également à bien disposer d'une version papier du plan de continuité opérationnelle. En cas d'attaque par rançongiciel ou de panne électrique, la version numérique sur l'ordinateur sera inaccessible !

Le plan de continuité opérationnelle n'est bien évidemment jamais figé : il est amené à évoluer, en même temps que le système d'information de la clinique. Une bonne pratique consiste à réaliser régulièrement des tests (par exemple le démarrage correct d'un ordinateur portable de secours) et des exercices (préparés ou inopinés), qui mettent en situation l'équipe et s'assurent de la bonne compréhension des différentes procédures. Tests et exercices se concluront par un bilan de ce qui a fonctionné et de ce qui a dysfonctionné, dans une optique d'amélioration continue.

Il faudra théoriquement réaliser plusieurs plans de continuité opérationnelle selon l'origine du sinistre : panne électrique (souvent plus brève, mais n'impactant pas que l'informatique), panne de l'Internet, panne de la téléphonie... On commencera par les pannes les plus susceptibles de se produire. Afin de rendre plus digeste la réalisation des différents plans de continuité opérationnelle, on pourra par exemple planifier l'écriture d'une procédure par semaine.

Jean-Baptiste Koch

Praticien canin à Epron (Calvados)

Si une panne électrique survenait, nous avions convenu dans la procédure que les vétérinaires fourniraient les données de facturation sur papier aux assistantes, qui se chargeraient de récupérer le règlement auprès des clients. En revanche, rien n’était prévu pour la saisie des données de facturation dans l’outil informatique au retour de l’électricité : les assistantes étaient persuadées que les vétérinaires le feraient en même temps que la saisie de la fiche de l'animal, et les vétérinaires pensaient que les assistantes s’en chargeraient ! La nouvelle version de la procédure a clarifié les rôles.

PRA et PCA

Le plan de reprise d'activité (PRA), qui permet de rétablir et de reprendre l’activité de l’entreprise après la survenue d’un incident, se compose principalement de trois volets : le plan de continuité opérationnelle, le plan de communication de crise et le plan de continuité informatique.

Le plan de continuité d'activité (PCA) concerne plutôt les sociétés de taille importante. Il garantit de maintenir l'activité et de conserver les données critiques sans aucune indisponibilité (par exemple en clonant le système informatique dans d'autres locaux).

  • Notre confrère Fabrice Jaffré (Kena conseil) est titulaire du certificat de spécialisation de délégué à la protection des données du Conservatoire national des arts et métiers de Paris et du certificat "Expert en cybersécurité", et réalise des formations en mise en conformité RGPD et en cybersécurité.
Abonné à La Semaine Vétérinaire, retrouvez
votre revue dans l'application Le Point Vétérinaire.fr