Points clés
- La continuité d'activité dépend de la résilience des sites physiques autant que des systèmes informatiques : un datacenter hors service, une salle de production inaccessible ou des équipements détruits peuvent arrêter l'activité aussi efficacement qu'une cyberattaque.
- L'incendie d'OVH Strasbourg en mars 2021 a mis hors ligne des milliers de services clients en quelques heures, révélant que l'absence de plan de continuité physique peut rendre caduque l'investissement en redondance informatique.
- L'incendie de 2008 dans les entrepôts d'Universal Music a détruit des masters originaux d'artistes, un actif physique irremplaçable — un cas emblématique de l'irréversibilité de certains incidents physiques.
- ISO 22301 (management de la continuité d'activité) et NIST SP 800-34 (contingency planning) intègrent explicitement la résilience des sites physiques comme composante du plan de continuité.
La continuité d'activité est souvent conçue autour de la résilience informatique : sauvegardes, réplication, basculement applicatif, PRA cloud. Ces dispositifs sont nécessaires mais insuffisants si les sites physiques ne sont pas eux-mêmes résilients. Un datacenter sans alimentation électrique de secours, un siège social inaccessible après un sinistre, une salle de marché dont les équipements ont brûlé : ces situations physiques peuvent neutraliser l'ensemble du dispositif informatique de reprise.
Pour la direction générale, la question est de savoir si les plans de continuité d'activité couvrent effectivement les scénarios physiques — non seulement les pannes logicielles ou les cyberattaques, mais aussi les incendies, les inondations, les pannes d'alimentation prolongées, les accès physiques bloqués et les destructions d'équipements.
Les scénarios physiques qui arrêtent l'activité
L'incendie reste le premier risque physique pour les infrastructures numériques. OVH Strasbourg (2021) illustre qu'un datacenter sans système de suppression automatique d'incendie peut être entièrement détruit, entraînant la perte de données pour les clients qui n'avaient pas souscrit à des offres de sauvegarde externe. ISO 27001:2022 A.7.5 impose des protections contre les dommages physiques et environnementaux incluant explicitement le feu.
Les pannes d'alimentation prolongées constituent un deuxième scénario critique. Un datacenter dont le groupe électrogène est sous-dimensionné ou mal entretenu peut tomber après quelques heures de coupure. L'ouragan Sandy en 2012 a mis hors service plusieurs datacenters à New York dont les générateurs n'avaient pas de réserve de carburant suffisante pour tenir plusieurs jours. Lehman Brothers avait, avant sa faillite, identifié que certains de ses sites de trading ne disposaient pas de redondance physique électrique suffisante.
L'inaccessibilité des sites — inondation, incident de sécurité publique, fermeture administrative — est un troisième scénario souvent sous-évalué. Pendant le confinement de mars 2020, plusieurs organisations ont découvert que leurs plans de continuité d'activité ne couvraient pas le scénario d'inaccessibilité totale des locaux pendant une durée prolongée. ISO 22301 exige l'identification de sites alternatifs et la documentation des procédures d'activation.
Intégrer la résilience physique dans le plan de continuité
Un Business Impact Analysis (BIA) complet doit identifier les dépendances physiques de chaque processus métier critique : quels équipements, quels locaux, quelles infrastructures physiques sont nécessaires à la continuité de chaque activité ? Cette analyse est souvent réalisée uniquement pour les systèmes informatiques, en omettant les dépendances physiques réelles.
Les plans de reprise d'activité (PRA) doivent inclure des procédures de basculement physique : identification d'un site alternatif, procédures d'activation du site de secours, liste des équipements critiques à déplacer ou à réactiver en priorité. NIST SP 800-34 définit une méthodologie structurée pour développer ces plans de contingence.
Les tests de continuité doivent inclure des exercices physiques : simulation d'incendie avec évacuation et activation du site de secours, test de basculement du groupe électrogène, simulation d'inaccessibilité du site principal. Ces exercices révèlent souvent des défaillances dans les procédures documentées que les tests purement logiciels ne peuvent pas détecter.
La protection physique comme assurance de la résilience globale
La Swiss National Bank et plusieurs grandes banques centrales européennes maintiennent des sites de secours physiques intégralement équipés, testés semestriellement, capables d'absorber l'ensemble des opérations critiques en cas d'inaccessibilité du site principal. Ce modèle, coûteux mais justifié pour les infrastructures systémiques, illustre la logique de résilience physique intégrée.
Pour les organisations de taille moyenne, la résilience physique peut passer par des accords de réciprocité avec d'autres entités (partage de sites de secours), par le recours à des datacenters certifiés Tier III ou IV (Uptime Institute), ou par une stratégie cloud-first qui délègue la résilience physique à des opérateurs spécialisés tout en maintenant une gouvernance des niveaux de service contractuels.
Un incendie dans les entrepôts de la Universal Studios backlot a détruit des masters originaux d'enregistrements de centaines d'artistes. L'enquête judiciaire révélée en 2019 par le New York Times a établi que ces enregistrements n'avaient pas de copie de sauvegarde physique dans un autre site. Les masters détruits incluaient des enregistrements de Tom Petty, Nirvana, Elton John et Chuck Berry. Cet incident illustre l'irréversibilité de la perte physique d'actifs dont la valeur est intrinsèquement liée au support original — une dimension souvent absente des plans de continuité.
L'incendie du datacenter de Strasbourg en mars 2021 a mis hors ligne des milliers de sites et services hébergés chez OVH, dont plusieurs administrations publiques et entreprises. L'enquête technique a établi que le bâtiment SBG2, entièrement détruit, ne disposait pas d'un système de suppression d'incendie conforme aux standards des datacenters. Les clients sans sauvegarde externe ont perdu l'intégralité de leurs données. Cet incident a conduit l'ANSSI à émettre des recommandations renforcées sur la résilience physique des hébergeurs et à accélérer le référentiel SecNumCloud sur les exigences physiques.
Le passage du typhon Mangkhut, l'un des plus violents jamais enregistrés à Hong Kong, a mis à l'épreuve les plans de continuité physique de nombreuses organisations financières. Les banques régulées par la HKMA (Hong Kong Monetary Authority) ont dû activer leurs plans de continuité incluant des sites de secours physiques et des procédures de travail à distance. Les établissements qui n'avaient pas testé ces procédures ont rencontré des difficultés opérationnelles significatives. La HKMA a publié après l'événement des lignes directrices renforcées sur les exigences de continuité physique pour les institutions financières.