Mise en œuvre du Plan de Continuité d’Activité
Gestion de crise et stratégies de continuité
Il s’agit pour l’organisation de développer et de mettre en œuvre les dispositions nécessaires pour gérer les situations de crise et reprendre ses activités en mode normal dans le délai qu’elle se sera fixée au préalable.
La stratégie de continuité d’activité tient compte de l’analyse de l’impact sur les activités (BIA : Business Impact Analysis). Elle constitue la base pour les plans de continuité d’activité.
Cela nécessite de la part de l’organisation de :
- définir et documenter une structure (ou cellule) capable de réagir efficacement à une situation de crise,
- déterminer comment l’organisation peut reprendre ses activités sous le délai cible de rétablissement défini au préalable en incluant les ressources nécessaires pour la reprise des activités,
- déterminer comment gérer la situation avec les fournisseurs et autres parties prenantes.
Une fois les processus critiques identifiés (ainsi que leurs ressources associées), il s’agit de déterminer une stratégie globale (site de repli et postes de travail, reprise de l’informatique…).
Une stratégie détaillée doit également être définie : reprise par activité, fonctionnement des processus en mode dégradé.
Stratégies de traitement des risques
Pour chacune des activités critiques, il s’agit d’identifier des mesures permettant :
- de réduire la probabilité d’occurrence d’un arrêt des activités,
- d’éviter un arrêt brutal,
- de limiter les impacts d’un arrêt sur les activités de l’organisation.
Généralement les mesures de traitement du risque se répartissent en :
- mesures de protection et d’atténuation (réduction de l’impact),
- mesures préventives (réduction de la probabilité),
- mesures de détection (détection précoce : réduction de l’impact),
- mesures correctives (réduction de la probabilité),
- mesures de transfert (assurances : réduction de l’impact),
- acceptation du risque.
Plan de continuité d’activité
L’organisation doit établir des procédures documentées lui permettant de répondre à un incident perturbateur et de poursuivre ou rétablir ses activités dans un délai prédéterminé.
A minima, un plan doit définir :
- le but et le domaine d’application,
- les objectifs,
- la synthèse du BIA (Business Impact Analysis ou analyse de l’impact sur les affaires),
- les procédures dégradées,
- les rôles et responsabilités du projet,
- les interdépendances et interactions internes et externes,
- les exigences en termes de ressources,
- les processus relatifs au flux d’informations et à la documentation,
- la composition de la cellule de crise,
- le schéma d’alerte,
- les annuaires de crise.
Les composantes et le contenu du Système de Management de la Continuité d’Activité varient selon les organisations. Parfois il peut être intéressant de le scinder en plusieurs « Plan de Continuité d’Activité métier » ou encore constituer un « Plan de gestion de crise » à part et qui constituera un document plus opérationnel.
Amélioration continue
Exercices et test
L’organisation doit s’assurer que le Plan de Continuité d’Activité mis en œuvre a été validé par des tests et exercices, puis mis à jour en fonction des résultats obtenus.
Ces exercices doivent permettre de vérifier l’adéquation du PCA avec les exigences liées à l’activité.
L’organisation doit :
- développer des exercices en cohérence avec le périmètre du Système de Management de la Continuité d’Activité,
- s’assurer de l’approbation de sa Direction quant au programme d’exercice défini,
- planifier le programme d’exercices du PCA avec des échéances à intervalles réguliers et en cas de changement significatif dans l’organisation,
- définir un panel d’exercices permettant de valider l’ensemble des aspects du Plan de Continuité d’Activité,
- planifier les exercices de façon à ce que le risque de survenance d’un événement lié à la conduite de ces exercices soit minimisé,
- définir les objectifs de chaque exercice,
- prévoir un débriefing de chaque exercice mené permettant d’évaluer les résultats et le respect des objectifs fixés,
- rédiger un rapport de chaque exercice et débriefing, incluant les éventuelles actions nécessaires.
Mesure, surveillance et évaluation du Système de Management de la Continuité d’Activité
En cas de survenance d’un évènement entraînant le déclenchement du Plan de Continuité d’Activité, une révision doit être effectuée suite à cet évènement et doit intégrer les points suivants :
- identifier la nature et la cause de l’évènement,
- évaluer la qualité de réponse de l’organisation à cet évènement,
- évaluer l’efficacité de l’organisation par rapport au RTO défini,
- évaluer l’efficacité du PCA pour la préparation des employés lors de la survenance de l’évènement,
- identifier les améliorations à apporter au Plan de Continuité d’Activité.
Plus généralement, l’organisation doit définir ce qu’il convient de mesurer, surveiller et évaluer dans un plan spécifique.
Révision du Système de Management de la Continuité d’Activité
L’organisation doit réviser son Plan de Continuité d’Activité afin de s’assurer de son adéquation et de son efficience.
Ces révisions doivent être planifiées mais également effectuée lors de changements significatifs dans l’organisation.
Les points pris en compte dans le processus de révision sont :
- résultats des audits du Système de Management de la Continuité d’Activité ainsi que, si nécessaire, ceux des fournisseurs et partenaires clés de l’organisation,
- retour d’expérience des différentes parties concernées,
- techniques, produits et/ou procédures, pouvant être utilisées par l’organisation pour l’amélioration des performances et de l’efficacité du Système de Management de la Continuité d’Activité,
- niveau de réalisation des actions préventives et correctrices,
- niveaux des risques résiduels et d’acceptation de ces risques,
- vulnérabilités ou menaces n’ayant pas été identifiées lors des précédentes évaluations des risques,
- suivi des actions entreprises à l’issue des précédentes révisions,
- tout changement interne ou externe pouvant impacter le Système de Management de la Continuité d’Activité,
- recommandations pour l’amélioration du système,
- résultats des exercices / tests,
- propositions de suivi de bonnes pratiques,
- retour d’expérience suite à la survenance d’incidents,
- résultats des programmes de formation des personnels et acteurs clés du PCA.
Audit interne
L’organisation doit s’assurer que les audits du système sont prévus et réalisés à intervalles réguliers afin de :
- déterminer si le Système de Management de la Continuité d’Activité est conforme aux dispositions du Plan de Continuité d’Activité, s’il a été correctement mis en place et suivi et s’il fait le lien entre la politique du PCA et les objectifs de l’organisation,
- fournir régulièrement des informations sur les résultats de ces audits.
Le programme d’audit doit être planifié, mis en œuvre et suivi par l’organisation, en prenant en compte le BIA (Business Impact Analysis), l’évaluation des risques, les mesures de réduction de ces risques et le résultat des audits précédents.
De plus, le programme d’audit doit intégrer les critères pris en compte, le périmètre de ces audits, leur fréquence et les méthodologies employées.
Le choix des auditeurs doit assurer l’objectivité et l’impartialité des processus d’audit.
Amélioration continue
L’organisation doit améliorer continuellement l’efficacité du Système de Management de la Continuité d’Activité à travers les révisions de la politique de continuité d’activité mise en place, des objectifs de cette politique, des résultats d’audits effectués, de l’analyse des évènements survenus et des actions préventives et correctives mises en œuvre. Un Plan de Continuité d’Activité bien préparé constitue un socle robuste pour la cyber-résilience des organisations.
Cet article sur le Plan de Continuité d’Activité est un extrait tiré de notre document PDF complet et disponible au téléchargement.