Réaliser un plan de continuité : comment et pourquoi ? Notre guide - DEEP
Réaliser un plan de continuité : comment et pourquoi ? Notre guide
05 octobre 2022
La résilience, la gestion de crise au centre de toutes les préoccupations. Votre organisation est-elle prête ?
Pour savoir si vous êtes suffisamment préparés, évaluez votre niveau de maturité avec DEEP.
Pourquoi est-il important d’avoir un plan de continuité d’activité ?
Au cours des dernières années les entreprises ont eu à traverser des crises de plus en plus soudaines, variées et avec un fort impact pour leurs activités. Outre la pandémie et le repli économique qui s'en est suivi, les conflits géopolitiques ou les crises énergétiques, les directions d’entreprise doivent faire face à la montée exponentielle des cybermenaces et l’apparition des risques liés au réchauffement climatique pour ne citer que les plus importants. La gestion des risques et la continuité des activités sont essentielles pour assurer la prévention et la résilience face à ces défis.
Pouvoir évoluer dans un monde incertain est une condition de survie qui pousse les entreprises à développer ou revoir à la hausse leurs Plan de Continuité d’Activité-PCA / Plan de Reprise d’Activité-PRA et s’assurer d’un niveau de résilience idéal.
Définition du plan de continuité d’activité : Le PCA va bien au-delà du seul aspect IT
Les projets de PCA (Plan de Continuité d'Activité) et de PRA (Plan de Reprise d'Activité) sont souvent abordés comme des projets IT uniquement, or ces approches doivent couvrir l'ensemble des activités et des processus qui constituent le métier de l'entreprise, les systèmes informatiques mais aussi les fournisseurs d'énergie, de logistique et des locaux où les employés pourront reprendre le travail si ceux de l'entreprise ne sont plus praticables.
Le plan de continuité d’activité un concept éprouvé
Le concept de continuité d’activité est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les plans de reprise d’activités (ou disaster recovery plans). Les efforts portaient essentiellement sur l’informatique, avec la volonté de garantir la disponibilité des systèmes ou permettre leur remise en fonction rapide après un incident. C’est avec la publication de la norme BS 25999 et l’établissement de la certification ISO 22301, que le concept a été élargi. Désormais, les projets relatifs à la continuité d’activités couvrent un spectre étendu. Ils sont portés par le board, en considérant l’activité avec une approche holistique.
DEEP accompagne ses clients avec la volonté de les rendre plus cyber-résilients. A ce titre, la continuité d’activités fait partie de ses principaux domaines d’expertise.
Guide pour élaborer un plan de continuité : 5 règles à respecter
Règle n° 1 : Partez du métier pour évaluer les impacts
C’est en considérant le métier que l’analyse doit se construire, en prenant en compte l’ensemble des facteurs qui peuvent nuire à la bonne marche de l’activité. Ces enjeux dépassent de loin la gestion des systèmes en commençant par identifier les activités essentielles à l’organisation ou à travers une meilleure compréhension des processus, pour ensuite effectuer une analyse d’impact. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité.
Cette première étape relève du Business Impact Analysis. Elle ne peut être conduite qu’en menant une étude approfondie de l’ensemble des départements constituant l’organisation pour identifier les activités entreprises et la manière dont chacun prend part aux procédures.
Règle n° 2 : Identifiez les activités critiques et évaluez le niveau de tolérance à l’interruption
A travers les entretiens menés, identifiez les activités critiques, les liens d’interdépendance existants vis-à-vis d’autres départements ou d’acteurs externes. Dans chaque département et direction, challengez les équipes. Au départ d’un framework établi au regard de notre expérience et des bonnes pratiques reconnues, évaluez également les effets d’une interruption de l’activité au niveau de chaque équipe selon différents critères comme le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO). A travers ces indicateurs, on relève ce qui est acceptable en termes d’interruption pour chaque département, et ce jusqu’à la capacité réelle de l’IT à supporter les métiers dans le cadre d'une stratégie de continuité.
Règle n° 3 : Alignez les besoins au service du business
Parce que, d’un département à l’autre, les perceptions de ce qui est acceptable peuvent diverger, un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier. « Dans la plupart des cas, c’est au sommet de l’entreprise que les arbitrages ont lieu, le top management étant souvent le seul à pouvoir statuer vis-à-vis des risques encourus. Le management rationalise et décide souvent par rapport au niveau d’exposition admissible des affaires, donc du secteur d’activité et de la clientèle de l’entreprise, en cas d’incident majeur. Pour l’obtention d’une certification liée à la continuité d’activités, il est indispensable de réconcilier l’ensemble des besoins des équipes autour d’un processus critique.
Règle n° 4 : Evaluez les processus afin de retenir les meilleures solutions
L’analyse de l’impact business est au cœur de toute démarche relative aux enjeux de continuité d’activités et de prévention des risques professionnels. Elle sera complétée par une analyse des risques. Celle-ci se traduit par l’identification des menaces pouvant conduire à l’interruption d’une activité jugée critique et par l’évaluation de la probabilité de leur survenance. Si une entreprise considère l’ensemble de ces éléments, alors des scénarii et des plans de reprise de l’activité dans les meilleurs délais peuvent être imaginés selon les différents cas de figure. Prenons les processus par exemple, soumettez-les à la menace afin d’envisager les solutions à mettre en place, comme la relocalisation des collaborateurs ou un plan de redéploiement des systèmes des garanties relatives à la restauration des lignes de télécommunication, sans oublier d’évaluer le niveau de résilience de vos fournisseurs critiques.
Règle n° 5 : Simplifiez-vous la vie. Tirez parti de la certification ISO 22301
La certification ISO 22301 a été élaborée spécialement afin de permettre aux organisations de s’inscrire dans une démarche d’amélioration continue : c’est un cadre standardisé idéal pour démarrer. L’enjeu principal est de mieux protéger l’activité dans sa globalité, par une meilleure compréhension des processus et des risques, et de s’assurer de sa robustesse avec l’ensemble des parties prenantes tels que les clients, les partenaires ou encore le régulateur de l’entreprise. Impliquer les ressources humaines est également essentiel pour assurer une prévention efficace et une stratégie de continuité adaptée aux besoins de l'entreprise. Une telle certification est de nature à rassurer, à garantir la confiance vis-à-vis de la tenue des activités. DEEP accompagne des institutions actives dans le secteur de la finance, des banques, de l’industrie et de l’assurance pour l’obtention de cette certification.
Enfin, distinguer le risque de la menace pour réussir son plan de continuité d’activité
Beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente.
Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations règlementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter.
Rédigé par
Marion CuisinierNous contacter
Vous avez des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?
Contacter un expertNos experts répondent à vos questions
Des questions sur un article ? Besoin de conseils pour trouver la solution qui répondra à vos problématiques ICT ?