Les Plans de Continuité d’Activité, ou comment améliorer la résilience de votre entreprise ?

Régulièrement sur le devant de la scène, au gré des catastrophes et autres épidémies dont la fréquence s’intensifie sans cesse, les Plans de Continuité d’Activité (PCA) sont désormais des concepts incontournables dans les entreprises. Et au regard de l’amplification de ces phénomènes, qu’ils soient naturels ou non, il y a fort à parier que cela ne cessera pas de sitôt.

Un Plan de Continuité d’Activité peut être défini comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités. »

Son objectif est donc de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institution, d’un groupe. Ceci par exemple afin de garantir la survie de l’entreprise, rassurer les clients et actionnaires, répondre aux obligations légales…

Une obligation légale pour certaines catégories d’entreprises

Au-delà de son caractère incontournable pour limiter les pertes financières (qu’on estime à 26 milliards pour les entreprises en 2013 – Source : Swiss RE Economic Research & Consulting) engendrées par les sinistres, la mise en place de ce type de processus est devenue obligatoire dans les assurances suite à la réglementation SOLVENCY 2 et dans les banques dans le cadre de Bâle 2, qui imposent la présence d’un cycle de reprise en cas de sinistre grave dans cette branche d’activité.

Les travaux de ce type de projet sont généralement effectués en collaboration avec :

• L’audit interne : Qui apportera son expertise sur la prévention et l’analyse des risques.

• le Responsable de la Sécurité des Systèmes d’Informations (RSSI) : Qui doit plus spécifiquement participer à la définition du Plan de Reprise d’Activité, centré sur les systèmes d’information, et devant s’insérer dans le PCA.

L’approche méthodologique préconisée Exeis Conseil

1 - Phase de cadrage :

Le but de cette phase préalable est de cerner le contexte dans lequel le PCA sera mis en place, avec pour finalité l’identification des risques majeurs auxquels l’entreprise peut potentiellement être confrontée. L’identification des risques donnera lieu à une priorisation de ces derniers (selon la probabilité de survenance et selon la gravité pour chaque risque), puis une analyse de leurs impacts sur les processus métiers et/ou techniques qui auront été définis en amont comme critiques pour l’entreprise.

Les conséquences de l’interruption des processus essentiels seront également mesurées en matières financières. Il s’agira alors pour la direction de fixer la Perte Maximale de Données Admissible (PMDA) ainsi que la Durée Maximale d’Interruption Admissible (DMIA), qui seront déclinées en termes de réponses techniques et organisationnelles lors de la phase suivante.

2 – Organisation, Gouvernance et Solutions techniques

L’objectif de cette phase est de décliner opérationnellement les orientations validées lors de la 1ère phase.

Tout d’abord en mettant en place l’organisation et la gouvernance propres au PCA. C’est lors de cette étape que sera formalisé le processus d’escalade d’alerte, pour déterminer quand et dans quelles conditions sera déclenché le PCA. Les participants et les missions des cellules de crise et autres instances seront formalisées, les rôles et responsabilités des ressources clés seront définis, et la liste des actions prioritaires à mener en cas de déclenchement du PCA sera établie.

Il s’agira également lors de cette phase de définir et de mettre en œuvre les solutions techniques pour secourir les réseaux, les équipements informatiques vitaux pour le fonctionnement minimal de l’entreprise aussi appelé Plan de Reprise d’Activité (PRA), mais aussi d’établir le plan de continuité métier (procédures en mode de fonctionnement dégradé, consignes métiers,...), le plan de relocalisation, ....Tous ces plans ayant pour objectif de répondre aux contraintes de PMDA et DMIA définies par l’entreprise.

C’est dans ce cadre que sera en particulier retenue la typologie du site de secours. On peut ainsi parler de :

• Site chaud, lorsqu’il s’agit d’un site en état de fonctionnement permanent, ce qui réduira considérablement le temps de bascule sur ce dernier mais occasionnera un coût supplémentaire non négligeable pour l’entreprise.

• Site froid, dans le cas d’une structure destinée à accueillir un site de secours mais où les infrastructures ne sont pas installées : matériel stocké mais non installés. Le temps de bascule sur ce type de site peut-être relativement long.

• Site tiède, qui constitue un intermédiaire entre les 2 précédents.

A noter qu’il existe à présent une alternative qui consiste à recourir au Cloud, en délégant le stockage des données et traitements à un prestataire, ce qui évite à l’entreprise de prévoir une infrastructure de secours très coûteuse.

3 - Maintenance en Conditions Opérationnelle et démarche d’Amélioration Continue

Cette phase vise, par le biais d’exercices de simulation réguliers, à rôder et mettre à l’épreuve les solutions mises en œuvre. A cette occasion, seront testés par exemple, l’activation du processus d’escalade d’alerte, l’activation des cellules de crises, la reprise de l’activité sur un site de secours …

Conjointement à ces tests, il convient d’assurer la communication, la formation et l’implication de l’ensemble des ressources ainsi que la maintenance des équipements, de manière transverse et en collaboration avec l’entité chargée de la gestion des risques.

Par ailleurs, un PCA ne pouvant être considéré comme définitif, il conviendra de mettre en place une démarche d’amélioration continue autour de ce dernier. Ceci afin qu’il puisse être mis à jour en fonction des retours d’expérience et des innovations organisationnelles et/ou technologiques.