Thierry Flaque-Vert ORSYP Consulting

Un Plan de Continuité d’Activité opérationnel ne s’improvise pas !

Dans cet avis d’expert un guide pratique pour l’organisation d’une entreprise résiliente

par Thierry FALQUE-VERT, Directeur de Mission chez ORSYP Consulting

Thierry Flaque-Vert ORSYP Consulting
Thierry Flaque-Vert, ORSYP Consulting

Les systèmes d’informations des entreprises sont susceptibles d’être confrontés à de multiples menaces. Une panne d’électricité dans un Datacenter, une attaque virale ou bien encore un incendie engendré par une climatisation défectueuse auront de graves conséquences sur l’activité de l’entreprise, au risque de compromettre sa pérennité.

L’impact économique, juridique et médiatique sera d’autant plus fort si cette dernière n’a pas, en amont, mis en place un Plan de Continuité d’Activité (PCA) pour gérer de manière efficiente les crises imprévues.

Le PCA permet aux entreprises d’accroître leur résilience, autrement dit leur capacité à poursuivre leur activité malgré l’occurrence d’un sinistre majeur. Cependant, pour être performant, il doit être adapté à leur contexte, à leur maturité et à leur taille, tout en restant flexible.

Les étapes fondamentales pour mettre en œuvre un PCA opérationnel

1. Identifier les sinistres majeurs pouvant impacter l’entreprise et le périmètre des activités critiques de l’entreprise

Dans un premier temps, l’entreprise doit identifier les sinistres majeurs auxquels elle est susceptible d’être confrontée (ex : sinistre immeuble, sinistre informatique, indisponibilité des compétences….).

Une fois cette étape réalisée, la seconde étape dans la construction d’un Plan de Continuité d’Activité opérationnel consiste à évaluer le périmètre des actifs critiques de l’entreprise et à reprendre en priorité, suite à un sinistre, cette méthodologie d’évaluation intitulée « Bilan d’Impact sur Activité » (BIA) visant à identifier les activités, applications et infrastructures critiques de l’entreprise. Les indicateurs les plus fréquemment utilisés sont l’Objectif de Point de Reprise (OPR) et l’Objectif de Délai de Reprise (ODR). Après analyse de l’ensemble des entités métier, les niveaux de tolérance établis pour la reprise des activités permettent de définir le périmètre d’activité métier et le système d’information auquel le PCA est appliqué.

2. Elaborer des stratégies pour les activités et le SI critiques

Les risques et les vulnérabilités viennent d’être cartographiés. Il s’agit désormais de choisir les stratégies qui seront instaurées pour chaque activité et pour le SI associé. En cohérence avec les attentes et le budget mis à disposition par l’entreprise, ces stratégies sont essentielles à la construction d’un PCA performant sachant qu’elles répondent à leur besoin d’ordonnancement en matière de reprise d’activité et proposent des solutions chiffrées.
Les entreprises identifient, dans un premier temps, les personnes clés et leurs suppléants, à même de restaurer les systèmes les plus critiques pendant les premières heures suivant l’occurrence d’un sinistre. Dans un second temps, elles listent l’ensemble des éléments de configurations prérequis à la reprise des activités, dans un délai fixé et de manière à réduire au mieux la perte de données. Elles déterminent alors les infrastructures logicielles et matérielles (nombre de postes de travail, de serveurs, d’accès réseau…), les applications (métier, SI) ou encore les ressources humaines (compétences, effectif à mobiliser lorsque le sinistre survient…) nécessaires à la reprise de l’activité.

Selon les risques identifiés, certains arbitrages devront parfois être opérés en termes de budget ou de performance attendue.

3. Développer et Implémenter le Plan de Continuité d’Activité

Cette troisième étape consiste à construire le Plan de Continuité d’Activité en lui-même. La restauration des services ou du réseau informatique suite à un sinistre majeur sera détaillée dans ces plans. Le PCA se compose en effet de différents plans et d’éléments indispensables à leur bonne exécution tels que les annuaires des collaborateurs, les procédures d’évacuation, les référentiels d’applications… Tous ces éléments doivent être regroupés dans une mallette de crise et mis à disposition de l’ensemble des acteurs de la continuité.

La mise en place d’un plan de continuité d’activité global et de plans de gestion permet aux entreprises d’identifier, en amont de la crise, les membres des Cellules de Crise et de formaliser les procédures. Rédigées à l’avance, ces dernières devront être disponibles en toute circonstance. Par la suite, les entreprises ont également intérêt à construire des plans de reprise spécifiques à chaque activité, actualisés et capables de répondre à la situation de l’entreprise et de son SI.

4. Mettre en place le Maintien en Conditions Opérationnelles (MCO) du PCA

Afin de mieux se préparer à un sinistre et d’être plus réactif, il est essentiel de réaliser des exercices de simulation. Outre l’optimisation de la gestion du PCA, ces tests permettent, dans certains cas (pour les banques françaises par exemple), de répondre à des exigences réglementaires. De plus, en soumettant leur PCA à des simulations, les entreprises sont amenées à découvrir les éventuelles faiblesses des plans développés, à identifier les hypothèses erronées ou encore à tester ses limites. Grâce à des audits réguliers, elles peuvent aussi repérer et adresser des points d’amélioration.

Pour être performant, il est important que le PCA prenne en considération l’évolution des Datacenters (nombre, périmètre…). Différents types d’exercices peuvent être effectués selon la maturité de l’entreprise et le budget alloué, allant des tests pour la reprise unitaire d’un serveur à la bascule complète d’un Datacenter vers son site de repli. Ces pratiques optimisent la fiabilité du PCA en s’assurant qu’il est à jour, développent les compétences et la confiance des acteurs principaux et sensibilisent l’ensemble des collaborateurs.

Une autre priorité, dans la mise en place d’un PCA, consiste à créer un lien entre le processus de gestion des changements et le PCA. Les changements de type informatique ou organisationnel sont par conséquent bien reflétés dans la nouvelle version du plan. Pour les entreprises qui souhaitent aller plus loin et certifier leur Plan de Continuité d’Activité, elles peuvent, entre autres, se référer à la norme internationale ISO 22301.

Les entreprises qui développent un PCA opérationnel adoptent une approche proactive, et évolutive adaptée à leurs besoins et font preuve de maturité. Elles sont à même de réagir face aux sinistres majeurs, d’organiser le repli des utilisateurs et une gestion de crise efficace, mais également d’accroître la confiance et la fidélisation de leurs clients. Véritable avantage concurrentiel, le PCA peut ainsi être un prérequis dans le cadre d’appels d’offre où le client souhaite s’adosser à un partenaire pérenne.

TAGS ASSOCIÉS