Gérer la continuité de ses activités

La continuité des activités consiste à répondre aux scénarios de risques parmi les plus difficiles à traiter : ceux dont l’impact est très élevé, allant jusqu’à la survie de l’entreprise mais dont la probabilité d’occurrence est faible, voire très faible. Le programme de continuité doit trouver le compromis acceptable entre ne rien faire (et engager la survie de l’entreprise si le scénario survient) et en faire trop avec des coûts potentiellement très élevés pour un scénario qui ne se produira peut-être jamais…

Les briques du programme de continuité

Comme tout programme transverse qui requiert l’implication de plusieurs départements, métiers et supports, il est important de s’assurer d’un support solide de la direction. Les briques correspondant aux activités du programme sont rappelés ci-dessous :

  • L’évaluation des risques. Cette étape menée le plus en amont possible consiste à évaluer les risques liés aux activités de l’entité pour sélectionner les scénarios de sinistre à traiter par le programme de continuité. Souvent, on pense immédiatement à l’indisponibilité d’un site important, mais il existe de nombreux scénarios qui peuvent faire l’objet d’un plan de continuité parmi lesquels, la pandémie, le conflit social, la défaillance d’un prestataire essentiel, une attaque cyber qui touche tous les systèmes (actifs et de secours). Les réponses devront être adaptées aux sinistres retenus.
  • L’analyse des impacts métiers (on parle souvent de BIA pour Business Impact Analysis). Cette brique fondamentale détermine les activités critiques pour la survie de l’entité, celles qui doivent être maintenues en priorité. On doit normalement procéder de manière très dégradée pour chaque processus critique. Il faut tenir compte des interactions entre les processus critiques : qui a besoin de qui et de quoi ?
  • Le choix des stratégies de continuité. Pour chaque sinistre retenu, on choisit un type de réponse. Par exemple dans le cas de la pandémie, une baisse des personnels habituellement chargés d’une tâche, le remplacement d’une catégorie de personnel par une autre pour réaliser une action, le travail à distance quand c’est possible. Pour un scénario cyber, ce peut être par exemple la remontée d’un système a minima sur une infrastructure dans le Cloud Public.
  • La réponse aux incidents. Cette partie contient les procédures opérationnelles pour détecter, qualifier et réagir à un incident majeur. En traitant cette partie correctement, on peut espérer un gain de temps dans le déclenchement qui peut se révéler salvateur dans bien des cas.
  • L’élaboration des plans de continuité. Ces plans matérialisent les actions concrètes à mener faisant suite à la décision d’activation. Ils doivent contenir le minimum vital que chaque collaborateur doit faire. Ils s’adressent aussi bien aux départements métiers que supports (dont la logistique, l’informatique et les ressources humaines sont des représentants généralement incontournables). Ces plans doivent être régulièrement testés, par les équipes métiers et supports concernés.
  • La communication de crise. Cette partie, à adapter en fonction des cas, s’adressent à plusieurs parties prenantes comme les clients, les médias, les régulateurs mais aussi les collaborateurs de l’entité. Deux principes fondamentaux sont « informer » et « rassurer ».
  • La coordination avec les services de secours. Il faut disposer d’une liste de contacts privilégiés qui seront susceptibles d’intervenir au profit de l’entreprise. Il peut s’agir des pompiers, des forces de police et de gendarmerie, des services des préfectures ou encore des CERT (Computer Emergency Response Teams) gouvernementaux pour les crises cyber.

Quelques référentiels utiles

  • Les programmes de continuité peuvent être certifiés, comme dans le domaine de la sécurité de l’information (ISO 27001) ou de la qualité (ISO 9001). La norme ISO 22301 (version 2019) fixe les exigences d’un système de management de la continuité d’activité. Signalons aussi la norme ISO 22313 revue en février 2020 qui fournit des bonnes pratiques de mise en œuvre en termes de continuité.
  • Les bonnes pratiques édictées par des associations reconnues comme : le DRII américain, le BCI anglais et le club de la continuité d’activité français.
  • Des recommandations des pouvoirs publics. Citons par exemple le guide pour réaliser un plan de continuité d’activité du SGDSN en France ou encore les bonnes pratiques de gestion de crise, très pragmatiques et utiles des britanniques (par exemple le PAS 200 : crisis management – Guidance and good practices).

Vous pouvez nous contacter à contact at prosica.fr pour toute question liée à nos missions de conseil en continuité et gestion des crises (https://www.prosica.fr/les-metiers.html) ou à formation at prosica.fr pour les demandes d’inscription aux formations.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

PCA, BCP, ContinuitéActivités, pandémie, GestionCrises, BIA, ISO22301, ISO2313