| Savez-vous comment créer un PCA efficace ? Les gens sous-estiment les défis de la reprise après sinistre dans le monde réel d’aujourd’hui. La mise en place d’un plan de continuité n’est pas seulement une question de technologie de l’information. Il s’agit en effet de la survie de l’ensemble de l’entreprise et, pour ce faire, il faut envisager tous les aspects d’un sinistre. Nous sommes à peine informés à l’avance de l’éventualité d’une crise. Même avec un court délai de prévenance, d’innombrables choses peuvent mal tourner. De plus, chaque calamité est unique. C’est donc comme si nous devions nous battre dans la rue. Nous luttons avec toutes les astuces que nous connaissons contre la crise, qui elle-même surgit souvent de manière inattendue. C’est exactement la raison pour laquelle nous avons besoin d’un PCA. Pour vous donner, en tant que CMT de votre organisation, les meilleures armes pour faire face avec succès à la catastrophe. Pour cela, vous avez besoin de plans et vous devez les tester. Tous ceux qui ont un rôle à jouer dans ce plan doivent connaître leur place. Même ceux qui ne devraient rien faire doivent savoir qu’ils ne doivent pas se mettre en travers du chemin. Sans plan, vous n’y avez probablement jamais réfléchi, et sans réflexion, il y a de fortes chances que vous mettiez plus de temps à obtenir un bon résultat. Si le temps de rétablissement est plus long que le MTPD, il y a de fortes chances que des dommages graves et permanents aient été causés et que l’organisation ne soit pas en mesure d’y remédier. Elle pourrait même cesser d’exister. Vous devez donc savoir comment créer un PCA efficace ! | Dans cette contribution, je donne mon propre avis, et non celui d’une quelconque organisation. |
Contenu
- Les différences entre les PCA et les DRP.
- Pourquoi un PCA est-il important ?
- Première étape : créer un plan de continuité des activités (PCA) : un aperçu des étapes à suivre.
- Un PCA, c’est quoi ?
- Test, qu’est-ce que cela peut être ?
- Ensuite, révisez et améliorez votre PCA
- Comment assurez-vous le soutien du PCA et la sensibilisation ?
- Enfin, des thèmes pour les bacs à sable.
Les différences entre les PCA et les DRP.
La continuité des activités (CA) consiste à maintenir les fonctions et la production nécessaires à l’activité de l’entreprise ou à les rétablir suffisamment rapidement en cas de catastrophe majeure. Il peut s’agir d’une inondation, d’une alerte à la bombe, d’un incendie, d’une attaque terroriste, d’une pandémie, d’une cyberattaque ou d’une guerre. Un PCA décrit les lignes directrices que l’organisation suit lorsqu’elle a de tels problèmes. Le PCA fait le point sur les personnes, les ressources, les processus, les bâtiments, les partenaires, les TIC, etc.
Actuellement, la littérature professionnelle est consciente qu’un plan de reprise après sinistre (PRS) n’est pas la même chose qu’un PCA. Pour beaucoup, un DRP se concentre sur le rétablissement des fonctions TIC et a tout à voir avec ce que l’on appelle les « services de continuité des TIC » dans ITIL. Il se concentre sur les TIC et ne démarre souvent que lorsque les coups et blessures les plus graves (l’impact immédiat) de la crise sont passés. C’est pourquoi il fait partie intégrante d’un PCA, car ce dernier se concentre sur la survie de l’ensemble de l’organisation.
Un exemple
Par exemple, si une catastrophe ferroviaire rend un bâtiment inutilisable pendant une période prolongée, savez-vous comment maintenir les services de guichet aux clients? Les employés travailleront-ils temporairement à domicile, ou feront-ils du télétravail au sens large ? Ou fournirez-vous des postes de travail alternatifs ? Ou embaucherez-vous des conteneurs de bureau ?
A BIA
Il convient de noter qu’une analyse d’impact sur les activités (BIA) fait également partie du processus d’élaboration d’un PCA. L’analyse d’impact identifie l’impact d’une perte soudaine de processus ou de produits (voir l’analyse d’impact, comment la réaliser). Cette analyse répond à la question de savoir quels sont les processus importants dans votre organisation. Il peut en résulter une division des processus en processus critiques, essentiels et nécessaires. Une telle analyse donne également une première idée de ce que vous pouvez faire en tant qu’approche stratégique des problèmes constatés. (Voir choix stratégiques).
Pourquoi un PCA est-il important ?
Qu’il s’agisse d’une petite ou d’une grande organisation, ce qui compte, c’est de (servir) le client. La réputation est donc importante, tout comme la survie de l’organisation. Et il n’y a pas de meilleur test que la « réalité ».
La récupération des fonctionnalités informatiques ayant considérablement pénétré notre société, il existe un grand nombre de solutions de reprise après sinistre. Mais qu’en est-il du reste des processus d’entreprise ? La réputation de l’organisation en dépend. La gestion positive d’une situation de crise a généralement un impact positif sur la réputation. Elle peut améliorer la confiance des clients. C’est pourquoi un PCA est vraiment important !
Première étape : créer un plan de continuité des activités (PCA) : un aperçu des étapes à suivre.
- Si vous n’avez pas encore de PCA, commencez par le commencement : apprenez à connaître l’organisation et ses processus. Le mieux est de dresser une liste complète des processus et de les cartographier. Une bonne technique pour ce faire peut être un flux de processus, ou des « swimlanes » en BPMN. Un avantage important de cette technique est qu’on peut la réutiliser pour la gestion de l’organisation. Ou vice versa : tirez parti des efforts de la gestion organisationnelle !
- Déterminez, dans le cadre d’une analyse des risques opérationnels, quels sont les processus vulnérables et à quoi ils servent. Préparez ensuite une analyse d’impact par fonction, dressez la liste de toutes les dépendances et incluez l’analyse de risque qu’on peut ou non réaliser spécifiquement pour cet exercice de gestion de la continuité des activités. Cela nous amène au BIA.
- Ensuite, vous déterminez les stratégies fondamentales que vous souhaitez utiliser, sur la base de la BIA, pour les éléments que la direction considère comme importants.
- Élaborer un plan pour la CA. (voir ci-dessous).
- Ensuite, vous le testez. Voir aussi le paragraphe suivant.
- Évaluez-le.
Il s’agit là encore d’une liste de contrôle, ou d’un plan d’action si vous préférez.
Parties concernées
Vérifier que toutes les parties concernées ont leur mot à dire et ont accès au plan. Toutes les personnes qui ont un rôle à jouer dans ce plan doivent le connaître, connaître ce rôle et l’avoir pratiqué.
N’oubliez pas que le DRP fait partie du PCA, c’est donc préféré de vérifier avec le service informatique si vous pouvez parvenir à un accord et si on inclut les applications des processus critiques en termes de temps dans leur DRP pour vous. Ou de prendre des dispositions pour les inclure.
Au fur et à mesure de l’avancement du plan, il est intéressant de réunir les parties prenantes nécessaires autour d’une table (pas nécessairement toutes ensemble) pour une conversation/interview. Parlez également de l’expérience des personnes qui ont déjà survécu avec succès (ou non) à une catastrophe. C’est une bonne source d’idées nouvelles, car les gens adorent partager leurs « histoires de guerre » et les actions intelligentes menées sur le terrain qui leur ont permis de sauver la situation.
Un PCA, c’est quoi ?
Note préalable : il s’agit d’un PCA et non d’un manuel d’élaboration d’un PCA….
| Partie 1 – les grandes lignes du plan | o Objectif du plan, tel qu’imposé par la direction o Portée du plan, telle qu’imposée par la direction o Liste des processus critiques, avec RTO et RPO o Niveau de récupération pour chaque processus o Priorité à la récupération o Les points de défaillance uniques qui peuvent affecter les processus o Détermination des types de situations pour le plan o Référence à d’autres documents |
| Partie 2 – Rôles et responsabilités | o Quelles sont les équipes nécessaires et quelles sont leurs tâches ? Quels sont leurs rôles ? o Qui est responsable de quoi ? Quelle est l’autorité pour faire quoi ? o Que doit faire chaque rôle ? Donner des instructions o Fournir un modèle simple pour l’enregistrement |
| Partie 3 – Que se passe-t-il lorsque l’on active le plan ? | o Comment activer le plan ? Comment activer les équipes concernées ? o Le plan peut-il être partiellement activé ? Quand ? Comment ? o Qui peut lancer le plan ? o Qui doit-on informer ? o Qui doit faire quoi s’il pense que le plan doit devenir actif ? o Quelles sont les procédures d’urgence ? o Que faire si le lieu de travail n’est pas disponible ? o Comment les processus critiques seront-ils rétablis ? |
| Partie 4 – Quels sont les processus de communication ? | o Qui rend compte à qui ? o Arbre d’appel ; groupe WhatsApp,… o Procédure d’escalade o Plan de communication interne et externe et plateformes de communication |
| Partie 5 – Listes de fournitures et de contacts. | o Les personnes clés et leurs coordonnées o Salles de réunion de crise et sites de récupération. o Listes de contacts des parties prenantes, des entrepreneurs, des services de maintenance, des entreprises ayant des accords de niveau de service (SLA), … o Installations et fournitures o Technologie et communications o Informations, données et applications o Documents juridiques et règlements o Transport et logistique o Petite caisse et budgets d’urgence |
| Partie 6 – Comment terminer le plan | o Processus de sortie de crise et de cessation des activités du plan |
| Partie 7 – Informations sur la gestion des documents | o Qui est propriétaire du plan ? o Qui autorise le plan ? o Les éléments déclencheurs de la révision du plan o A qui distribue-t-on le plan pour examen ? o Gestion du changement o Contrôle des versions |
| Partie 8 – Références | o Références aux lois et règlements o Références à des documents juridiques et à des accords o Déclaration de confidentialité o … |
| Partie 9 – Navigation | o Page de contenu o Pas d’explications inutiles qui n’ont pas d’importance o Mettre en place des listes de contrôle et des informations opérationnelles dès le départ. o Placer les informations auxiliaires dans les annexes. |
Test, qu’est-ce que cela peut être ?
On doit construire un plan rigoureusement. Par conséquent, on doit également le tester de manière rigoureuse. Mais il est préférable de le faire progressivement. Le calendrier des tests dépend de votre organisation. Ou du personnel clé. Ou des processus d’entreprise, ou des TIC, ou de la gestion du changement, ou….
Les tests qu’on utilise les plus couramment ci-dessous.
| Type de test | Objectif du test | Quoi et comment |
| Tests sur table | Test et évaluation de la qualité du contenu du PCA. | Étape 1 : Vérification sur place : Le contenu des documents est examiné par l’auteur et le responsable des opérations TIC. Au cours de ce processus, le contenu des documents est examiné et discuté entre les deux parties. |
| Test du contenu du PCA | Étape 2 : Examen du bureau : L’auteur rencontre chacun des membres de la gestion de crise et s’assoit avec chacun d’eux pour passer en revue les mêmes documents que lors de l’étape « Desk check » L’auteur explique plus en détail le fonctionnement et l’objectif des documents. | |
| Utiliser un scénario de PCA et un calendrier de reprise pour parcourir le plan de continuité et valider que le PCA contient à la fois les informations nécessaires et suffisantes pour permettre une reprise réussie. | Étape 3 : Scénario de bureau : Les participants se réunissent et prennent un cas concret, discutent des scénarios et des diagrammes appropriés afin de vérifier s’ils ont compris les deux premières étapes. | |
| Test de communication | Testez les numéros de contact (numéros de téléphone) des personnes figurant dans l’annuaire de crise et dans le calendrier BCM des appels en cascade. (Sont-ils à jour ?) | La première année, un test de communication est convenu à l’avance. Les années suivantes, ce test est organisé à l’improviste. L’objectif est que les participants appellent les bonnes personnes (les uns les autres) dans un délai prédéterminé. |
| Scénario BCP du pilier et exercice de planification de l’approche de récupération (petit bac à sable) | Utiliser un scénario d’incident de PCA pour faire un jeu de rôle à l’intention de la direction afin de vérifier que, pour le plan de continuité d’un pilier, les calendriers de reprise sont fonctionnellement valables. | Le groupe de travail sur le contrôle organisationnel crée un jeu de rôle basé sur un scénario. L’idée est ici de former les participants au sein d’un seul pilier et de tester les étapes du scénario de ce pilier. Pour le pilier en cours de formation, l’administrateur du PCA et les équipes du PCA participent. Les autres rôles de l’équipe de crise sont joués par les membres respectifs du groupe de travail sur le contrôle organisationnel. Ce test est effectué pour chaque pilier. |
| Scénario complet du PCA et exercice de planification de l’approche de récupération (grand bac à sable) | Utiliser un scénario d’incident de PCA pour faire un jeu de rôle à l’intention de la direction afin de vérifier que le plan de continuité et les calendriers de reprise sont valables sur le plan fonctionnel. Ce test peut être utilisé pour tester la coopération entre les groupes de travail après que chacun d’entre eux ait déjà effectué un test séparément. | Le groupe de travail sur le contrôle organisationnel crée un jeu de rôle basé sur un scénario. L’objectif est de former les participants de tous les piliers et de tester les étapes du scénario. Les participants sont les membres de l’équipe de crise et des équipes PCA. |
| Test de reprise après sinistre | Test D/R : tester que les systèmes TIC peuvent être restaurés sur le site D/R. | Les opérations TIC produisent un scénario annuel concernant l’efficacité et la faisabilité du site D/R. |
| Test des salles de réunion de crise | Tester le fonctionnement des salles de réunion de crise. | L’équipe de sécurité organise une réunion dans la salle de réunion de crise sur le site principal et sur le site alternatif. Les connexions téléphoniques et Internet sont testées par les Opérations TIC. Le contenu des armoires est vérifié par rapport à l’inventaire. |
| Test d’activité | Déplacer les activités professionnelles vers un autre lieu ou vers le télétravail ou le travail à domicile pendant une période prédéterminée afin de vérifier que les participants peuvent utiliser leurs systèmes, leurs applications et leurs informations et continuer à exécuter leurs processus essentiels. | Les télétravailleurs de l’entité peuvent tous être invités à travailler ensemble à domicile pendant une période de temps (à préciser, par exemple une journée). Des exceptions sont accordées uniquement aux personnes chargées des opérations TIC et pour les réunions. Le travail est effectué sur les serveurs à Bruxelles. |
À chaque étape du test du PCA, il est préférable d’impliquer de (nouveaux) observateurs. Ils voient les lacunes que les auteurs ont perdues de vue depuis longtemps.
Ensuite, révisez et améliorez votre PCA
Vous avez consacré beaucoup de temps et de sueur à votre première version, ainsi qu’aux tests et à la communication du PCA. Ce plan ne doit pas prendre la poussière sur une étagère dans un placard ou dans un dossier sur un serveur. Le plan devient alors inutilisable, et même souvent introuvable lorsque vous en avez besoin.
La technologie évolue, les gens vont et viennent, les processus changent, tout comme le personnel, qu’il s’agisse de clients ou de fournisseurs. Le plan doit donc toujours évoluer, et être actuel. Il est donc préférable de le revoir périodiquement. La règle générale est : une fois par an. Discutez-en avec toutes les parties concernées.
Vous devez également consulter le personnel avant même de réviser le PCA. Demandez à tous les services de l’organisation d’examiner le plan. Incluez les ‘outposts’, même ceux qui sont à l’étranger. Après chaque test et après chaque crise, préparez un rapport sur les leçons tirées de l’expérience et sur ce qui a fonctionné et ce qui n’a pas fonctionné.
Comment assurez-vous le soutien du PCA et la sensibilisation ?
Ce qu’il ne faut pas faire, c’est ne rien faire, à la manière du « laissez faire, laissez passer ». L’organisation doit porter tout PCA, du haut vers le bas, la direction générale donnant l’exemple en approuvant son importance. Ils doivent donc être au courant du plan, de son contenu et de ses révisions, ainsi que des tests et de leurs résultats. Cette approbation et ce portage du plan, on ne peut et ne doit pas déléguer à l’encadrement intermédiaire ou aux subordonnés.
La gestion est également importante pour la prise de conscience de l’homme de terrain. En effet, ce dernier ne reste pas insensible aux souhaits de sa direction. Et si le personnel n’est pas au courant d’un plan, comment pourrait-il réagir de manière appropriée ? Pour faire avancer les choses, quelqu’un du haut de l’échelle doit donner soutien. Pour cela, on peut faire toutes sortes de choses. La constitution d’une équipe commune (à différents niveaux) autour du BCM, où on doit utiliser le plan, mais où il y a aussi de la place pour la fantaisie, peut très bien fonctionner. Après tout, rien ne fonctionne aussi bien que lorsque les gens s’amusent. Le plan gagne ainsi en crédibilité.
Enfin, des thèmes pour les bacs à sable.
| Constructions | Infrastructures (installations) | Manque de technologie | Manque de personnes clés | Manque de fournisseurs ou de fabricants | Autres |
| Répartition de l’électricité | Panne d’approvisionnement en eau | Défaillance des télécommunications | Epidémie / Pandémie | Le fabricant fait faillite | Fraude interne |
| Incendie | Panne de chauffage | Défaillance du réseau | Travailler à partir d’un lieu de récupération avec un minimum d’espace | Le fournisseur subit une défaillance de sa propre chaîne d’approvisionnement | Question de réputation |
| Inondations | Défaillance de la climatisation | Logiciels malveillants | Attaque terroriste NBC / Anthrax, etc. | Échec du réseau technologique des fournisseurs | Vol de données |
| Bombe (notification) | Problèmes de mazout | Saisie de systèmes TIC par un tribunal après une fraude | Bombe (notification) | Attaque terroriste | Corruption de données par un (ex) employé interne |
| Attaque terroriste | Répartition de l’électricité | (Cyber)Guerre | Intoxication alimentaire | (Cyber)guerre | Catastrophe environnementale |
| Mise sous scellés des lieux par le tribunal après une fraude | La guerre | Les entreprises de maintenance font faillite | Catastrophe environnementale | Répartition de l’électricité | (Cyber)Guerre |
| Scellage des lieux par le tribunal après un attentat/meurtre | Les fournisseurs échouent | Bâtiment équipé de serveurs TIC | Grève des transports / problems des transports | Fournisseur de services de lutte contre la fraude interne | Logiciels malveillants (échec commercial) |
| La guerre | Les entreprises de maintenance font faillite | Répartition de l’électricité | La guerre | Tremblement de terre | Panne d’électricité (panne d’entreprise) |
| Tremblement de terre | Tremblement de terre | Un fournisseur de technologies de l’information fait faillite (HB) | Tremblement de terre | L’euro échoue ( ?) | Le fournisseur de technologies de l’information fait faillite ou se retire des affaires (défaillance d’entreprise) |
| Comportement suspect | Tremblement de terre | Échec de l’Internet | Sabotage | Monster fine Europe, etc. | |
| Vandalisme | Échec de l’Internet | Échec de l’euro | Fissures en Belgique | ||
| Cambriolage | L’euro échoue ( ?) | vague de chaleur | Échec de l’euro | ||
| Sabotage | vague de chaleur | Sabotage | Vieillissement | ||
| Objet ou colis suspect | Sabotage | Agression physique | Inflation massive | ||
| Tenir le coup | |||||
| Otage | Relations avec la presse | ||||
| Enlèvement d’un tigre | Enlèvement d’un tigre | ||||
| Archer fou | Archer fou | ||||
| Suicide | Suicide | ||||
| Disparition d’enfants | Disparition d’enfants |