Plan de continuité d’activité : définition
Le concept de continuité d’activité est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les plans de reprise d’activités (ou disaster recovery plans). Les efforts portaient essentiellement sur l’informatique, avec la volonté de garantir la disponibilité des systèmes ou permettre leur remise en fonction rapide après un incident. C’est avec la publication de la norme BS 25999 et l’établissement de la certification ISO 22301, que le concept a été élargi. « Désormais, les projets relatifs à la continuité d’activités couvrent un spectre étendu. Ils sont portés par le board, en considérant l’activité avec une approche holistique », commente Christophe Ruppert.
EBRC accompagne ses clients avec la volonté de les rendre plus cyber-résilients. A ce titre, la continuité d’activités fait partie de ses principaux domaines d’expertise.
5 règles pour élaborer un plan de continuité d’activité
Règle n° 1 : Partez du métier pour évaluer les impacts
« C’est en considérant le métier que l’analyse doit se construire, en prenant en compte l’ensemble des facteurs qui peuvent nuire à la bonne marche de l’activité, assure Christophe Ruppert. Ces enjeux dépassent de loin la gestion des systèmes. Cela implique de commencer par identifier les activités essentielles à l’organisation, à travers une meilleure compréhension des processus, pour ensuite effectuer une analyse d’impact. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité. »
Cette première étape relève du Business Impact Analysis. Elle ne peut être conduite qu’en menant une étude approfondie de l’ensemble des départements constituant l’organisation pour identifier les activités entreprises et la manière dont chacun prend part aux procédures.
Règle n° 2 : Identifiez les activités critiques et évaluez le niveau de tolérance à l’interruption
« A travers les entretiens menés, identifiez les activités critiques, les liens d’interdépendance existants vis-à-vis d’autres départements ou d’acteurs externes, indique Christophe Ruppert. Dans chaque département et direction, challengez les équipes. Au départ d’un framework établi au regard de notre expérience et des bonnes pratiques reconnues, évaluez également les effets d’une interruption de l’activité au niveau de chaque équipe selon différents critères comme le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO). A travers ces indicateurs, on relève ce qui est acceptable en termes d’interruption pour chaque département, et ce jusqu’à la capacité réelle de l’IT à supporter les métiers. »
Règle n° 3 : Alignez les besoins au service du business
Parce que, d’un département à l’autre, les perceptions de ce qui est acceptable peuvent diverger, un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier. « Dans la plupart des cas, c’est au sommet de l’entreprise que les arbitrages ont lieu, le top management étant souvent le seul à pouvoir statuer vis-à-vis des risques encourus. Le management rationalise et décide souvent par rapport au niveau d’exposition admissible des affaires, donc du secteur d’activité et de la clientèle de l’entreprise, en cas d’incident majeur, précise Christophe Ruppert. Pour l’obtention d’une certification liée à la continuité d’activités, il est indispensable de réconcilier l’ensemble des besoins des équipes autour d’un processus critique. »
Règle n° 4 : Evaluez les processus afin de retenir les meilleures solutions
L’analyse de l’impact business est au cœur de toute démarche relative aux enjeux de continuité d’activités. Elle sera complétée par une analyse des risques. Celle-ci se traduit par l’identification des menaces pouvant conduire à l’interruption d’une activité jugée critique et par l’évaluation de la probabilité de leur survenance. « Considérant l’ensemble de ces éléments, on peut imaginer des scénarii et des plans de reprise de l’activité dans les meilleurs délais selon les différents cas de figure. Prenez les processus, soumettez-les à la menace afin d’envisager les solutions à mettre en place, comme par exemple la relocalisation des collaborateurs ou un plan de redéploiement des systèmes des garanties relatives à la restauration des lignes de télécommunication, sans oublier d’évaluer le niveau de résilience de vos fournisseurs critiques », conseille Christophe Ruppert.
Règle n° 5 : Simplifiez-vous la vie. Tirez parti de la certification ISO 22301
La certification ISO 22301 a été élaborée spécialement afin de permettre aux organisations de s’inscrire dans une démarche d’amélioration continue : c’est un cadre standardisé idéal pour démarrer. « L’enjeu n’est autre que de mieux protéger l’activité dans sa globalité, par une meilleure compréhension des processus et des risques, et de s’assurer de sa robustesse avec l’ensemble des parties prenantes tels que les clients, les partenaires ou encore le régulateur de l’entreprise, explique Christophe Ruppert. Une telle certification est de nature à rassurer, à garantir la confiance vis-à-vis de la tenue des activités. » EBRC accompagne des institutions actives dans le secteur de la finance, des banques, de l’industrie et de l’assurance pour l’obtention de cette certification.
Distinguer le risque de la menace pour réussir son plan de continuité d’activité
Beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente.
Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations règlementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter.