| |
|
|
 |
 |
Les grandes étapes du Plan de Continuité d’activité
De nombreuses situations peuvent mettre en péril l’activité d’une entreprise : incendie ou inondation détruisant tout ou partie des installations, et des documents, dysfonctionnement des systèmes d’information et pertes de données, indisponibilité du personnel pour cause de crise sanitaire majeure…
Ces risques n’ont pas faibli, bien au contraire : situations météorologiques, coupures de cou-rant de grande ampleur, risque de pandémie grippale… L’élaboration d’un plan de réponse s’impose donc à toute entreprise soucieuse de sa pérennité : c’est le « plan de continuité d’activité ».
Le Plan de continuité d’activité (PCA) est à la fois le nom d’un concept, d’une procédure et du document qui la décrit.
C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objet est de minimiser les impacts d’une crise sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institu-tion, d’un groupe. Les principales étapes sont les suivantes :
1) La nomination d'un chef de projet indépendant
Dans l'idéal, le responsable nommé pour prendre la direction du projet de PCA doit jouir d'une certaine indépendance vis-à-vis de la direction des systèmes d'information, par rapport à laquelle il est en effet censé réaliser des préconisations organisationnelles et technologiques.
2) L'audit des activités critiques de l'entreprise
En amont de l'élaboration du plan de continuité, il est important de commencer par lister les activités de l'entreprise considérées comme critiques, c'est-à-dire sans lesquelles elle ne peut poursuivre sa ou ses missions principales.
4) La validation des niveaux d'exigence
La classification des activités est validée par un comité de pilotage. Un groupe composé du responsable du projet, de représentants de la direction générale et de la DSI, ainsi que de res-ponsables des directions administratives et financières, sans oublier les départements corres-pondant aux activités jugées critiques.
5) L'élaboration d'un cahier des charges
Sur la base de ce premier document de synthèse, un cahier des charges est réalisé. Pour cha-que activité, il passe en revue les éléments nécessaires au plan de reprise, en termes d'infras-tructure (bâtiment, nombre de positions de travail, moyens de communication, etc.), de maté-riels, d'applications (outils métier, etc.), mais aussi de ressources humaines (compétences, effectif à mobiliser au moment où intervient le sinistre, etc.). Des niveaux de tolérance sont établis, en termes de temps de reprise (maximum) par activité critique et de pertes de données. Et les interdépendances entre processus / applicatifs formalisées.
6) La formalisation du plan
La formalisation du plan de continuité consiste à décrire clairement les processus à mettre en place, ainsi que les profils humains et les moyens techniques nécessaires pour les supporter. Afin d'assurer la transition vers la nouvelle organisation, des processus de gestion de crise sont également définis, en commençant par la cascade d'alertes à activer lors de l'incident, ainsi que les différentes étapes visant à mettre sur pied la cellule de crise, et la campagne d'in-formation clients et partenaires qui s'impose.
7) La phase de test et la maintenance
En vue d'assurer leur passage sans encombre en phase de production, il est bon de soumettre les processus du PCA à une batterie de tests visant à cerner les difficultés techniques et humaines qui pourraient subvenir lors de l'activation. Autre condition de réussite : la maintenance du plan en situation opérationnelle, c'est-à-dire son adaptation (à la fois tech-nique et humaine) au fil de l'eau en fonction des évolutions de l'activité de l'entreprise.
Pour l’élaboration du Plan de Continuité d’Activité, de nombreuses sociétés font appel à un prestataire. Cette solution, qui permet de bénéficier de ressources supplémentaires, ne doit surtout pas dispenser les services concernés de s’impliquer fortement dans la démarche. C’est le personnel de l’entreprise qui connaît son activité, ses forces, ses faiblesses, qui devra assu-rer la mise en œuvre du plan en cas de déclenchement, et qui devra assurer la mise à jour ré-gulière du PCA. Le prestataire apportera un support méthodologique pour l’élaboration du plan, pour garantir son exhaustivité, organiser les exercices, et bénéficier de l’expérience des autres sociétés.
3) La réalisation d'un document de synthèse
Suite à cette enquête, un premier document est réalisé. Il formalise une classification des acti-vités par niveau d'exigence ou de criticité, en précisant également les liens existant entre elles pour en assurer le bon fonctionnement
|
| |
Gros plan sur une solution
PARAD est un logiciel de gestion de Plans de Continuité créé en 1992 afin de structurer la démarche des consultants de DEVOTEAM dans la formalisation des plans et procédure.
Parallèlement à l’évolution des contraintes et enjeux, PARAD a su se développer et se renouveler afin de proposer un concept unique de management des PCA. La solution de Devoteam est aujourd’hui leader sur les marchés français et suisse avec plus de 100 références.
Sébastien DAVID, Responsable commercial de PARAD répond à nos questions :
CEDRALIS : Quels sont les usages de PARAD ?
S. DAVID : PARAD est une solution qui permet de formaliser les plans et procédures de continuité d’activité comme un projet : à travers l’outil, le PCA est construit comme un ensemble de tâches à dérouler dans le temps, les unes par rapport aux autres, quelque soit la nature de ces tâches (métier, IT, services généraux, gestion de la crise …). Il s’agit d’une approche très opérationnelle de la continuité d’activité.
CEDRALIS : Quels sont les maîtres mots de votre solution ?
S. DAVID : Notre modèle présente trois vertus reconnues par nos clients pour une gestion performante des PCA :
 lisibilité et compréhension du PCA, quel que soit l’interlocuteur participant à l’élaboration, au déroulement ou au contrôle du PCA (SI, Métier, Directeur, Services Généraux, Audit)
optimisation de la gestion de l’information par l’unicité des données renseignées
optimisation de la coordination des équipes au moment du sinistre : savoir qui doit faire quoi et à quel moment en cas de déclenchement d’un plan
Par ailleurs PARAD propose un module de gestion de crise d’un point de vue opérationnel, en assurant le suivi du bon déroulement du PCA à travers une main courante applicative et d’un diagramme de Gantt.
CEDRALIS : Qui sont vos clients ?
S. DAVID : Nous bénéficions de nom-breuses références auprès des banques (le groupe Crédit Mutuel – CIC, FORTIS Banque, le Crédit Immobilier de France, etc.), des assurances (la CNAV, la MAIF, la COFACE,…) ; mais aussi de sociétés industrielles et de la distribution (AUCHAN, KERNEOS,…). A l’international, nous avons des clients en Suisse, en Belgique et au Maroc. Par ailleurs, nous cherchons à nous adresser aux collectivités locales qui sont dans l’obligation de formaliser des Plans Communaux de Sauvegarde (PCS).
En savoir plus www.devoteam-parad.fr
Contact :
Tél. : 01.41.49.55.62
Info-parad@devoteam.com
|
|
|
Cadre réglementaire
Ces plans sont obligatoires dans certains secteurs comme celui des banques en Europe, suite à la Réglementation Bale 2, ou pour les sociétés cotées au New-York Stock Exchange, depuis la loi Sarbanes Oxley. Ils sont parfois imposés aux assureurs ou réassureurs, ou sont exigés par certains commanditaires chez leur fournisseurs ou sous-traitants ou parce que leur propre Plan le leur impose. Ils peuvent être imposés par des actionnaires soucieux de protéger leurs fonds.
Certaines primes d’assurance diminuent pour l’entreprise à risque si elle est dotée d’un tel plan, jugé correct par un audit de l’assureur. Des outils normalisés (ISO notamment) peuvent aider à l’amélioration continue de ces plans, mais leur contenu précis, ni la méthode ne sont normés ou précisément définis.
|
|
|
Le cas de la grippe aviaire
Après l’exemple du SRAS, dans le cadre du risque pandémique lié à la diffusion du virus H5N1, de nombreux plans nationaux demandent aux fournisseurs de services vitaux (alimen-tation, énergie, services de transport, de télécommunication, de santé, banques, etc.) de prépa-rer d’intégrer le risque pandémique dans leurs plans de continuité et de crise, de manière à pouvoir fournir un service minimum malgré un manque de personnel (mort, malade ou ab-sent).
Au contraire d’un incendie ou d’un problème informatique, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira ni combien de vagues suivront, ni à quelle intensité. 30 à 60 % du personnel pourrait localement manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les infrastructures de transport et de communication ne devraient pas être touchées, mais les déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les infrastructures pourraient loca-lement et durant un certain temps faire défaut.
La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pen-sent que le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau dépend totalement de la fourniture en électricité et du maintien du fonctionne-ment des télécommunications. Enfin, le télétravail demande une infrastructure informatique adaptée, et souvent plusieurs mois de préparation pour être opérationnel.
|
|
|
|
|
|
