SlideShare une entreprise Scribd logo
• Qu’est ce qu’un plan de continuité d'activité ?
• Est-il conseillé d'avoir un plan de continuité d'activité ?
• Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle
préparée ?
• Scénarios de risques génériques , conséquences et solutions
• Enjeux et Objectifs d’un PCA
• Elaborer un PCA : exigences & quoi garder en tête avantages
• Norme ISO 22301 et SMCA
• Mission PCA : Préalable, Etapes, organisation , livrables
• Focus spécial sur : engagement de la direction, RPCA et Correspondants PCA
• Business Impact Analysis, Analyses des risque et Stratégies de continuité
• Exercices et tests
• Différents plans de continuité d’activité et leur activation dans le temps
• Documentation , Sensibilisation , Formation et Communication
• Surveillance et Amélioration ( MCO)
• Urgence , Crise et activation du PCA 1
SOMMAIRE
• Un Plan de Continuité d‘Activité: se préparer pour maintenir l’activité en cas
de sinistre majeur
• Pour minimiser les préjudices suite à une crise ou à un sinistre majeur, le
meilleur atout est d'avoir un plan de continuité d'activité prêt à être
déployé.
• Un Plan de continuité d'activité : garantir la pérennité de l'activité quelles
que soient les circonstances.
• Un Plan de continuité d’activité: anticiper les risques qui menacent votre
entreprise afin de les contrer si besoin.
• Un Plan de continuité d’activité: maintenir un service minimum en toutes
circonstances
• Un plan de continuité d’activité : c’est anticiper différentes situations de
crise et mettre en place des stratégies pour limiter leur impact.
• Un Plan de continuité d’activité: Savoir comment réagir en cas d’urgence !
2
Qu’est ce qu’un plan de continuité d'activité ?
Pour accompagner les entreprises à mieux se préparer et les aider à gérer et maintenir leurs
activités en cas de catastrophe ou de sinistre grave, on élabore un Plan de Continuité
d’Activité.
Le Plan de Continuité des Activités apporte à l’entreprise des réponses concrètes aux
interrogations suivantes
• A quels risques l'entreprise ou la collectivité est-elle la plus vulnérable ?
• Quelles sont les activités et les ressources critiques qu'il convient de protéger par un plan
de secours ?
• Sous quel délai l'organisation doit-elle être à nouveau opérationnelle pour servir ses
clients ?
• Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et
préserver les actifs ?
• Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de
sécurisation et de communication?
• Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en
termes de locaux, de personnels, de ressources techniques, de matériels et
d'équipements ?
• Quels effectifs et quels moyens mobiliser pour assurer la continuité ou la reprise des
activités jusqu'au retour à la normale ?
3
Qu’est ce qu’un plan de continuité d'activité ?
Est-il conseillé d'avoir un plan de continuité d'activité ?
• Le PCA est une stratégie qui consiste à mettre en place les processus et les procédures
dont a besoin une entreprise pour fonctionner pendant et après un sinistre
• Un Plan de Continuité d’activité : Processus qui vise à assurer le fonctionnement dégradé
d’une entreprise en cas de sinistre majeur
• C'est une façon organisée et méthodique et éprouvée de gestion de crise destinée à
permettre à une entité (entreprise, collectivité, organisation, service public, établissement
de santé ou établissement scolaire…) de continuer de fonctionner malgré des
perturbations.
• Le Plan de Continuité d’activité fait office de plan de survie pour tout organisme qui ne
peut pas se permettre de se retrouver au point mort du jour au lendemain.
• Le PCA définit l'ensemble des dispositifs, des ressources et des moyens nécessaires à une
entreprise sinistrée pour éviter voire ( le cas échéant) reprendre dans les meilleurs délais
le fonctionnement optimal de ses activités stratégiques , critiques et vitales et lui
permettre ainsi de servir ses clients.
• Il s'agit « plus » de préserver les activités métiers de l'entreprise que son infrastructure
informatique.
4
Catastrophe Naturelle, Sinistre Majeur/Grave :
votre entreprise est-elle préparée ?
• Définition de Sinistre majeur : évènement sanitaire , physique, interne , externe non
maitrisable qui touche les biens ou les personnes et qui peut mettre en péril la
pérennité/viabilité d’une organisation.
• Est-ce que les entreprises sont à l’abri d’un sinistre majeur ???
• Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs
d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux,
défaillances techniques, erreurs, terrorisme, …).
• NON !! On n'est jamais totalement à l'abri... Les évènements sont internes ou
externes et peuvent survenir sous différentes formes et au moment où l'on s'y attend
le moins et si nous ne sommes pas préparés pour les prévenir , les détecter ou les
corriger et réduire leurs impacts , on risque TROP !!
• Qu'il s'agisse d'une inondation, d'un incendie, d'une explosion , d’un arrêt complet de
l’IT, d’une pandémie , d’une attaque terroriste ou cybernétique , d’un mouvement
social national ou d’une grève du transport ... un sinistre peut être fatal pour une
entreprise mal préparée.
5
L’entreprise va être amenée à gérer des situations imprévues
pouvant entraîner des chocs extrêmes ayant pour conséquence
une incapacité à redémarrer les activités et à fournir les services
attendus par ses clients ou son personnel ou ses partenaires
L’impact est alors extrêmement grave: perte financière lourde,
perte de confiance des clients et des partenaires, sanction civile
ou pénale, …
La survenance d’un sinistre peut même conduire à la disparition
de l’entreprise, en l’absence de plan de continuité d’activité.
Les chiffres parlent d'eux même :
25% des entreprises ne reprennent aucune activité
75% d’entre elles ferment dans les 3 ans
6
Catastrophe Naturelle, Sinistre Majeur/Grave :
votre entreprise est-elle préparée ?
Scénarios de risques génériques
1 . Bâtiment impraticable : panne totale de l’alimentation
électrique, blocage des accès par interdiction administrative
suite à fuite de gaz liée à des travaux sur la voie publique,
incendie, coupure de la téléphonie suite à des travaux sur la voie
publique…
2 . Perte d’accès aux systèmes d’information : coupure du réseau
suite à des travaux sur la voie publique, panne matérielle ou
logicielle, attaque virale, cyberattaque…
3 . Indisponibilité durable de personnes (70 % du personnel,
toutes compétences confondues) : Pandémie virale, grève
sociale…
4 . Indisponibilité des fournisseurs essentiels ou des sous-traitant
d’un fournisseur : indisponibilité de services critiques dispensés
par un fournisseur.
7
Les conséquences (impacts) d'un sinistre grave peuvent
être multiples :
• Conséquences directes :
– Bâtiments et matériaux endommagés
– Stocks détruits
– Travaux de nettoyage et de remise en état, etc.
– Exploitation interrompue
– Perte de chiffre d’affaires
– Perte de personnel : maladie, décès,..
– Désorganisation du travail
– Pénalités et sanctions
• Conséquences indirectes
– perte de clientèle
– dégradation de l'image de marque...
– départ de collaborateurs-clés
8
• La pérennité de l'entreprise va dépendre de sa capacité :
• à identifier et à évaluer les risques,
• à accroître la robustesse en durcissant les dispositifs de prévention et de
protection,
• à apporter les réponses appropriées en situation de crise et
• à engager les actions nécessaires pour un retour rapide à la normale.
• Mettre en place un PCA
• IMPORTANT : Pour augmenter les chances de réussite d’une mission PCA , Il
est recommandé de faire intervenir des personnes de différents services et
différentes compétences dans l’analyse et la mise en œuvre des plans ,
comme ca on s’assure de ne rien oublier.
• Tous les dirigeants de l'entreprise sont concernés et leur responsabilité
est directement engagée. Un PCA est un projet de la Haute Direction (
CA , DG)
• Toutes les structures de l’entreprise doivent être impliquées et tout le
personnel bien informé, sensibilisé et formé - Un PCA est un projet
holistique.
9
Quelles solutions ?
• Enjeux d’un PCA
• Viser en priorité à mettre en sécurité les personnes et les biens, et
ensuite restaurer les moyens de production.
• Garantir la survie de l’organisation en minimisant les impacts financiers,
juridiques et sur l’image de marque suite à un sinistre grave
• Rétablissement des activités en un temps limité
• conservation des données sensibles et critiques
• Conservation de la confiance des clients et des fournisseurs
• Anticipation des pertes et des surcoûts d’exploitation
• Maitriser la communication en cas de crise
• Favoriser la conquête du marché en rassurant les clients sur la sécurité
de leurs intérêts , services et données en cas de sinistre,
• Répondre aux obligations légales et règlementaires
• Objectifs d’un PCA
• Anticiper et maîtriser les risques opérationnels de grande envergure,
• Analyser et réduire les impacts potentiels d’une interruption d’activité.
• Définir une stratégie de continuité
• Développer la résilience : plans, solutions, …
10
Enjeux et Objectifs d’un PCA
Un investissement Mais aussi un Retour sur
Investissement (ROI)
• L’investissement dans un PCA conçu pour faire face à un
sinistre majeur, se trouve aussi rentabilisé par son
utilisation pour réagir à des accidents moins
spectaculaires, mais néanmoins potentiellement couteux
et plus fréquents
• La mise en place d’un PCA produit aussi d’autres gains,
même en fonctionnement normal :
• Gain de productivité liée à l’amélioration du fonctionnement
de l’organisme résultant d’une meilleure compréhension de ses
activités ;
• Gains liés à une augmentation de parts de marché lorsque la
sécurisation de l’activité de l’organisme constitue un argument
commercial ;
• Réduction ou non-augmentation des primes d’assurance, du
fait de la réduction des dommages ;
11
12
13
14
Elaborer son PCA
• Le PCA passe par 2 modes :
– Mode projet
– Mode processus continu
• Quelles que soient l’activité et la taille de
l’entreprise, le plan de continuité des activités doit
être mis en place et géré par une structure dédiée
qui pilote et anime sa mise en œuvre en cas de crise.
• L’élaboration du PCA doit commencer par une
identification préliminaire des principaux enjeux de
continuité ( objectifs stratégiques , exigences légales
, règlementaires et contractuelles,…) et la rédaction
d’une politique de continuité d’activité
• L’élaboration du PCA passe par différentes phases et
dure entre 12 et 18 mois
15
16
Garder en tête
Les obligations légales, règlementaires et contractuelles se
généralisent et exigent de mettre en place la continuité
d’activité
Certains secteurs sont dans l’obligation légale et/ou règlementaire vis-à-vis du gouvernement
d’assurer un service minimum en toutes circonstances, et donc d’avoir un Plan de Continuité
d’activité.
Les services vitaux doivent par définition ne jamais s’arrêter. Il s’agit de l’alimentation, l’eau,
l’énergie, les hôpitaux, les transports, la défense, la sécurité, la gestion des déchets, les
télécommunications ou encore les banques.
• Légales : lois au niveau national , peu nombreuses voire inexistantes
– Existence de lois dans le monde (US, canada, UE, Japon,…) pour protéger les
infrastructures critiques et garantir leur continuité
• Règlementaires : lois professionnelles imposées par les autorités de régulation par domaine
• France : AMF autorité des Marchés Financiers – 1997-
• Tunisie : BCT - CIRCULAIRE AUX ÉTABLISSEMENTS DE CRÉDIT N° 2006 - 19
• Règlementations Bâle /Solvency 2 : gérer les risques opérationnels dont la CA
• France : RGS : Référentiel Général de la Sécurité : Administrations – Critères CIDT
• Contractuelles : grands groupes industriels, de distribution ou de service doivent assurer la
continuité de leurs activités pour limiter les impacts financiers et sur l’image de marque
– Obligations de continuité imposées par leurs partenaires
– Obligations de continuité dans les contrats avec les sous traitants 17
18
La Norme ISO 22301 et SMCA
• Il faut une méthode pour aboutir à un PCA correct et bien organisé
• Pour cela , la norme ISO 22301 dédiée à la continuité d’activité introduit une
méthodologie éprouvée : c’est la notion de SMCA (Système de Management de
la Continuité d'Activité)
• Les informations sur la mise en œuvre d’un Plan de Continuité d’activité sont
détaillées dans le cadre de la norme ISO 22301 sous forme d’exigences et sont
applicables par des organisations de toutes tailles et de tous types.
• ISO 22301 participe à la sécurité sociétale : protection de la société et réponse
en cas d'incidents, de situations d'urgence et de catastrophes provoqués par des
actes humains intentionnels ou non intentionnels, des phénomènes dangereux
naturels ou des défaillances techniques
• Le SMCA ou le système à faire pour améliorer voire bien organiser votre PCA
est un dispositif organisationnel de gouvernance qui:
- vous demande de comprendre votre situation et exposition aux risques
- vous amène à réaliser des PCA adaptés à votre situation et à vos objectifs
de continuité
- vous exige une mise sous contrôle de tout cela et une amélioration
continue. 19
La Norme ISO 22301 et SMCA
• Une fois leur système de continuité d’activités en place selon ISO
22301, les organisations ont la possibilité de solliciter une
certification de conformité à la norme pour prouver leur respect
des bonnes pratiques de continuité d’activités aux instances
réglementaires, aux clients potentiels et à d’autres parties
intéressées.
• Il est supposé qu'une fois en place , un SMCA vous amènerait à
traiter vos risques et à réaliser des PCA corrects
• Un SMCA est donc un PCA conforme à ISO 22301 en ligne avec la
volonté de la direction.
20
ISO 22301:2019 – 7 exigences
21
La mise en place d’un PCA conforme à la norme ISO
22301 est gage d’un PCA mieux organisé
22
L’ACPR parle de PUPA et non plus de PCA
Dans le décret de 2014, l'ACPR mentionne le PUPA
en lieu et place du PCA Les banques et compagnies
d'assurance doivent donc avoir un PUPA : "Plan
d'Urgence et de Poursuite des Activités" c'est réagir
en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret:
"Ensemble de mesures visant à assurer, selon divers
scénarios de crise, y compris face à des chocs
extrêmes, le maintien de façon temporaire selon un
mode dégradé, des prestations de services ou
d’autres tâches opérationnelles essentielles ou
importantes de l’entreprise assujettie, puis la reprise
planifiée des activités et ce pour limiter les pertes"
23
L’ACPR parle de PUPA et non plus de PCA
Deux points méritent l'attention au niveau du décret de novembre 2014 et décrivent
l'attitude qui est attendue des organes de direction de l'entreprise
1- Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources
humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière
au regard des risques liés à la continuité de l’activité".
Il est clair qu'une appréciation des risques régulière est exigée sur les quatre ressources
citées pour éclairer les décisions de la direction
2- Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de
l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre
par les dirigeants effectifs."
Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux
tests/exercices, revues de direction et audits.
Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de
vérification de la performance. Aspects très importants à prendre en compte et tout à fait
dans l'esprit de la norme ISO 22301. Nous sommes très proches d'un système de
management conforme à ISO 22301.
24
25
Elaboration d’un PCA conforme à ISO 22301
• L’étape 1 : La définition des besoins métiers et l’analyse
des risques liés à la continuité des activités
• L’étape 2 : La définition des stratégies de continuité et
l’allocation du budget nécessaire à la reprise
• L’étape 3 : La définition et la mise en place des plans de
continuité, d’hébergement, de communication et de
gestion de crise.
• L’étape 4 : Les tests et la formation des personnes
concernées
• L’étape 5 : La maintenance en condition opérationnelle
26
Les activités clés d’une mission PCA conforme
à ISO 22301
• Déterminer les métiers critiques
Identifier les activités clés et les ressources (personnel, bâtiment, système
d’information, outils de travail, matières premières...) jugées essentielles pour
continuer la production de l’entreprise.
• Identifier les temps d’arrêt et gérer les risques prioritaires
Déterminer les temps d’arrêt maximum supportables de chaque activité pour
prioriser les actions et les situations de risques pour les anticiper voire les éviter
• Définir les stratégies de continuité en fonction des scénarios de
crise
 Pour chaque métier critique, décrire les mécanismes de fonctionnement en
mode dégradé (repli sur un autre site, partenariat, sous-traitance...), le niveau
de service à restaurer et les délais à ne pas dépasser.
 Identifier l’ordre de priorité de reprise jusqu’au retour à la normale.
27
Les activités clés d’une mission PCA conforme à
ISO 22301
• Prévoir une communication de crise
Préparer un plan de communication pour avertir le personnel, la clientèle, les
fournisseurs et les partenaires en cas d’incident majeur.
• Faire évoluer les plans
 Le PCA doit être tenu à jour. Il doit aussi faire l’objet de tests, d’exercices de
validation et de maintien à niveau afin de tenir compte des évolutions de
l’entreprise.
 Le PCA doit être élaboré avec les "opérationnels métiers" parce qu’ils sont les
mieux placés pour apprécier les risques et les conséquences.
 La direction doit s’impliquer dans l’élaboration du PCA et s’engager fortement
dans son suivi.
28
Les livrables d’une mission de Plan de Continuité
 La cartographie des risques encourus
 Les différents impacts d’arrêt pour l'entreprise
 Les stratégies de continuité retenues avec les délais de reprise visés
 L'organisation et les systèmes d'information de secours
- dispositif de gestion de crise
- processus métiers et support couverts
- acteurs de l'entreprise impactés
 Les procédures de reprise et de basculement
- sites de repli
- modalités d'hébergement et de repeuplement
- procédures de redémarrage et de retour à la normale
- modalités de fonctionnement dégradé
- plan de communication
- indicateurs de performance et engagements de service
 Les procédures de maintien en condition opérationnelle du PCA
- plan de test
- procédures de contrôle qualité
- organisation et structuration des activités de maîtrise des risques
29
Qui fait Quoi dans le cadre de l’élaboration et
de la gestion d’un PCA , à définir
• Soutien de la Direction Générale
• Projet et Méthodologie
• Organisation et Leadership
• BIA
• Analyse des risques
• Stratégies et solutions de continuité
• Plans de continuité
• Gestion de crise
• Exercices et tests
• Mesures , audit et revue de direction
• Certification
30
Soutien de la Direction Générale
• Maintenant que vous en savez plus sur le PCA , le SMCA et la norme ISO 22301,
je vous propose, avant de commencer tout projet de continuité d'activité, de
vous assurer que vous êtes soutenu par votre entreprise : le sponsor est la clé de
votre réussite !
• Il faut convaincre votre leadership ( DG , CA) de soutenir votre démarche ! Sans
leur appui, vous aurez une grande difficulté à mettre en place quoi que ce soit.
• Vous avez de la chance car vous êtes la BCT et vous êtes assujettie à une
réglementation obligeant à avoir des dispositifs de continuité d’activité
• Sinon , il aurait fallu persuader votre DG de l’intérêt de la mise en place d’un
PCA. La DG doit comprendre les risques pouvant impacter votre entreprise et
les conséquences de toute nature que pourrait engendrer l’arrêt de ses
activités.
• Il aurait fallu exposer des exemples de sinistres qui se sont déjà déroulés dans
des entreprises voisines ou du même secteur d'activité et souligner les
conséquences d'un sinistre :
– une perte d’image ;
– une perte financière ;
– un non-respect des contrats et de la règlementation ;
– des pertes d’actifs impactant les actionnaires de l’entreprise.
31
Soutien de la Direction Générale
• La Direction générale étant convaincue, son leadership va faciliter l’implication des
parties prenantes internes et externes.
• Pour montrer sa volonté d’agir , la Direction Générale va adresser une note à l’ensemble
des parties prenantes , indiquant son intention :
– de mettre en place le PCA et/ou SMCA pour produire des plans de continuité
d’activité opérationnels ;
– de nommer un responsable de la continuité d’activité ( RPCA) et ses adjoints et un
responsable de la continuité informatique (RPCI/RPSI) et ses adjoints prenant en
charge la responsabilité des plans de continuité d’activité de votre entreprise et de
son informatique;
– d’identifier les correspondants de PCA et leur définir leurs rôles
– de lui allouer les ressources/moyens nécessaires pour effectuer cette nouvelle
mission.
• Cette note identifie également des parties prenantes. Vous devrez les impliquer et leur
préciser leurs rôles dans la mise en place du PCA/SMCA.
• Les parties prenantes les plus importantes sont les clients, les fournisseurs, les
prestataires, les employés, les actionnaires et la société civile, les médias à la suite de
l’activation du PCA, etc.
• Pour les trois premiers, des clauses de continuité d’activité peuvent être prévues dans
les contrats. Quant aux employés, des actions de formations et de sensibilisation doivent
être organisées.
32
Projet PCA et Méthodologie
33
Organisation et Leadership
34
Bonnes Pratiques
• Il est déconseillé de Confier le pilotage d’un projet de PCA à un
responsable informatique ou au responsable des services généraux,
qui n’auront pas la vision « métier » de l’organisation.
• Il est préférable de Confier le pilotage du projet ( sponsor du projet)
au responsable chargé de la gestion des risques au sein de
l’organisation.
• À défaut, ce serait le responsable en charge du métier le plus
impliqué dans les activités essentielles de l’organisation.
• Quand au chef de projet , il devrait être Idéalement rattaché au
directeur des risques et Il doit connaître le métier et disposer d’une
autorité reconnue.
• Il devra être diplomate et bon communicant pour intégrer toutes
les parties prenantes : leur implication est cruciale pour la réussite
de votre projet.
• Il devra disposer de correspondants PCA ( relais/champions) dans
les différentes entités de l’organisation, dont les responsables
auront été eux-mêmes sensibilisés à l’objectif du PCA.
35
36
Organisation et Leadership
37
38
39
40
41
Les Correspondants PCA (CPCA)
 Au sein de chaque direction métier de l‘organisation , le CPCA est
l’interlocuteur du RPCA pour les questions relatives au PCA de son
périmètre. Il a un rôle transversal dans son unité.
 Le CPCA apporte sa connaissance des risques opérationnels métiers dans
la conduite des actions relatives au PCA. Il s’assure de la bonne
coordination et de la mise en cohérence.
 Le CPCA a les missions suivantes en cohérence avec la réglementation en
vigueur :
 Phase projet :
• Définit le PCA en cohérence avec les consignes de l’organisation ;
• Élabore des plans d’actions en matière de continuité des activités pour son
périmètre ;
• Identifie les processus transverses pour lesquels il existe des dépendances
avec d’autres entités vis-à-vis de l‘organisation ;
• Approuve les analyses des risques des activités liées aux processus métiers
avant leur validation par le pilote de processus (manager métier) ;
42
Les Correspondants PCA (CPCA)
 Phase de mise en œuvre :
• Gère son projet PCA (budget, …) ;
• Rédige ou valide les procédures décrites pour la continuité d’activité : ce rôle est
important et doit faire l’objet de lettres de mission de la part de la hiérarchie, c’est la
garantie de la viabilité du PCA ;
• Met en place l'organisation du site de repli retenu,
• Met en place l’organisation de crise de l’entité, veille à son actualisation ;
• Met en œuvre et coordonne les actions vis-à-vis de l‘organisation pour les processus
transverses ;
• Sensibilise tous les acteurs de la filière métier concernée aux objectifs et aux
pratiques adaptées en termes de continuité des activités ;
43
 Maintien en conditions opérationnelles :
• Organise les tests du PCA de son périmètre;
• Veille au bon déroulement du PCA en cas d’activation;
• Participe aux tests du PCA global ;
• Informe le RPCA des actions menées en matière de continuité des activités sur
son périmètre.
Rassembler périodiquement
les Correspondants PCA (CPCA) permettra :
• D’échanger les expériences de chacun ;
• De montrer que les objectifs fixés sont réalisables ;
• De créer une synergie entre les Correspondants PCA ;
• De prendre des décisions communes ;
• De faire prendre des engagements (objectifs) vis à vis de la communauté des
correspondants pour :
• mutualiser des moyens ou des ressources ;
• cloner des actions réalisées par une autre entité (« ne pas réinventer la roue ») ;
• procéder à des accords bilatéraux de secours mutuels notamment dans le cadre
de sinistres immeubles (mise à disposition réciproques de locaux, reprise de
l’activité d’un service par un autre, partenariat d’unités réalisant le même métier
dans des zones géographiques différentes…) ;
• faire « redescendre l’information » des comités de niveaux supérieurs et de
commenter les audits ;
• montrer les interactions (dépendances) des entités par rapport aux autres ;
• afficher l’objectif commun qu’est le PCA de l’organisme 44
• Le Bilan de l’Impact sur l’Activité ou Business Impact
Analysis est orienté métier. Pour savoir quelles sont les
activités les plus critiques de l’entreprise, l’exercice consiste
à imaginer la disparition d’une activité - quelles qu’en soient
les causes- et de regarder l’effet que cela produit.
• Cet effet peut se caractériser par une perte de chiffre
d’affaires, une baisse de résultat, un défaut d’image, une
violation d’un règlement, etc.
• Le PCA, imposant l’analyse des processus existants, est une
opportunité pour une entreprise car elle va pouvoir
optimiser ses processus en améliorant la synergie entre les
activités, en répartissant mieux l’utilisation des ressources
existantes et en renforçant le contrôle sur ses partenaires
ou fournisseurs les plus sensibles.
Analyse d’Impacts sur les Activités (BIA)
45
Analyse d’Impacts sur les Activités (BIA)
 la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la
Direction générale ;
 l’explicitation et la justification des besoins de continuité d’activité
(contractuelles, réglementaires, d'image, etc.) ;
 l’indication des ressources minimales nécessaires pour satisfaire aux
exigences de continuité d’activité ;
 la liste des activités liées et des parties intéressées
 DMIA/PMDT/OMCA
 Obtenir une compréhension des produits et services clés de l’entreprise,
ainsi que des activités qui permettent de les livrer.
 Déterminer les priorités et les délais de reprise des activités.
 Identifier les ressources/moyens et les dépendances nécessaires à la
continuité d’activité.
 Identifier les dépendances (internes et externes, dont les fournisseurs)
nécessaires à la continuité et à la reprise des activités.
Objectifs d’un BIA
46
Livrables d’un BIA
47
48
Obtenir une compréhension des produits et services clés de l’entreprise, ainsi
que des activités qui permettent de les livrer.
49
Identifier les ressources/moyens et les dépendances nécessaires à la continuité
d’activité.
50
Identifier les dépendances (internes et externes, dont les fournisseurs)
nécessaires à la continuité et à la reprise des activités.
51
52
53
DMIA/PMDT/OMCA/RTO/RPO
Pour chaque activité, le BIA évalue 5 paramètres :
• le Délai Maximal d’Interruption Admissible (DMIA) indiqué par le métier.
Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par
priorité de reprise d’activité
• la PMDT, c’est-à-dire la Perte Maximale de Données Tolérable indiquée par
le métier. Par exemple, aucune perte de données, 24 heures de perte de
données, etc. Cela dépend de la dernière prise de sauvegarde externalisée
nécessaire à la reprise d’activité ;
• l’OMCA, c’est-à-dire l’Objectif Minimal de Continuité d’Activité. Par
exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin
du DMIA qui marque le début de la reprise de l’activité.
• le RPO, ou Recovery Point Objective, qui correspond au PMDT métier et qui
désigne l'âge des fichiers à récupérer sur un stockage de sauvegarde pour
que les opérations normales puissent reprendre après la panne d'une
ressource (ordinateur, système ou réseau).
• le RTO, ou Recovery Time Objective, qui correspond au DMIA et qui
représente la durée maximale d'interruption admissible pendant laquelle une
ressource (ordinateur, système, réseau ou application) peut ne pas être
fonctionnelle à la suite d'une panne ou d'un désastre.
54
55
56
Exemples de livrables
57
Exemples de livrables
58
59
60
61
62
La gestion des risques définit des
scénarios
• La gestion des risques dans le PCA imagine des
scénarios de sinistres qui menacent la continuité
de l’activité dont elle évalue les conséquences sur
les biens (actifs) de l’entreprise.
• Pour le PCA, il s’agit de risques opérationnels,
susceptibles de compromettre les activités de
l’entreprise.
• Les sinistres envisagés sont de type inondation,
incendie, tremblement de terre, explosion
chimique,…bref tout ce qui est d’origine naturelle,
humaine ou technique et qui vise les biens de
l’entreprise ou les hommes.
63
Identification des actifs critiques
64
65
Scénarios de Risques menant à des sinistres
causant une indisponibilité des activités
• R1 : Bâtiment impraticable ;
• R2 : Site informatique indisponible ;
• R3 : Cyberattaque ;
• R4 : Fournisseur défaillant ;
• R5 : Inondation fluviale ;
• R6 : Indisponibilité massive de ressources humaines ;
• R7 : Mouvement social ;
• R8 : Coupure alimentation électrique ;
• R9 : Coupure physique de fibre ;
• R10 : Interdiction syndicale d’accès dans les locaux ;
66
Inondation, incendie, vandalisme : se préparer pour
protéger notre entreprise
• Inondation
– Anticipez le risque d'inondation et ses conséquences. Comment assurer la
continuité de votre activité en cas d'inondation ? A quelles garanties devez-
vous souscrire pour vous protéger d'une inondation ?
– Que faire avant, pendant et après une inondation ?
• Incendie
– Avez-vous les bons réflexes pour prévenir un incendie ? Votre entreprise a t-
elle des liquides inflammables, des systèmes de chauffage ou des systèmes de
détection d‘étincelles sur un outil de production ?
– Les différentes causes d'incendie en entreprise
• Vandalisme
– Les actes de vandalisme sont en constante augmentation et concernent
désormais tous les types d’activités.
– Précautions et solutions pour sécuriser son business
67
68
Exemple de scénario de risque et son analyse
Etude des scénarios de sinistres
69
Etude des scénarios de sinistres
70
71
Les solutions de prévention sont mises en œuvre avant la survenance de
l’événement perturbateur. Elles ont pour objectif de réduire sa probabilité de
survenance. Elles fonctionnent de manière proactive et doivent faire l’objet
d’amélioration continue.
Quelques exemples classiques de mesures de prévention :
•les systèmes de contrôle d’accès dans un bâtiment ;
•le secours de l’alimentation électrique par des onduleurs et des groupes
électrogènes ;
•la mise à jour régulière des logiciels de sécurité ;
•l'achat préventif de pompes de relevage, de dispositifs d’étanchéité temporaires
et amovibles pour pallier une inondation ;
72
Les solutions de détection sont installées avant la survenance de l’événement
perturbateur. Elles peuvent réduire l’impact en le détectant rapidement, permettant
ainsi de lancer rapidement une remontée d’alerte.
Quelques exemples de mesures de détection :
•installer des détecteurs de température, de fumée, de feu, d’intrusion physique ;
•implémenter un Security Operation Center (SOC), centre de supervision et
d'administration de la sécurité qui remonte les cyberattaques ;
•effectuer une veille active sur certains risques;
73
Les solutions de protection sont préparées et mises en place avant la survenance de
l’événement perturbateur. Pour être opérationnelles, ces mesures doivent être validées
régulièrement.
La principale solution de protection est la mise en place d’un plan de continuité d’activité
utilisant :
• des solutions de secours informatique ;
• des sites de repli des positions de travail.
Les solutions de secours permettent de reprendre l’activité en basculant les infrastructures
techniques vers un site de secours.
Les solutions de repli des positions de travail consistent en des moyens alternatifs situés dans
d’autres locaux non soumis aux mêmes risques.
74
BIA vs Analyse des risques
Première distinction essentielle : les objectifs de ces deux étapes dans le PCA
ne sont pas les mêmes :
• Pour la gestion des risques, l’objectif est de déterminer les scénarios de
sinistre les plus probables et de mettre en place des actions pour rendre le
risque résiduel acceptable ;
• Pour le bilan d’impact sur l’activité (BIA), l’objectif est de sélectionner les
activités critiques de l’entreprise et d’en déterminer les moyens sous-jacents.
Deuxième distinction :
• A la fin de l’étape « analyse de risque », l’entreprise dispose de plan
d’actions d’amélioration et peut hiérarchiser sur une « carte » les principaux
scénarios de sinistre qui la menacent. Le principal livrable est une
cartographie des risques qui positionne les scénarios sur deux axes :
conséquences et probabilité d’occurrence.
• A l’issue d’un BIA, l’entreprise a clairement identifié ses activités critiques et
sait donc ce qu’elle doit redémarrer au plus vite et comment. Le livrable
essentiel est une liste d’activités avec la criticité associée.
75
Stratégies de Continuité
Équilibre entre
risques, besoins et
coûts
76
77
Stratégies de Continuité
• Les stratégies de continuité déterminent l’ensemble des
composants qui vont constituer les Plans de Continuité
d’Activité.
• Elles définissent d’une part les modalités de reprise des
métiers en mode dégradé et d’autre part les solutions
techniques et organisationnelles à mettre en place. Il s’agit
de la phase d’étude préalable à la réalisation des solutions.
• L’élaboration de la stratégie de continuité s’appuie sur
l’expression en besoins de continuité d’activité réalisés avec
les métiers et sur les résultats de l’analyse des risques
• À l’issue de cette étape, quatre livrables doivent être
produits :
1. La stratégie de continuité d’activité métier.
2. L’étude des solutions de secours utilisateurs.
3. L’étude des solutions techniques.
4. L’étude des solutions logistiques et Moyens généraux 78
Scénarios d’indisponibilité et Stratégies de
Continuité
79
La stratégie de continuité d’activité
métier
• Des mesures de prévention ou de réduction des
risques issus de l’appréciation des risques que
vous avez décidé de traiter ;
• Des mesures de détection et de remontée
d’alerte ;
• Des moyens de protection, de maintien et/ou de
reprise des activités prioritaires qui ont été
déterminées lors du bilan d’impact sur l’activité
(BIA), avec les niveaux de service acceptables.
80
Étude des solutions pour le secours utilisateurs
L’objectif de l’étude des solutions de secours
utilisateurs est de trouver des locaux (bureaux) de
travail, mais également tout l’environnement de
travail nécessaire aux utilisateurs pour reprendre
leur activité.
Cela intègre, comme déjà évoqué dans le BIA :
– Le poste de travail informatique et les imprimantes.
– La téléphonie, classique ou spécifique.
– Les matériels et équipements divers (imprimés,
fournitures, etc.).
– Les échanges informatiques (liaisons réseau) avec les
clients, partenaires et institutions légales.
Solutions de repli externes et solutions de repli
internes ou l’utilisation du télétravail ( chez soi)
81
Étude des solutions techniques
Plan de Secours informatique
L’étude des solutions techniques pour le PCA est
bien souvent l’occasion de réaliser ou de mettre à
jour le Plan de Secours informatique (PSI).
Ce plan est la déclinaison de la démarche PCA sur le
périmètre de l’informatique seule.
Concernant ce périmètre, il faut le comprendre au
sens large. Il inclut :
o Le système d’information: serveurs, stockage, matériel de
sauvegarde , logiciels et applications .
o Le réseau dans sa globalité, soit le réseau local, le réseau
distant et Internet.
o La téléphonie IP, dite VoIP (Voice over IP).
82
Étude des solutions Logistique et Moyens
Généraux
 L’étude des solutions Logistiques et Moyens Généraux est souvent
le parent pauvre de l’étude du PCA.
 Pourtant, en cas de sinistre, le rôle de ces équipes est essentiel pour
sécuriser les locaux, assurer le transport de matériel, le déménagement
d’équipements et faire suivre le courrier.
 Pourquoi ? parce que les Moyens Généraux savent se débrouiller en cas
de besoin. Ce n’est pas totalement faux, mais même avec de la
débrouille, il est parfois difficile de réaliser certaines tâches si rien n’a
été prévu.
 L’étude à mener porte sur les besoins logistiques et en moyens
transverses en situation d’activation du PCA :
– La gestion de l’immobilier.
– La gestion des besoins des utilisateurs: nourriture , médicaments,…
– Le déménagement et transport d’équipements sur les sites de secours
(logistique PCA).
– Le réacheminement du courrier.
– La gestion des fournisseurs spécialisés, tels qu’imprimeurs, etc.
83
Stratégies de Continuité
84
Stratégies de Continuité
85
86
87
Secours à froid, actif-passif ou actif-actif
Le secours dit « à froid » / « cold site »
• Le site de secours n’est pas directement utilisable au quotidien ; en cas
d’activation, les moyens techniques du site de secours doivent être mis en
œuvre, les serveurs remontés (et mis à jour) et les données restaurées à partir
des sauvegardes de recours. Le délai de reprise d’activité est au minimum de
48 heures, dépendant de la durée de restauration des sauvegardes.
Le secours dit « actif-passif » / site chaud
• le site de secours est opérationnel au quotidien, tenu à jour en permanence,
les données sont répliquées (en temps réel ou pas). En cas d’activation, la
bascule technique peut être rapide car les moyens informatiques sont « en
veille » et activables moyennant des actions de démarrage et de basculement
du réseau. Le délai de reprise d’activité est de l’ordre de 24 heures.
Le secours dit « actif- actif » / site miroir
• Les deux sites sont en production (en répartition de charge) et sont le secours
l’un de l’autre. Le fait d’être en « production » implique qu’ils sont tenus à jour
en permanence, que les données sont répliquées en temps « quasi » réel. En
cas d’activation du PCA, la bascule technique peut être très rapide. Le délai de
reprise d’activité peut être inférieur à 4 heures.
88
La mise en œuvre du PCA
Chaque plan se divise en trois volets :
1. Un volet Infrastructures et locaux : site de repli, site de secours, serveurs de
secours, postes de travail,..etc.
2. Un volet Documentation et procédures : plans de reprise, procédures techniques et
fonctionnelles, documentation du plan.
3. Un volet organisationnel : organisation de crise, personnes à mobiliser, etc.
Concrètement, les solutions
sont composées des trois plans
à mettre en œuvre :
• Plan de Secours utilisateurs.
• Plan de Secours
informatique.
• Plan de Secours logistique
(qui inclut les Moyens
Généraux).
89
90
Chaque plan se
décompose en un
enchaînement
d’actions à exécuter.
Chaque action est
décrite par une
procédure illustrée si
besoin par un ou
plusieurs modes
opératoires.
Le plan Ressources
humaines
Déterminer avant la
survenance de
l’événement perturbateur
le traitement des
problématiques
d’astreinte, de travail à
distance, de pointage des
heures de travail, de
travail au-delà des heures
légales, de travail en
horaires non ouvrables,
etc.
91
92
Les étapes de l’activation du PCA
93
94
Gestion Documentaire
Un organisme qui souhaite se conformer à la norme ISO 22301 devra au moins :
1. Publier tous les documents exigés par la norme ;
2. Élaborer une procédure de contrôle des documents ;
3. Développer une procédure pour contrôler les enregistrements.
Un des premiers documents importants et obligatoires est la politique de
continuité d’activité de l’entreprise qu’il faut rédiger et faire valider par la
Direction générale.
95
Politique de Continuité des Activités
• Ce document de politique doit en quelques lignes
expliquer ce qu'est la continuité d’activité.
• Il devra inclure ensuite les points suivants :
– Prendre en compte le contexte et l’environnement de
l’entreprise.
– Exprimer clairement la volonté de la Direction générale en
termes d'enjeux associés à la continuité, comme par exemple
: les pertes financières, la détérioration de l'image en cas
d'interruption d'activité, la violation d'engagements
contractuels, le non-respect de la réglementation applicable.
– Citer les avantages de la mise en place de la continuité
– Attribuer des responsabilités : qui fait quoi ? Qui décide ? Qui
contrôle ?
– Indiquer les actions en cas d’exceptions et les sanctions en
cas de non respect 96
97
98
99
100
Maintenant …..
Il faut mettre en place ce qui est nécessaire pour mesurer et
auditer plus tard et voir rapidement où l’on en est, et ce qu’il
faut éventuellement corriger.
• des indicateurs ciblés mis en place, mesurés et présentés
régulièrement. Par exemple : nombre de personnes formées,
nombre de personnes sensibilisées, nombre d’exercices ;
• des revues diverses et leurs comptes rendus (réunion post
audit interne…) ;
• des retours sur événements (résultats des tests et exercices,
pannes ou interruptions vécues…) ;
• des rapports d’audits internes (nombre de non-conformités
majeures relevées…)
101
102
103
104
105
106
107
108
Quelques non conformités fréquemment
constatés lors d’un exercice
• des numéros de téléphone erronés ;
• des capacités de position de travail sur un site de
repli trop faibles.
• des déménagements d’activité d’un bâtiment
dans un autre ayant modifié le nombre de
position de travail à secourir pour ce bâtiment ;
• de nouvelles applications informatiques internes
ou externes non prises en compte dans le plan de
continuité d’activité ;
• une dépendance d’un fournisseur externe non
prise en compte dans le plan de continuité
d’activité.
109
Phase Check: Suivi , Contrôle et Revue
• Mesures et Indicateurs de performance ( 9.1)
• Audit interne (9.2)
• Revues de Direction (9.3)
110
111
Suivi , Contrôle et Revue
112
Mesures et Indicateurs
de performance ( 9.1)
113
Mesures et Indicateurs de performance ( 9.1)
114
Audit interne (9.2)
115
(9.3)
Maintien en Condition Opérationnelle /
Amélioration Continue
• Les entreprises évoluent aujourd’hui dans un environnement
particulièrement dynamique, avec des changements potentiels multiples
(environnement, structure, processus d’entreprise, interlocuteurs…).
• Le plan de continuité des activités, véritable outil de résilience, doit
impérativement rester en phase avec l’ensemble des évolutions de
l’entreprise, garder une pertinence et une efficience maximales pour
demeurer parfaitement opérationnel dans la durée.
• Le PCA n’est pas un classeur qui va occuper les étagères d’une armoire…
• Le maintien en condition opérationnelle (MCO) peut se définir
comme un processus récurrent de mise à jour et d’amélioration
continue du plan de continuité d’activité.
• Les travaux de MCO vont permettre de donner à la Direction générale
l’assurance que le PCA reste opérationnel dans le temps et ainsi permettre
une riposte efficace dans le cas d’un sinistre majeur. 116
117
Amélioration Continue (10)
118
Amélioration Continue (10)
119
Amélioration Continue (10)
120
Amélioration Continue (10)
Crise vs Urgence
• Nous parlons de gestion de crise lorsque les PCA sont
dépassés ou non concernés par la situation constatée
et nécessitent l’implication d’un organe de décision.
• Il faut différencier l’urgence de la crise. L’urgence est
issue d’une situation prévisible qui peut être gérée par
un PCA.
• La crise est une situation dont la maitrise est rendue
difficile voire impossible, par son ampleur, sa
soudaineté, ou l’indisponibilité des moyens (matériels
ou organisationnels).
• Les PCA ont pour vocation de réduire les situations de
crise en situation d’urgence.
121
122
Quelques bonnes pratiques pour
mettre en œuvre un PCA
• Impliquer la Direction Générale ;
• Intégrer la continuité d’activité dans la stratégie générale de votre
organisme ;
• Mettre en place une gouvernance de la continuité d’activité ;
• Faire identifier et chiffrer par les métiers, les impacts liés à
l’interruption des activités ;
• Mettre en place et entrainer des cellules de crise mobilisables à tout
moment ;
• Investir dans les solutions (site de secours informatique, de repli des
utilisateurs) ;
• Tester régulièrement les PCA mis en place ;
• Faire régulièrement des exercices d’entrainement simulant des
sinistres ;
• Prendre en compte les interconnexions avec l’extérieur : le risque ne se
limite pas à un périmètre interne ;
• Savoir intégrer la continuité d’activité dès la mise en place de
nouveaux projets. 123
Les normes ISO22300
• ISO 22300:2021 : Sécurité et résilience — Vocabulaire
• ISO 22313:2020 : Sécurité et résilience — Systèmes de
management de la continuité d'activité — Lignes directrices
sur l'utilisation de l'ISO 22301
• ISO/IEC 27031:2011, Technologies de l'information –
Techniques de sécurité – Lignes directrices pour mise en
état des technologies de la communication et de
l'information pour continuité des activités
• ISO/TS 22317:2021 - Security and resilience — Business
continuity management systems — Guidelines for business
impact analysis
• ISO 22311, Sécurité sociétale – Vidéosurveillance –
Interopérabilité de l’export :spécifie un format commun
pour les données qui peuvent être extraites des systèmes
de collecte de vidéosurveillance, par exemple à des fins
d'enquête,
124
• ISO 22315, Sécurité sociétale – Évacuation de masse
• ISO 22322, Sécurité sociétale – Gestion des urgences – Mises en
garde de la population
• ISO 22323, Sécurité sociétale – Systèmes de management de la
Résilience organisationnelle – Exigences et lignes directrices
pour son utilisation
• ISO 22325, Sécurité sociétale – Lignes directrices pour
l’évaluation de la capacité de gestion des urgences des
organisations
• ISO 22351, Sécurité sociétale – Gestion des urgences –
Appréciation concertée de la situation
• ISO 22397, Sécurité sociétale – Partenariats privé public – Lignes
directrices pour l’établissement d’accords de partenariat
• ISO 22398, Sécurité sociétale – Lignes directrices pour exercice
et essai
• ISO 22324, Sécurité sociétale – Gestion des urgences – Alerte à
code couleur 125
MERCI
126

Contenu connexe

Tendances

E 67 pont fog 403 a 404 a-411 a pièces détachées 7-78
E  67 pont fog 403 a 404 a-411 a pièces détachées 7-78E  67 pont fog 403 a 404 a-411 a pièces détachées 7-78
E 67 pont fog 403 a 404 a-411 a pièces détachées 7-78
fallay
 
Role of red cross in disaster management
Role of red cross in disaster managementRole of red cross in disaster management
Role of red cross in disaster management
noor ahmed
 
Wind Energy Project
Wind Energy ProjectWind Energy Project
Wind Energy Project
TBC Corporation
 
A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...
A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...
A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...
CDRN
 
Principles of disaster management
Principles of disaster managementPrinciples of disaster management
Principles of disaster management
SCGH ED CME
 
Disaster management system in India
Disaster management system in IndiaDisaster management system in India
Disaster management system in India
Pramoda Raj
 
159-200-2025
159-200-2025159-200-2025
159-200-2025
Devin Piraino
 
Disaster preparedness and hazard reduction processes
Disaster preparedness and hazard reduction processesDisaster preparedness and hazard reduction processes
Disaster preparedness and hazard reduction processes
Ash-Leigh
 
Industrial Management or Management Science Unit 3 Notes as per JNTUH
Industrial Management or Management Science Unit 3 Notes as per JNTUHIndustrial Management or Management Science Unit 3 Notes as per JNTUH
Industrial Management or Management Science Unit 3 Notes as per JNTUH
C Sai Kiran
 
Early warning systems
Early warning systemsEarly warning systems
Early warning systems
Rahul5110
 
Disaster management
Disaster managementDisaster management
Disaster management
gursimran bawa
 
Stakeholders in disaster management
Stakeholders in disaster managementStakeholders in disaster management
Stakeholders in disaster management
Nitika Nikks
 
Natural Hazards - Flood Response Planning
Natural Hazards -  Flood Response PlanningNatural Hazards -  Flood Response Planning
Natural Hazards - Flood Response Planning
Prof. David E. Alexander (UCL)
 
Industrial Management or Management Science Unit 2 Notes as per JNTUH
Industrial Management or Management Science Unit 2 Notes as per JNTUHIndustrial Management or Management Science Unit 2 Notes as per JNTUH
Industrial Management or Management Science Unit 2 Notes as per JNTUH
C Sai Kiran
 
Fault Tree Analysis
Fault Tree AnalysisFault Tree Analysis
Fault Tree Analysis
Chellamuthu K
 
Plano de Jurisdicciones de CPC´s en Cordoba
Plano de Jurisdicciones de CPC´s en CordobaPlano de Jurisdicciones de CPC´s en Cordoba
Plano de Jurisdicciones de CPC´s en Cordoba
Joaquín Luis Navarro
 
Development approaches to disaster management and risk management
Development approaches to disaster management and risk managementDevelopment approaches to disaster management and risk management
Development approaches to disaster management and risk management
barasa odula elias
 
Disaster management cycle, mitigation and preparedness
Disaster management cycle, mitigation and preparednessDisaster management cycle, mitigation and preparedness
Disaster management cycle, mitigation and preparedness
Shivani Khandelwal
 
Strategies for reducing vulnerability and strengthening adaptive capacity
Strategies for reducing vulnerability and strengthening adaptive capacityStrategies for reducing vulnerability and strengthening adaptive capacity
Strategies for reducing vulnerability and strengthening adaptive capacity
SatishBaral1
 

Tendances (20)

E 67 pont fog 403 a 404 a-411 a pièces détachées 7-78
E  67 pont fog 403 a 404 a-411 a pièces détachées 7-78E  67 pont fog 403 a 404 a-411 a pièces détachées 7-78
E 67 pont fog 403 a 404 a-411 a pièces détachées 7-78
 
Role of red cross in disaster management
Role of red cross in disaster managementRole of red cross in disaster management
Role of red cross in disaster management
 
Wind Energy Project
Wind Energy ProjectWind Energy Project
Wind Energy Project
 
A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...
A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...
A Presentation on "NGO's Role in Disaster Management" Presented by Mr. Deepak...
 
Principles of disaster management
Principles of disaster managementPrinciples of disaster management
Principles of disaster management
 
Disaster management system in India
Disaster management system in IndiaDisaster management system in India
Disaster management system in India
 
159-200-2025
159-200-2025159-200-2025
159-200-2025
 
Disaster preparedness and hazard reduction processes
Disaster preparedness and hazard reduction processesDisaster preparedness and hazard reduction processes
Disaster preparedness and hazard reduction processes
 
Industrial Management or Management Science Unit 3 Notes as per JNTUH
Industrial Management or Management Science Unit 3 Notes as per JNTUHIndustrial Management or Management Science Unit 3 Notes as per JNTUH
Industrial Management or Management Science Unit 3 Notes as per JNTUH
 
Early warning systems
Early warning systemsEarly warning systems
Early warning systems
 
Disaster management
Disaster managementDisaster management
Disaster management
 
Stakeholders in disaster management
Stakeholders in disaster managementStakeholders in disaster management
Stakeholders in disaster management
 
Natural Hazards - Flood Response Planning
Natural Hazards -  Flood Response PlanningNatural Hazards -  Flood Response Planning
Natural Hazards - Flood Response Planning
 
Industrial Management or Management Science Unit 2 Notes as per JNTUH
Industrial Management or Management Science Unit 2 Notes as per JNTUHIndustrial Management or Management Science Unit 2 Notes as per JNTUH
Industrial Management or Management Science Unit 2 Notes as per JNTUH
 
Fault Tree Analysis
Fault Tree AnalysisFault Tree Analysis
Fault Tree Analysis
 
Attestation de Travail SPC
Attestation de Travail SPCAttestation de Travail SPC
Attestation de Travail SPC
 
Plano de Jurisdicciones de CPC´s en Cordoba
Plano de Jurisdicciones de CPC´s en CordobaPlano de Jurisdicciones de CPC´s en Cordoba
Plano de Jurisdicciones de CPC´s en Cordoba
 
Development approaches to disaster management and risk management
Development approaches to disaster management and risk managementDevelopment approaches to disaster management and risk management
Development approaches to disaster management and risk management
 
Disaster management cycle, mitigation and preparedness
Disaster management cycle, mitigation and preparednessDisaster management cycle, mitigation and preparedness
Disaster management cycle, mitigation and preparedness
 
Strategies for reducing vulnerability and strengthening adaptive capacity
Strategies for reducing vulnerability and strengthening adaptive capacityStrategies for reducing vulnerability and strengthening adaptive capacity
Strategies for reducing vulnerability and strengthening adaptive capacity
 

Similaire à PCA et SMCA , description et differences.pptx

Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?
BRIVA
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
Wissem CHEROUANA
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaque
Paperjam_redaction
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédibles
PECB
 
Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19
Expense Reduction Analysts
 
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
GERESO
 
Pitch vf 280320 (1)
Pitch vf 280320 (1)Pitch vf 280320 (1)
Pitch vf 280320 (1)
Louis Mangin
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
Wissem CHEROUANA
 
Presentation Wifin
Presentation WifinPresentation Wifin
Presentation Wifinwifin
 
Presentation Activites Guelta
Presentation Activites GueltaPresentation Activites Guelta
Presentation Activites GueltaHOLLOCOU
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Eric CASPERS
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Patrick Giry-Deloison
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...PMI-Montréal
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021
Cyril Marsaud
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021
Cyril Marsaud
 
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCERTyou Formation
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
Avignon Delta Numérique
 
Cours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat   Swot   ProjetsCours Mgt Hd Strat   Swot   Projets
Cours Mgt Hd Strat Swot Projets
Prof. Jacques Folon (Ph.D)
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
OCTO Technology
 

Similaire à PCA et SMCA , description et differences.pptx (20)

Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaque
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédibles
 
Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19
 
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
 
Pitch vf 280320 (1)
Pitch vf 280320 (1)Pitch vf 280320 (1)
Pitch vf 280320 (1)
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
 
Presentation Wifin
Presentation WifinPresentation Wifin
Presentation Wifin
 
Presentation Activites Guelta
Presentation Activites GueltaPresentation Activites Guelta
Presentation Activites Guelta
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise  Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021
 
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
 
Wifin
WifinWifin
Wifin
 
Cours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat   Swot   ProjetsCours Mgt Hd Strat   Swot   Projets
Cours Mgt Hd Strat Swot Projets
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
 

PCA et SMCA , description et differences.pptx

  • 1. • Qu’est ce qu’un plan de continuité d'activité ? • Est-il conseillé d'avoir un plan de continuité d'activité ? • Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ? • Scénarios de risques génériques , conséquences et solutions • Enjeux et Objectifs d’un PCA • Elaborer un PCA : exigences & quoi garder en tête avantages • Norme ISO 22301 et SMCA • Mission PCA : Préalable, Etapes, organisation , livrables • Focus spécial sur : engagement de la direction, RPCA et Correspondants PCA • Business Impact Analysis, Analyses des risque et Stratégies de continuité • Exercices et tests • Différents plans de continuité d’activité et leur activation dans le temps • Documentation , Sensibilisation , Formation et Communication • Surveillance et Amélioration ( MCO) • Urgence , Crise et activation du PCA 1 SOMMAIRE
  • 2. • Un Plan de Continuité d‘Activité: se préparer pour maintenir l’activité en cas de sinistre majeur • Pour minimiser les préjudices suite à une crise ou à un sinistre majeur, le meilleur atout est d'avoir un plan de continuité d'activité prêt à être déployé. • Un Plan de continuité d'activité : garantir la pérennité de l'activité quelles que soient les circonstances. • Un Plan de continuité d’activité: anticiper les risques qui menacent votre entreprise afin de les contrer si besoin. • Un Plan de continuité d’activité: maintenir un service minimum en toutes circonstances • Un plan de continuité d’activité : c’est anticiper différentes situations de crise et mettre en place des stratégies pour limiter leur impact. • Un Plan de continuité d’activité: Savoir comment réagir en cas d’urgence ! 2 Qu’est ce qu’un plan de continuité d'activité ?
  • 3. Pour accompagner les entreprises à mieux se préparer et les aider à gérer et maintenir leurs activités en cas de catastrophe ou de sinistre grave, on élabore un Plan de Continuité d’Activité. Le Plan de Continuité des Activités apporte à l’entreprise des réponses concrètes aux interrogations suivantes • A quels risques l'entreprise ou la collectivité est-elle la plus vulnérable ? • Quelles sont les activités et les ressources critiques qu'il convient de protéger par un plan de secours ? • Sous quel délai l'organisation doit-elle être à nouveau opérationnelle pour servir ses clients ? • Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ? • Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation et de communication? • Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux, de personnels, de ressources techniques, de matériels et d'équipements ? • Quels effectifs et quels moyens mobiliser pour assurer la continuité ou la reprise des activités jusqu'au retour à la normale ? 3 Qu’est ce qu’un plan de continuité d'activité ?
  • 4. Est-il conseillé d'avoir un plan de continuité d'activité ? • Le PCA est une stratégie qui consiste à mettre en place les processus et les procédures dont a besoin une entreprise pour fonctionner pendant et après un sinistre • Un Plan de Continuité d’activité : Processus qui vise à assurer le fonctionnement dégradé d’une entreprise en cas de sinistre majeur • C'est une façon organisée et méthodique et éprouvée de gestion de crise destinée à permettre à une entité (entreprise, collectivité, organisation, service public, établissement de santé ou établissement scolaire…) de continuer de fonctionner malgré des perturbations. • Le Plan de Continuité d’activité fait office de plan de survie pour tout organisme qui ne peut pas se permettre de se retrouver au point mort du jour au lendemain. • Le PCA définit l'ensemble des dispositifs, des ressources et des moyens nécessaires à une entreprise sinistrée pour éviter voire ( le cas échéant) reprendre dans les meilleurs délais le fonctionnement optimal de ses activités stratégiques , critiques et vitales et lui permettre ainsi de servir ses clients. • Il s'agit « plus » de préserver les activités métiers de l'entreprise que son infrastructure informatique. 4
  • 5. Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ? • Définition de Sinistre majeur : évènement sanitaire , physique, interne , externe non maitrisable qui touche les biens ou les personnes et qui peut mettre en péril la pérennité/viabilité d’une organisation. • Est-ce que les entreprises sont à l’abri d’un sinistre majeur ??? • Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux, défaillances techniques, erreurs, terrorisme, …). • NON !! On n'est jamais totalement à l'abri... Les évènements sont internes ou externes et peuvent survenir sous différentes formes et au moment où l'on s'y attend le moins et si nous ne sommes pas préparés pour les prévenir , les détecter ou les corriger et réduire leurs impacts , on risque TROP !! • Qu'il s'agisse d'une inondation, d'un incendie, d'une explosion , d’un arrêt complet de l’IT, d’une pandémie , d’une attaque terroriste ou cybernétique , d’un mouvement social national ou d’une grève du transport ... un sinistre peut être fatal pour une entreprise mal préparée. 5
  • 6. L’entreprise va être amenée à gérer des situations imprévues pouvant entraîner des chocs extrêmes ayant pour conséquence une incapacité à redémarrer les activités et à fournir les services attendus par ses clients ou son personnel ou ses partenaires L’impact est alors extrêmement grave: perte financière lourde, perte de confiance des clients et des partenaires, sanction civile ou pénale, … La survenance d’un sinistre peut même conduire à la disparition de l’entreprise, en l’absence de plan de continuité d’activité. Les chiffres parlent d'eux même : 25% des entreprises ne reprennent aucune activité 75% d’entre elles ferment dans les 3 ans 6 Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ?
  • 7. Scénarios de risques génériques 1 . Bâtiment impraticable : panne totale de l’alimentation électrique, blocage des accès par interdiction administrative suite à fuite de gaz liée à des travaux sur la voie publique, incendie, coupure de la téléphonie suite à des travaux sur la voie publique… 2 . Perte d’accès aux systèmes d’information : coupure du réseau suite à des travaux sur la voie publique, panne matérielle ou logicielle, attaque virale, cyberattaque… 3 . Indisponibilité durable de personnes (70 % du personnel, toutes compétences confondues) : Pandémie virale, grève sociale… 4 . Indisponibilité des fournisseurs essentiels ou des sous-traitant d’un fournisseur : indisponibilité de services critiques dispensés par un fournisseur. 7
  • 8. Les conséquences (impacts) d'un sinistre grave peuvent être multiples : • Conséquences directes : – Bâtiments et matériaux endommagés – Stocks détruits – Travaux de nettoyage et de remise en état, etc. – Exploitation interrompue – Perte de chiffre d’affaires – Perte de personnel : maladie, décès,.. – Désorganisation du travail – Pénalités et sanctions • Conséquences indirectes – perte de clientèle – dégradation de l'image de marque... – départ de collaborateurs-clés 8
  • 9. • La pérennité de l'entreprise va dépendre de sa capacité : • à identifier et à évaluer les risques, • à accroître la robustesse en durcissant les dispositifs de prévention et de protection, • à apporter les réponses appropriées en situation de crise et • à engager les actions nécessaires pour un retour rapide à la normale. • Mettre en place un PCA • IMPORTANT : Pour augmenter les chances de réussite d’une mission PCA , Il est recommandé de faire intervenir des personnes de différents services et différentes compétences dans l’analyse et la mise en œuvre des plans , comme ca on s’assure de ne rien oublier. • Tous les dirigeants de l'entreprise sont concernés et leur responsabilité est directement engagée. Un PCA est un projet de la Haute Direction ( CA , DG) • Toutes les structures de l’entreprise doivent être impliquées et tout le personnel bien informé, sensibilisé et formé - Un PCA est un projet holistique. 9 Quelles solutions ?
  • 10. • Enjeux d’un PCA • Viser en priorité à mettre en sécurité les personnes et les biens, et ensuite restaurer les moyens de production. • Garantir la survie de l’organisation en minimisant les impacts financiers, juridiques et sur l’image de marque suite à un sinistre grave • Rétablissement des activités en un temps limité • conservation des données sensibles et critiques • Conservation de la confiance des clients et des fournisseurs • Anticipation des pertes et des surcoûts d’exploitation • Maitriser la communication en cas de crise • Favoriser la conquête du marché en rassurant les clients sur la sécurité de leurs intérêts , services et données en cas de sinistre, • Répondre aux obligations légales et règlementaires • Objectifs d’un PCA • Anticiper et maîtriser les risques opérationnels de grande envergure, • Analyser et réduire les impacts potentiels d’une interruption d’activité. • Définir une stratégie de continuité • Développer la résilience : plans, solutions, … 10 Enjeux et Objectifs d’un PCA
  • 11. Un investissement Mais aussi un Retour sur Investissement (ROI) • L’investissement dans un PCA conçu pour faire face à un sinistre majeur, se trouve aussi rentabilisé par son utilisation pour réagir à des accidents moins spectaculaires, mais néanmoins potentiellement couteux et plus fréquents • La mise en place d’un PCA produit aussi d’autres gains, même en fonctionnement normal : • Gain de productivité liée à l’amélioration du fonctionnement de l’organisme résultant d’une meilleure compréhension de ses activités ; • Gains liés à une augmentation de parts de marché lorsque la sécurisation de l’activité de l’organisme constitue un argument commercial ; • Réduction ou non-augmentation des primes d’assurance, du fait de la réduction des dommages ; 11
  • 12. 12
  • 13. 13
  • 14. 14
  • 15. Elaborer son PCA • Le PCA passe par 2 modes : – Mode projet – Mode processus continu • Quelles que soient l’activité et la taille de l’entreprise, le plan de continuité des activités doit être mis en place et géré par une structure dédiée qui pilote et anime sa mise en œuvre en cas de crise. • L’élaboration du PCA doit commencer par une identification préliminaire des principaux enjeux de continuité ( objectifs stratégiques , exigences légales , règlementaires et contractuelles,…) et la rédaction d’une politique de continuité d’activité • L’élaboration du PCA passe par différentes phases et dure entre 12 et 18 mois 15
  • 17. Les obligations légales, règlementaires et contractuelles se généralisent et exigent de mettre en place la continuité d’activité Certains secteurs sont dans l’obligation légale et/ou règlementaire vis-à-vis du gouvernement d’assurer un service minimum en toutes circonstances, et donc d’avoir un Plan de Continuité d’activité. Les services vitaux doivent par définition ne jamais s’arrêter. Il s’agit de l’alimentation, l’eau, l’énergie, les hôpitaux, les transports, la défense, la sécurité, la gestion des déchets, les télécommunications ou encore les banques. • Légales : lois au niveau national , peu nombreuses voire inexistantes – Existence de lois dans le monde (US, canada, UE, Japon,…) pour protéger les infrastructures critiques et garantir leur continuité • Règlementaires : lois professionnelles imposées par les autorités de régulation par domaine • France : AMF autorité des Marchés Financiers – 1997- • Tunisie : BCT - CIRCULAIRE AUX ÉTABLISSEMENTS DE CRÉDIT N° 2006 - 19 • Règlementations Bâle /Solvency 2 : gérer les risques opérationnels dont la CA • France : RGS : Référentiel Général de la Sécurité : Administrations – Critères CIDT • Contractuelles : grands groupes industriels, de distribution ou de service doivent assurer la continuité de leurs activités pour limiter les impacts financiers et sur l’image de marque – Obligations de continuité imposées par leurs partenaires – Obligations de continuité dans les contrats avec les sous traitants 17
  • 18. 18
  • 19. La Norme ISO 22301 et SMCA • Il faut une méthode pour aboutir à un PCA correct et bien organisé • Pour cela , la norme ISO 22301 dédiée à la continuité d’activité introduit une méthodologie éprouvée : c’est la notion de SMCA (Système de Management de la Continuité d'Activité) • Les informations sur la mise en œuvre d’un Plan de Continuité d’activité sont détaillées dans le cadre de la norme ISO 22301 sous forme d’exigences et sont applicables par des organisations de toutes tailles et de tous types. • ISO 22301 participe à la sécurité sociétale : protection de la société et réponse en cas d'incidents, de situations d'urgence et de catastrophes provoqués par des actes humains intentionnels ou non intentionnels, des phénomènes dangereux naturels ou des défaillances techniques • Le SMCA ou le système à faire pour améliorer voire bien organiser votre PCA est un dispositif organisationnel de gouvernance qui: - vous demande de comprendre votre situation et exposition aux risques - vous amène à réaliser des PCA adaptés à votre situation et à vos objectifs de continuité - vous exige une mise sous contrôle de tout cela et une amélioration continue. 19
  • 20. La Norme ISO 22301 et SMCA • Une fois leur système de continuité d’activités en place selon ISO 22301, les organisations ont la possibilité de solliciter une certification de conformité à la norme pour prouver leur respect des bonnes pratiques de continuité d’activités aux instances réglementaires, aux clients potentiels et à d’autres parties intéressées. • Il est supposé qu'une fois en place , un SMCA vous amènerait à traiter vos risques et à réaliser des PCA corrects • Un SMCA est donc un PCA conforme à ISO 22301 en ligne avec la volonté de la direction. 20
  • 21. ISO 22301:2019 – 7 exigences 21
  • 22. La mise en place d’un PCA conforme à la norme ISO 22301 est gage d’un PCA mieux organisé 22
  • 23. L’ACPR parle de PUPA et non plus de PCA Dans le décret de 2014, l'ACPR mentionne le PUPA en lieu et place du PCA Les banques et compagnies d'assurance doivent donc avoir un PUPA : "Plan d'Urgence et de Poursuite des Activités" c'est réagir en urgence et poursuivre des activités. La définition du PUPA qui est fournie dans le décret: "Ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et ce pour limiter les pertes" 23
  • 24. L’ACPR parle de PUPA et non plus de PCA Deux points méritent l'attention au niveau du décret de novembre 2014 et décrivent l'attitude qui est attendue des organes de direction de l'entreprise 1- Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité". Il est clair qu'une appréciation des risques régulière est exigée sur les quatre ressources citées pour éclairer les décisions de la direction 2- Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre par les dirigeants effectifs." Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux tests/exercices, revues de direction et audits. Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de vérification de la performance. Aspects très importants à prendre en compte et tout à fait dans l'esprit de la norme ISO 22301. Nous sommes très proches d'un système de management conforme à ISO 22301. 24
  • 25. 25
  • 26. Elaboration d’un PCA conforme à ISO 22301 • L’étape 1 : La définition des besoins métiers et l’analyse des risques liés à la continuité des activités • L’étape 2 : La définition des stratégies de continuité et l’allocation du budget nécessaire à la reprise • L’étape 3 : La définition et la mise en place des plans de continuité, d’hébergement, de communication et de gestion de crise. • L’étape 4 : Les tests et la formation des personnes concernées • L’étape 5 : La maintenance en condition opérationnelle 26
  • 27. Les activités clés d’une mission PCA conforme à ISO 22301 • Déterminer les métiers critiques Identifier les activités clés et les ressources (personnel, bâtiment, système d’information, outils de travail, matières premières...) jugées essentielles pour continuer la production de l’entreprise. • Identifier les temps d’arrêt et gérer les risques prioritaires Déterminer les temps d’arrêt maximum supportables de chaque activité pour prioriser les actions et les situations de risques pour les anticiper voire les éviter • Définir les stratégies de continuité en fonction des scénarios de crise  Pour chaque métier critique, décrire les mécanismes de fonctionnement en mode dégradé (repli sur un autre site, partenariat, sous-traitance...), le niveau de service à restaurer et les délais à ne pas dépasser.  Identifier l’ordre de priorité de reprise jusqu’au retour à la normale. 27
  • 28. Les activités clés d’une mission PCA conforme à ISO 22301 • Prévoir une communication de crise Préparer un plan de communication pour avertir le personnel, la clientèle, les fournisseurs et les partenaires en cas d’incident majeur. • Faire évoluer les plans  Le PCA doit être tenu à jour. Il doit aussi faire l’objet de tests, d’exercices de validation et de maintien à niveau afin de tenir compte des évolutions de l’entreprise.  Le PCA doit être élaboré avec les "opérationnels métiers" parce qu’ils sont les mieux placés pour apprécier les risques et les conséquences.  La direction doit s’impliquer dans l’élaboration du PCA et s’engager fortement dans son suivi. 28
  • 29. Les livrables d’une mission de Plan de Continuité  La cartographie des risques encourus  Les différents impacts d’arrêt pour l'entreprise  Les stratégies de continuité retenues avec les délais de reprise visés  L'organisation et les systèmes d'information de secours - dispositif de gestion de crise - processus métiers et support couverts - acteurs de l'entreprise impactés  Les procédures de reprise et de basculement - sites de repli - modalités d'hébergement et de repeuplement - procédures de redémarrage et de retour à la normale - modalités de fonctionnement dégradé - plan de communication - indicateurs de performance et engagements de service  Les procédures de maintien en condition opérationnelle du PCA - plan de test - procédures de contrôle qualité - organisation et structuration des activités de maîtrise des risques 29
  • 30. Qui fait Quoi dans le cadre de l’élaboration et de la gestion d’un PCA , à définir • Soutien de la Direction Générale • Projet et Méthodologie • Organisation et Leadership • BIA • Analyse des risques • Stratégies et solutions de continuité • Plans de continuité • Gestion de crise • Exercices et tests • Mesures , audit et revue de direction • Certification 30
  • 31. Soutien de la Direction Générale • Maintenant que vous en savez plus sur le PCA , le SMCA et la norme ISO 22301, je vous propose, avant de commencer tout projet de continuité d'activité, de vous assurer que vous êtes soutenu par votre entreprise : le sponsor est la clé de votre réussite ! • Il faut convaincre votre leadership ( DG , CA) de soutenir votre démarche ! Sans leur appui, vous aurez une grande difficulté à mettre en place quoi que ce soit. • Vous avez de la chance car vous êtes la BCT et vous êtes assujettie à une réglementation obligeant à avoir des dispositifs de continuité d’activité • Sinon , il aurait fallu persuader votre DG de l’intérêt de la mise en place d’un PCA. La DG doit comprendre les risques pouvant impacter votre entreprise et les conséquences de toute nature que pourrait engendrer l’arrêt de ses activités. • Il aurait fallu exposer des exemples de sinistres qui se sont déjà déroulés dans des entreprises voisines ou du même secteur d'activité et souligner les conséquences d'un sinistre : – une perte d’image ; – une perte financière ; – un non-respect des contrats et de la règlementation ; – des pertes d’actifs impactant les actionnaires de l’entreprise. 31
  • 32. Soutien de la Direction Générale • La Direction générale étant convaincue, son leadership va faciliter l’implication des parties prenantes internes et externes. • Pour montrer sa volonté d’agir , la Direction Générale va adresser une note à l’ensemble des parties prenantes , indiquant son intention : – de mettre en place le PCA et/ou SMCA pour produire des plans de continuité d’activité opérationnels ; – de nommer un responsable de la continuité d’activité ( RPCA) et ses adjoints et un responsable de la continuité informatique (RPCI/RPSI) et ses adjoints prenant en charge la responsabilité des plans de continuité d’activité de votre entreprise et de son informatique; – d’identifier les correspondants de PCA et leur définir leurs rôles – de lui allouer les ressources/moyens nécessaires pour effectuer cette nouvelle mission. • Cette note identifie également des parties prenantes. Vous devrez les impliquer et leur préciser leurs rôles dans la mise en place du PCA/SMCA. • Les parties prenantes les plus importantes sont les clients, les fournisseurs, les prestataires, les employés, les actionnaires et la société civile, les médias à la suite de l’activation du PCA, etc. • Pour les trois premiers, des clauses de continuité d’activité peuvent être prévues dans les contrats. Quant aux employés, des actions de formations et de sensibilisation doivent être organisées. 32
  • 33. Projet PCA et Méthodologie 33
  • 35. Bonnes Pratiques • Il est déconseillé de Confier le pilotage d’un projet de PCA à un responsable informatique ou au responsable des services généraux, qui n’auront pas la vision « métier » de l’organisation. • Il est préférable de Confier le pilotage du projet ( sponsor du projet) au responsable chargé de la gestion des risques au sein de l’organisation. • À défaut, ce serait le responsable en charge du métier le plus impliqué dans les activités essentielles de l’organisation. • Quand au chef de projet , il devrait être Idéalement rattaché au directeur des risques et Il doit connaître le métier et disposer d’une autorité reconnue. • Il devra être diplomate et bon communicant pour intégrer toutes les parties prenantes : leur implication est cruciale pour la réussite de votre projet. • Il devra disposer de correspondants PCA ( relais/champions) dans les différentes entités de l’organisation, dont les responsables auront été eux-mêmes sensibilisés à l’objectif du PCA. 35
  • 37. 37
  • 38. 38
  • 39. 39
  • 40. 40
  • 41. 41
  • 42. Les Correspondants PCA (CPCA)  Au sein de chaque direction métier de l‘organisation , le CPCA est l’interlocuteur du RPCA pour les questions relatives au PCA de son périmètre. Il a un rôle transversal dans son unité.  Le CPCA apporte sa connaissance des risques opérationnels métiers dans la conduite des actions relatives au PCA. Il s’assure de la bonne coordination et de la mise en cohérence.  Le CPCA a les missions suivantes en cohérence avec la réglementation en vigueur :  Phase projet : • Définit le PCA en cohérence avec les consignes de l’organisation ; • Élabore des plans d’actions en matière de continuité des activités pour son périmètre ; • Identifie les processus transverses pour lesquels il existe des dépendances avec d’autres entités vis-à-vis de l‘organisation ; • Approuve les analyses des risques des activités liées aux processus métiers avant leur validation par le pilote de processus (manager métier) ; 42
  • 43. Les Correspondants PCA (CPCA)  Phase de mise en œuvre : • Gère son projet PCA (budget, …) ; • Rédige ou valide les procédures décrites pour la continuité d’activité : ce rôle est important et doit faire l’objet de lettres de mission de la part de la hiérarchie, c’est la garantie de la viabilité du PCA ; • Met en place l'organisation du site de repli retenu, • Met en place l’organisation de crise de l’entité, veille à son actualisation ; • Met en œuvre et coordonne les actions vis-à-vis de l‘organisation pour les processus transverses ; • Sensibilise tous les acteurs de la filière métier concernée aux objectifs et aux pratiques adaptées en termes de continuité des activités ; 43  Maintien en conditions opérationnelles : • Organise les tests du PCA de son périmètre; • Veille au bon déroulement du PCA en cas d’activation; • Participe aux tests du PCA global ; • Informe le RPCA des actions menées en matière de continuité des activités sur son périmètre.
  • 44. Rassembler périodiquement les Correspondants PCA (CPCA) permettra : • D’échanger les expériences de chacun ; • De montrer que les objectifs fixés sont réalisables ; • De créer une synergie entre les Correspondants PCA ; • De prendre des décisions communes ; • De faire prendre des engagements (objectifs) vis à vis de la communauté des correspondants pour : • mutualiser des moyens ou des ressources ; • cloner des actions réalisées par une autre entité (« ne pas réinventer la roue ») ; • procéder à des accords bilatéraux de secours mutuels notamment dans le cadre de sinistres immeubles (mise à disposition réciproques de locaux, reprise de l’activité d’un service par un autre, partenariat d’unités réalisant le même métier dans des zones géographiques différentes…) ; • faire « redescendre l’information » des comités de niveaux supérieurs et de commenter les audits ; • montrer les interactions (dépendances) des entités par rapport aux autres ; • afficher l’objectif commun qu’est le PCA de l’organisme 44
  • 45. • Le Bilan de l’Impact sur l’Activité ou Business Impact Analysis est orienté métier. Pour savoir quelles sont les activités les plus critiques de l’entreprise, l’exercice consiste à imaginer la disparition d’une activité - quelles qu’en soient les causes- et de regarder l’effet que cela produit. • Cet effet peut se caractériser par une perte de chiffre d’affaires, une baisse de résultat, un défaut d’image, une violation d’un règlement, etc. • Le PCA, imposant l’analyse des processus existants, est une opportunité pour une entreprise car elle va pouvoir optimiser ses processus en améliorant la synergie entre les activités, en répartissant mieux l’utilisation des ressources existantes et en renforçant le contrôle sur ses partenaires ou fournisseurs les plus sensibles. Analyse d’Impacts sur les Activités (BIA) 45
  • 46. Analyse d’Impacts sur les Activités (BIA)  la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la Direction générale ;  l’explicitation et la justification des besoins de continuité d’activité (contractuelles, réglementaires, d'image, etc.) ;  l’indication des ressources minimales nécessaires pour satisfaire aux exigences de continuité d’activité ;  la liste des activités liées et des parties intéressées  DMIA/PMDT/OMCA  Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.  Déterminer les priorités et les délais de reprise des activités.  Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.  Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités. Objectifs d’un BIA 46 Livrables d’un BIA
  • 47. 47
  • 48. 48 Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.
  • 49. 49 Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.
  • 50. 50 Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités.
  • 51. 51
  • 52. 52
  • 53. 53
  • 54. DMIA/PMDT/OMCA/RTO/RPO Pour chaque activité, le BIA évalue 5 paramètres : • le Délai Maximal d’Interruption Admissible (DMIA) indiqué par le métier. Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par priorité de reprise d’activité • la PMDT, c’est-à-dire la Perte Maximale de Données Tolérable indiquée par le métier. Par exemple, aucune perte de données, 24 heures de perte de données, etc. Cela dépend de la dernière prise de sauvegarde externalisée nécessaire à la reprise d’activité ; • l’OMCA, c’est-à-dire l’Objectif Minimal de Continuité d’Activité. Par exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin du DMIA qui marque le début de la reprise de l’activité. • le RPO, ou Recovery Point Objective, qui correspond au PMDT métier et qui désigne l'âge des fichiers à récupérer sur un stockage de sauvegarde pour que les opérations normales puissent reprendre après la panne d'une ressource (ordinateur, système ou réseau). • le RTO, ou Recovery Time Objective, qui correspond au DMIA et qui représente la durée maximale d'interruption admissible pendant laquelle une ressource (ordinateur, système, réseau ou application) peut ne pas être fonctionnelle à la suite d'une panne ou d'un désastre. 54
  • 55. 55
  • 56. 56
  • 59. 59
  • 60. 60
  • 61. 61
  • 62. 62
  • 63. La gestion des risques définit des scénarios • La gestion des risques dans le PCA imagine des scénarios de sinistres qui menacent la continuité de l’activité dont elle évalue les conséquences sur les biens (actifs) de l’entreprise. • Pour le PCA, il s’agit de risques opérationnels, susceptibles de compromettre les activités de l’entreprise. • Les sinistres envisagés sont de type inondation, incendie, tremblement de terre, explosion chimique,…bref tout ce qui est d’origine naturelle, humaine ou technique et qui vise les biens de l’entreprise ou les hommes. 63
  • 65. 65
  • 66. Scénarios de Risques menant à des sinistres causant une indisponibilité des activités • R1 : Bâtiment impraticable ; • R2 : Site informatique indisponible ; • R3 : Cyberattaque ; • R4 : Fournisseur défaillant ; • R5 : Inondation fluviale ; • R6 : Indisponibilité massive de ressources humaines ; • R7 : Mouvement social ; • R8 : Coupure alimentation électrique ; • R9 : Coupure physique de fibre ; • R10 : Interdiction syndicale d’accès dans les locaux ; 66
  • 67. Inondation, incendie, vandalisme : se préparer pour protéger notre entreprise • Inondation – Anticipez le risque d'inondation et ses conséquences. Comment assurer la continuité de votre activité en cas d'inondation ? A quelles garanties devez- vous souscrire pour vous protéger d'une inondation ? – Que faire avant, pendant et après une inondation ? • Incendie – Avez-vous les bons réflexes pour prévenir un incendie ? Votre entreprise a t- elle des liquides inflammables, des systèmes de chauffage ou des systèmes de détection d‘étincelles sur un outil de production ? – Les différentes causes d'incendie en entreprise • Vandalisme – Les actes de vandalisme sont en constante augmentation et concernent désormais tous les types d’activités. – Précautions et solutions pour sécuriser son business 67
  • 68. 68 Exemple de scénario de risque et son analyse
  • 69. Etude des scénarios de sinistres 69
  • 70. Etude des scénarios de sinistres 70
  • 71. 71
  • 72. Les solutions de prévention sont mises en œuvre avant la survenance de l’événement perturbateur. Elles ont pour objectif de réduire sa probabilité de survenance. Elles fonctionnent de manière proactive et doivent faire l’objet d’amélioration continue. Quelques exemples classiques de mesures de prévention : •les systèmes de contrôle d’accès dans un bâtiment ; •le secours de l’alimentation électrique par des onduleurs et des groupes électrogènes ; •la mise à jour régulière des logiciels de sécurité ; •l'achat préventif de pompes de relevage, de dispositifs d’étanchéité temporaires et amovibles pour pallier une inondation ; 72
  • 73. Les solutions de détection sont installées avant la survenance de l’événement perturbateur. Elles peuvent réduire l’impact en le détectant rapidement, permettant ainsi de lancer rapidement une remontée d’alerte. Quelques exemples de mesures de détection : •installer des détecteurs de température, de fumée, de feu, d’intrusion physique ; •implémenter un Security Operation Center (SOC), centre de supervision et d'administration de la sécurité qui remonte les cyberattaques ; •effectuer une veille active sur certains risques; 73
  • 74. Les solutions de protection sont préparées et mises en place avant la survenance de l’événement perturbateur. Pour être opérationnelles, ces mesures doivent être validées régulièrement. La principale solution de protection est la mise en place d’un plan de continuité d’activité utilisant : • des solutions de secours informatique ; • des sites de repli des positions de travail. Les solutions de secours permettent de reprendre l’activité en basculant les infrastructures techniques vers un site de secours. Les solutions de repli des positions de travail consistent en des moyens alternatifs situés dans d’autres locaux non soumis aux mêmes risques. 74
  • 75. BIA vs Analyse des risques Première distinction essentielle : les objectifs de ces deux étapes dans le PCA ne sont pas les mêmes : • Pour la gestion des risques, l’objectif est de déterminer les scénarios de sinistre les plus probables et de mettre en place des actions pour rendre le risque résiduel acceptable ; • Pour le bilan d’impact sur l’activité (BIA), l’objectif est de sélectionner les activités critiques de l’entreprise et d’en déterminer les moyens sous-jacents. Deuxième distinction : • A la fin de l’étape « analyse de risque », l’entreprise dispose de plan d’actions d’amélioration et peut hiérarchiser sur une « carte » les principaux scénarios de sinistre qui la menacent. Le principal livrable est une cartographie des risques qui positionne les scénarios sur deux axes : conséquences et probabilité d’occurrence. • A l’issue d’un BIA, l’entreprise a clairement identifié ses activités critiques et sait donc ce qu’elle doit redémarrer au plus vite et comment. Le livrable essentiel est une liste d’activités avec la criticité associée. 75
  • 76. Stratégies de Continuité Équilibre entre risques, besoins et coûts 76
  • 77. 77
  • 78. Stratégies de Continuité • Les stratégies de continuité déterminent l’ensemble des composants qui vont constituer les Plans de Continuité d’Activité. • Elles définissent d’une part les modalités de reprise des métiers en mode dégradé et d’autre part les solutions techniques et organisationnelles à mettre en place. Il s’agit de la phase d’étude préalable à la réalisation des solutions. • L’élaboration de la stratégie de continuité s’appuie sur l’expression en besoins de continuité d’activité réalisés avec les métiers et sur les résultats de l’analyse des risques • À l’issue de cette étape, quatre livrables doivent être produits : 1. La stratégie de continuité d’activité métier. 2. L’étude des solutions de secours utilisateurs. 3. L’étude des solutions techniques. 4. L’étude des solutions logistiques et Moyens généraux 78
  • 79. Scénarios d’indisponibilité et Stratégies de Continuité 79
  • 80. La stratégie de continuité d’activité métier • Des mesures de prévention ou de réduction des risques issus de l’appréciation des risques que vous avez décidé de traiter ; • Des mesures de détection et de remontée d’alerte ; • Des moyens de protection, de maintien et/ou de reprise des activités prioritaires qui ont été déterminées lors du bilan d’impact sur l’activité (BIA), avec les niveaux de service acceptables. 80
  • 81. Étude des solutions pour le secours utilisateurs L’objectif de l’étude des solutions de secours utilisateurs est de trouver des locaux (bureaux) de travail, mais également tout l’environnement de travail nécessaire aux utilisateurs pour reprendre leur activité. Cela intègre, comme déjà évoqué dans le BIA : – Le poste de travail informatique et les imprimantes. – La téléphonie, classique ou spécifique. – Les matériels et équipements divers (imprimés, fournitures, etc.). – Les échanges informatiques (liaisons réseau) avec les clients, partenaires et institutions légales. Solutions de repli externes et solutions de repli internes ou l’utilisation du télétravail ( chez soi) 81
  • 82. Étude des solutions techniques Plan de Secours informatique L’étude des solutions techniques pour le PCA est bien souvent l’occasion de réaliser ou de mettre à jour le Plan de Secours informatique (PSI). Ce plan est la déclinaison de la démarche PCA sur le périmètre de l’informatique seule. Concernant ce périmètre, il faut le comprendre au sens large. Il inclut : o Le système d’information: serveurs, stockage, matériel de sauvegarde , logiciels et applications . o Le réseau dans sa globalité, soit le réseau local, le réseau distant et Internet. o La téléphonie IP, dite VoIP (Voice over IP). 82
  • 83. Étude des solutions Logistique et Moyens Généraux  L’étude des solutions Logistiques et Moyens Généraux est souvent le parent pauvre de l’étude du PCA.  Pourtant, en cas de sinistre, le rôle de ces équipes est essentiel pour sécuriser les locaux, assurer le transport de matériel, le déménagement d’équipements et faire suivre le courrier.  Pourquoi ? parce que les Moyens Généraux savent se débrouiller en cas de besoin. Ce n’est pas totalement faux, mais même avec de la débrouille, il est parfois difficile de réaliser certaines tâches si rien n’a été prévu.  L’étude à mener porte sur les besoins logistiques et en moyens transverses en situation d’activation du PCA : – La gestion de l’immobilier. – La gestion des besoins des utilisateurs: nourriture , médicaments,… – Le déménagement et transport d’équipements sur les sites de secours (logistique PCA). – Le réacheminement du courrier. – La gestion des fournisseurs spécialisés, tels qu’imprimeurs, etc. 83
  • 86. 86
  • 87. 87
  • 88. Secours à froid, actif-passif ou actif-actif Le secours dit « à froid » / « cold site » • Le site de secours n’est pas directement utilisable au quotidien ; en cas d’activation, les moyens techniques du site de secours doivent être mis en œuvre, les serveurs remontés (et mis à jour) et les données restaurées à partir des sauvegardes de recours. Le délai de reprise d’activité est au minimum de 48 heures, dépendant de la durée de restauration des sauvegardes. Le secours dit « actif-passif » / site chaud • le site de secours est opérationnel au quotidien, tenu à jour en permanence, les données sont répliquées (en temps réel ou pas). En cas d’activation, la bascule technique peut être rapide car les moyens informatiques sont « en veille » et activables moyennant des actions de démarrage et de basculement du réseau. Le délai de reprise d’activité est de l’ordre de 24 heures. Le secours dit « actif- actif » / site miroir • Les deux sites sont en production (en répartition de charge) et sont le secours l’un de l’autre. Le fait d’être en « production » implique qu’ils sont tenus à jour en permanence, que les données sont répliquées en temps « quasi » réel. En cas d’activation du PCA, la bascule technique peut être très rapide. Le délai de reprise d’activité peut être inférieur à 4 heures. 88
  • 89. La mise en œuvre du PCA Chaque plan se divise en trois volets : 1. Un volet Infrastructures et locaux : site de repli, site de secours, serveurs de secours, postes de travail,..etc. 2. Un volet Documentation et procédures : plans de reprise, procédures techniques et fonctionnelles, documentation du plan. 3. Un volet organisationnel : organisation de crise, personnes à mobiliser, etc. Concrètement, les solutions sont composées des trois plans à mettre en œuvre : • Plan de Secours utilisateurs. • Plan de Secours informatique. • Plan de Secours logistique (qui inclut les Moyens Généraux). 89
  • 90. 90
  • 91. Chaque plan se décompose en un enchaînement d’actions à exécuter. Chaque action est décrite par une procédure illustrée si besoin par un ou plusieurs modes opératoires. Le plan Ressources humaines Déterminer avant la survenance de l’événement perturbateur le traitement des problématiques d’astreinte, de travail à distance, de pointage des heures de travail, de travail au-delà des heures légales, de travail en horaires non ouvrables, etc. 91
  • 92. 92
  • 93. Les étapes de l’activation du PCA 93
  • 94. 94
  • 95. Gestion Documentaire Un organisme qui souhaite se conformer à la norme ISO 22301 devra au moins : 1. Publier tous les documents exigés par la norme ; 2. Élaborer une procédure de contrôle des documents ; 3. Développer une procédure pour contrôler les enregistrements. Un des premiers documents importants et obligatoires est la politique de continuité d’activité de l’entreprise qu’il faut rédiger et faire valider par la Direction générale. 95
  • 96. Politique de Continuité des Activités • Ce document de politique doit en quelques lignes expliquer ce qu'est la continuité d’activité. • Il devra inclure ensuite les points suivants : – Prendre en compte le contexte et l’environnement de l’entreprise. – Exprimer clairement la volonté de la Direction générale en termes d'enjeux associés à la continuité, comme par exemple : les pertes financières, la détérioration de l'image en cas d'interruption d'activité, la violation d'engagements contractuels, le non-respect de la réglementation applicable. – Citer les avantages de la mise en place de la continuité – Attribuer des responsabilités : qui fait quoi ? Qui décide ? Qui contrôle ? – Indiquer les actions en cas d’exceptions et les sanctions en cas de non respect 96
  • 97. 97
  • 98. 98
  • 99. 99
  • 100. 100
  • 101. Maintenant ….. Il faut mettre en place ce qui est nécessaire pour mesurer et auditer plus tard et voir rapidement où l’on en est, et ce qu’il faut éventuellement corriger. • des indicateurs ciblés mis en place, mesurés et présentés régulièrement. Par exemple : nombre de personnes formées, nombre de personnes sensibilisées, nombre d’exercices ; • des revues diverses et leurs comptes rendus (réunion post audit interne…) ; • des retours sur événements (résultats des tests et exercices, pannes ou interruptions vécues…) ; • des rapports d’audits internes (nombre de non-conformités majeures relevées…) 101
  • 102. 102
  • 103. 103
  • 104. 104
  • 105. 105
  • 106. 106
  • 107. 107
  • 108. 108
  • 109. Quelques non conformités fréquemment constatés lors d’un exercice • des numéros de téléphone erronés ; • des capacités de position de travail sur un site de repli trop faibles. • des déménagements d’activité d’un bâtiment dans un autre ayant modifié le nombre de position de travail à secourir pour ce bâtiment ; • de nouvelles applications informatiques internes ou externes non prises en compte dans le plan de continuité d’activité ; • une dépendance d’un fournisseur externe non prise en compte dans le plan de continuité d’activité. 109
  • 110. Phase Check: Suivi , Contrôle et Revue • Mesures et Indicateurs de performance ( 9.1) • Audit interne (9.2) • Revues de Direction (9.3) 110
  • 112. 112 Mesures et Indicateurs de performance ( 9.1)
  • 113. 113 Mesures et Indicateurs de performance ( 9.1)
  • 116. Maintien en Condition Opérationnelle / Amélioration Continue • Les entreprises évoluent aujourd’hui dans un environnement particulièrement dynamique, avec des changements potentiels multiples (environnement, structure, processus d’entreprise, interlocuteurs…). • Le plan de continuité des activités, véritable outil de résilience, doit impérativement rester en phase avec l’ensemble des évolutions de l’entreprise, garder une pertinence et une efficience maximales pour demeurer parfaitement opérationnel dans la durée. • Le PCA n’est pas un classeur qui va occuper les étagères d’une armoire… • Le maintien en condition opérationnelle (MCO) peut se définir comme un processus récurrent de mise à jour et d’amélioration continue du plan de continuité d’activité. • Les travaux de MCO vont permettre de donner à la Direction générale l’assurance que le PCA reste opérationnel dans le temps et ainsi permettre une riposte efficace dans le cas d’un sinistre majeur. 116
  • 121. Crise vs Urgence • Nous parlons de gestion de crise lorsque les PCA sont dépassés ou non concernés par la situation constatée et nécessitent l’implication d’un organe de décision. • Il faut différencier l’urgence de la crise. L’urgence est issue d’une situation prévisible qui peut être gérée par un PCA. • La crise est une situation dont la maitrise est rendue difficile voire impossible, par son ampleur, sa soudaineté, ou l’indisponibilité des moyens (matériels ou organisationnels). • Les PCA ont pour vocation de réduire les situations de crise en situation d’urgence. 121
  • 122. 122
  • 123. Quelques bonnes pratiques pour mettre en œuvre un PCA • Impliquer la Direction Générale ; • Intégrer la continuité d’activité dans la stratégie générale de votre organisme ; • Mettre en place une gouvernance de la continuité d’activité ; • Faire identifier et chiffrer par les métiers, les impacts liés à l’interruption des activités ; • Mettre en place et entrainer des cellules de crise mobilisables à tout moment ; • Investir dans les solutions (site de secours informatique, de repli des utilisateurs) ; • Tester régulièrement les PCA mis en place ; • Faire régulièrement des exercices d’entrainement simulant des sinistres ; • Prendre en compte les interconnexions avec l’extérieur : le risque ne se limite pas à un périmètre interne ; • Savoir intégrer la continuité d’activité dès la mise en place de nouveaux projets. 123
  • 124. Les normes ISO22300 • ISO 22300:2021 : Sécurité et résilience — Vocabulaire • ISO 22313:2020 : Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301 • ISO/IEC 27031:2011, Technologies de l'information – Techniques de sécurité – Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des activités • ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis • ISO 22311, Sécurité sociétale – Vidéosurveillance – Interopérabilité de l’export :spécifie un format commun pour les données qui peuvent être extraites des systèmes de collecte de vidéosurveillance, par exemple à des fins d'enquête, 124
  • 125. • ISO 22315, Sécurité sociétale – Évacuation de masse • ISO 22322, Sécurité sociétale – Gestion des urgences – Mises en garde de la population • ISO 22323, Sécurité sociétale – Systèmes de management de la Résilience organisationnelle – Exigences et lignes directrices pour son utilisation • ISO 22325, Sécurité sociétale – Lignes directrices pour l’évaluation de la capacité de gestion des urgences des organisations • ISO 22351, Sécurité sociétale – Gestion des urgences – Appréciation concertée de la situation • ISO 22397, Sécurité sociétale – Partenariats privé public – Lignes directrices pour l’établissement d’accords de partenariat • ISO 22398, Sécurité sociétale – Lignes directrices pour exercice et essai • ISO 22324, Sécurité sociétale – Gestion des urgences – Alerte à code couleur 125