SlideShare une entreprise Scribd logo

PCA et SMCA , description et differences.pptx

S
SoniazghalKallel

différence entre un PCA et un SMCA

Ingénierie
1  sur  126
Télécharger pour lire hors ligne
• Qu’est ce qu’un plan de continuité d'activité ? • Est-il conseillé d'avoir un plan de continuité d'activité ? • Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ? • Scénarios de risques génériques , conséquences et solutions • Enjeux et Objectifs d’un PCA • Elaborer un PCA : exigences & quoi garder en tête avantages • Norme ISO 22301 et SMCA • Mission PCA : Préalable, Etapes, organisation , livrables • Focus spécial sur : engagement de la direction, RPCA et Correspondants PCA • Business Impact Analysis, Analyses des risque et Stratégies de continuité • Exercices et tests • Différents plans de continuité d’activité et leur activation dans le temps • Documentation , Sensibilisation , Formation et Communication • Surveillance et Amélioration ( MCO) • Urgence , Crise et activation du PCA 1 SOMMAIRE
• Un Plan de Continuité d‘Activité: se préparer pour maintenir l’activité en cas de sinistre majeur • Pour minimiser les préjudices suite à une crise ou à un sinistre majeur, le meilleur atout est d'avoir un plan de continuité d'activité prêt à être déployé. • Un Plan de continuité d'activité : garantir la pérennité de l'activité quelles que soient les circonstances. • Un Plan de continuité d’activité: anticiper les risques qui menacent votre entreprise afin de les contrer si besoin. • Un Plan de continuité d’activité: maintenir un service minimum en toutes circonstances • Un plan de continuité d’activité : c’est anticiper différentes situations de crise et mettre en place des stratégies pour limiter leur impact. • Un Plan de continuité d’activité: Savoir comment réagir en cas d’urgence ! 2 Qu’est ce qu’un plan de continuité d'activité ?
Pour accompagner les entreprises à mieux se préparer et les aider à gérer et maintenir leurs activités en cas de catastrophe ou de sinistre grave, on élabore un Plan de Continuité d’Activité. Le Plan de Continuité des Activités apporte à l’entreprise des réponses concrètes aux interrogations suivantes • A quels risques l'entreprise ou la collectivité est-elle la plus vulnérable ? • Quelles sont les activités et les ressources critiques qu'il convient de protéger par un plan de secours ? • Sous quel délai l'organisation doit-elle être à nouveau opérationnelle pour servir ses clients ? • Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ? • Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation et de communication? • Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux, de personnels, de ressources techniques, de matériels et d'équipements ? • Quels effectifs et quels moyens mobiliser pour assurer la continuité ou la reprise des activités jusqu'au retour à la normale ? 3 Qu’est ce qu’un plan de continuité d'activité ?
Est-il conseillé d'avoir un plan de continuité d'activité ? • Le PCA est une stratégie qui consiste à mettre en place les processus et les procédures dont a besoin une entreprise pour fonctionner pendant et après un sinistre • Un Plan de Continuité d’activité : Processus qui vise à assurer le fonctionnement dégradé d’une entreprise en cas de sinistre majeur • C'est une façon organisée et méthodique et éprouvée de gestion de crise destinée à permettre à une entité (entreprise, collectivité, organisation, service public, établissement de santé ou établissement scolaire…) de continuer de fonctionner malgré des perturbations. • Le Plan de Continuité d’activité fait office de plan de survie pour tout organisme qui ne peut pas se permettre de se retrouver au point mort du jour au lendemain. • Le PCA définit l'ensemble des dispositifs, des ressources et des moyens nécessaires à une entreprise sinistrée pour éviter voire ( le cas échéant) reprendre dans les meilleurs délais le fonctionnement optimal de ses activités stratégiques , critiques et vitales et lui permettre ainsi de servir ses clients. • Il s'agit « plus » de préserver les activités métiers de l'entreprise que son infrastructure informatique. 4
Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ? • Définition de Sinistre majeur : évènement sanitaire , physique, interne , externe non maitrisable qui touche les biens ou les personnes et qui peut mettre en péril la pérennité/viabilité d’une organisation. • Est-ce que les entreprises sont à l’abri d’un sinistre majeur ??? • Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux, défaillances techniques, erreurs, terrorisme, …). • NON !! On n'est jamais totalement à l'abri... Les évènements sont internes ou externes et peuvent survenir sous différentes formes et au moment où l'on s'y attend le moins et si nous ne sommes pas préparés pour les prévenir , les détecter ou les corriger et réduire leurs impacts , on risque TROP !! • Qu'il s'agisse d'une inondation, d'un incendie, d'une explosion , d’un arrêt complet de l’IT, d’une pandémie , d’une attaque terroriste ou cybernétique , d’un mouvement social national ou d’une grève du transport ... un sinistre peut être fatal pour une entreprise mal préparée. 5
L’entreprise va être amenée à gérer des situations imprévues pouvant entraîner des chocs extrêmes ayant pour conséquence une incapacité à redémarrer les activités et à fournir les services attendus par ses clients ou son personnel ou ses partenaires L’impact est alors extrêmement grave: perte financière lourde, perte de confiance des clients et des partenaires, sanction civile ou pénale, … La survenance d’un sinistre peut même conduire à la disparition de l’entreprise, en l’absence de plan de continuité d’activité. Les chiffres parlent d'eux même : 25% des entreprises ne reprennent aucune activité 75% d’entre elles ferment dans les 3 ans 6 Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ?
Scénarios de risques génériques 1 . Bâtiment impraticable : panne totale de l’alimentation électrique, blocage des accès par interdiction administrative suite à fuite de gaz liée à des travaux sur la voie publique, incendie, coupure de la téléphonie suite à des travaux sur la voie publique… 2 . Perte d’accès aux systèmes d’information : coupure du réseau suite à des travaux sur la voie publique, panne matérielle ou logicielle, attaque virale, cyberattaque… 3 . Indisponibilité durable de personnes (70 % du personnel, toutes compétences confondues) : Pandémie virale, grève sociale… 4 . Indisponibilité des fournisseurs essentiels ou des sous-traitant d’un fournisseur : indisponibilité de services critiques dispensés par un fournisseur. 7
Les conséquences (impacts) d'un sinistre grave peuvent être multiples : • Conséquences directes : – Bâtiments et matériaux endommagés – Stocks détruits – Travaux de nettoyage et de remise en état, etc. – Exploitation interrompue – Perte de chiffre d’affaires – Perte de personnel : maladie, décès,.. – Désorganisation du travail – Pénalités et sanctions • Conséquences indirectes – perte de clientèle – dégradation de l'image de marque... – départ de collaborateurs-clés 8
• La pérennité de l'entreprise va dépendre de sa capacité : • à identifier et à évaluer les risques, • à accroître la robustesse en durcissant les dispositifs de prévention et de protection, • à apporter les réponses appropriées en situation de crise et • à engager les actions nécessaires pour un retour rapide à la normale. • Mettre en place un PCA • IMPORTANT : Pour augmenter les chances de réussite d’une mission PCA , Il est recommandé de faire intervenir des personnes de différents services et différentes compétences dans l’analyse et la mise en œuvre des plans , comme ca on s’assure de ne rien oublier. • Tous les dirigeants de l'entreprise sont concernés et leur responsabilité est directement engagée. Un PCA est un projet de la Haute Direction ( CA , DG) • Toutes les structures de l’entreprise doivent être impliquées et tout le personnel bien informé, sensibilisé et formé - Un PCA est un projet holistique. 9 Quelles solutions ?
• Enjeux d’un PCA • Viser en priorité à mettre en sécurité les personnes et les biens, et ensuite restaurer les moyens de production. • Garantir la survie de l’organisation en minimisant les impacts financiers, juridiques et sur l’image de marque suite à un sinistre grave • Rétablissement des activités en un temps limité • conservation des données sensibles et critiques • Conservation de la confiance des clients et des fournisseurs • Anticipation des pertes et des surcoûts d’exploitation • Maitriser la communication en cas de crise • Favoriser la conquête du marché en rassurant les clients sur la sécurité de leurs intérêts , services et données en cas de sinistre, • Répondre aux obligations légales et règlementaires • Objectifs d’un PCA • Anticiper et maîtriser les risques opérationnels de grande envergure, • Analyser et réduire les impacts potentiels d’une interruption d’activité. • Définir une stratégie de continuité • Développer la résilience : plans, solutions, … 10 Enjeux et Objectifs d’un PCA
Un investissement Mais aussi un Retour sur Investissement (ROI) • L’investissement dans un PCA conçu pour faire face à un sinistre majeur, se trouve aussi rentabilisé par son utilisation pour réagir à des accidents moins spectaculaires, mais néanmoins potentiellement couteux et plus fréquents • La mise en place d’un PCA produit aussi d’autres gains, même en fonctionnement normal : • Gain de productivité liée à l’amélioration du fonctionnement de l’organisme résultant d’une meilleure compréhension de ses activités ; • Gains liés à une augmentation de parts de marché lorsque la sécurisation de l’activité de l’organisme constitue un argument commercial ; • Réduction ou non-augmentation des primes d’assurance, du fait de la réduction des dommages ; 11
12
13
14
Elaborer son PCA • Le PCA passe par 2 modes : – Mode projet – Mode processus continu • Quelles que soient l’activité et la taille de l’entreprise, le plan de continuité des activités doit être mis en place et géré par une structure dédiée qui pilote et anime sa mise en œuvre en cas de crise. • L’élaboration du PCA doit commencer par une identification préliminaire des principaux enjeux de continuité ( objectifs stratégiques , exigences légales , règlementaires et contractuelles,…) et la rédaction d’une politique de continuité d’activité • L’élaboration du PCA passe par différentes phases et dure entre 12 et 18 mois 15
16 Garder en tête
Les obligations légales, règlementaires et contractuelles se généralisent et exigent de mettre en place la continuité d’activité Certains secteurs sont dans l’obligation légale et/ou règlementaire vis-à-vis du gouvernement d’assurer un service minimum en toutes circonstances, et donc d’avoir un Plan de Continuité d’activité. Les services vitaux doivent par définition ne jamais s’arrêter. Il s’agit de l’alimentation, l’eau, l’énergie, les hôpitaux, les transports, la défense, la sécurité, la gestion des déchets, les télécommunications ou encore les banques. • Légales : lois au niveau national , peu nombreuses voire inexistantes – Existence de lois dans le monde (US, canada, UE, Japon,…) pour protéger les infrastructures critiques et garantir leur continuité • Règlementaires : lois professionnelles imposées par les autorités de régulation par domaine • France : AMF autorité des Marchés Financiers – 1997- • Tunisie : BCT - CIRCULAIRE AUX ÉTABLISSEMENTS DE CRÉDIT N° 2006 - 19 • Règlementations Bâle /Solvency 2 : gérer les risques opérationnels dont la CA • France : RGS : Référentiel Général de la Sécurité : Administrations – Critères CIDT • Contractuelles : grands groupes industriels, de distribution ou de service doivent assurer la continuité de leurs activités pour limiter les impacts financiers et sur l’image de marque – Obligations de continuité imposées par leurs partenaires – Obligations de continuité dans les contrats avec les sous traitants 17
18
La Norme ISO 22301 et SMCA • Il faut une méthode pour aboutir à un PCA correct et bien organisé • Pour cela , la norme ISO 22301 dédiée à la continuité d’activité introduit une méthodologie éprouvée : c’est la notion de SMCA (Système de Management de la Continuité d'Activité) • Les informations sur la mise en œuvre d’un Plan de Continuité d’activité sont détaillées dans le cadre de la norme ISO 22301 sous forme d’exigences et sont applicables par des organisations de toutes tailles et de tous types. • ISO 22301 participe à la sécurité sociétale : protection de la société et réponse en cas d'incidents, de situations d'urgence et de catastrophes provoqués par des actes humains intentionnels ou non intentionnels, des phénomènes dangereux naturels ou des défaillances techniques • Le SMCA ou le système à faire pour améliorer voire bien organiser votre PCA est un dispositif organisationnel de gouvernance qui: - vous demande de comprendre votre situation et exposition aux risques - vous amène à réaliser des PCA adaptés à votre situation et à vos objectifs de continuité - vous exige une mise sous contrôle de tout cela et une amélioration continue. 19
La Norme ISO 22301 et SMCA • Une fois leur système de continuité d’activités en place selon ISO 22301, les organisations ont la possibilité de solliciter une certification de conformité à la norme pour prouver leur respect des bonnes pratiques de continuité d’activités aux instances réglementaires, aux clients potentiels et à d’autres parties intéressées. • Il est supposé qu'une fois en place , un SMCA vous amènerait à traiter vos risques et à réaliser des PCA corrects • Un SMCA est donc un PCA conforme à ISO 22301 en ligne avec la volonté de la direction. 20
ISO 22301:2019 – 7 exigences 21
La mise en place d’un PCA conforme à la norme ISO 22301 est gage d’un PCA mieux organisé 22
L’ACPR parle de PUPA et non plus de PCA Dans le décret de 2014, l'ACPR mentionne le PUPA en lieu et place du PCA Les banques et compagnies d'assurance doivent donc avoir un PUPA : "Plan d'Urgence et de Poursuite des Activités" c'est réagir en urgence et poursuivre des activités. La définition du PUPA qui est fournie dans le décret: "Ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et ce pour limiter les pertes" 23
L’ACPR parle de PUPA et non plus de PCA Deux points méritent l'attention au niveau du décret de novembre 2014 et décrivent l'attitude qui est attendue des organes de direction de l'entreprise 1- Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité". Il est clair qu'une appréciation des risques régulière est exigée sur les quatre ressources citées pour éclairer les décisions de la direction 2- Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre par les dirigeants effectifs." Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux tests/exercices, revues de direction et audits. Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de vérification de la performance. Aspects très importants à prendre en compte et tout à fait dans l'esprit de la norme ISO 22301. Nous sommes très proches d'un système de management conforme à ISO 22301. 24
25
Elaboration d’un PCA conforme à ISO 22301 • L’étape 1 : La définition des besoins métiers et l’analyse des risques liés à la continuité des activités • L’étape 2 : La définition des stratégies de continuité et l’allocation du budget nécessaire à la reprise • L’étape 3 : La définition et la mise en place des plans de continuité, d’hébergement, de communication et de gestion de crise. • L’étape 4 : Les tests et la formation des personnes concernées • L’étape 5 : La maintenance en condition opérationnelle 26
Les activités clés d’une mission PCA conforme à ISO 22301 • Déterminer les métiers critiques Identifier les activités clés et les ressources (personnel, bâtiment, système d’information, outils de travail, matières premières...) jugées essentielles pour continuer la production de l’entreprise. • Identifier les temps d’arrêt et gérer les risques prioritaires Déterminer les temps d’arrêt maximum supportables de chaque activité pour prioriser les actions et les situations de risques pour les anticiper voire les éviter • Définir les stratégies de continuité en fonction des scénarios de crise  Pour chaque métier critique, décrire les mécanismes de fonctionnement en mode dégradé (repli sur un autre site, partenariat, sous-traitance...), le niveau de service à restaurer et les délais à ne pas dépasser.  Identifier l’ordre de priorité de reprise jusqu’au retour à la normale. 27
Les activités clés d’une mission PCA conforme à ISO 22301 • Prévoir une communication de crise Préparer un plan de communication pour avertir le personnel, la clientèle, les fournisseurs et les partenaires en cas d’incident majeur. • Faire évoluer les plans  Le PCA doit être tenu à jour. Il doit aussi faire l’objet de tests, d’exercices de validation et de maintien à niveau afin de tenir compte des évolutions de l’entreprise.  Le PCA doit être élaboré avec les "opérationnels métiers" parce qu’ils sont les mieux placés pour apprécier les risques et les conséquences.  La direction doit s’impliquer dans l’élaboration du PCA et s’engager fortement dans son suivi. 28
Les livrables d’une mission de Plan de Continuité  La cartographie des risques encourus  Les différents impacts d’arrêt pour l'entreprise  Les stratégies de continuité retenues avec les délais de reprise visés  L'organisation et les systèmes d'information de secours - dispositif de gestion de crise - processus métiers et support couverts - acteurs de l'entreprise impactés  Les procédures de reprise et de basculement - sites de repli - modalités d'hébergement et de repeuplement - procédures de redémarrage et de retour à la normale - modalités de fonctionnement dégradé - plan de communication - indicateurs de performance et engagements de service  Les procédures de maintien en condition opérationnelle du PCA - plan de test - procédures de contrôle qualité - organisation et structuration des activités de maîtrise des risques 29
Qui fait Quoi dans le cadre de l’élaboration et de la gestion d’un PCA , à définir • Soutien de la Direction Générale • Projet et Méthodologie • Organisation et Leadership • BIA • Analyse des risques • Stratégies et solutions de continuité • Plans de continuité • Gestion de crise • Exercices et tests • Mesures , audit et revue de direction • Certification 30
Soutien de la Direction Générale • Maintenant que vous en savez plus sur le PCA , le SMCA et la norme ISO 22301, je vous propose, avant de commencer tout projet de continuité d'activité, de vous assurer que vous êtes soutenu par votre entreprise : le sponsor est la clé de votre réussite ! • Il faut convaincre votre leadership ( DG , CA) de soutenir votre démarche ! Sans leur appui, vous aurez une grande difficulté à mettre en place quoi que ce soit. • Vous avez de la chance car vous êtes la BCT et vous êtes assujettie à une réglementation obligeant à avoir des dispositifs de continuité d’activité • Sinon , il aurait fallu persuader votre DG de l’intérêt de la mise en place d’un PCA. La DG doit comprendre les risques pouvant impacter votre entreprise et les conséquences de toute nature que pourrait engendrer l’arrêt de ses activités. • Il aurait fallu exposer des exemples de sinistres qui se sont déjà déroulés dans des entreprises voisines ou du même secteur d'activité et souligner les conséquences d'un sinistre : – une perte d’image ; – une perte financière ; – un non-respect des contrats et de la règlementation ; – des pertes d’actifs impactant les actionnaires de l’entreprise. 31
Soutien de la Direction Générale • La Direction générale étant convaincue, son leadership va faciliter l’implication des parties prenantes internes et externes. • Pour montrer sa volonté d’agir , la Direction Générale va adresser une note à l’ensemble des parties prenantes , indiquant son intention : – de mettre en place le PCA et/ou SMCA pour produire des plans de continuité d’activité opérationnels ; – de nommer un responsable de la continuité d’activité ( RPCA) et ses adjoints et un responsable de la continuité informatique (RPCI/RPSI) et ses adjoints prenant en charge la responsabilité des plans de continuité d’activité de votre entreprise et de son informatique; – d’identifier les correspondants de PCA et leur définir leurs rôles – de lui allouer les ressources/moyens nécessaires pour effectuer cette nouvelle mission. • Cette note identifie également des parties prenantes. Vous devrez les impliquer et leur préciser leurs rôles dans la mise en place du PCA/SMCA. • Les parties prenantes les plus importantes sont les clients, les fournisseurs, les prestataires, les employés, les actionnaires et la société civile, les médias à la suite de l’activation du PCA, etc. • Pour les trois premiers, des clauses de continuité d’activité peuvent être prévues dans les contrats. Quant aux employés, des actions de formations et de sensibilisation doivent être organisées. 32
Projet PCA et Méthodologie 33
Organisation et Leadership 34
Bonnes Pratiques • Il est déconseillé de Confier le pilotage d’un projet de PCA à un responsable informatique ou au responsable des services généraux, qui n’auront pas la vision « métier » de l’organisation. • Il est préférable de Confier le pilotage du projet ( sponsor du projet) au responsable chargé de la gestion des risques au sein de l’organisation. • À défaut, ce serait le responsable en charge du métier le plus impliqué dans les activités essentielles de l’organisation. • Quand au chef de projet , il devrait être Idéalement rattaché au directeur des risques et Il doit connaître le métier et disposer d’une autorité reconnue. • Il devra être diplomate et bon communicant pour intégrer toutes les parties prenantes : leur implication est cruciale pour la réussite de votre projet. • Il devra disposer de correspondants PCA ( relais/champions) dans les différentes entités de l’organisation, dont les responsables auront été eux-mêmes sensibilisés à l’objectif du PCA. 35
36 Organisation et Leadership
37
38
39
40
41
Les Correspondants PCA (CPCA)  Au sein de chaque direction métier de l‘organisation , le CPCA est l’interlocuteur du RPCA pour les questions relatives au PCA de son périmètre. Il a un rôle transversal dans son unité.  Le CPCA apporte sa connaissance des risques opérationnels métiers dans la conduite des actions relatives au PCA. Il s’assure de la bonne coordination et de la mise en cohérence.  Le CPCA a les missions suivantes en cohérence avec la réglementation en vigueur :  Phase projet : • Définit le PCA en cohérence avec les consignes de l’organisation ; • Élabore des plans d’actions en matière de continuité des activités pour son périmètre ; • Identifie les processus transverses pour lesquels il existe des dépendances avec d’autres entités vis-à-vis de l‘organisation ; • Approuve les analyses des risques des activités liées aux processus métiers avant leur validation par le pilote de processus (manager métier) ; 42
Les Correspondants PCA (CPCA)  Phase de mise en œuvre : • Gère son projet PCA (budget, …) ; • Rédige ou valide les procédures décrites pour la continuité d’activité : ce rôle est important et doit faire l’objet de lettres de mission de la part de la hiérarchie, c’est la garantie de la viabilité du PCA ; • Met en place l'organisation du site de repli retenu, • Met en place l’organisation de crise de l’entité, veille à son actualisation ; • Met en œuvre et coordonne les actions vis-à-vis de l‘organisation pour les processus transverses ; • Sensibilise tous les acteurs de la filière métier concernée aux objectifs et aux pratiques adaptées en termes de continuité des activités ; 43  Maintien en conditions opérationnelles : • Organise les tests du PCA de son périmètre; • Veille au bon déroulement du PCA en cas d’activation; • Participe aux tests du PCA global ; • Informe le RPCA des actions menées en matière de continuité des activités sur son périmètre.
Rassembler périodiquement les Correspondants PCA (CPCA) permettra : • D’échanger les expériences de chacun ; • De montrer que les objectifs fixés sont réalisables ; • De créer une synergie entre les Correspondants PCA ; • De prendre des décisions communes ; • De faire prendre des engagements (objectifs) vis à vis de la communauté des correspondants pour : • mutualiser des moyens ou des ressources ; • cloner des actions réalisées par une autre entité (« ne pas réinventer la roue ») ; • procéder à des accords bilatéraux de secours mutuels notamment dans le cadre de sinistres immeubles (mise à disposition réciproques de locaux, reprise de l’activité d’un service par un autre, partenariat d’unités réalisant le même métier dans des zones géographiques différentes…) ; • faire « redescendre l’information » des comités de niveaux supérieurs et de commenter les audits ; • montrer les interactions (dépendances) des entités par rapport aux autres ; • afficher l’objectif commun qu’est le PCA de l’organisme 44
• Le Bilan de l’Impact sur l’Activité ou Business Impact Analysis est orienté métier. Pour savoir quelles sont les activités les plus critiques de l’entreprise, l’exercice consiste à imaginer la disparition d’une activité - quelles qu’en soient les causes- et de regarder l’effet que cela produit. • Cet effet peut se caractériser par une perte de chiffre d’affaires, une baisse de résultat, un défaut d’image, une violation d’un règlement, etc. • Le PCA, imposant l’analyse des processus existants, est une opportunité pour une entreprise car elle va pouvoir optimiser ses processus en améliorant la synergie entre les activités, en répartissant mieux l’utilisation des ressources existantes et en renforçant le contrôle sur ses partenaires ou fournisseurs les plus sensibles. Analyse d’Impacts sur les Activités (BIA) 45
Analyse d’Impacts sur les Activités (BIA)  la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la Direction générale ;  l’explicitation et la justification des besoins de continuité d’activité (contractuelles, réglementaires, d'image, etc.) ;  l’indication des ressources minimales nécessaires pour satisfaire aux exigences de continuité d’activité ;  la liste des activités liées et des parties intéressées  DMIA/PMDT/OMCA  Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.  Déterminer les priorités et les délais de reprise des activités.  Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.  Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités. Objectifs d’un BIA 46 Livrables d’un BIA
47
48 Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.
49 Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.
50 Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités.
51
52
53
DMIA/PMDT/OMCA/RTO/RPO Pour chaque activité, le BIA évalue 5 paramètres : • le Délai Maximal d’Interruption Admissible (DMIA) indiqué par le métier. Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par priorité de reprise d’activité • la PMDT, c’est-à-dire la Perte Maximale de Données Tolérable indiquée par le métier. Par exemple, aucune perte de données, 24 heures de perte de données, etc. Cela dépend de la dernière prise de sauvegarde externalisée nécessaire à la reprise d’activité ; • l’OMCA, c’est-à-dire l’Objectif Minimal de Continuité d’Activité. Par exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin du DMIA qui marque le début de la reprise de l’activité. • le RPO, ou Recovery Point Objective, qui correspond au PMDT métier et qui désigne l'âge des fichiers à récupérer sur un stockage de sauvegarde pour que les opérations normales puissent reprendre après la panne d'une ressource (ordinateur, système ou réseau). • le RTO, ou Recovery Time Objective, qui correspond au DMIA et qui représente la durée maximale d'interruption admissible pendant laquelle une ressource (ordinateur, système, réseau ou application) peut ne pas être fonctionnelle à la suite d'une panne ou d'un désastre. 54
55
56
Exemples de livrables 57
Exemples de livrables 58
59
60
61
62
La gestion des risques définit des scénarios • La gestion des risques dans le PCA imagine des scénarios de sinistres qui menacent la continuité de l’activité dont elle évalue les conséquences sur les biens (actifs) de l’entreprise. • Pour le PCA, il s’agit de risques opérationnels, susceptibles de compromettre les activités de l’entreprise. • Les sinistres envisagés sont de type inondation, incendie, tremblement de terre, explosion chimique,…bref tout ce qui est d’origine naturelle, humaine ou technique et qui vise les biens de l’entreprise ou les hommes. 63
Identification des actifs critiques 64
65
Scénarios de Risques menant à des sinistres causant une indisponibilité des activités • R1 : Bâtiment impraticable ; • R2 : Site informatique indisponible ; • R3 : Cyberattaque ; • R4 : Fournisseur défaillant ; • R5 : Inondation fluviale ; • R6 : Indisponibilité massive de ressources humaines ; • R7 : Mouvement social ; • R8 : Coupure alimentation électrique ; • R9 : Coupure physique de fibre ; • R10 : Interdiction syndicale d’accès dans les locaux ; 66
Inondation, incendie, vandalisme : se préparer pour protéger notre entreprise • Inondation – Anticipez le risque d'inondation et ses conséquences. Comment assurer la continuité de votre activité en cas d'inondation ? A quelles garanties devez- vous souscrire pour vous protéger d'une inondation ? – Que faire avant, pendant et après une inondation ? • Incendie – Avez-vous les bons réflexes pour prévenir un incendie ? Votre entreprise a t- elle des liquides inflammables, des systèmes de chauffage ou des systèmes de détection d‘étincelles sur un outil de production ? – Les différentes causes d'incendie en entreprise • Vandalisme – Les actes de vandalisme sont en constante augmentation et concernent désormais tous les types d’activités. – Précautions et solutions pour sécuriser son business 67
68 Exemple de scénario de risque et son analyse
Etude des scénarios de sinistres 69
Etude des scénarios de sinistres 70
71
Les solutions de prévention sont mises en œuvre avant la survenance de l’événement perturbateur. Elles ont pour objectif de réduire sa probabilité de survenance. Elles fonctionnent de manière proactive et doivent faire l’objet d’amélioration continue. Quelques exemples classiques de mesures de prévention : •les systèmes de contrôle d’accès dans un bâtiment ; •le secours de l’alimentation électrique par des onduleurs et des groupes électrogènes ; •la mise à jour régulière des logiciels de sécurité ; •l'achat préventif de pompes de relevage, de dispositifs d’étanchéité temporaires et amovibles pour pallier une inondation ; 72
Les solutions de détection sont installées avant la survenance de l’événement perturbateur. Elles peuvent réduire l’impact en le détectant rapidement, permettant ainsi de lancer rapidement une remontée d’alerte. Quelques exemples de mesures de détection : •installer des détecteurs de température, de fumée, de feu, d’intrusion physique ; •implémenter un Security Operation Center (SOC), centre de supervision et d'administration de la sécurité qui remonte les cyberattaques ; •effectuer une veille active sur certains risques; 73
Les solutions de protection sont préparées et mises en place avant la survenance de l’événement perturbateur. Pour être opérationnelles, ces mesures doivent être validées régulièrement. La principale solution de protection est la mise en place d’un plan de continuité d’activité utilisant : • des solutions de secours informatique ; • des sites de repli des positions de travail. Les solutions de secours permettent de reprendre l’activité en basculant les infrastructures techniques vers un site de secours. Les solutions de repli des positions de travail consistent en des moyens alternatifs situés dans d’autres locaux non soumis aux mêmes risques. 74
BIA vs Analyse des risques Première distinction essentielle : les objectifs de ces deux étapes dans le PCA ne sont pas les mêmes : • Pour la gestion des risques, l’objectif est de déterminer les scénarios de sinistre les plus probables et de mettre en place des actions pour rendre le risque résiduel acceptable ; • Pour le bilan d’impact sur l’activité (BIA), l’objectif est de sélectionner les activités critiques de l’entreprise et d’en déterminer les moyens sous-jacents. Deuxième distinction : • A la fin de l’étape « analyse de risque », l’entreprise dispose de plan d’actions d’amélioration et peut hiérarchiser sur une « carte » les principaux scénarios de sinistre qui la menacent. Le principal livrable est une cartographie des risques qui positionne les scénarios sur deux axes : conséquences et probabilité d’occurrence. • A l’issue d’un BIA, l’entreprise a clairement identifié ses activités critiques et sait donc ce qu’elle doit redémarrer au plus vite et comment. Le livrable essentiel est une liste d’activités avec la criticité associée. 75
Stratégies de Continuité Équilibre entre risques, besoins et coûts 76
77
Stratégies de Continuité • Les stratégies de continuité déterminent l’ensemble des composants qui vont constituer les Plans de Continuité d’Activité. • Elles définissent d’une part les modalités de reprise des métiers en mode dégradé et d’autre part les solutions techniques et organisationnelles à mettre en place. Il s’agit de la phase d’étude préalable à la réalisation des solutions. • L’élaboration de la stratégie de continuité s’appuie sur l’expression en besoins de continuité d’activité réalisés avec les métiers et sur les résultats de l’analyse des risques • À l’issue de cette étape, quatre livrables doivent être produits : 1. La stratégie de continuité d’activité métier. 2. L’étude des solutions de secours utilisateurs. 3. L’étude des solutions techniques. 4. L’étude des solutions logistiques et Moyens généraux 78
Scénarios d’indisponibilité et Stratégies de Continuité 79
La stratégie de continuité d’activité métier • Des mesures de prévention ou de réduction des risques issus de l’appréciation des risques que vous avez décidé de traiter ; • Des mesures de détection et de remontée d’alerte ; • Des moyens de protection, de maintien et/ou de reprise des activités prioritaires qui ont été déterminées lors du bilan d’impact sur l’activité (BIA), avec les niveaux de service acceptables. 80
Étude des solutions pour le secours utilisateurs L’objectif de l’étude des solutions de secours utilisateurs est de trouver des locaux (bureaux) de travail, mais également tout l’environnement de travail nécessaire aux utilisateurs pour reprendre leur activité. Cela intègre, comme déjà évoqué dans le BIA : – Le poste de travail informatique et les imprimantes. – La téléphonie, classique ou spécifique. – Les matériels et équipements divers (imprimés, fournitures, etc.). – Les échanges informatiques (liaisons réseau) avec les clients, partenaires et institutions légales. Solutions de repli externes et solutions de repli internes ou l’utilisation du télétravail ( chez soi) 81
Étude des solutions techniques Plan de Secours informatique L’étude des solutions techniques pour le PCA est bien souvent l’occasion de réaliser ou de mettre à jour le Plan de Secours informatique (PSI). Ce plan est la déclinaison de la démarche PCA sur le périmètre de l’informatique seule. Concernant ce périmètre, il faut le comprendre au sens large. Il inclut : o Le système d’information: serveurs, stockage, matériel de sauvegarde , logiciels et applications . o Le réseau dans sa globalité, soit le réseau local, le réseau distant et Internet. o La téléphonie IP, dite VoIP (Voice over IP). 82
Étude des solutions Logistique et Moyens Généraux  L’étude des solutions Logistiques et Moyens Généraux est souvent le parent pauvre de l’étude du PCA.  Pourtant, en cas de sinistre, le rôle de ces équipes est essentiel pour sécuriser les locaux, assurer le transport de matériel, le déménagement d’équipements et faire suivre le courrier.  Pourquoi ? parce que les Moyens Généraux savent se débrouiller en cas de besoin. Ce n’est pas totalement faux, mais même avec de la débrouille, il est parfois difficile de réaliser certaines tâches si rien n’a été prévu.  L’étude à mener porte sur les besoins logistiques et en moyens transverses en situation d’activation du PCA : – La gestion de l’immobilier. – La gestion des besoins des utilisateurs: nourriture , médicaments,… – Le déménagement et transport d’équipements sur les sites de secours (logistique PCA). – Le réacheminement du courrier. – La gestion des fournisseurs spécialisés, tels qu’imprimeurs, etc. 83
Stratégies de Continuité 84
Stratégies de Continuité 85
86
87
Secours à froid, actif-passif ou actif-actif Le secours dit « à froid » / « cold site » • Le site de secours n’est pas directement utilisable au quotidien ; en cas d’activation, les moyens techniques du site de secours doivent être mis en œuvre, les serveurs remontés (et mis à jour) et les données restaurées à partir des sauvegardes de recours. Le délai de reprise d’activité est au minimum de 48 heures, dépendant de la durée de restauration des sauvegardes. Le secours dit « actif-passif » / site chaud • le site de secours est opérationnel au quotidien, tenu à jour en permanence, les données sont répliquées (en temps réel ou pas). En cas d’activation, la bascule technique peut être rapide car les moyens informatiques sont « en veille » et activables moyennant des actions de démarrage et de basculement du réseau. Le délai de reprise d’activité est de l’ordre de 24 heures. Le secours dit « actif- actif » / site miroir • Les deux sites sont en production (en répartition de charge) et sont le secours l’un de l’autre. Le fait d’être en « production » implique qu’ils sont tenus à jour en permanence, que les données sont répliquées en temps « quasi » réel. En cas d’activation du PCA, la bascule technique peut être très rapide. Le délai de reprise d’activité peut être inférieur à 4 heures. 88
La mise en œuvre du PCA Chaque plan se divise en trois volets : 1. Un volet Infrastructures et locaux : site de repli, site de secours, serveurs de secours, postes de travail,..etc. 2. Un volet Documentation et procédures : plans de reprise, procédures techniques et fonctionnelles, documentation du plan. 3. Un volet organisationnel : organisation de crise, personnes à mobiliser, etc. Concrètement, les solutions sont composées des trois plans à mettre en œuvre : • Plan de Secours utilisateurs. • Plan de Secours informatique. • Plan de Secours logistique (qui inclut les Moyens Généraux). 89
90
Chaque plan se décompose en un enchaînement d’actions à exécuter. Chaque action est décrite par une procédure illustrée si besoin par un ou plusieurs modes opératoires. Le plan Ressources humaines Déterminer avant la survenance de l’événement perturbateur le traitement des problématiques d’astreinte, de travail à distance, de pointage des heures de travail, de travail au-delà des heures légales, de travail en horaires non ouvrables, etc. 91
92
Les étapes de l’activation du PCA 93
94
Gestion Documentaire Un organisme qui souhaite se conformer à la norme ISO 22301 devra au moins : 1. Publier tous les documents exigés par la norme ; 2. Élaborer une procédure de contrôle des documents ; 3. Développer une procédure pour contrôler les enregistrements. Un des premiers documents importants et obligatoires est la politique de continuité d’activité de l’entreprise qu’il faut rédiger et faire valider par la Direction générale. 95
Politique de Continuité des Activités • Ce document de politique doit en quelques lignes expliquer ce qu'est la continuité d’activité. • Il devra inclure ensuite les points suivants : – Prendre en compte le contexte et l’environnement de l’entreprise. – Exprimer clairement la volonté de la Direction générale en termes d'enjeux associés à la continuité, comme par exemple : les pertes financières, la détérioration de l'image en cas d'interruption d'activité, la violation d'engagements contractuels, le non-respect de la réglementation applicable. – Citer les avantages de la mise en place de la continuité – Attribuer des responsabilités : qui fait quoi ? Qui décide ? Qui contrôle ? – Indiquer les actions en cas d’exceptions et les sanctions en cas de non respect 96
97
98
99
100
Maintenant ….. Il faut mettre en place ce qui est nécessaire pour mesurer et auditer plus tard et voir rapidement où l’on en est, et ce qu’il faut éventuellement corriger. • des indicateurs ciblés mis en place, mesurés et présentés régulièrement. Par exemple : nombre de personnes formées, nombre de personnes sensibilisées, nombre d’exercices ; • des revues diverses et leurs comptes rendus (réunion post audit interne…) ; • des retours sur événements (résultats des tests et exercices, pannes ou interruptions vécues…) ; • des rapports d’audits internes (nombre de non-conformités majeures relevées…) 101
102
103
104
105
106
107
108
Quelques non conformités fréquemment constatés lors d’un exercice • des numéros de téléphone erronés ; • des capacités de position de travail sur un site de repli trop faibles. • des déménagements d’activité d’un bâtiment dans un autre ayant modifié le nombre de position de travail à secourir pour ce bâtiment ; • de nouvelles applications informatiques internes ou externes non prises en compte dans le plan de continuité d’activité ; • une dépendance d’un fournisseur externe non prise en compte dans le plan de continuité d’activité. 109
Phase Check: Suivi , Contrôle et Revue • Mesures et Indicateurs de performance ( 9.1) • Audit interne (9.2) • Revues de Direction (9.3) 110
111 Suivi , Contrôle et Revue
112 Mesures et Indicateurs de performance ( 9.1)
113 Mesures et Indicateurs de performance ( 9.1)
114 Audit interne (9.2)
115 (9.3)
Maintien en Condition Opérationnelle / Amélioration Continue • Les entreprises évoluent aujourd’hui dans un environnement particulièrement dynamique, avec des changements potentiels multiples (environnement, structure, processus d’entreprise, interlocuteurs…). • Le plan de continuité des activités, véritable outil de résilience, doit impérativement rester en phase avec l’ensemble des évolutions de l’entreprise, garder une pertinence et une efficience maximales pour demeurer parfaitement opérationnel dans la durée. • Le PCA n’est pas un classeur qui va occuper les étagères d’une armoire… • Le maintien en condition opérationnelle (MCO) peut se définir comme un processus récurrent de mise à jour et d’amélioration continue du plan de continuité d’activité. • Les travaux de MCO vont permettre de donner à la Direction générale l’assurance que le PCA reste opérationnel dans le temps et ainsi permettre une riposte efficace dans le cas d’un sinistre majeur. 116
117 Amélioration Continue (10)
118 Amélioration Continue (10)
119 Amélioration Continue (10)
120 Amélioration Continue (10)
Crise vs Urgence • Nous parlons de gestion de crise lorsque les PCA sont dépassés ou non concernés par la situation constatée et nécessitent l’implication d’un organe de décision. • Il faut différencier l’urgence de la crise. L’urgence est issue d’une situation prévisible qui peut être gérée par un PCA. • La crise est une situation dont la maitrise est rendue difficile voire impossible, par son ampleur, sa soudaineté, ou l’indisponibilité des moyens (matériels ou organisationnels). • Les PCA ont pour vocation de réduire les situations de crise en situation d’urgence. 121
122
Quelques bonnes pratiques pour mettre en œuvre un PCA • Impliquer la Direction Générale ; • Intégrer la continuité d’activité dans la stratégie générale de votre organisme ; • Mettre en place une gouvernance de la continuité d’activité ; • Faire identifier et chiffrer par les métiers, les impacts liés à l’interruption des activités ; • Mettre en place et entrainer des cellules de crise mobilisables à tout moment ; • Investir dans les solutions (site de secours informatique, de repli des utilisateurs) ; • Tester régulièrement les PCA mis en place ; • Faire régulièrement des exercices d’entrainement simulant des sinistres ; • Prendre en compte les interconnexions avec l’extérieur : le risque ne se limite pas à un périmètre interne ; • Savoir intégrer la continuité d’activité dès la mise en place de nouveaux projets. 123
Les normes ISO22300 • ISO 22300:2021 : Sécurité et résilience — Vocabulaire • ISO 22313:2020 : Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301 • ISO/IEC 27031:2011, Technologies de l'information – Techniques de sécurité – Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des activités • ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis • ISO 22311, Sécurité sociétale – Vidéosurveillance – Interopérabilité de l’export :spécifie un format commun pour les données qui peuvent être extraites des systèmes de collecte de vidéosurveillance, par exemple à des fins d'enquête, 124
• ISO 22315, Sécurité sociétale – Évacuation de masse • ISO 22322, Sécurité sociétale – Gestion des urgences – Mises en garde de la population • ISO 22323, Sécurité sociétale – Systèmes de management de la Résilience organisationnelle – Exigences et lignes directrices pour son utilisation • ISO 22325, Sécurité sociétale – Lignes directrices pour l’évaluation de la capacité de gestion des urgences des organisations • ISO 22351, Sécurité sociétale – Gestion des urgences – Appréciation concertée de la situation • ISO 22397, Sécurité sociétale – Partenariats privé public – Lignes directrices pour l’établissement d’accords de partenariat • ISO 22398, Sécurité sociétale – Lignes directrices pour exercice et essai • ISO 22324, Sécurité sociétale – Gestion des urgences – Alerte à code couleur 125
MERCI 126

Recommandé

Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaquePaperjam_redaction
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesPECB
 
Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19Expense Reduction Analysts
 
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"GERESO
 
Pitch vf 280320 (1)
Pitch vf 280320 (1)Pitch vf 280320 (1)
Pitch vf 280320 (1)Louis Mangin
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 

Recommandé

Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?Comment construire un plan de continuité d'activité ?
Comment construire un plan de continuité d'activité ?BRIVA
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Guide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaqueGuide pour les PME victimes d'une cyberattaque
Guide pour les PME victimes d'une cyberattaquePaperjam_redaction
 
Vers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesVers des PCA raisonnables et crédibles
Vers des PCA raisonnables et crédiblesPECB
 
Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19Vue Hélicoptère et Terrain en période de Covid-19
Vue Hélicoptère et Terrain en période de Covid-19Expense Reduction Analysts
 
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"
Conférence "Crise médiatique : comment prévenir, gérer et communiquer ?"GERESO
 
Pitch vf 280320 (1)
Pitch vf 280320 (1)Pitch vf 280320 (1)
Pitch vf 280320 (1)Louis Mangin
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCAWissem CHEROUANA
 
Presentation Wifin
Presentation WifinPresentation Wifin
Presentation Wifinwifin
 
Presentation Activites Guelta
Presentation Activites GueltaPresentation Activites Guelta
Presentation Activites GueltaHOLLOCOU
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...Eric CASPERS
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprisePatrick Giry-Deloison
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...PMI-Montréal
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Cyril Marsaud
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Cyril Marsaud
 
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCERTyou Formation
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
Wifin
WifinWifin
WifinBenoit Herrmann
 
Cours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat Swot ProjetsCours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat Swot ProjetsProf. Jacques Folon (Ph.D)
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéOCTO Technology
 
Gestion de la relation clients
Gestion de la relation clientsGestion de la relation clients
Gestion de la relation clientschanashow
 
Presentation
PresentationPresentation
Presentationsit35
 
Webinaire DEFI sur les outils de prévention comme acte de gestion
Webinaire DEFI sur les outils de prévention comme acte de gestionWebinaire DEFI sur les outils de prévention comme acte de gestion
Webinaire DEFI sur les outils de prévention comme acte de gestionMCG Managers Management de transition
 
La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TIISACA Chapitre de Québec
 
Guide du Credit Manager 4.0
Guide du Credit Manager 4.0Guide du Credit Manager 4.0
Guide du Credit Manager 4.0Justine Badaire
 
Rôle du Conseil d'Administration en situation de crise
Rôle du Conseil d'Administration en situation de criseRôle du Conseil d'Administration en situation de crise
Rôle du Conseil d'Administration en situation de criseSerrerom
 
Ch newsletter reseau_n°6 ficorec
Ch newsletter reseau_n°6 ficorecCh newsletter reseau_n°6 ficorec
Ch newsletter reseau_n°6 ficorecMatthieu Capuono
 
Finance et lean : des synergies nécessaires
Finance et lean : des synergies nécessairesFinance et lean : des synergies nécessaires
Finance et lean : des synergies nécessairesXL Groupe
 
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...Institut de l'Elevage - Idele
 
JTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfJTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfInstitut de l'Elevage - Idele
 

Contenu connexe

Similaire à PCA et SMCA , description et differences.pptx

Presentation Wifin
Presentation WifinPresentation Wifin
Presentation Wifinwifin
 
Presentation Activites Guelta
Presentation Activites GueltaPresentation Activites Guelta
Presentation Activites GueltaHOLLOCOU
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...Eric CASPERS
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprisePatrick Giry-Deloison
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...PMI-Montréal
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Cyril Marsaud
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Cyril Marsaud
 
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCERTyou Formation
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMEAvignon Delta Numérique
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéOCTO Technology
 
Gestion de la relation clients
Gestion de la relation clientsGestion de la relation clients
Gestion de la relation clientschanashow
 
Presentation
PresentationPresentation
Presentationsit35
 
La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TIISACA Chapitre de Québec
 
Guide du Credit Manager 4.0
Guide du Credit Manager 4.0Guide du Credit Manager 4.0
Guide du Credit Manager 4.0Justine Badaire
 
Rôle du Conseil d'Administration en situation de crise
Rôle du Conseil d'Administration en situation de criseRôle du Conseil d'Administration en situation de crise
Rôle du Conseil d'Administration en situation de criseSerrerom
 
Ch newsletter reseau_n°6 ficorec
Ch newsletter reseau_n°6 ficorecCh newsletter reseau_n°6 ficorec
Ch newsletter reseau_n°6 ficorecMatthieu Capuono
 
Finance et lean : des synergies nécessaires
Finance et lean : des synergies nécessairesFinance et lean : des synergies nécessaires
Finance et lean : des synergies nécessairesXL Groupe
 

Similaire à PCA et SMCA , description et differences.pptx (20)

Presentation Wifin
Presentation WifinPresentation Wifin
Presentation Wifin
 
Presentation Activites Guelta
Presentation Activites GueltaPresentation Activites Guelta
Presentation Activites Guelta
 
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
Gestion de crise Apports respectifs Gestion de crise - Audit et contrôle int...
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
 
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
La valeur ajoutée d'une analyse d'impacts sur les affaires : quand la gestion...
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021
 
Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021Bulletin d'opportunités 78 | mai-août 2021
Bulletin d'opportunités 78 | mai-août 2021
 
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projetCy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
Cy2811 formation-la-gestion-des-risques-critiques-dans-un-projet
 
Le Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PMELe Plan de Reprise d'Activité pour les PME
Le Plan de Reprise d'Activité pour les PME
 
Wifin
WifinWifin
Wifin
 
Cours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat Swot ProjetsCours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat Swot Projets
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
 
Gestion de la relation clients
Gestion de la relation clientsGestion de la relation clients
Gestion de la relation clients
 
Presentation
PresentationPresentation
Presentation
 
Webinaire DEFI sur les outils de prévention comme acte de gestion
Webinaire DEFI sur les outils de prévention comme acte de gestionWebinaire DEFI sur les outils de prévention comme acte de gestion
Webinaire DEFI sur les outils de prévention comme acte de gestion
 
La continuité des affaires et la relève TI
La continuité des affaires et la relève TILa continuité des affaires et la relève TI
La continuité des affaires et la relève TI
 
Guide du Credit Manager 4.0
Guide du Credit Manager 4.0Guide du Credit Manager 4.0
Guide du Credit Manager 4.0
 
Rôle du Conseil d'Administration en situation de crise
Rôle du Conseil d'Administration en situation de criseRôle du Conseil d'Administration en situation de crise
Rôle du Conseil d'Administration en situation de crise
 
Ch newsletter reseau_n°6 ficorec
Ch newsletter reseau_n°6 ficorecCh newsletter reseau_n°6 ficorec
Ch newsletter reseau_n°6 ficorec
 
Finance et lean : des synergies nécessaires
Finance et lean : des synergies nécessairesFinance et lean : des synergies nécessaires
Finance et lean : des synergies nécessaires
 

Dernier

GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...Institut de l'Elevage - Idele
 
JTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfJTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfInstitut de l'Elevage - Idele
 
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageInstitut de l'Elevage - Idele
 
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...Institut de l'Elevage - Idele
 
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusGAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusInstitut de l'Elevage - Idele
 
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfJTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfInstitut de l'Elevage - Idele
 
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...Institut de l'Elevage - Idele
 
GAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesGAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesInstitut de l'Elevage - Idele
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
GAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéGAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéInstitut de l'Elevage - Idele
 
JTC 2024 - Réglementation européenne BEA et Transport.pdf
JTC 2024 - Réglementation européenne BEA et Transport.pdfJTC 2024 - Réglementation européenne BEA et Transport.pdf
JTC 2024 - Réglementation européenne BEA et Transport.pdfInstitut de l'Elevage - Idele
 
Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)Sana REFAI
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestionyakinekaidouchi1
 

Dernier (15)

GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
 
JTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfJTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdf
 
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
 
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
 
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusGAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
 
CAP2ER_GC_Presentation_Outil_20240422.pptx
CAP2ER_GC_Presentation_Outil_20240422.pptxCAP2ER_GC_Presentation_Outil_20240422.pptx
CAP2ER_GC_Presentation_Outil_20240422.pptx
 
JTC 2024 - DeCremoux_Anomalies_génétiques.pdf
JTC 2024 - DeCremoux_Anomalies_génétiques.pdfJTC 2024 - DeCremoux_Anomalies_génétiques.pdf
JTC 2024 - DeCremoux_Anomalies_génétiques.pdf
 
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfJTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
 
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
 
GAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesGAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentes
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
GAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéGAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversité
 
JTC 2024 - Réglementation européenne BEA et Transport.pdf
JTC 2024 - Réglementation européenne BEA et Transport.pdfJTC 2024 - Réglementation européenne BEA et Transport.pdf
JTC 2024 - Réglementation européenne BEA et Transport.pdf
 
Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestion
 

PCA et SMCA , description et differences.pptx

  • 1. • Qu’est ce qu’un plan de continuité d'activité ? • Est-il conseillé d'avoir un plan de continuité d'activité ? • Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ? • Scénarios de risques génériques , conséquences et solutions • Enjeux et Objectifs d’un PCA • Elaborer un PCA : exigences & quoi garder en tête avantages • Norme ISO 22301 et SMCA • Mission PCA : Préalable, Etapes, organisation , livrables • Focus spécial sur : engagement de la direction, RPCA et Correspondants PCA • Business Impact Analysis, Analyses des risque et Stratégies de continuité • Exercices et tests • Différents plans de continuité d’activité et leur activation dans le temps • Documentation , Sensibilisation , Formation et Communication • Surveillance et Amélioration ( MCO) • Urgence , Crise et activation du PCA 1 SOMMAIRE
  • 2. • Un Plan de Continuité d‘Activité: se préparer pour maintenir l’activité en cas de sinistre majeur • Pour minimiser les préjudices suite à une crise ou à un sinistre majeur, le meilleur atout est d'avoir un plan de continuité d'activité prêt à être déployé. • Un Plan de continuité d'activité : garantir la pérennité de l'activité quelles que soient les circonstances. • Un Plan de continuité d’activité: anticiper les risques qui menacent votre entreprise afin de les contrer si besoin. • Un Plan de continuité d’activité: maintenir un service minimum en toutes circonstances • Un plan de continuité d’activité : c’est anticiper différentes situations de crise et mettre en place des stratégies pour limiter leur impact. • Un Plan de continuité d’activité: Savoir comment réagir en cas d’urgence ! 2 Qu’est ce qu’un plan de continuité d'activité ?
  • 3. Pour accompagner les entreprises à mieux se préparer et les aider à gérer et maintenir leurs activités en cas de catastrophe ou de sinistre grave, on élabore un Plan de Continuité d’Activité. Le Plan de Continuité des Activités apporte à l’entreprise des réponses concrètes aux interrogations suivantes • A quels risques l'entreprise ou la collectivité est-elle la plus vulnérable ? • Quelles sont les activités et les ressources critiques qu'il convient de protéger par un plan de secours ? • Sous quel délai l'organisation doit-elle être à nouveau opérationnelle pour servir ses clients ? • Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et préserver les actifs ? • Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de sécurisation et de communication? • Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en termes de locaux, de personnels, de ressources techniques, de matériels et d'équipements ? • Quels effectifs et quels moyens mobiliser pour assurer la continuité ou la reprise des activités jusqu'au retour à la normale ? 3 Qu’est ce qu’un plan de continuité d'activité ?
  • 4. Est-il conseillé d'avoir un plan de continuité d'activité ? • Le PCA est une stratégie qui consiste à mettre en place les processus et les procédures dont a besoin une entreprise pour fonctionner pendant et après un sinistre • Un Plan de Continuité d’activité : Processus qui vise à assurer le fonctionnement dégradé d’une entreprise en cas de sinistre majeur • C'est une façon organisée et méthodique et éprouvée de gestion de crise destinée à permettre à une entité (entreprise, collectivité, organisation, service public, établissement de santé ou établissement scolaire…) de continuer de fonctionner malgré des perturbations. • Le Plan de Continuité d’activité fait office de plan de survie pour tout organisme qui ne peut pas se permettre de se retrouver au point mort du jour au lendemain. • Le PCA définit l'ensemble des dispositifs, des ressources et des moyens nécessaires à une entreprise sinistrée pour éviter voire ( le cas échéant) reprendre dans les meilleurs délais le fonctionnement optimal de ses activités stratégiques , critiques et vitales et lui permettre ainsi de servir ses clients. • Il s'agit « plus » de préserver les activités métiers de l'entreprise que son infrastructure informatique. 4
  • 5. Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ? • Définition de Sinistre majeur : évènement sanitaire , physique, interne , externe non maitrisable qui touche les biens ou les personnes et qui peut mettre en péril la pérennité/viabilité d’une organisation. • Est-ce que les entreprises sont à l’abri d’un sinistre majeur ??? • Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux, défaillances techniques, erreurs, terrorisme, …). • NON !! On n'est jamais totalement à l'abri... Les évènements sont internes ou externes et peuvent survenir sous différentes formes et au moment où l'on s'y attend le moins et si nous ne sommes pas préparés pour les prévenir , les détecter ou les corriger et réduire leurs impacts , on risque TROP !! • Qu'il s'agisse d'une inondation, d'un incendie, d'une explosion , d’un arrêt complet de l’IT, d’une pandémie , d’une attaque terroriste ou cybernétique , d’un mouvement social national ou d’une grève du transport ... un sinistre peut être fatal pour une entreprise mal préparée. 5
  • 6. L’entreprise va être amenée à gérer des situations imprévues pouvant entraîner des chocs extrêmes ayant pour conséquence une incapacité à redémarrer les activités et à fournir les services attendus par ses clients ou son personnel ou ses partenaires L’impact est alors extrêmement grave: perte financière lourde, perte de confiance des clients et des partenaires, sanction civile ou pénale, … La survenance d’un sinistre peut même conduire à la disparition de l’entreprise, en l’absence de plan de continuité d’activité. Les chiffres parlent d'eux même : 25% des entreprises ne reprennent aucune activité 75% d’entre elles ferment dans les 3 ans 6 Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle préparée ?
  • 7. Scénarios de risques génériques 1 . Bâtiment impraticable : panne totale de l’alimentation électrique, blocage des accès par interdiction administrative suite à fuite de gaz liée à des travaux sur la voie publique, incendie, coupure de la téléphonie suite à des travaux sur la voie publique… 2 . Perte d’accès aux systèmes d’information : coupure du réseau suite à des travaux sur la voie publique, panne matérielle ou logicielle, attaque virale, cyberattaque… 3 . Indisponibilité durable de personnes (70 % du personnel, toutes compétences confondues) : Pandémie virale, grève sociale… 4 . Indisponibilité des fournisseurs essentiels ou des sous-traitant d’un fournisseur : indisponibilité de services critiques dispensés par un fournisseur. 7
  • 8. Les conséquences (impacts) d'un sinistre grave peuvent être multiples : • Conséquences directes : – Bâtiments et matériaux endommagés – Stocks détruits – Travaux de nettoyage et de remise en état, etc. – Exploitation interrompue – Perte de chiffre d’affaires – Perte de personnel : maladie, décès,.. – Désorganisation du travail – Pénalités et sanctions • Conséquences indirectes – perte de clientèle – dégradation de l'image de marque... – départ de collaborateurs-clés 8
  • 9. • La pérennité de l'entreprise va dépendre de sa capacité : • à identifier et à évaluer les risques, • à accroître la robustesse en durcissant les dispositifs de prévention et de protection, • à apporter les réponses appropriées en situation de crise et • à engager les actions nécessaires pour un retour rapide à la normale. • Mettre en place un PCA • IMPORTANT : Pour augmenter les chances de réussite d’une mission PCA , Il est recommandé de faire intervenir des personnes de différents services et différentes compétences dans l’analyse et la mise en œuvre des plans , comme ca on s’assure de ne rien oublier. • Tous les dirigeants de l'entreprise sont concernés et leur responsabilité est directement engagée. Un PCA est un projet de la Haute Direction ( CA , DG) • Toutes les structures de l’entreprise doivent être impliquées et tout le personnel bien informé, sensibilisé et formé - Un PCA est un projet holistique. 9 Quelles solutions ?
  • 10. • Enjeux d’un PCA • Viser en priorité à mettre en sécurité les personnes et les biens, et ensuite restaurer les moyens de production. • Garantir la survie de l’organisation en minimisant les impacts financiers, juridiques et sur l’image de marque suite à un sinistre grave • Rétablissement des activités en un temps limité • conservation des données sensibles et critiques • Conservation de la confiance des clients et des fournisseurs • Anticipation des pertes et des surcoûts d’exploitation • Maitriser la communication en cas de crise • Favoriser la conquête du marché en rassurant les clients sur la sécurité de leurs intérêts , services et données en cas de sinistre, • Répondre aux obligations légales et règlementaires • Objectifs d’un PCA • Anticiper et maîtriser les risques opérationnels de grande envergure, • Analyser et réduire les impacts potentiels d’une interruption d’activité. • Définir une stratégie de continuité • Développer la résilience : plans, solutions, … 10 Enjeux et Objectifs d’un PCA
  • 11. Un investissement Mais aussi un Retour sur Investissement (ROI) • L’investissement dans un PCA conçu pour faire face à un sinistre majeur, se trouve aussi rentabilisé par son utilisation pour réagir à des accidents moins spectaculaires, mais néanmoins potentiellement couteux et plus fréquents • La mise en place d’un PCA produit aussi d’autres gains, même en fonctionnement normal : • Gain de productivité liée à l’amélioration du fonctionnement de l’organisme résultant d’une meilleure compréhension de ses activités ; • Gains liés à une augmentation de parts de marché lorsque la sécurisation de l’activité de l’organisme constitue un argument commercial ; • Réduction ou non-augmentation des primes d’assurance, du fait de la réduction des dommages ; 11
  • 12. 12
  • 13. 13
  • 14. 14
  • 15. Elaborer son PCA • Le PCA passe par 2 modes : – Mode projet – Mode processus continu • Quelles que soient l’activité et la taille de l’entreprise, le plan de continuité des activités doit être mis en place et géré par une structure dédiée qui pilote et anime sa mise en œuvre en cas de crise. • L’élaboration du PCA doit commencer par une identification préliminaire des principaux enjeux de continuité ( objectifs stratégiques , exigences légales , règlementaires et contractuelles,…) et la rédaction d’une politique de continuité d’activité • L’élaboration du PCA passe par différentes phases et dure entre 12 et 18 mois 15
  • 17. Les obligations légales, règlementaires et contractuelles se généralisent et exigent de mettre en place la continuité d’activité Certains secteurs sont dans l’obligation légale et/ou règlementaire vis-à-vis du gouvernement d’assurer un service minimum en toutes circonstances, et donc d’avoir un Plan de Continuité d’activité. Les services vitaux doivent par définition ne jamais s’arrêter. Il s’agit de l’alimentation, l’eau, l’énergie, les hôpitaux, les transports, la défense, la sécurité, la gestion des déchets, les télécommunications ou encore les banques. • Légales : lois au niveau national , peu nombreuses voire inexistantes – Existence de lois dans le monde (US, canada, UE, Japon,…) pour protéger les infrastructures critiques et garantir leur continuité • Règlementaires : lois professionnelles imposées par les autorités de régulation par domaine • France : AMF autorité des Marchés Financiers – 1997- • Tunisie : BCT - CIRCULAIRE AUX ÉTABLISSEMENTS DE CRÉDIT N° 2006 - 19 • Règlementations Bâle /Solvency 2 : gérer les risques opérationnels dont la CA • France : RGS : Référentiel Général de la Sécurité : Administrations – Critères CIDT • Contractuelles : grands groupes industriels, de distribution ou de service doivent assurer la continuité de leurs activités pour limiter les impacts financiers et sur l’image de marque – Obligations de continuité imposées par leurs partenaires – Obligations de continuité dans les contrats avec les sous traitants 17
  • 18. 18
  • 19. La Norme ISO 22301 et SMCA • Il faut une méthode pour aboutir à un PCA correct et bien organisé • Pour cela , la norme ISO 22301 dédiée à la continuité d’activité introduit une méthodologie éprouvée : c’est la notion de SMCA (Système de Management de la Continuité d'Activité) • Les informations sur la mise en œuvre d’un Plan de Continuité d’activité sont détaillées dans le cadre de la norme ISO 22301 sous forme d’exigences et sont applicables par des organisations de toutes tailles et de tous types. • ISO 22301 participe à la sécurité sociétale : protection de la société et réponse en cas d'incidents, de situations d'urgence et de catastrophes provoqués par des actes humains intentionnels ou non intentionnels, des phénomènes dangereux naturels ou des défaillances techniques • Le SMCA ou le système à faire pour améliorer voire bien organiser votre PCA est un dispositif organisationnel de gouvernance qui: - vous demande de comprendre votre situation et exposition aux risques - vous amène à réaliser des PCA adaptés à votre situation et à vos objectifs de continuité - vous exige une mise sous contrôle de tout cela et une amélioration continue. 19
  • 20. La Norme ISO 22301 et SMCA • Une fois leur système de continuité d’activités en place selon ISO 22301, les organisations ont la possibilité de solliciter une certification de conformité à la norme pour prouver leur respect des bonnes pratiques de continuité d’activités aux instances réglementaires, aux clients potentiels et à d’autres parties intéressées. • Il est supposé qu'une fois en place , un SMCA vous amènerait à traiter vos risques et à réaliser des PCA corrects • Un SMCA est donc un PCA conforme à ISO 22301 en ligne avec la volonté de la direction. 20
  • 21. ISO 22301:2019 – 7 exigences 21
  • 22. La mise en place d’un PCA conforme à la norme ISO 22301 est gage d’un PCA mieux organisé 22
  • 23. L’ACPR parle de PUPA et non plus de PCA Dans le décret de 2014, l'ACPR mentionne le PUPA en lieu et place du PCA Les banques et compagnies d'assurance doivent donc avoir un PUPA : "Plan d'Urgence et de Poursuite des Activités" c'est réagir en urgence et poursuivre des activités. La définition du PUPA qui est fournie dans le décret: "Ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et ce pour limiter les pertes" 23
  • 24. L’ACPR parle de PUPA et non plus de PCA Deux points méritent l'attention au niveau du décret de novembre 2014 et décrivent l'attitude qui est attendue des organes de direction de l'entreprise 1- Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité". Il est clair qu'une appréciation des risques régulière est exigée sur les quatre ressources citées pour éclairer les décisions de la direction 2- Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre par les dirigeants effectifs." Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux tests/exercices, revues de direction et audits. Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de vérification de la performance. Aspects très importants à prendre en compte et tout à fait dans l'esprit de la norme ISO 22301. Nous sommes très proches d'un système de management conforme à ISO 22301. 24
  • 25. 25
  • 26. Elaboration d’un PCA conforme à ISO 22301 • L’étape 1 : La définition des besoins métiers et l’analyse des risques liés à la continuité des activités • L’étape 2 : La définition des stratégies de continuité et l’allocation du budget nécessaire à la reprise • L’étape 3 : La définition et la mise en place des plans de continuité, d’hébergement, de communication et de gestion de crise. • L’étape 4 : Les tests et la formation des personnes concernées • L’étape 5 : La maintenance en condition opérationnelle 26
  • 27. Les activités clés d’une mission PCA conforme à ISO 22301 • Déterminer les métiers critiques Identifier les activités clés et les ressources (personnel, bâtiment, système d’information, outils de travail, matières premières...) jugées essentielles pour continuer la production de l’entreprise. • Identifier les temps d’arrêt et gérer les risques prioritaires Déterminer les temps d’arrêt maximum supportables de chaque activité pour prioriser les actions et les situations de risques pour les anticiper voire les éviter • Définir les stratégies de continuité en fonction des scénarios de crise  Pour chaque métier critique, décrire les mécanismes de fonctionnement en mode dégradé (repli sur un autre site, partenariat, sous-traitance...), le niveau de service à restaurer et les délais à ne pas dépasser.  Identifier l’ordre de priorité de reprise jusqu’au retour à la normale. 27
  • 28. Les activités clés d’une mission PCA conforme à ISO 22301 • Prévoir une communication de crise Préparer un plan de communication pour avertir le personnel, la clientèle, les fournisseurs et les partenaires en cas d’incident majeur. • Faire évoluer les plans  Le PCA doit être tenu à jour. Il doit aussi faire l’objet de tests, d’exercices de validation et de maintien à niveau afin de tenir compte des évolutions de l’entreprise.  Le PCA doit être élaboré avec les "opérationnels métiers" parce qu’ils sont les mieux placés pour apprécier les risques et les conséquences.  La direction doit s’impliquer dans l’élaboration du PCA et s’engager fortement dans son suivi. 28
  • 29. Les livrables d’une mission de Plan de Continuité  La cartographie des risques encourus  Les différents impacts d’arrêt pour l'entreprise  Les stratégies de continuité retenues avec les délais de reprise visés  L'organisation et les systèmes d'information de secours - dispositif de gestion de crise - processus métiers et support couverts - acteurs de l'entreprise impactés  Les procédures de reprise et de basculement - sites de repli - modalités d'hébergement et de repeuplement - procédures de redémarrage et de retour à la normale - modalités de fonctionnement dégradé - plan de communication - indicateurs de performance et engagements de service  Les procédures de maintien en condition opérationnelle du PCA - plan de test - procédures de contrôle qualité - organisation et structuration des activités de maîtrise des risques 29
  • 30. Qui fait Quoi dans le cadre de l’élaboration et de la gestion d’un PCA , à définir • Soutien de la Direction Générale • Projet et Méthodologie • Organisation et Leadership • BIA • Analyse des risques • Stratégies et solutions de continuité • Plans de continuité • Gestion de crise • Exercices et tests • Mesures , audit et revue de direction • Certification 30
  • 31. Soutien de la Direction Générale • Maintenant que vous en savez plus sur le PCA , le SMCA et la norme ISO 22301, je vous propose, avant de commencer tout projet de continuité d'activité, de vous assurer que vous êtes soutenu par votre entreprise : le sponsor est la clé de votre réussite ! • Il faut convaincre votre leadership ( DG , CA) de soutenir votre démarche ! Sans leur appui, vous aurez une grande difficulté à mettre en place quoi que ce soit. • Vous avez de la chance car vous êtes la BCT et vous êtes assujettie à une réglementation obligeant à avoir des dispositifs de continuité d’activité • Sinon , il aurait fallu persuader votre DG de l’intérêt de la mise en place d’un PCA. La DG doit comprendre les risques pouvant impacter votre entreprise et les conséquences de toute nature que pourrait engendrer l’arrêt de ses activités. • Il aurait fallu exposer des exemples de sinistres qui se sont déjà déroulés dans des entreprises voisines ou du même secteur d'activité et souligner les conséquences d'un sinistre : – une perte d’image ; – une perte financière ; – un non-respect des contrats et de la règlementation ; – des pertes d’actifs impactant les actionnaires de l’entreprise. 31
  • 32. Soutien de la Direction Générale • La Direction générale étant convaincue, son leadership va faciliter l’implication des parties prenantes internes et externes. • Pour montrer sa volonté d’agir , la Direction Générale va adresser une note à l’ensemble des parties prenantes , indiquant son intention : – de mettre en place le PCA et/ou SMCA pour produire des plans de continuité d’activité opérationnels ; – de nommer un responsable de la continuité d’activité ( RPCA) et ses adjoints et un responsable de la continuité informatique (RPCI/RPSI) et ses adjoints prenant en charge la responsabilité des plans de continuité d’activité de votre entreprise et de son informatique; – d’identifier les correspondants de PCA et leur définir leurs rôles – de lui allouer les ressources/moyens nécessaires pour effectuer cette nouvelle mission. • Cette note identifie également des parties prenantes. Vous devrez les impliquer et leur préciser leurs rôles dans la mise en place du PCA/SMCA. • Les parties prenantes les plus importantes sont les clients, les fournisseurs, les prestataires, les employés, les actionnaires et la société civile, les médias à la suite de l’activation du PCA, etc. • Pour les trois premiers, des clauses de continuité d’activité peuvent être prévues dans les contrats. Quant aux employés, des actions de formations et de sensibilisation doivent être organisées. 32
  • 33. Projet PCA et Méthodologie 33
  • 35. Bonnes Pratiques • Il est déconseillé de Confier le pilotage d’un projet de PCA à un responsable informatique ou au responsable des services généraux, qui n’auront pas la vision « métier » de l’organisation. • Il est préférable de Confier le pilotage du projet ( sponsor du projet) au responsable chargé de la gestion des risques au sein de l’organisation. • À défaut, ce serait le responsable en charge du métier le plus impliqué dans les activités essentielles de l’organisation. • Quand au chef de projet , il devrait être Idéalement rattaché au directeur des risques et Il doit connaître le métier et disposer d’une autorité reconnue. • Il devra être diplomate et bon communicant pour intégrer toutes les parties prenantes : leur implication est cruciale pour la réussite de votre projet. • Il devra disposer de correspondants PCA ( relais/champions) dans les différentes entités de l’organisation, dont les responsables auront été eux-mêmes sensibilisés à l’objectif du PCA. 35
  • 37. 37
  • 38. 38
  • 39. 39
  • 40. 40
  • 41. 41
  • 42. Les Correspondants PCA (CPCA)  Au sein de chaque direction métier de l‘organisation , le CPCA est l’interlocuteur du RPCA pour les questions relatives au PCA de son périmètre. Il a un rôle transversal dans son unité.  Le CPCA apporte sa connaissance des risques opérationnels métiers dans la conduite des actions relatives au PCA. Il s’assure de la bonne coordination et de la mise en cohérence.  Le CPCA a les missions suivantes en cohérence avec la réglementation en vigueur :  Phase projet : • Définit le PCA en cohérence avec les consignes de l’organisation ; • Élabore des plans d’actions en matière de continuité des activités pour son périmètre ; • Identifie les processus transverses pour lesquels il existe des dépendances avec d’autres entités vis-à-vis de l‘organisation ; • Approuve les analyses des risques des activités liées aux processus métiers avant leur validation par le pilote de processus (manager métier) ; 42
  • 43. Les Correspondants PCA (CPCA)  Phase de mise en œuvre : • Gère son projet PCA (budget, …) ; • Rédige ou valide les procédures décrites pour la continuité d’activité : ce rôle est important et doit faire l’objet de lettres de mission de la part de la hiérarchie, c’est la garantie de la viabilité du PCA ; • Met en place l'organisation du site de repli retenu, • Met en place l’organisation de crise de l’entité, veille à son actualisation ; • Met en œuvre et coordonne les actions vis-à-vis de l‘organisation pour les processus transverses ; • Sensibilise tous les acteurs de la filière métier concernée aux objectifs et aux pratiques adaptées en termes de continuité des activités ; 43  Maintien en conditions opérationnelles : • Organise les tests du PCA de son périmètre; • Veille au bon déroulement du PCA en cas d’activation; • Participe aux tests du PCA global ; • Informe le RPCA des actions menées en matière de continuité des activités sur son périmètre.
  • 44. Rassembler périodiquement les Correspondants PCA (CPCA) permettra : • D’échanger les expériences de chacun ; • De montrer que les objectifs fixés sont réalisables ; • De créer une synergie entre les Correspondants PCA ; • De prendre des décisions communes ; • De faire prendre des engagements (objectifs) vis à vis de la communauté des correspondants pour : • mutualiser des moyens ou des ressources ; • cloner des actions réalisées par une autre entité (« ne pas réinventer la roue ») ; • procéder à des accords bilatéraux de secours mutuels notamment dans le cadre de sinistres immeubles (mise à disposition réciproques de locaux, reprise de l’activité d’un service par un autre, partenariat d’unités réalisant le même métier dans des zones géographiques différentes…) ; • faire « redescendre l’information » des comités de niveaux supérieurs et de commenter les audits ; • montrer les interactions (dépendances) des entités par rapport aux autres ; • afficher l’objectif commun qu’est le PCA de l’organisme 44
  • 45. • Le Bilan de l’Impact sur l’Activité ou Business Impact Analysis est orienté métier. Pour savoir quelles sont les activités les plus critiques de l’entreprise, l’exercice consiste à imaginer la disparition d’une activité - quelles qu’en soient les causes- et de regarder l’effet que cela produit. • Cet effet peut se caractériser par une perte de chiffre d’affaires, une baisse de résultat, un défaut d’image, une violation d’un règlement, etc. • Le PCA, imposant l’analyse des processus existants, est une opportunité pour une entreprise car elle va pouvoir optimiser ses processus en améliorant la synergie entre les activités, en répartissant mieux l’utilisation des ressources existantes et en renforçant le contrôle sur ses partenaires ou fournisseurs les plus sensibles. Analyse d’Impacts sur les Activités (BIA) 45
  • 46. Analyse d’Impacts sur les Activités (BIA)  la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la Direction générale ;  l’explicitation et la justification des besoins de continuité d’activité (contractuelles, réglementaires, d'image, etc.) ;  l’indication des ressources minimales nécessaires pour satisfaire aux exigences de continuité d’activité ;  la liste des activités liées et des parties intéressées  DMIA/PMDT/OMCA  Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.  Déterminer les priorités et les délais de reprise des activités.  Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.  Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités. Objectifs d’un BIA 46 Livrables d’un BIA
  • 47. 47
  • 48. 48 Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que des activités qui permettent de les livrer.
  • 49. 49 Identifier les ressources/moyens et les dépendances nécessaires à la continuité d’activité.
  • 50. 50 Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la continuité et à la reprise des activités.
  • 51. 51
  • 52. 52
  • 53. 53
  • 54. DMIA/PMDT/OMCA/RTO/RPO Pour chaque activité, le BIA évalue 5 paramètres : • le Délai Maximal d’Interruption Admissible (DMIA) indiqué par le métier. Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par priorité de reprise d’activité • la PMDT, c’est-à-dire la Perte Maximale de Données Tolérable indiquée par le métier. Par exemple, aucune perte de données, 24 heures de perte de données, etc. Cela dépend de la dernière prise de sauvegarde externalisée nécessaire à la reprise d’activité ; • l’OMCA, c’est-à-dire l’Objectif Minimal de Continuité d’Activité. Par exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin du DMIA qui marque le début de la reprise de l’activité. • le RPO, ou Recovery Point Objective, qui correspond au PMDT métier et qui désigne l'âge des fichiers à récupérer sur un stockage de sauvegarde pour que les opérations normales puissent reprendre après la panne d'une ressource (ordinateur, système ou réseau). • le RTO, ou Recovery Time Objective, qui correspond au DMIA et qui représente la durée maximale d'interruption admissible pendant laquelle une ressource (ordinateur, système, réseau ou application) peut ne pas être fonctionnelle à la suite d'une panne ou d'un désastre. 54
  • 55. 55
  • 56. 56
  • 59. 59
  • 60. 60
  • 61. 61
  • 62. 62
  • 63. La gestion des risques définit des scénarios • La gestion des risques dans le PCA imagine des scénarios de sinistres qui menacent la continuité de l’activité dont elle évalue les conséquences sur les biens (actifs) de l’entreprise. • Pour le PCA, il s’agit de risques opérationnels, susceptibles de compromettre les activités de l’entreprise. • Les sinistres envisagés sont de type inondation, incendie, tremblement de terre, explosion chimique,…bref tout ce qui est d’origine naturelle, humaine ou technique et qui vise les biens de l’entreprise ou les hommes. 63
  • 65. 65
  • 66. Scénarios de Risques menant à des sinistres causant une indisponibilité des activités • R1 : Bâtiment impraticable ; • R2 : Site informatique indisponible ; • R3 : Cyberattaque ; • R4 : Fournisseur défaillant ; • R5 : Inondation fluviale ; • R6 : Indisponibilité massive de ressources humaines ; • R7 : Mouvement social ; • R8 : Coupure alimentation électrique ; • R9 : Coupure physique de fibre ; • R10 : Interdiction syndicale d’accès dans les locaux ; 66
  • 67. Inondation, incendie, vandalisme : se préparer pour protéger notre entreprise • Inondation – Anticipez le risque d'inondation et ses conséquences. Comment assurer la continuité de votre activité en cas d'inondation ? A quelles garanties devez- vous souscrire pour vous protéger d'une inondation ? – Que faire avant, pendant et après une inondation ? • Incendie – Avez-vous les bons réflexes pour prévenir un incendie ? Votre entreprise a t- elle des liquides inflammables, des systèmes de chauffage ou des systèmes de détection d‘étincelles sur un outil de production ? – Les différentes causes d'incendie en entreprise • Vandalisme – Les actes de vandalisme sont en constante augmentation et concernent désormais tous les types d’activités. – Précautions et solutions pour sécuriser son business 67
  • 68. 68 Exemple de scénario de risque et son analyse
  • 69. Etude des scénarios de sinistres 69
  • 70. Etude des scénarios de sinistres 70
  • 71. 71
  • 72. Les solutions de prévention sont mises en œuvre avant la survenance de l’événement perturbateur. Elles ont pour objectif de réduire sa probabilité de survenance. Elles fonctionnent de manière proactive et doivent faire l’objet d’amélioration continue. Quelques exemples classiques de mesures de prévention : •les systèmes de contrôle d’accès dans un bâtiment ; •le secours de l’alimentation électrique par des onduleurs et des groupes électrogènes ; •la mise à jour régulière des logiciels de sécurité ; •l'achat préventif de pompes de relevage, de dispositifs d’étanchéité temporaires et amovibles pour pallier une inondation ; 72
  • 73. Les solutions de détection sont installées avant la survenance de l’événement perturbateur. Elles peuvent réduire l’impact en le détectant rapidement, permettant ainsi de lancer rapidement une remontée d’alerte. Quelques exemples de mesures de détection : •installer des détecteurs de température, de fumée, de feu, d’intrusion physique ; •implémenter un Security Operation Center (SOC), centre de supervision et d'administration de la sécurité qui remonte les cyberattaques ; •effectuer une veille active sur certains risques; 73
  • 74. Les solutions de protection sont préparées et mises en place avant la survenance de l’événement perturbateur. Pour être opérationnelles, ces mesures doivent être validées régulièrement. La principale solution de protection est la mise en place d’un plan de continuité d’activité utilisant : • des solutions de secours informatique ; • des sites de repli des positions de travail. Les solutions de secours permettent de reprendre l’activité en basculant les infrastructures techniques vers un site de secours. Les solutions de repli des positions de travail consistent en des moyens alternatifs situés dans d’autres locaux non soumis aux mêmes risques. 74
  • 75. BIA vs Analyse des risques Première distinction essentielle : les objectifs de ces deux étapes dans le PCA ne sont pas les mêmes : • Pour la gestion des risques, l’objectif est de déterminer les scénarios de sinistre les plus probables et de mettre en place des actions pour rendre le risque résiduel acceptable ; • Pour le bilan d’impact sur l’activité (BIA), l’objectif est de sélectionner les activités critiques de l’entreprise et d’en déterminer les moyens sous-jacents. Deuxième distinction : • A la fin de l’étape « analyse de risque », l’entreprise dispose de plan d’actions d’amélioration et peut hiérarchiser sur une « carte » les principaux scénarios de sinistre qui la menacent. Le principal livrable est une cartographie des risques qui positionne les scénarios sur deux axes : conséquences et probabilité d’occurrence. • A l’issue d’un BIA, l’entreprise a clairement identifié ses activités critiques et sait donc ce qu’elle doit redémarrer au plus vite et comment. Le livrable essentiel est une liste d’activités avec la criticité associée. 75
  • 76. Stratégies de Continuité Équilibre entre risques, besoins et coûts 76
  • 77. 77
  • 78. Stratégies de Continuité • Les stratégies de continuité déterminent l’ensemble des composants qui vont constituer les Plans de Continuité d’Activité. • Elles définissent d’une part les modalités de reprise des métiers en mode dégradé et d’autre part les solutions techniques et organisationnelles à mettre en place. Il s’agit de la phase d’étude préalable à la réalisation des solutions. • L’élaboration de la stratégie de continuité s’appuie sur l’expression en besoins de continuité d’activité réalisés avec les métiers et sur les résultats de l’analyse des risques • À l’issue de cette étape, quatre livrables doivent être produits : 1. La stratégie de continuité d’activité métier. 2. L’étude des solutions de secours utilisateurs. 3. L’étude des solutions techniques. 4. L’étude des solutions logistiques et Moyens généraux 78
  • 79. Scénarios d’indisponibilité et Stratégies de Continuité 79
  • 80. La stratégie de continuité d’activité métier • Des mesures de prévention ou de réduction des risques issus de l’appréciation des risques que vous avez décidé de traiter ; • Des mesures de détection et de remontée d’alerte ; • Des moyens de protection, de maintien et/ou de reprise des activités prioritaires qui ont été déterminées lors du bilan d’impact sur l’activité (BIA), avec les niveaux de service acceptables. 80
  • 81. Étude des solutions pour le secours utilisateurs L’objectif de l’étude des solutions de secours utilisateurs est de trouver des locaux (bureaux) de travail, mais également tout l’environnement de travail nécessaire aux utilisateurs pour reprendre leur activité. Cela intègre, comme déjà évoqué dans le BIA : – Le poste de travail informatique et les imprimantes. – La téléphonie, classique ou spécifique. – Les matériels et équipements divers (imprimés, fournitures, etc.). – Les échanges informatiques (liaisons réseau) avec les clients, partenaires et institutions légales. Solutions de repli externes et solutions de repli internes ou l’utilisation du télétravail ( chez soi) 81
  • 82. Étude des solutions techniques Plan de Secours informatique L’étude des solutions techniques pour le PCA est bien souvent l’occasion de réaliser ou de mettre à jour le Plan de Secours informatique (PSI). Ce plan est la déclinaison de la démarche PCA sur le périmètre de l’informatique seule. Concernant ce périmètre, il faut le comprendre au sens large. Il inclut : o Le système d’information: serveurs, stockage, matériel de sauvegarde , logiciels et applications . o Le réseau dans sa globalité, soit le réseau local, le réseau distant et Internet. o La téléphonie IP, dite VoIP (Voice over IP). 82
  • 83. Étude des solutions Logistique et Moyens Généraux  L’étude des solutions Logistiques et Moyens Généraux est souvent le parent pauvre de l’étude du PCA.  Pourtant, en cas de sinistre, le rôle de ces équipes est essentiel pour sécuriser les locaux, assurer le transport de matériel, le déménagement d’équipements et faire suivre le courrier.  Pourquoi ? parce que les Moyens Généraux savent se débrouiller en cas de besoin. Ce n’est pas totalement faux, mais même avec de la débrouille, il est parfois difficile de réaliser certaines tâches si rien n’a été prévu.  L’étude à mener porte sur les besoins logistiques et en moyens transverses en situation d’activation du PCA : – La gestion de l’immobilier. – La gestion des besoins des utilisateurs: nourriture , médicaments,… – Le déménagement et transport d’équipements sur les sites de secours (logistique PCA). – Le réacheminement du courrier. – La gestion des fournisseurs spécialisés, tels qu’imprimeurs, etc. 83
  • 86. 86
  • 87. 87
  • 88. Secours à froid, actif-passif ou actif-actif Le secours dit « à froid » / « cold site » • Le site de secours n’est pas directement utilisable au quotidien ; en cas d’activation, les moyens techniques du site de secours doivent être mis en œuvre, les serveurs remontés (et mis à jour) et les données restaurées à partir des sauvegardes de recours. Le délai de reprise d’activité est au minimum de 48 heures, dépendant de la durée de restauration des sauvegardes. Le secours dit « actif-passif » / site chaud • le site de secours est opérationnel au quotidien, tenu à jour en permanence, les données sont répliquées (en temps réel ou pas). En cas d’activation, la bascule technique peut être rapide car les moyens informatiques sont « en veille » et activables moyennant des actions de démarrage et de basculement du réseau. Le délai de reprise d’activité est de l’ordre de 24 heures. Le secours dit « actif- actif » / site miroir • Les deux sites sont en production (en répartition de charge) et sont le secours l’un de l’autre. Le fait d’être en « production » implique qu’ils sont tenus à jour en permanence, que les données sont répliquées en temps « quasi » réel. En cas d’activation du PCA, la bascule technique peut être très rapide. Le délai de reprise d’activité peut être inférieur à 4 heures. 88
  • 89. La mise en œuvre du PCA Chaque plan se divise en trois volets : 1. Un volet Infrastructures et locaux : site de repli, site de secours, serveurs de secours, postes de travail,..etc. 2. Un volet Documentation et procédures : plans de reprise, procédures techniques et fonctionnelles, documentation du plan. 3. Un volet organisationnel : organisation de crise, personnes à mobiliser, etc. Concrètement, les solutions sont composées des trois plans à mettre en œuvre : • Plan de Secours utilisateurs. • Plan de Secours informatique. • Plan de Secours logistique (qui inclut les Moyens Généraux). 89
  • 90. 90
  • 91. Chaque plan se décompose en un enchaînement d’actions à exécuter. Chaque action est décrite par une procédure illustrée si besoin par un ou plusieurs modes opératoires. Le plan Ressources humaines Déterminer avant la survenance de l’événement perturbateur le traitement des problématiques d’astreinte, de travail à distance, de pointage des heures de travail, de travail au-delà des heures légales, de travail en horaires non ouvrables, etc. 91
  • 92. 92
  • 93. Les étapes de l’activation du PCA 93
  • 94. 94
  • 95. Gestion Documentaire Un organisme qui souhaite se conformer à la norme ISO 22301 devra au moins : 1. Publier tous les documents exigés par la norme ; 2. Élaborer une procédure de contrôle des documents ; 3. Développer une procédure pour contrôler les enregistrements. Un des premiers documents importants et obligatoires est la politique de continuité d’activité de l’entreprise qu’il faut rédiger et faire valider par la Direction générale. 95
  • 96. Politique de Continuité des Activités • Ce document de politique doit en quelques lignes expliquer ce qu'est la continuité d’activité. • Il devra inclure ensuite les points suivants : – Prendre en compte le contexte et l’environnement de l’entreprise. – Exprimer clairement la volonté de la Direction générale en termes d'enjeux associés à la continuité, comme par exemple : les pertes financières, la détérioration de l'image en cas d'interruption d'activité, la violation d'engagements contractuels, le non-respect de la réglementation applicable. – Citer les avantages de la mise en place de la continuité – Attribuer des responsabilités : qui fait quoi ? Qui décide ? Qui contrôle ? – Indiquer les actions en cas d’exceptions et les sanctions en cas de non respect 96
  • 97. 97
  • 98. 98
  • 99. 99
  • 100. 100
  • 101. Maintenant ….. Il faut mettre en place ce qui est nécessaire pour mesurer et auditer plus tard et voir rapidement où l’on en est, et ce qu’il faut éventuellement corriger. • des indicateurs ciblés mis en place, mesurés et présentés régulièrement. Par exemple : nombre de personnes formées, nombre de personnes sensibilisées, nombre d’exercices ; • des revues diverses et leurs comptes rendus (réunion post audit interne…) ; • des retours sur événements (résultats des tests et exercices, pannes ou interruptions vécues…) ; • des rapports d’audits internes (nombre de non-conformités majeures relevées…) 101
  • 102. 102
  • 103. 103
  • 104. 104
  • 105. 105
  • 106. 106
  • 107. 107
  • 108. 108
  • 109. Quelques non conformités fréquemment constatés lors d’un exercice • des numéros de téléphone erronés ; • des capacités de position de travail sur un site de repli trop faibles. • des déménagements d’activité d’un bâtiment dans un autre ayant modifié le nombre de position de travail à secourir pour ce bâtiment ; • de nouvelles applications informatiques internes ou externes non prises en compte dans le plan de continuité d’activité ; • une dépendance d’un fournisseur externe non prise en compte dans le plan de continuité d’activité. 109
  • 110. Phase Check: Suivi , Contrôle et Revue • Mesures et Indicateurs de performance ( 9.1) • Audit interne (9.2) • Revues de Direction (9.3) 110
  • 112. 112 Mesures et Indicateurs de performance ( 9.1)
  • 113. 113 Mesures et Indicateurs de performance ( 9.1)
  • 116. Maintien en Condition Opérationnelle / Amélioration Continue • Les entreprises évoluent aujourd’hui dans un environnement particulièrement dynamique, avec des changements potentiels multiples (environnement, structure, processus d’entreprise, interlocuteurs…). • Le plan de continuité des activités, véritable outil de résilience, doit impérativement rester en phase avec l’ensemble des évolutions de l’entreprise, garder une pertinence et une efficience maximales pour demeurer parfaitement opérationnel dans la durée. • Le PCA n’est pas un classeur qui va occuper les étagères d’une armoire… • Le maintien en condition opérationnelle (MCO) peut se définir comme un processus récurrent de mise à jour et d’amélioration continue du plan de continuité d’activité. • Les travaux de MCO vont permettre de donner à la Direction générale l’assurance que le PCA reste opérationnel dans le temps et ainsi permettre une riposte efficace dans le cas d’un sinistre majeur. 116
  • 121. Crise vs Urgence • Nous parlons de gestion de crise lorsque les PCA sont dépassés ou non concernés par la situation constatée et nécessitent l’implication d’un organe de décision. • Il faut différencier l’urgence de la crise. L’urgence est issue d’une situation prévisible qui peut être gérée par un PCA. • La crise est une situation dont la maitrise est rendue difficile voire impossible, par son ampleur, sa soudaineté, ou l’indisponibilité des moyens (matériels ou organisationnels). • Les PCA ont pour vocation de réduire les situations de crise en situation d’urgence. 121
  • 122. 122
  • 123. Quelques bonnes pratiques pour mettre en œuvre un PCA • Impliquer la Direction Générale ; • Intégrer la continuité d’activité dans la stratégie générale de votre organisme ; • Mettre en place une gouvernance de la continuité d’activité ; • Faire identifier et chiffrer par les métiers, les impacts liés à l’interruption des activités ; • Mettre en place et entrainer des cellules de crise mobilisables à tout moment ; • Investir dans les solutions (site de secours informatique, de repli des utilisateurs) ; • Tester régulièrement les PCA mis en place ; • Faire régulièrement des exercices d’entrainement simulant des sinistres ; • Prendre en compte les interconnexions avec l’extérieur : le risque ne se limite pas à un périmètre interne ; • Savoir intégrer la continuité d’activité dès la mise en place de nouveaux projets. 123
  • 124. Les normes ISO22300 • ISO 22300:2021 : Sécurité et résilience — Vocabulaire • ISO 22313:2020 : Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301 • ISO/IEC 27031:2011, Technologies de l'information – Techniques de sécurité – Lignes directrices pour mise en état des technologies de la communication et de l'information pour continuité des activités • ISO/TS 22317:2021 - Security and resilience — Business continuity management systems — Guidelines for business impact analysis • ISO 22311, Sécurité sociétale – Vidéosurveillance – Interopérabilité de l’export :spécifie un format commun pour les données qui peuvent être extraites des systèmes de collecte de vidéosurveillance, par exemple à des fins d'enquête, 124
  • 125. • ISO 22315, Sécurité sociétale – Évacuation de masse • ISO 22322, Sécurité sociétale – Gestion des urgences – Mises en garde de la population • ISO 22323, Sécurité sociétale – Systèmes de management de la Résilience organisationnelle – Exigences et lignes directrices pour son utilisation • ISO 22325, Sécurité sociétale – Lignes directrices pour l’évaluation de la capacité de gestion des urgences des organisations • ISO 22351, Sécurité sociétale – Gestion des urgences – Appréciation concertée de la situation • ISO 22397, Sécurité sociétale – Partenariats privé public – Lignes directrices pour l’établissement d’accords de partenariat • ISO 22398, Sécurité sociétale – Lignes directrices pour exercice et essai • ISO 22324, Sécurité sociétale – Gestion des urgences – Alerte à code couleur 125