1. • Qu’est ce qu’un plan de continuité d'activité ?
• Est-il conseillé d'avoir un plan de continuité d'activité ?
• Catastrophe Naturelle, Sinistre Majeur/Grave : votre entreprise est-elle
préparée ?
• Scénarios de risques génériques , conséquences et solutions
• Enjeux et Objectifs d’un PCA
• Elaborer un PCA : exigences & quoi garder en tête avantages
• Norme ISO 22301 et SMCA
• Mission PCA : Préalable, Etapes, organisation , livrables
• Focus spécial sur : engagement de la direction, RPCA et Correspondants PCA
• Business Impact Analysis, Analyses des risque et Stratégies de continuité
• Exercices et tests
• Différents plans de continuité d’activité et leur activation dans le temps
• Documentation , Sensibilisation , Formation et Communication
• Surveillance et Amélioration ( MCO)
• Urgence , Crise et activation du PCA 1
SOMMAIRE
2. • Un Plan de Continuité d‘Activité: se préparer pour maintenir l’activité en cas
de sinistre majeur
• Pour minimiser les préjudices suite à une crise ou à un sinistre majeur, le
meilleur atout est d'avoir un plan de continuité d'activité prêt à être
déployé.
• Un Plan de continuité d'activité : garantir la pérennité de l'activité quelles
que soient les circonstances.
• Un Plan de continuité d’activité: anticiper les risques qui menacent votre
entreprise afin de les contrer si besoin.
• Un Plan de continuité d’activité: maintenir un service minimum en toutes
circonstances
• Un plan de continuité d’activité : c’est anticiper différentes situations de
crise et mettre en place des stratégies pour limiter leur impact.
• Un Plan de continuité d’activité: Savoir comment réagir en cas d’urgence !
2
Qu’est ce qu’un plan de continuité d'activité ?
3. Pour accompagner les entreprises à mieux se préparer et les aider à gérer et maintenir leurs
activités en cas de catastrophe ou de sinistre grave, on élabore un Plan de Continuité
d’Activité.
Le Plan de Continuité des Activités apporte à l’entreprise des réponses concrètes aux
interrogations suivantes
• A quels risques l'entreprise ou la collectivité est-elle la plus vulnérable ?
• Quelles sont les activités et les ressources critiques qu'il convient de protéger par un plan
de secours ?
• Sous quel délai l'organisation doit-elle être à nouveau opérationnelle pour servir ses
clients ?
• Pour faire face à un éventuel sinistre, comment doit-on se préparer pour réagir et
préserver les actifs ?
• Quels dispositifs mettre en place pour coordonner les actions urgentes de secours, de
sécurisation et de communication?
• Quelles solutions de repli adopter pour redémarrer le plus rapidement possible en
termes de locaux, de personnels, de ressources techniques, de matériels et
d'équipements ?
• Quels effectifs et quels moyens mobiliser pour assurer la continuité ou la reprise des
activités jusqu'au retour à la normale ?
3
Qu’est ce qu’un plan de continuité d'activité ?
4. Est-il conseillé d'avoir un plan de continuité d'activité ?
• Le PCA est une stratégie qui consiste à mettre en place les processus et les procédures
dont a besoin une entreprise pour fonctionner pendant et après un sinistre
• Un Plan de Continuité d’activité : Processus qui vise à assurer le fonctionnement dégradé
d’une entreprise en cas de sinistre majeur
• C'est une façon organisée et méthodique et éprouvée de gestion de crise destinée à
permettre à une entité (entreprise, collectivité, organisation, service public, établissement
de santé ou établissement scolaire…) de continuer de fonctionner malgré des
perturbations.
• Le Plan de Continuité d’activité fait office de plan de survie pour tout organisme qui ne
peut pas se permettre de se retrouver au point mort du jour au lendemain.
• Le PCA définit l'ensemble des dispositifs, des ressources et des moyens nécessaires à une
entreprise sinistrée pour éviter voire ( le cas échéant) reprendre dans les meilleurs délais
le fonctionnement optimal de ses activités stratégiques , critiques et vitales et lui
permettre ainsi de servir ses clients.
• Il s'agit « plus » de préserver les activités métiers de l'entreprise que son infrastructure
informatique.
4
5. Catastrophe Naturelle, Sinistre Majeur/Grave :
votre entreprise est-elle préparée ?
• Définition de Sinistre majeur : évènement sanitaire , physique, interne , externe non
maitrisable qui touche les biens ou les personnes et qui peut mettre en péril la
pérennité/viabilité d’une organisation.
• Est-ce que les entreprises sont à l’abri d’un sinistre majeur ???
• Aujourd’hui plus que jamais, les entreprises sont exposées à des risques majeurs
d’origines diverses (climatiques, pandémies, accidents, malveillances, conflits sociaux,
défaillances techniques, erreurs, terrorisme, …).
• NON !! On n'est jamais totalement à l'abri... Les évènements sont internes ou
externes et peuvent survenir sous différentes formes et au moment où l'on s'y attend
le moins et si nous ne sommes pas préparés pour les prévenir , les détecter ou les
corriger et réduire leurs impacts , on risque TROP !!
• Qu'il s'agisse d'une inondation, d'un incendie, d'une explosion , d’un arrêt complet de
l’IT, d’une pandémie , d’une attaque terroriste ou cybernétique , d’un mouvement
social national ou d’une grève du transport ... un sinistre peut être fatal pour une
entreprise mal préparée.
5
6. L’entreprise va être amenée à gérer des situations imprévues
pouvant entraîner des chocs extrêmes ayant pour conséquence
une incapacité à redémarrer les activités et à fournir les services
attendus par ses clients ou son personnel ou ses partenaires
L’impact est alors extrêmement grave: perte financière lourde,
perte de confiance des clients et des partenaires, sanction civile
ou pénale, …
La survenance d’un sinistre peut même conduire à la disparition
de l’entreprise, en l’absence de plan de continuité d’activité.
Les chiffres parlent d'eux même :
25% des entreprises ne reprennent aucune activité
75% d’entre elles ferment dans les 3 ans
6
Catastrophe Naturelle, Sinistre Majeur/Grave :
votre entreprise est-elle préparée ?
7. Scénarios de risques génériques
1 . Bâtiment impraticable : panne totale de l’alimentation
électrique, blocage des accès par interdiction administrative
suite à fuite de gaz liée à des travaux sur la voie publique,
incendie, coupure de la téléphonie suite à des travaux sur la voie
publique…
2 . Perte d’accès aux systèmes d’information : coupure du réseau
suite à des travaux sur la voie publique, panne matérielle ou
logicielle, attaque virale, cyberattaque…
3 . Indisponibilité durable de personnes (70 % du personnel,
toutes compétences confondues) : Pandémie virale, grève
sociale…
4 . Indisponibilité des fournisseurs essentiels ou des sous-traitant
d’un fournisseur : indisponibilité de services critiques dispensés
par un fournisseur.
7
8. Les conséquences (impacts) d'un sinistre grave peuvent
être multiples :
• Conséquences directes :
– Bâtiments et matériaux endommagés
– Stocks détruits
– Travaux de nettoyage et de remise en état, etc.
– Exploitation interrompue
– Perte de chiffre d’affaires
– Perte de personnel : maladie, décès,..
– Désorganisation du travail
– Pénalités et sanctions
• Conséquences indirectes
– perte de clientèle
– dégradation de l'image de marque...
– départ de collaborateurs-clés
8
9. • La pérennité de l'entreprise va dépendre de sa capacité :
• à identifier et à évaluer les risques,
• à accroître la robustesse en durcissant les dispositifs de prévention et de
protection,
• à apporter les réponses appropriées en situation de crise et
• à engager les actions nécessaires pour un retour rapide à la normale.
• Mettre en place un PCA
• IMPORTANT : Pour augmenter les chances de réussite d’une mission PCA , Il
est recommandé de faire intervenir des personnes de différents services et
différentes compétences dans l’analyse et la mise en œuvre des plans ,
comme ca on s’assure de ne rien oublier.
• Tous les dirigeants de l'entreprise sont concernés et leur responsabilité
est directement engagée. Un PCA est un projet de la Haute Direction (
CA , DG)
• Toutes les structures de l’entreprise doivent être impliquées et tout le
personnel bien informé, sensibilisé et formé - Un PCA est un projet
holistique.
9
Quelles solutions ?
10. • Enjeux d’un PCA
• Viser en priorité à mettre en sécurité les personnes et les biens, et
ensuite restaurer les moyens de production.
• Garantir la survie de l’organisation en minimisant les impacts financiers,
juridiques et sur l’image de marque suite à un sinistre grave
• Rétablissement des activités en un temps limité
• conservation des données sensibles et critiques
• Conservation de la confiance des clients et des fournisseurs
• Anticipation des pertes et des surcoûts d’exploitation
• Maitriser la communication en cas de crise
• Favoriser la conquête du marché en rassurant les clients sur la sécurité
de leurs intérêts , services et données en cas de sinistre,
• Répondre aux obligations légales et règlementaires
• Objectifs d’un PCA
• Anticiper et maîtriser les risques opérationnels de grande envergure,
• Analyser et réduire les impacts potentiels d’une interruption d’activité.
• Définir une stratégie de continuité
• Développer la résilience : plans, solutions, …
10
Enjeux et Objectifs d’un PCA
11. Un investissement Mais aussi un Retour sur
Investissement (ROI)
• L’investissement dans un PCA conçu pour faire face à un
sinistre majeur, se trouve aussi rentabilisé par son
utilisation pour réagir à des accidents moins
spectaculaires, mais néanmoins potentiellement couteux
et plus fréquents
• La mise en place d’un PCA produit aussi d’autres gains,
même en fonctionnement normal :
• Gain de productivité liée à l’amélioration du fonctionnement
de l’organisme résultant d’une meilleure compréhension de ses
activités ;
• Gains liés à une augmentation de parts de marché lorsque la
sécurisation de l’activité de l’organisme constitue un argument
commercial ;
• Réduction ou non-augmentation des primes d’assurance, du
fait de la réduction des dommages ;
11
15. Elaborer son PCA
• Le PCA passe par 2 modes :
– Mode projet
– Mode processus continu
• Quelles que soient l’activité et la taille de
l’entreprise, le plan de continuité des activités doit
être mis en place et géré par une structure dédiée
qui pilote et anime sa mise en œuvre en cas de crise.
• L’élaboration du PCA doit commencer par une
identification préliminaire des principaux enjeux de
continuité ( objectifs stratégiques , exigences légales
, règlementaires et contractuelles,…) et la rédaction
d’une politique de continuité d’activité
• L’élaboration du PCA passe par différentes phases et
dure entre 12 et 18 mois
15
17. Les obligations légales, règlementaires et contractuelles se
généralisent et exigent de mettre en place la continuité
d’activité
Certains secteurs sont dans l’obligation légale et/ou règlementaire vis-à-vis du gouvernement
d’assurer un service minimum en toutes circonstances, et donc d’avoir un Plan de Continuité
d’activité.
Les services vitaux doivent par définition ne jamais s’arrêter. Il s’agit de l’alimentation, l’eau,
l’énergie, les hôpitaux, les transports, la défense, la sécurité, la gestion des déchets, les
télécommunications ou encore les banques.
• Légales : lois au niveau national , peu nombreuses voire inexistantes
– Existence de lois dans le monde (US, canada, UE, Japon,…) pour protéger les
infrastructures critiques et garantir leur continuité
• Règlementaires : lois professionnelles imposées par les autorités de régulation par domaine
• France : AMF autorité des Marchés Financiers – 1997-
• Tunisie : BCT - CIRCULAIRE AUX ÉTABLISSEMENTS DE CRÉDIT N° 2006 - 19
• Règlementations Bâle /Solvency 2 : gérer les risques opérationnels dont la CA
• France : RGS : Référentiel Général de la Sécurité : Administrations – Critères CIDT
• Contractuelles : grands groupes industriels, de distribution ou de service doivent assurer la
continuité de leurs activités pour limiter les impacts financiers et sur l’image de marque
– Obligations de continuité imposées par leurs partenaires
– Obligations de continuité dans les contrats avec les sous traitants 17
19. La Norme ISO 22301 et SMCA
• Il faut une méthode pour aboutir à un PCA correct et bien organisé
• Pour cela , la norme ISO 22301 dédiée à la continuité d’activité introduit une
méthodologie éprouvée : c’est la notion de SMCA (Système de Management de
la Continuité d'Activité)
• Les informations sur la mise en œuvre d’un Plan de Continuité d’activité sont
détaillées dans le cadre de la norme ISO 22301 sous forme d’exigences et sont
applicables par des organisations de toutes tailles et de tous types.
• ISO 22301 participe à la sécurité sociétale : protection de la société et réponse
en cas d'incidents, de situations d'urgence et de catastrophes provoqués par des
actes humains intentionnels ou non intentionnels, des phénomènes dangereux
naturels ou des défaillances techniques
• Le SMCA ou le système à faire pour améliorer voire bien organiser votre PCA
est un dispositif organisationnel de gouvernance qui:
- vous demande de comprendre votre situation et exposition aux risques
- vous amène à réaliser des PCA adaptés à votre situation et à vos objectifs
de continuité
- vous exige une mise sous contrôle de tout cela et une amélioration
continue. 19
20. La Norme ISO 22301 et SMCA
• Une fois leur système de continuité d’activités en place selon ISO
22301, les organisations ont la possibilité de solliciter une
certification de conformité à la norme pour prouver leur respect
des bonnes pratiques de continuité d’activités aux instances
réglementaires, aux clients potentiels et à d’autres parties
intéressées.
• Il est supposé qu'une fois en place , un SMCA vous amènerait à
traiter vos risques et à réaliser des PCA corrects
• Un SMCA est donc un PCA conforme à ISO 22301 en ligne avec la
volonté de la direction.
20
22. La mise en place d’un PCA conforme à la norme ISO
22301 est gage d’un PCA mieux organisé
22
23. L’ACPR parle de PUPA et non plus de PCA
Dans le décret de 2014, l'ACPR mentionne le PUPA
en lieu et place du PCA Les banques et compagnies
d'assurance doivent donc avoir un PUPA : "Plan
d'Urgence et de Poursuite des Activités" c'est réagir
en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret:
"Ensemble de mesures visant à assurer, selon divers
scénarios de crise, y compris face à des chocs
extrêmes, le maintien de façon temporaire selon un
mode dégradé, des prestations de services ou
d’autres tâches opérationnelles essentielles ou
importantes de l’entreprise assujettie, puis la reprise
planifiée des activités et ce pour limiter les pertes"
23
24. L’ACPR parle de PUPA et non plus de PCA
Deux points méritent l'attention au niveau du décret de novembre 2014 et décrivent
l'attitude qui est attendue des organes de direction de l'entreprise
1- Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources
humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière
au regard des risques liés à la continuité de l’activité".
Il est clair qu'une appréciation des risques régulière est exigée sur les quatre ressources
citées pour éclairer les décisions de la direction
2- Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de
l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre
par les dirigeants effectifs."
Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux
tests/exercices, revues de direction et audits.
Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de
vérification de la performance. Aspects très importants à prendre en compte et tout à fait
dans l'esprit de la norme ISO 22301. Nous sommes très proches d'un système de
management conforme à ISO 22301.
24
26. Elaboration d’un PCA conforme à ISO 22301
• L’étape 1 : La définition des besoins métiers et l’analyse
des risques liés à la continuité des activités
• L’étape 2 : La définition des stratégies de continuité et
l’allocation du budget nécessaire à la reprise
• L’étape 3 : La définition et la mise en place des plans de
continuité, d’hébergement, de communication et de
gestion de crise.
• L’étape 4 : Les tests et la formation des personnes
concernées
• L’étape 5 : La maintenance en condition opérationnelle
26
27. Les activités clés d’une mission PCA conforme
à ISO 22301
• Déterminer les métiers critiques
Identifier les activités clés et les ressources (personnel, bâtiment, système
d’information, outils de travail, matières premières...) jugées essentielles pour
continuer la production de l’entreprise.
• Identifier les temps d’arrêt et gérer les risques prioritaires
Déterminer les temps d’arrêt maximum supportables de chaque activité pour
prioriser les actions et les situations de risques pour les anticiper voire les éviter
• Définir les stratégies de continuité en fonction des scénarios de
crise
Pour chaque métier critique, décrire les mécanismes de fonctionnement en
mode dégradé (repli sur un autre site, partenariat, sous-traitance...), le niveau
de service à restaurer et les délais à ne pas dépasser.
Identifier l’ordre de priorité de reprise jusqu’au retour à la normale.
27
28. Les activités clés d’une mission PCA conforme à
ISO 22301
• Prévoir une communication de crise
Préparer un plan de communication pour avertir le personnel, la clientèle, les
fournisseurs et les partenaires en cas d’incident majeur.
• Faire évoluer les plans
Le PCA doit être tenu à jour. Il doit aussi faire l’objet de tests, d’exercices de
validation et de maintien à niveau afin de tenir compte des évolutions de
l’entreprise.
Le PCA doit être élaboré avec les "opérationnels métiers" parce qu’ils sont les
mieux placés pour apprécier les risques et les conséquences.
La direction doit s’impliquer dans l’élaboration du PCA et s’engager fortement
dans son suivi.
28
29. Les livrables d’une mission de Plan de Continuité
La cartographie des risques encourus
Les différents impacts d’arrêt pour l'entreprise
Les stratégies de continuité retenues avec les délais de reprise visés
L'organisation et les systèmes d'information de secours
- dispositif de gestion de crise
- processus métiers et support couverts
- acteurs de l'entreprise impactés
Les procédures de reprise et de basculement
- sites de repli
- modalités d'hébergement et de repeuplement
- procédures de redémarrage et de retour à la normale
- modalités de fonctionnement dégradé
- plan de communication
- indicateurs de performance et engagements de service
Les procédures de maintien en condition opérationnelle du PCA
- plan de test
- procédures de contrôle qualité
- organisation et structuration des activités de maîtrise des risques
29
30. Qui fait Quoi dans le cadre de l’élaboration et
de la gestion d’un PCA , à définir
• Soutien de la Direction Générale
• Projet et Méthodologie
• Organisation et Leadership
• BIA
• Analyse des risques
• Stratégies et solutions de continuité
• Plans de continuité
• Gestion de crise
• Exercices et tests
• Mesures , audit et revue de direction
• Certification
30
31. Soutien de la Direction Générale
• Maintenant que vous en savez plus sur le PCA , le SMCA et la norme ISO 22301,
je vous propose, avant de commencer tout projet de continuité d'activité, de
vous assurer que vous êtes soutenu par votre entreprise : le sponsor est la clé de
votre réussite !
• Il faut convaincre votre leadership ( DG , CA) de soutenir votre démarche ! Sans
leur appui, vous aurez une grande difficulté à mettre en place quoi que ce soit.
• Vous avez de la chance car vous êtes la BCT et vous êtes assujettie à une
réglementation obligeant à avoir des dispositifs de continuité d’activité
• Sinon , il aurait fallu persuader votre DG de l’intérêt de la mise en place d’un
PCA. La DG doit comprendre les risques pouvant impacter votre entreprise et
les conséquences de toute nature que pourrait engendrer l’arrêt de ses
activités.
• Il aurait fallu exposer des exemples de sinistres qui se sont déjà déroulés dans
des entreprises voisines ou du même secteur d'activité et souligner les
conséquences d'un sinistre :
– une perte d’image ;
– une perte financière ;
– un non-respect des contrats et de la règlementation ;
– des pertes d’actifs impactant les actionnaires de l’entreprise.
31
32. Soutien de la Direction Générale
• La Direction générale étant convaincue, son leadership va faciliter l’implication des
parties prenantes internes et externes.
• Pour montrer sa volonté d’agir , la Direction Générale va adresser une note à l’ensemble
des parties prenantes , indiquant son intention :
– de mettre en place le PCA et/ou SMCA pour produire des plans de continuité
d’activité opérationnels ;
– de nommer un responsable de la continuité d’activité ( RPCA) et ses adjoints et un
responsable de la continuité informatique (RPCI/RPSI) et ses adjoints prenant en
charge la responsabilité des plans de continuité d’activité de votre entreprise et de
son informatique;
– d’identifier les correspondants de PCA et leur définir leurs rôles
– de lui allouer les ressources/moyens nécessaires pour effectuer cette nouvelle
mission.
• Cette note identifie également des parties prenantes. Vous devrez les impliquer et leur
préciser leurs rôles dans la mise en place du PCA/SMCA.
• Les parties prenantes les plus importantes sont les clients, les fournisseurs, les
prestataires, les employés, les actionnaires et la société civile, les médias à la suite de
l’activation du PCA, etc.
• Pour les trois premiers, des clauses de continuité d’activité peuvent être prévues dans
les contrats. Quant aux employés, des actions de formations et de sensibilisation doivent
être organisées.
32
35. Bonnes Pratiques
• Il est déconseillé de Confier le pilotage d’un projet de PCA à un
responsable informatique ou au responsable des services généraux,
qui n’auront pas la vision « métier » de l’organisation.
• Il est préférable de Confier le pilotage du projet ( sponsor du projet)
au responsable chargé de la gestion des risques au sein de
l’organisation.
• À défaut, ce serait le responsable en charge du métier le plus
impliqué dans les activités essentielles de l’organisation.
• Quand au chef de projet , il devrait être Idéalement rattaché au
directeur des risques et Il doit connaître le métier et disposer d’une
autorité reconnue.
• Il devra être diplomate et bon communicant pour intégrer toutes
les parties prenantes : leur implication est cruciale pour la réussite
de votre projet.
• Il devra disposer de correspondants PCA ( relais/champions) dans
les différentes entités de l’organisation, dont les responsables
auront été eux-mêmes sensibilisés à l’objectif du PCA.
35
42. Les Correspondants PCA (CPCA)
Au sein de chaque direction métier de l‘organisation , le CPCA est
l’interlocuteur du RPCA pour les questions relatives au PCA de son
périmètre. Il a un rôle transversal dans son unité.
Le CPCA apporte sa connaissance des risques opérationnels métiers dans
la conduite des actions relatives au PCA. Il s’assure de la bonne
coordination et de la mise en cohérence.
Le CPCA a les missions suivantes en cohérence avec la réglementation en
vigueur :
Phase projet :
• Définit le PCA en cohérence avec les consignes de l’organisation ;
• Élabore des plans d’actions en matière de continuité des activités pour son
périmètre ;
• Identifie les processus transverses pour lesquels il existe des dépendances
avec d’autres entités vis-à-vis de l‘organisation ;
• Approuve les analyses des risques des activités liées aux processus métiers
avant leur validation par le pilote de processus (manager métier) ;
42
43. Les Correspondants PCA (CPCA)
Phase de mise en œuvre :
• Gère son projet PCA (budget, …) ;
• Rédige ou valide les procédures décrites pour la continuité d’activité : ce rôle est
important et doit faire l’objet de lettres de mission de la part de la hiérarchie, c’est la
garantie de la viabilité du PCA ;
• Met en place l'organisation du site de repli retenu,
• Met en place l’organisation de crise de l’entité, veille à son actualisation ;
• Met en œuvre et coordonne les actions vis-à-vis de l‘organisation pour les processus
transverses ;
• Sensibilise tous les acteurs de la filière métier concernée aux objectifs et aux
pratiques adaptées en termes de continuité des activités ;
43
Maintien en conditions opérationnelles :
• Organise les tests du PCA de son périmètre;
• Veille au bon déroulement du PCA en cas d’activation;
• Participe aux tests du PCA global ;
• Informe le RPCA des actions menées en matière de continuité des activités sur
son périmètre.
44. Rassembler périodiquement
les Correspondants PCA (CPCA) permettra :
• D’échanger les expériences de chacun ;
• De montrer que les objectifs fixés sont réalisables ;
• De créer une synergie entre les Correspondants PCA ;
• De prendre des décisions communes ;
• De faire prendre des engagements (objectifs) vis à vis de la communauté des
correspondants pour :
• mutualiser des moyens ou des ressources ;
• cloner des actions réalisées par une autre entité (« ne pas réinventer la roue ») ;
• procéder à des accords bilatéraux de secours mutuels notamment dans le cadre
de sinistres immeubles (mise à disposition réciproques de locaux, reprise de
l’activité d’un service par un autre, partenariat d’unités réalisant le même métier
dans des zones géographiques différentes…) ;
• faire « redescendre l’information » des comités de niveaux supérieurs et de
commenter les audits ;
• montrer les interactions (dépendances) des entités par rapport aux autres ;
• afficher l’objectif commun qu’est le PCA de l’organisme 44
45. • Le Bilan de l’Impact sur l’Activité ou Business Impact
Analysis est orienté métier. Pour savoir quelles sont les
activités les plus critiques de l’entreprise, l’exercice consiste
à imaginer la disparition d’une activité - quelles qu’en soient
les causes- et de regarder l’effet que cela produit.
• Cet effet peut se caractériser par une perte de chiffre
d’affaires, une baisse de résultat, un défaut d’image, une
violation d’un règlement, etc.
• Le PCA, imposant l’analyse des processus existants, est une
opportunité pour une entreprise car elle va pouvoir
optimiser ses processus en améliorant la synergie entre les
activités, en répartissant mieux l’utilisation des ressources
existantes et en renforçant le contrôle sur ses partenaires
ou fournisseurs les plus sensibles.
Analyse d’Impacts sur les Activités (BIA)
45
46. Analyse d’Impacts sur les Activités (BIA)
la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la
Direction générale ;
l’explicitation et la justification des besoins de continuité d’activité
(contractuelles, réglementaires, d'image, etc.) ;
l’indication des ressources minimales nécessaires pour satisfaire aux
exigences de continuité d’activité ;
la liste des activités liées et des parties intéressées
DMIA/PMDT/OMCA
Obtenir une compréhension des produits et services clés de l’entreprise,
ainsi que des activités qui permettent de les livrer.
Déterminer les priorités et les délais de reprise des activités.
Identifier les ressources/moyens et les dépendances nécessaires à la
continuité d’activité.
Identifier les dépendances (internes et externes, dont les fournisseurs)
nécessaires à la continuité et à la reprise des activités.
Objectifs d’un BIA
46
Livrables d’un BIA
54. DMIA/PMDT/OMCA/RTO/RPO
Pour chaque activité, le BIA évalue 5 paramètres :
• le Délai Maximal d’Interruption Admissible (DMIA) indiqué par le métier.
Par exemple 4 heures, 24 heures, etc. Le DMIA classe les activités par
priorité de reprise d’activité
• la PMDT, c’est-à-dire la Perte Maximale de Données Tolérable indiquée par
le métier. Par exemple, aucune perte de données, 24 heures de perte de
données, etc. Cela dépend de la dernière prise de sauvegarde externalisée
nécessaire à la reprise d’activité ;
• l’OMCA, c’est-à-dire l’Objectif Minimal de Continuité d’Activité. Par
exemple, l’activité peut travailler avec la moitié de l’effectif nominal à la fin
du DMIA qui marque le début de la reprise de l’activité.
• le RPO, ou Recovery Point Objective, qui correspond au PMDT métier et qui
désigne l'âge des fichiers à récupérer sur un stockage de sauvegarde pour
que les opérations normales puissent reprendre après la panne d'une
ressource (ordinateur, système ou réseau).
• le RTO, ou Recovery Time Objective, qui correspond au DMIA et qui
représente la durée maximale d'interruption admissible pendant laquelle une
ressource (ordinateur, système, réseau ou application) peut ne pas être
fonctionnelle à la suite d'une panne ou d'un désastre.
54
63. La gestion des risques définit des
scénarios
• La gestion des risques dans le PCA imagine des
scénarios de sinistres qui menacent la continuité
de l’activité dont elle évalue les conséquences sur
les biens (actifs) de l’entreprise.
• Pour le PCA, il s’agit de risques opérationnels,
susceptibles de compromettre les activités de
l’entreprise.
• Les sinistres envisagés sont de type inondation,
incendie, tremblement de terre, explosion
chimique,…bref tout ce qui est d’origine naturelle,
humaine ou technique et qui vise les biens de
l’entreprise ou les hommes.
63
66. Scénarios de Risques menant à des sinistres
causant une indisponibilité des activités
• R1 : Bâtiment impraticable ;
• R2 : Site informatique indisponible ;
• R3 : Cyberattaque ;
• R4 : Fournisseur défaillant ;
• R5 : Inondation fluviale ;
• R6 : Indisponibilité massive de ressources humaines ;
• R7 : Mouvement social ;
• R8 : Coupure alimentation électrique ;
• R9 : Coupure physique de fibre ;
• R10 : Interdiction syndicale d’accès dans les locaux ;
66
67. Inondation, incendie, vandalisme : se préparer pour
protéger notre entreprise
• Inondation
– Anticipez le risque d'inondation et ses conséquences. Comment assurer la
continuité de votre activité en cas d'inondation ? A quelles garanties devez-
vous souscrire pour vous protéger d'une inondation ?
– Que faire avant, pendant et après une inondation ?
• Incendie
– Avez-vous les bons réflexes pour prévenir un incendie ? Votre entreprise a t-
elle des liquides inflammables, des systèmes de chauffage ou des systèmes de
détection d‘étincelles sur un outil de production ?
– Les différentes causes d'incendie en entreprise
• Vandalisme
– Les actes de vandalisme sont en constante augmentation et concernent
désormais tous les types d’activités.
– Précautions et solutions pour sécuriser son business
67
72. Les solutions de prévention sont mises en œuvre avant la survenance de
l’événement perturbateur. Elles ont pour objectif de réduire sa probabilité de
survenance. Elles fonctionnent de manière proactive et doivent faire l’objet
d’amélioration continue.
Quelques exemples classiques de mesures de prévention :
•les systèmes de contrôle d’accès dans un bâtiment ;
•le secours de l’alimentation électrique par des onduleurs et des groupes
électrogènes ;
•la mise à jour régulière des logiciels de sécurité ;
•l'achat préventif de pompes de relevage, de dispositifs d’étanchéité temporaires
et amovibles pour pallier une inondation ;
72
73. Les solutions de détection sont installées avant la survenance de l’événement
perturbateur. Elles peuvent réduire l’impact en le détectant rapidement, permettant
ainsi de lancer rapidement une remontée d’alerte.
Quelques exemples de mesures de détection :
•installer des détecteurs de température, de fumée, de feu, d’intrusion physique ;
•implémenter un Security Operation Center (SOC), centre de supervision et
d'administration de la sécurité qui remonte les cyberattaques ;
•effectuer une veille active sur certains risques;
73
74. Les solutions de protection sont préparées et mises en place avant la survenance de
l’événement perturbateur. Pour être opérationnelles, ces mesures doivent être validées
régulièrement.
La principale solution de protection est la mise en place d’un plan de continuité d’activité
utilisant :
• des solutions de secours informatique ;
• des sites de repli des positions de travail.
Les solutions de secours permettent de reprendre l’activité en basculant les infrastructures
techniques vers un site de secours.
Les solutions de repli des positions de travail consistent en des moyens alternatifs situés dans
d’autres locaux non soumis aux mêmes risques.
74
75. BIA vs Analyse des risques
Première distinction essentielle : les objectifs de ces deux étapes dans le PCA
ne sont pas les mêmes :
• Pour la gestion des risques, l’objectif est de déterminer les scénarios de
sinistre les plus probables et de mettre en place des actions pour rendre le
risque résiduel acceptable ;
• Pour le bilan d’impact sur l’activité (BIA), l’objectif est de sélectionner les
activités critiques de l’entreprise et d’en déterminer les moyens sous-jacents.
Deuxième distinction :
• A la fin de l’étape « analyse de risque », l’entreprise dispose de plan
d’actions d’amélioration et peut hiérarchiser sur une « carte » les principaux
scénarios de sinistre qui la menacent. Le principal livrable est une
cartographie des risques qui positionne les scénarios sur deux axes :
conséquences et probabilité d’occurrence.
• A l’issue d’un BIA, l’entreprise a clairement identifié ses activités critiques et
sait donc ce qu’elle doit redémarrer au plus vite et comment. Le livrable
essentiel est une liste d’activités avec la criticité associée.
75
78. Stratégies de Continuité
• Les stratégies de continuité déterminent l’ensemble des
composants qui vont constituer les Plans de Continuité
d’Activité.
• Elles définissent d’une part les modalités de reprise des
métiers en mode dégradé et d’autre part les solutions
techniques et organisationnelles à mettre en place. Il s’agit
de la phase d’étude préalable à la réalisation des solutions.
• L’élaboration de la stratégie de continuité s’appuie sur
l’expression en besoins de continuité d’activité réalisés avec
les métiers et sur les résultats de l’analyse des risques
• À l’issue de cette étape, quatre livrables doivent être
produits :
1. La stratégie de continuité d’activité métier.
2. L’étude des solutions de secours utilisateurs.
3. L’étude des solutions techniques.
4. L’étude des solutions logistiques et Moyens généraux 78
80. La stratégie de continuité d’activité
métier
• Des mesures de prévention ou de réduction des
risques issus de l’appréciation des risques que
vous avez décidé de traiter ;
• Des mesures de détection et de remontée
d’alerte ;
• Des moyens de protection, de maintien et/ou de
reprise des activités prioritaires qui ont été
déterminées lors du bilan d’impact sur l’activité
(BIA), avec les niveaux de service acceptables.
80
81. Étude des solutions pour le secours utilisateurs
L’objectif de l’étude des solutions de secours
utilisateurs est de trouver des locaux (bureaux) de
travail, mais également tout l’environnement de
travail nécessaire aux utilisateurs pour reprendre
leur activité.
Cela intègre, comme déjà évoqué dans le BIA :
– Le poste de travail informatique et les imprimantes.
– La téléphonie, classique ou spécifique.
– Les matériels et équipements divers (imprimés,
fournitures, etc.).
– Les échanges informatiques (liaisons réseau) avec les
clients, partenaires et institutions légales.
Solutions de repli externes et solutions de repli
internes ou l’utilisation du télétravail ( chez soi)
81
82. Étude des solutions techniques
Plan de Secours informatique
L’étude des solutions techniques pour le PCA est
bien souvent l’occasion de réaliser ou de mettre à
jour le Plan de Secours informatique (PSI).
Ce plan est la déclinaison de la démarche PCA sur le
périmètre de l’informatique seule.
Concernant ce périmètre, il faut le comprendre au
sens large. Il inclut :
o Le système d’information: serveurs, stockage, matériel de
sauvegarde , logiciels et applications .
o Le réseau dans sa globalité, soit le réseau local, le réseau
distant et Internet.
o La téléphonie IP, dite VoIP (Voice over IP).
82
83. Étude des solutions Logistique et Moyens
Généraux
L’étude des solutions Logistiques et Moyens Généraux est souvent
le parent pauvre de l’étude du PCA.
Pourtant, en cas de sinistre, le rôle de ces équipes est essentiel pour
sécuriser les locaux, assurer le transport de matériel, le déménagement
d’équipements et faire suivre le courrier.
Pourquoi ? parce que les Moyens Généraux savent se débrouiller en cas
de besoin. Ce n’est pas totalement faux, mais même avec de la
débrouille, il est parfois difficile de réaliser certaines tâches si rien n’a
été prévu.
L’étude à mener porte sur les besoins logistiques et en moyens
transverses en situation d’activation du PCA :
– La gestion de l’immobilier.
– La gestion des besoins des utilisateurs: nourriture , médicaments,…
– Le déménagement et transport d’équipements sur les sites de secours
(logistique PCA).
– Le réacheminement du courrier.
– La gestion des fournisseurs spécialisés, tels qu’imprimeurs, etc.
83
88. Secours à froid, actif-passif ou actif-actif
Le secours dit « à froid » / « cold site »
• Le site de secours n’est pas directement utilisable au quotidien ; en cas
d’activation, les moyens techniques du site de secours doivent être mis en
œuvre, les serveurs remontés (et mis à jour) et les données restaurées à partir
des sauvegardes de recours. Le délai de reprise d’activité est au minimum de
48 heures, dépendant de la durée de restauration des sauvegardes.
Le secours dit « actif-passif » / site chaud
• le site de secours est opérationnel au quotidien, tenu à jour en permanence,
les données sont répliquées (en temps réel ou pas). En cas d’activation, la
bascule technique peut être rapide car les moyens informatiques sont « en
veille » et activables moyennant des actions de démarrage et de basculement
du réseau. Le délai de reprise d’activité est de l’ordre de 24 heures.
Le secours dit « actif- actif » / site miroir
• Les deux sites sont en production (en répartition de charge) et sont le secours
l’un de l’autre. Le fait d’être en « production » implique qu’ils sont tenus à jour
en permanence, que les données sont répliquées en temps « quasi » réel. En
cas d’activation du PCA, la bascule technique peut être très rapide. Le délai de
reprise d’activité peut être inférieur à 4 heures.
88
89. La mise en œuvre du PCA
Chaque plan se divise en trois volets :
1. Un volet Infrastructures et locaux : site de repli, site de secours, serveurs de
secours, postes de travail,..etc.
2. Un volet Documentation et procédures : plans de reprise, procédures techniques et
fonctionnelles, documentation du plan.
3. Un volet organisationnel : organisation de crise, personnes à mobiliser, etc.
Concrètement, les solutions
sont composées des trois plans
à mettre en œuvre :
• Plan de Secours utilisateurs.
• Plan de Secours
informatique.
• Plan de Secours logistique
(qui inclut les Moyens
Généraux).
89
91. Chaque plan se
décompose en un
enchaînement
d’actions à exécuter.
Chaque action est
décrite par une
procédure illustrée si
besoin par un ou
plusieurs modes
opératoires.
Le plan Ressources
humaines
Déterminer avant la
survenance de
l’événement perturbateur
le traitement des
problématiques
d’astreinte, de travail à
distance, de pointage des
heures de travail, de
travail au-delà des heures
légales, de travail en
horaires non ouvrables,
etc.
91
95. Gestion Documentaire
Un organisme qui souhaite se conformer à la norme ISO 22301 devra au moins :
1. Publier tous les documents exigés par la norme ;
2. Élaborer une procédure de contrôle des documents ;
3. Développer une procédure pour contrôler les enregistrements.
Un des premiers documents importants et obligatoires est la politique de
continuité d’activité de l’entreprise qu’il faut rédiger et faire valider par la
Direction générale.
95
96. Politique de Continuité des Activités
• Ce document de politique doit en quelques lignes
expliquer ce qu'est la continuité d’activité.
• Il devra inclure ensuite les points suivants :
– Prendre en compte le contexte et l’environnement de
l’entreprise.
– Exprimer clairement la volonté de la Direction générale en
termes d'enjeux associés à la continuité, comme par exemple
: les pertes financières, la détérioration de l'image en cas
d'interruption d'activité, la violation d'engagements
contractuels, le non-respect de la réglementation applicable.
– Citer les avantages de la mise en place de la continuité
– Attribuer des responsabilités : qui fait quoi ? Qui décide ? Qui
contrôle ?
– Indiquer les actions en cas d’exceptions et les sanctions en
cas de non respect 96
101. Maintenant …..
Il faut mettre en place ce qui est nécessaire pour mesurer et
auditer plus tard et voir rapidement où l’on en est, et ce qu’il
faut éventuellement corriger.
• des indicateurs ciblés mis en place, mesurés et présentés
régulièrement. Par exemple : nombre de personnes formées,
nombre de personnes sensibilisées, nombre d’exercices ;
• des revues diverses et leurs comptes rendus (réunion post
audit interne…) ;
• des retours sur événements (résultats des tests et exercices,
pannes ou interruptions vécues…) ;
• des rapports d’audits internes (nombre de non-conformités
majeures relevées…)
101
109. Quelques non conformités fréquemment
constatés lors d’un exercice
• des numéros de téléphone erronés ;
• des capacités de position de travail sur un site de
repli trop faibles.
• des déménagements d’activité d’un bâtiment
dans un autre ayant modifié le nombre de
position de travail à secourir pour ce bâtiment ;
• de nouvelles applications informatiques internes
ou externes non prises en compte dans le plan de
continuité d’activité ;
• une dépendance d’un fournisseur externe non
prise en compte dans le plan de continuité
d’activité.
109
110. Phase Check: Suivi , Contrôle et Revue
• Mesures et Indicateurs de performance ( 9.1)
• Audit interne (9.2)
• Revues de Direction (9.3)
110
116. Maintien en Condition Opérationnelle /
Amélioration Continue
• Les entreprises évoluent aujourd’hui dans un environnement
particulièrement dynamique, avec des changements potentiels multiples
(environnement, structure, processus d’entreprise, interlocuteurs…).
• Le plan de continuité des activités, véritable outil de résilience, doit
impérativement rester en phase avec l’ensemble des évolutions de
l’entreprise, garder une pertinence et une efficience maximales pour
demeurer parfaitement opérationnel dans la durée.
• Le PCA n’est pas un classeur qui va occuper les étagères d’une armoire…
• Le maintien en condition opérationnelle (MCO) peut se définir
comme un processus récurrent de mise à jour et d’amélioration
continue du plan de continuité d’activité.
• Les travaux de MCO vont permettre de donner à la Direction générale
l’assurance que le PCA reste opérationnel dans le temps et ainsi permettre
une riposte efficace dans le cas d’un sinistre majeur. 116
121. Crise vs Urgence
• Nous parlons de gestion de crise lorsque les PCA sont
dépassés ou non concernés par la situation constatée
et nécessitent l’implication d’un organe de décision.
• Il faut différencier l’urgence de la crise. L’urgence est
issue d’une situation prévisible qui peut être gérée par
un PCA.
• La crise est une situation dont la maitrise est rendue
difficile voire impossible, par son ampleur, sa
soudaineté, ou l’indisponibilité des moyens (matériels
ou organisationnels).
• Les PCA ont pour vocation de réduire les situations de
crise en situation d’urgence.
121
123. Quelques bonnes pratiques pour
mettre en œuvre un PCA
• Impliquer la Direction Générale ;
• Intégrer la continuité d’activité dans la stratégie générale de votre
organisme ;
• Mettre en place une gouvernance de la continuité d’activité ;
• Faire identifier et chiffrer par les métiers, les impacts liés à
l’interruption des activités ;
• Mettre en place et entrainer des cellules de crise mobilisables à tout
moment ;
• Investir dans les solutions (site de secours informatique, de repli des
utilisateurs) ;
• Tester régulièrement les PCA mis en place ;
• Faire régulièrement des exercices d’entrainement simulant des
sinistres ;
• Prendre en compte les interconnexions avec l’extérieur : le risque ne se
limite pas à un périmètre interne ;
• Savoir intégrer la continuité d’activité dès la mise en place de
nouveaux projets. 123
124. Les normes ISO22300
• ISO 22300:2021 : Sécurité et résilience — Vocabulaire
• ISO 22313:2020 : Sécurité et résilience — Systèmes de
management de la continuité d'activité — Lignes directrices
sur l'utilisation de l'ISO 22301
• ISO/IEC 27031:2011, Technologies de l'information –
Techniques de sécurité – Lignes directrices pour mise en
état des technologies de la communication et de
l'information pour continuité des activités
• ISO/TS 22317:2021 - Security and resilience — Business
continuity management systems — Guidelines for business
impact analysis
• ISO 22311, Sécurité sociétale – Vidéosurveillance –
Interopérabilité de l’export :spécifie un format commun
pour les données qui peuvent être extraites des systèmes
de collecte de vidéosurveillance, par exemple à des fins
d'enquête,
124
125. • ISO 22315, Sécurité sociétale – Évacuation de masse
• ISO 22322, Sécurité sociétale – Gestion des urgences – Mises en
garde de la population
• ISO 22323, Sécurité sociétale – Systèmes de management de la
Résilience organisationnelle – Exigences et lignes directrices
pour son utilisation
• ISO 22325, Sécurité sociétale – Lignes directrices pour
l’évaluation de la capacité de gestion des urgences des
organisations
• ISO 22351, Sécurité sociétale – Gestion des urgences –
Appréciation concertée de la situation
• ISO 22397, Sécurité sociétale – Partenariats privé public – Lignes
directrices pour l’établissement d’accords de partenariat
• ISO 22398, Sécurité sociétale – Lignes directrices pour exercice
et essai
• ISO 22324, Sécurité sociétale – Gestion des urgences – Alerte à
code couleur 125