Mettre en oeuvre un Plan de Continuité d’Activité est loin d’être une formalité : analyses des risques, connaissance précise des exigences métiers, cartographie des processus de l’entreprise, coordination avec les RH… Le PCA peut faire peur ! Il s’agit pourtant d’un volet essentiel à la stratégie sécurité de l’entreprise, améliorant considérablement sa résilience.

Si vous faites partie de ces RSSI fraîchement promus à qui incombe la mise en oeuvre d’un PCA, réjouissez-vous : depuis l’an dernier le SGDSN (Secrétariat général de la défense et de la sécurité nationale) édite un guide gratuit permettant de mener un projet PCA de A à Z.
Des conseils pratiques aux étapes indispensables en passant par les fiches-outils, tout est là. C’est un travail remarquable de clarté.

La méthode présentée s’articule en dix objectifs répartis sur cinq étapes. Le guide déroule le tout en 27 fiches pratiques organisées selon un code couleur en fonction des cinq étapes méthodologiques présentées ci-dessous. Il offre également des modèles de fiches pour l’auto-évaluation des bonnes pratiques, une fiche-modèle d’analyse et d’évaluation des risques et une fiche de RETEX.

Les dix points de la méthodologie présentée dans le guide sont les suivants :

Définir le contexte et les objectifs

Evidemment, avant de se lancer il faut décider de ce que l’on souhaite garantir ! Il faudra, par exemple, identifier les activités essentielles à l’entreprise non pas uniquement pour continuer à opérer mais également pour continuer à respecter ses éventuelles obligations réglementaires. A l’issue de cette analyse l’entreprise devrait disposer d’une liste de ressources critiques indispensables à son fonctionnement (activité, processus, flux…)

Identifier et formaliser les besoins de continuité

Ici l’entreprise décide, pour chaque ressource critique identifiée à l’étape précédente, du niveau de service minimum requis (potentiellement en mode dégradé) et de la durée d’indisponibilité maximale acceptable.

Evidemment chaque ressource critique exige à son tour d’autres ressources pour fonctionner (humaines, infrastructures, SI, externes – matières premières et prestations). Elles seront elles aussi identifiées et définies à cette étape.

A l’issue de cet inventaire l’entreprise peut déjà chiffrer l’impact d’une interruption de l’activité. L’équipe en charge de la préparation du PCA soumet alors à la Direction pour validation l’inventaire des ressources critiques et les impacts potentiels de leur indisponibilité sur l’activité.

Identifier et gérer les risques prioritaires

Il s’agit ici d’une démarche classique d’analyse des risques visant à évaluer et traiter les risques auxquels est exposée l’entreprise en fonction de ses enjeux (« activités stratégiques, chaine de valeur, conjoncture, opportunités, concurrence, capacité financière… » précise le guide). A titre d’exemple la méthode couvre cette section sur trois fiches très didactiques qui expliquent la notion de risque et proposent une méthode basée sur les classiques matrices d’évaluation.

Choisir les scénarios à prendre en compte

En s’appuyant sur le travail d’inventaire des risques réalisé à l’étape précédente, il faut maintenant choisir les scénarios de risques résiduels à couvrir (les autres auront été traités précédemment). L’on cherche à couvrir ici les scénarios conduisant à « un niveau d’activité ou une durée d’interruption inacceptable » , dixit le guide.

Formaliser les moyens et les procédures

C’est ici que l’on entre dans le concret : il s’agit de créer ou de sourcer les moyens redondants qui devront être disponibles à l’activation du PCA. Il peut s’agir de palettes de postes de travail mis de côté, de la construction d’une salle informatique de secours, mais aussi de la recherche de partenaires ou de prestataires capables d’intervenir durant la crise (fourniture de matériel, de puissance de calcul, de réseau, de communication, de positions de travail, etc…).

Evidemment les ressources seules ne servent à rien et il faudra les accompagner des procédures nécessaires afin de savoir exactement comment les mettre en oeuvre le jour venu.

Il s’agit là d’une étape cruciale et, sans surprise, laborieuse !

Définir la stratégie de continuité

Cette étape est l’arbitrage financier issu des deux précédentes. L’on n’est plus ici dans la décision ( « on couvre / on ne couvre pas » ), mais plutôt dans l’optimisation.

Sachant que le coût des moyens décidés à l’étape précédente sera proportionnel aux exigences en matière de délai de reprise ou de niveau d’activité, il est possible d’optimiser au mieux les moyens déployés en s’appuyant sur les scénarios de sinistre et leurs impacts. Après tout l’objectif est de maintenir l’activité à minima le temps de revenir à un état nominal. Et non de se remettre sur pieds immédiatement et totalement (ce qui serait ruineux et rarement nécessaire)

Spécifier les procédures de gestion de crise et de communication

Ce point de la méthode est un projet à lui seul ! Mais la gestion de crise est une composante essentielle dans le cadre du PCA qu’il est impossible d’ignorer. Le guide détaille les fonctions minimales nécessaires à une cellule de crise intégrée au plan (veille, procédures d’escalade et aide à la décision par l’analyse des différents scénarios durant la crise)

Rédiger le plan de continuité et la documentation associée

Il s’agit désormais de rédiger « la bible » du PCA. Le document produit ici va d’abord décrire la démarche logique ayant conduit aux choix stratégiques qui ont été faits, ainsi que les scénarios retenus. Puis il décrira par le détail les ressources concernées, les moyens et les procédures mis en oeuvre lors du déclenchement du plan, ainsi que les responsables concernés et les actions attendues d’eux.

Ce document doit être facilement accessible en cas de besoin (dans la panique…), simple à comprendre même pour des collaborateurs fraîchement recrutés (ou en panique…) et capable d’être mis à jour lorsque les ressources de l’entreprise évoluent.

Assurer la capacité de mise en oeuvre du plan

Avoir un plan, c’est bien, être certain qu’il pourra être mis en oeuvre c’est mieux ! Il s’agit ici pour les responsables en charge des moyens de s’assurer que ces derniers sont disponibles, et que les procédures de déploiement existent et sont comprises par les personnels concernés.

Faire évoluer le plan : exercices et retours d’expérience

Un PCA doit être testé régulièrement et chaque test doit être documenté et solidement debriefé : les oublis, les manques, les procédures mal comprises… tout doit être consigné afin de pouvoir améliorer le plan (le guide propose d’ailleurs à cet effet une fiche-type pour les RETEX).

Et bien entendu l’entreprise évolue, ses systèmes changent, ses activités aussi et il est donc nécessaire de contrôler régulièrement l’adéquation du PCA à la réalité de l’entreprise.

Ce « Guide pour réaliser un plan de continuité d’activité » est disponible gratuitement sur le site du SGDSN au format PDF. Il existe également une version imprimée brochée.

Et si vous utilisez cette méthode pour bâtir votre PCA, n’hésitez pas à venir partager votre expérience dans les commentaires ci-dessous !

Et si tout ceci vous semble bien trop complexe, il reste toujours la méthode Dilbert !