Optimiser et tester l'efficacité d'un plan de continuité d'activité

L'élaboration d'un plan de continuité d'activité (PCA), ou d'un plan de reprise d'activité (PRA), selon la terminologie employée et/ou le secteur où il est appliqué, représente un investissement important pour l'entreprise. Un investissement qui toutefois ne prend pas fin à l'étape d'implémentation du PCA et de la formation des acteurs. Il n'est en effet jamais figé et doit calquer son cycle de vie sur celui de l'entreprise.

En effet, une fois conçu, encore doit-il être maintenu en condition opérationnelle. "Le MCO, ou maintien en condition opérationnelle, permet de s'assurer que le plan est effectivement opérant, mais aussi à jour en termes de procédures, de gestion de crise, de rôles et d'attributions, dans l'ensemble des entités impliquées dans le PCA", précise Bruno Hamon, directeur général adjoint du cabinet d'audit Exedis.

L'efficacité d'un PRA suppose le respect d'une première condition : "il faut mettre en place une organisation assurant la prise en compte de toutes les évolutions dans l'entreprise, sans quoi le caractère opérationnel du plan en cas de sinistre ne sera plus garanti", avertit Julien Bizjak, consultant sécurité senior en charge de l'offre PRA pour Cyber Networks.

Tout plan de maintien en condition opérationnelle doit ainsi préciser le ou les responsables du MCO dans l'entreprise, ses modalités, le programme des mises à jour, des formations, les tests et les vérifications.

La mise en place d'un PCA devrait en outre s'accompagner d'une campagne de sensibilisation en interne, mais aussi auprès des tiers inclus dans celui-ci. Si des responsabilités sont établies pour prendre en charge les mises à jour, encore faut-il que les évolutions dans l'entreprise soient remontées.

"Le MCO d'une entreprise monosite de 250 personnes représente environ une charge de travail de 20 jours/homme durant lesquels seront reconduits des entretiens, analyser les différents livrables du PCA et effectuées les mises à jour. Seront ensuite organisées les séances de formation et les tests", détaille l'expert d'Exedis.

Le cycle de vie

Un plan de continuité doit toujours être conçu en fonction des spécificités d'une entreprise et de son écosystème. Il doit aussi constituer une réponse fiable dans le temps face aux risques. Le PCA est par conséquent exposé aux évolutions de la vie économique, des contraintes réglementaires, des partenariats, des choix technologiques, etc.

"La doublure ou backup d'un membre de la cellule de crise décisionnelle a quitté l'entreprise. Cette évolution doit être prise en compte afin de désigner un remplaçant et éviter qu'en cas d'activation du plan de continuité, celui-ci ne soit bloqué. De même, si un applicatif critique est implémenté dans le système d'information, il faut prévoir des solutions de reprise en cas par exemple de basculement sur un site de repli utilisateurs", illustre Bruno Hamon.

L'optimisation

L'actualisation du PCA peut également passer par une optimisation, qu'il s'agisse de choix techniques ou de procédures. Cyber Networks notamment propose un audit sur la base des critères définis par le Clusif en matière de PCA et l'optimisation du rapport coûts récurrents/ efficacité.

La finalité de la démarche est de vérifier que les choix, et leurs coûts (location d'une salle blanche, installation des serveurs, maintenance, ressources humaines, etc.), sont efficaces en cas de sinistre et adaptés aux enjeux métier. L'audit ne reste toutefois qu'une brique parmi les modalités de maintien.

"Il ne s'agit pas de se rendre dans une entreprise et de qualifier ses choix d'inadéquats, mais de cibler les axes prioritaires au travers d'un plan d'actions, pour ainsi les améliorer. Sur la base d'une matrice financière, les composants, postes du PRA les plus lourds financièrement sont identifiés et optimisés lorsque cela s'avère possible", précise Julien Bizjak.

Les tests

Unitaires et de filage (engrenage de procédures), des tests doivent être réalisés au minimum une fois par an, l'idéal étant une planification semestrielle. Toutefois, ces tests peuvent intervenir plus tôt, notamment suite à un bouleversement de la structure de l'entreprise (acquisition, cession d'une activité, migration du SI, etc.).

Le test unitaire, qui va consister à exécuter une procédure, peut être très spécifique. Il s'agira par exemple d'un test de pression médiatique destiné à entraîner le comité de pilotage et la direction aux bonnes pratiques en termes de communication et de comportement vis-à-vis des médias.

Le test du repli utilisateurs est aussi essentiel. Il consistera à déplacer les catégories de salariés cibles sur un site prévu en cas d'indisponibilité des locaux principaux. L'accès au site lui-même sera testé, ainsi que les outils mis à disposition. Avec les moyens mis à leur disposition, et dans un mode dégradé, les salariés sont-ils en mesure d'effectuer les tâches définies dans le PCA ?