RUBRIQUES
Questions &
Réponses
23/01/2008
Le PCA pour une continuité des activités essentielles
Qu'est-ce qu'un PCA ? Le plan de continuité d'activité vise à définir et mettre en place les moyens et procédures nécessaires pour assurer les activités essentielles au fonctionnement de l'entreprise, c'est-à-dire servir ses clients. A titre d'exemple, une indisponibilité d'Internet pour un site de e-commerce serait de nature à interrompre son activité et lui causer un préjudice importante. Un PCA se décompose en deux volets : PCO et PCI. Le PCO ou plan de continuité opérationnelle a pour objectif de définir les exigences métiers de la continuité de l'activité de l'entreprise. Celles-ci identifiées, peut alors être traité le PCI. Le plan de continuité informatique comprend les modes opératoires et les moyens de continuité des fonctions du système d'information. Le plan de continuité apporte une réponse notamment dans les situations où les locaux sont partiellement ou totalement détruits, et face à une indisponibilité durable de l'informatique. Un PCA peut aussi couvrir les risques de blocage de l'activité liés à des contraintes externes comme des mouvements sociaux et une pandémie (grippe aviaire). Quels sont ses objectifs ? Le PCA répond à plusieurs objectifs permettant la continuité des activités critiques, parmi lesquels deux dont qu'il est impératif de ne pas omettre : la perte de données maximale admissible (PDAM) et la durée maximale d'indisponibilité admissible (DMIA). La PDAM introduit une notion de fraîcheur des données, tandis que la DMIA détermine l'objectif de délai de reprise. Des entretiens menés auprès des directions métiers permettront pour chacune d'elles, ainsi que les différents processus, le délai au-delà duquel la non-reprise de l'activité impliquerait des impacts importants. Le plan de continuité devra aboutir à la mise en place d'outils de gestion de crise, d'une organisation de pilotage ayant notamment pour charge le suivi des actions engagées dans le cadre de l'activation et de son exécution.
Quelles sont les phases d'un PCA ? Sa construction passe par 4 étapes principales. D'abord le cadrage des objectifs du PCA. Comprenant notamment la chronologie de reprise des métiers. Viennent ensuite la définition des moyens (métiers et informatiques) du PCA, son implémentation et la formation des acteurs. Le PCA formalisé, reste encore à le soumettre à des tests unitaires et/ou globaux, soit tout ou partie du plan. La dernière étape englobe le management du PCA, l'élaboration la charte de management et le MCO, maintien en condition opérationnelle. Comment conserver un PCA à jour ? Le PCA est exposé aux évolutions de la vie économique, des contraintes réglementaires, des partenariats ou encore des choix technologiques de l'entreprise. L'actualisation, qui passe par le MCO, a justement pour but de faire vivre le plan de continuité et de s'assurer que celui-ci prend en compte les évolutions de l'entreprise, comme par exemple l'introduction d'une application critique ou le départ d'un membre de la cellule de crise. Le maintien en condition opérationnelle revient à s'assurer du caractère opérant du PCA. Une organisation, qui pourra se limiter à une personne, aura la responsabilité du MCO, c'est-à-dire du programme des mises à jour, de ses modalités, des formations et tests du PCA.
Pourquoi le PCA s'impose-t-il de plus en plus aux entreprises ? Avant tout en raison d'un courant réglementaire qui impose à certaines entreprises des obligations en matière de contrôles de leurs activités. CRBF (Comité de la réglementation bancaire et financière) impose ainsi aux sociétés du secteur bancaire d'assurer la maîtrise de leurs activités essentielles et des risques attachés.
|