C koi la continuité d’activité et gestion de crise ?
La continuité des activités s’inscrit dans une démarche de pérennité de l’entreprise. Elle consiste à mettre en place des procédures et des moyens visant à assurer le fonctionnement de ses activités principales et la disponibilité des ressources indispensables au déroulement de ces activités.
L’interruption des activités pendant une durée « incompatible avec le métier de l’entreprise » peut altérer la confiance des clients, fournisseurs et actionnaires et porter préjudice à la réputation et à la santé financière de l’entreprise.
Il est évident que la durée « acceptable » d’interruption d’activité est très dépendante du métier de l’entreprise : de quelques minutes pour des services de courtage en ligne à quelques journées pour un fabricant de meubles haut de gamme.
Se préparer à affronter des crises
Tout DSI ou RSSI aura dans sa carrière à gérer des situations de crise. Mais quand on évoque crise, on imagine les situations extrêmes, par exemple celles ayant touché les entreprises à NYC le 8 septembre 2001 ou la destruction du siège du Crédit Lyonnais .
Il existe une gradation des crises et certaines sont douloureuses alors qu’elles sont physiquement et fonctionnellement limitées :
- ERP : mauvais paramétrage dans les flux d’intégration financière qui apparaît en période de clôture.
- Dénigrement : détournement d’informations sur les problèmes de qualité d’un produit transmis aux médias ….
- Déni de service : inacessibilité répétée sur une application ouverte à une large clientèle …
- et évidemment inondation , incendie, tempête …
Il est dans la mission d’un RSSI de se préparer à une crise car quand la crise est avérée il est trop tard pour créer et il faut appliquer des schémas déjà rodés (et s’en éloigner peut être risqué).
La continuité des activités s’inscrit dans une démarche de pérennité de l’entreprise. Elle consiste à mettre en place à tous les niveaux de l’entreprise des procédures visant à assurer le fonctionnement de ses activités cruciales et la disponibilité des ressources indispensables au déroulement de ces activités.
Avec le développement du Web et l’accélération des nouvelles technologies, l’accès aux informations vitales conditionne la réussite de l’entreprise toute entière. La moindre interruption des activités peut altérer la confiance de vos clients, fournisseurs et actionnaires et porter préjudice à la réputation et à la santé financière de votre entreprise.
Terminologie de gestion des crises
On fait une distinction entre un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA). Dans un plan de reprise, il y a une notion de latence sous-jacente (de quelques heures à quelques jours), alors que dans un plan de continuité ce temps d’interruption est beaucoup plus court (de quelques secondes à quelques dizaines de minutes) .
Démarche d’élaboration d’un plan (PCA ou PRA)
Cette démarche se découpe en quatre volets :
- la définition des exigences de l’entreprise en fonctions des menaces et risques à couvrir :
- durée d’indisponibilité par activité
- processus prioritaires à redémarrer
- moyens existants - la conception des solutions de prévention et du plan de secours, la définition d’un Plan de Marché Dégradée ,
- la mise en oeuvre des mesures retenues et l’organisation d’un plan de crise
- le processus de maintien en conditions opérationnelles de ce plan (tests périodiques, mise à jour)
Les études de sécurité montrent qu’une entreprise sur trois a élaboré un Plan de Continuité d’Activité (ou PRA).
Et ces mêmes études montrent que quand un Plan de Continuité d’Activité existe dans l’entreprise, il n’est que peu mis à jour (environ une fois tous les 2 ans) et encore moins testé. Or quand on écoute les RSSI qui testent régulièrement leurs plans (tous les 6 mois généralement), ils expliquent
qu’à chaque test, ils trouvent des anomalies, qu’il leur faut corriger des procédures, modifier des plans de sauvegarde …
Cela permet de conclure qu’il reste un gros travail à faire dans les entreprises dans ce domaine et démontre l’importance de mettre en oeuvre un management de la sécurité dans les entreprises (avec les contrôles associés).
Les différents plan de reprise
Il est nécessaire d’adapter le schéma de reprise de l’activité en fonction du type de la crise qui se déclache. Pour cela, certaines entreprises mettent en oeuvre 3 types de plan de reprise :
Plan de Reprise d’Activité (PRA) :
Il est déclaché suite à l’indisponibilité de tout en partie d’activité de l’entreprise (suite à une grêve, à un dégat des eaux, un incendie, …).
Le plan de reprise est constitué des procédures de reprise détaillées pour chaque activité de l’entreprise et les systèmes d’information liés.
Ce plan se décline en plusieurs livrets : organisation, cellule communication, mesures d’urgence,…
Plan de Reprise sur Incident (PRI) :
Il est déclaché suite à l’indisponibilité de certains éléments sensibles de l’entreprise (par exemple suite à un dysfonctionnement d’une application stratégique : ERP, Supply Chain, …).
Ce plan de reprise est rarement formalisé dans les entreprises même si leur fréquence potentielle d’activation (et les gains liés) est forte.
Plan de Reprise sur Sinistre Logique (PRL) :
Il est déclaché suite à une attaque (virale, de pirates, …) .
Ce plan de reprise est comme le PRI encore peu formalisé dans les entreprises …
La gestion de la crise
Pour gérer une telle situation, une cellule de crise doit être identifié lors de l’élaboration d’un plan de reprise. Le nombre de personnes de cette cellule est évidemment dépendant de la taille de l’entreprise mais les fonctions que l’on doit retouvrer sont similaires.
Cette cellule de crise doit être constituée :
- d’un responsable de la cellule de crise qui doit avoir 2 qualités :
- capacité à « signer des chèques »
- capacité à « mobiliser des ressources »
Ce responsable peut être par exemple le DAF ou le DRH - du DSI (et si existe du RSSI) ,
- de représentants de la Maîtrise d’Ouvrage pour les fonctions principales de l’entreprise,
- d’une personne chargé de la communication de crise (ou servant de relais vis à vis de la Direction Générale).
