La mise en place d’un plan de continuité d’activité, PCA pour faire face aux conséquences environnementales ou d’actes de malveillances.
Le PCA décrit la stratégie de continuité adoptée pour faire face, par ordre de priorité, à des risques identifiés et sériés selon la gravité de leurs effets et leur plausibilité.
Il décline cette stratégie en termes de ressources et de procédures documentées qui vont servir de références pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini, lorsque celui-ci a été interrompu à la suite d’une perturbation importante.
Un PCA est nécessairement un plan évolutif car les priorités de l’organisation évoluent avec les modifications d’objectifs, d’obligations contractuelles ou réglementaires, de relations avec des partenaires externes (fournisseurs ou clients) et d’appréciation du risque. Il doit être revu régulièrement pour tenir compte de l’évolution de ces paramètres.
Toute personne en charge d’une action relevant d’un PCA doit connaître précisément son rôle et ce qu’elle doit faire concrètement en cas de sinistre.
Elle doit également comprendre la finalité recherchée, afin d’inscrire son action dans la cohérence globale de l’organisation. Cet impératif est un gage de fexibilité et d’efficacité.
Il résulte des points précédents que la documentation du PCA doit faciliter l’adhésion des personnes concernées, l’adaptabilité des mesures à la situation et l’évolutivité du plan dans le temps, en incluant une description du contexte, des scénarios de risque retenus et de la stratégie de réponse.
il est par conséquent recommandé que le contenu du PCA comprenne les points suivants, qui doivent être élaborés successivement :
le contexte, les objectifs et obligations de l’organisation, dont la description se prolonge logiquement par la liste des activités essentielles pour l’atteinte des objectifs et la tenue des obligations, ainsi que par la liste des
processus clés, nécessaires au fonctionnement des activités essentielles.
les risques retenus comme les plus graves pour la continuité d’activité doivent être clairement explicités au moyen de scénarios.
Il est fortement recommandé de conduire une analyse complète des risques, de façon à disposer d’une grille d’évaluation et de critères objectifs pour décider des priorités.
Néanmoins, en l’absence d’une démarche de gestion des risques, une approche par scénarios (par exemple une crue, une pandémie grippale, la destruction d’un site), focalisée sur les conséquences sans
décrire les causes, peut suffire à élaborer une première version de PCA simplifé.
la stratégie de continuité d’activité, établie et décrite en précisant, pour chaque activité essentielle, les niveaux de service retenus et les durées d’interruption maximales admissibles pour ces différents niveaux de service, ainsi que les ressources et procédures permettant d’atteindre les objectifs, en tenant compte des ressources critiques qui peuvent avoir été perdues, jusqu’à la reprise de la situation normale.
le rôle des différents responsables, les procédures de mise en œuvre du PCA et les moyens nécessaires doivent être explicités.
Les dispositifs préconisés, une fois intégrés dans les moyens et procédures de l’organisation, doivent être précisés et documentés.
le dispositif de gestion de crise, qui permet de conduire la mise en œuvre du PCA en assurant le pilotage des actions de réponse et de gestion de l’incertitude, à travers les procédures de détection d’incident, de qualification, d’escalade, d’alerte, demobilisation , d’activation de la cellule de crise, d’anticipation, d’intervention, de déclenchement des dispositions du PCA (solution palliative, mode secours avec fonctionnement dégradé, plan de reprise de l’activité normale) et de communication.
la maintenance opérationnelle du plan.
Cette action essentielle consiste en premier lieu à établir des indicateurs permettant de vérifier et mesurer :
La bonne mise en œuvre des dispositifs préconisés dans le plan.
En amont : l’efficacité du plan au regard des objectifs de continuité.
En aval (durant une crise) : les niveaux de service constatés sur les activités essentielles, le fonctionnement des processus spécifiques au PCA et la disponibilité des ressources de secours.
La maintenance opérationnelle consiste ensuite à mettre en place les dispositifs de mesure relatifs à des tests périodiques, à des exercices ou à un sinistre vécu.
Elle se traduit enfin par l’identification des axes de progrès et le suivi des améliorations apportées au plan.
Que contient un Plan de Continuité d’Activité ?
- Le cadre général
La description du contexte permet de lister les activités essentielles de l’entreprise, les processus clés nécessaires à leur fonctionnement, ainsi que les ressources critiques :- infrastructures – bâtiments, locaux, moyens de transport…,
- systèmes d’information – systèmes informatiques, moyens de télécommunication…,
- ressources humaines – personnes clefs, qualifications, compétences…,
- ressources intellectuelles et immatérielles – données internes, informations stratégiques…,
- prestations externes – énergie, sous-traitants… – ou produits critiques – matières premières rares.
- L’identification des risques les plus graves
Les risques pouvant compromettre la continuité des activités essentielles doivent être décrits puis priorisés. - La stratégie de continuité d’activité
Pour chaque activité essentielle, la stratégie précise, jusqu’au retour à une situation normale :- les niveaux de service retenus,
- les durées d’interruption maximales admissibles pour ces différents niveaux de service,
- les ressources et procédures nécessaires pour atteindre ces objectifs, en tenant compte des ressources critiques qui peuvent avoir été perdues.
- Le rôle des responsables de la mise en œuvre du PCA – cellule de crise
Doivent être précisés :- les procédures de mise en œuvre du PCA,
- les moyens nécessaires,
- le détail de l’organigramme
- et le rôle des différents responsables.
Toute personne en charge d’une action relevant d’un PCA doit connaître précisément sa fonction en cas de crise.
- Le dispositif de gestion de crise
Il permet de conduire la mise en œuvre opérationnelle du PCA, selon des procédures :- détection et qualification des incidents,
- alerte et activation de la cellule de crise,
- déclenchement des dispositions du PCA :
- solution palliative : contournement des services interrompus,
- mode secours : fonctionnement dégradé,
- plan de reprise de l’activité normale,
- plan de communication.
- La maintenance opérationnelle du plan
Le PCA doit comporter des indicateurs permettant de vérifier :- la mise en œuvre des dispositifs préconisés dans le plan,
- l’adéquation du plan au regard des objectifs de continuité,
- les niveaux de service réellement constatés lors d’une crise – retour d’expérience.