Continuité d’activité

Description

Quel est l’intérêt de la continuité d’activité ?
Le monde est VICA (Volatile, Incertain, Complexe, Ambigu) et rend les organisme fragile face aux perturbations en tout genre : crise sanitaire, crise économique, catastrophe climatique, défaillance ou attaque informatique, atteinte à la sécurité, difficulté d’approvisionnement, conflit, guerre, attentat, blocage, perte de compétences…
La continuité d’activité est la capacité d’un organisme à poursuivre la délivrance de produits et de services dans des délais et à un niveau de capacité prédéfini acceptable relativement à une perturbation [ISO 22300:2018].

Ses avantages sont nombreux pour l’organisme, les activités métier, les aspects financiers, les processus internes, les parties intéressées… : confiance, résilience, performance, réduction des risques et des coûts , responsabilisation des acteurs….
Le principe est, en cas de survenance d’une perturbation, de pouvoir poursuivre la délivrance des produits et services jugés critiques (reprise des activités prioritaires, modes dégradés, retour à la normale). Pour cela, il convient de définir deux objectifs clés : la perte de données maximale tolérable (PDMT) et la durée maximale d’interruption admissible avant reprise (DMIA).

Comment mettre en œuvre la continuité d’activité ?
Le management de la continuité d’activité s’inscrit dans un processus de maîtrise de risque d’un organisme en trois temps (et cinq phases) :

* un temps de préparation avant apparition de l’événement redouté : éviter les sources de perturbation (phase 1). Puis maîtriser les risques ou éviter leur survenance et préparer leur survenance (phase 2).
La phase 2, se compose de 5 étapes :
Étape 1 – Structurer le système : domaine d’application, exigences, objectifs …de continuité d’activité
Étape 2 – Faire le bilan d’impact sur l’activité (permettre à l’organisme d’identifier et de justifier les activités prioritaires afin d’éviter des impacts inacceptables sur l’activité pendant une perturbation et d’établir les priorités pour la reprise de toutes les activités
Étape 3- Analyser les risques de perturbation : identifier les actifs en support des activités prioritaires ; identifier, évaluer et traiter les risques associés à ces actifs support.
Étape 4- Déterminer la (les) stratégie(s) et solution(s) de continuité d’activité. Tenant compte des éléments des étapes 1 à 3 mais aussi des capacités humaines , financières, techniques, organisationnelles… déterminer la (les) stratégie(s) appropriée(s) pour : protéger-stabiliser-poursuivre-reprendre-rétablir les activités prioritaires, atténuer les impacts-y répondre-les gérer…
Étape 5- Déterminer et mettre en œuvre les dispositions de maîtrise, tenant compte de la (des) solution(s) retenue(s). Puis régulièrement les surveiller, les revoir et les améliorer

* un temps de traitement, après apparition de l’événement redouté : consacré au traitement de la perturbation, de la perte, du sinistre ou de la crise, conformément aux plans prévus (phase 3). Et une fois la crise passée, traiter la résilience (phase 4).
* un temps de gestion, récurrent, consistant à revoir le dispositif pour l’améliorer régulièrement (phase 5).

Quelles sont les bonnes pratiques de mise en œuvre?

• Engagement de la direction générale ;
• Approche systémique ; car pour être appropriée, pragmatique et performante la continuité d’activité doit s’intégrer au maximum dans le système de management existant de l’organisme, qu’il soit « naturel » ou qu’il soit de type qualité iso 9001, sécurité de l’information iso 27001…
• Approche par les risques cohérente et alignée à la politique de continuité (risques et opportunités par rapport aux objectifs de continuité, bilan d’impact d’activité, analyse de risque des perturbation, stratégie de continuité… pour aboutir à des mesures pertinentes) ;
• Mobilisation des acteurs concernés (compétents et responsables) ;
• Tests réguliers des dispositions en place et prise en compte des retours d’expérience pour renforcer le dispositif de continuité
• Plan de continuité d’activité uniquement spécifique à une activité-produit-service-site, faisant référence à chaque fois que possible aux modalités de management de la continuité d’activité du système de management de l’entreprise
• Intégration de la détection des perturbations dans le dispositif de gestion des incidents de l’organisme qui doit permettre d’enregistrer la perturbation signalée pour pouvoir déclencher les actions de continuité (reprise, rétablissement des services convenus, aux niveaux de services convenus)

Publications

• Livre blanc Beeznet « Continuité d’activité » (voir présentation)
• Ouvrage « Solution pour… Développer l’entreprise numérique » (voir carte identité)

Expertise

• Parcours « Confiance numérique » (voir présentation)
• Continuité d’activité, mode d’emploi (voir partage d’expert)

• Formation, diagnostic, accompagnement (beeznet SAS) (voir offres) et les prestataires engagés SAS Beeznet compétents (voir annuaire)

Retour d’expérience

Conception-animation d’un module de sensibilisation à la continuité cyber (oct 2022 a janv 2024)
(voir en lancement sur le site de la SAS Beeznet et REX des ateliers sur le site de la SAS Beeznet)

• Contexte : sensibilisation à la continuité cyber (parcours BPI) dans le cadre d’un projet en partenariat avec Afnor visant à accompagner les TPE-PME à la mise en place d’une continuité d’activité
• Action : conception du module de sensibilisation de 2 heures  et du kit de mise en œuvre pour l’atelier pratique de 2 heures
• Résultat : une centaine de participants formés par les prestataires engagés Beeznet de 2022 à 2024 (Versiq, Synertal, SMIG, Exaltex, Admyral)

Conférence citoyenne « management de la continuité d’activité » (dec 2022)
(voir en lancement sur le site de l’association Beeznet)

• Contexte : Démontrer à un public large l’intérêt d’accroître la résilience des entreprises et des individus
• Action : Animation d’une conférence citoyenne destinée aux professionnels, étudiants en management et également ouverte à tout public du réseau de l’école DEI (Deming Excellence Institute)
• Résultat : une centaine de participants éclairés tant sur les aspects liés aux normes et systèmes de management qu’au niveau de la continuité d’activité des entreprises et au niveau personnel.

Audit de conformité iso 22301 et d’optimisation d’un site industriel (dec 2022)

• Contexte : Site industriel souhaitant démontré la mise en œuvre des dispositifs de continuité du Groupe et se préparer à une certification iso 22301 avec une approche pragmatique et opérationnelle.
• Action : Audit de conformité iso 22301 et d’optimisation du système de management de la continuité d’un site industriel classé Seveso Seuil bas sur les 4 plans de continuité (infrastructure, système d’information, compétences, fournisseurs)  de deux jours sur site en Hauts de France.
• Résultat : le Responsable Sécurité & Services Techniques  témoigne « Je vous remercie pour la qualité et la pertinence de vos commentaires, pistes de progrès et propositions d’améliorations s’agissant de notre système de management de la Continuité d’Activité. L’ensemble des points proposés ne fait pas l’objet de contestation et nous prenons acte de ces axes en les intégrant dans notre plan d’action. Nous regarderons collégialement lesquels feront l’objet d’un traitement plus approfondi rentrant dans notre amélioration continue.

Optimisation et test d’un dispositif de continuité d’activité (oct 2024 )
(voir en  détail sur le site de la SAS Beeznet)

• Contexte : Banque d’affaire ayant mis en place un dispositif de continuité d’activité incluant des procédures de gestions de crise mais dont les tests ne sont pas concluant. Elle souhaite rendre son dispositif plus simple, plus opérationnel, maximiser l’adhésion des contributeurs et s’assurer de son efficience lors de test.
• Action : Réalisation du diagnostic Beeznet, refonte du dispositif de gestion de crise, refonte du manuel et dispositions de gestion de continuité, préparer et mettre en oeuvre un plan de tets, proposer des indicateurs de performance.
• Résultat :  Réduction de plus de 50 % du volume documentaire, Kit de gestion de crise au format tableur très pratique à utiliser, Réalisation des Plans de reprise Informatique et mise en oeuvre réussi des Exercices et test.