Description
Quel est l’intérêt de la continuité d’activité ?
Le monde est VICA (Volatile, Incertain, Complexe, Ambigu) et rend les organisme fragile face aux perturbations en tout genre : crise sanitaire, crise économique, catastrophe climatique, défaillance ou attaque informatique, atteinte à la sécurité, difficulté d’approvisionnement, conflit, guerre, attentat, blocage, perte de compétences…
La continuité d’activité est la capacité d’un organisme à poursuivre la délivrance de produits et de services dans des délais et à un niveau de capacité prédéfini acceptable relativement à une perturbation [ISO 22300:2018].
Ses avantages sont nombreux pour l’organisme, les activités métier, les aspects financiers, les processus internes, les parties intéressées… : confiance, résilience, performance, réduction des risques et des coûts , responsabilisation des acteurs….
Le principe est, en cas de survenance d’une perturbation, de pouvoir poursuivre la délivrance des produits et services jugés critiques (reprise des activités prioritaires, modes dégradés, retour à la normale). Pour cela, il convient de définir deux objectifs clés : la perte de données maximale tolérable (PDMT) et la durée maximale d’interruption admissible avant reprise (DMIA).
Comment mettre en œuvre la continuité d’activité ?
Le management de la continuité d’activité s’inscrit dans un processus de maîtrise de risque d’un organisme en trois temps (et cinq phases) :
* un temps de préparation avant apparition de l’événement redouté : éviter les sources de perturbation (phase 1). Puis maîtriser les risques ou éviter leur survenance et préparer leur survenance (phase 2).
La phase 2, se compose de 5 étapes :
Étape 1 – Structurer le système : domaine d’application, exigences, objectifs …de continuité d’activité
Étape 2 – Faire le bilan d’impact sur l’activité (permettre à l’organisme d’identifier et de justifier les activités prioritaires afin d’éviter des impacts inacceptables sur l’activité pendant une perturbation et d’établir les priorités pour la reprise de toutes les activités
Étape 3- Analyser les risques de perturbation : identifier les actifs en support des activités prioritaires ; identifier, évaluer et traiter les risques associés à ces actifs support.
Étape 4- Déterminer la (les) stratégie(s) et solution(s) de continuité d’activité. Tenant compte des éléments des étapes 1 à 3 mais aussi des capacités humaines , financières, techniques, organisationnelles… déterminer la (les) stratégie(s) appropriée(s) pour : protéger-stabiliser-poursuivre-reprendre-rétablir les activités prioritaires, atténuer les impacts-y répondre-les gérer…
Étape 5- Déterminer et mettre en œuvre les dispositions de maîtrise, tenant compte de la (des) solution(s) retenue(s). Puis régulièrement les surveiller, les revoir et les améliorer
* un temps de traitement, après apparition de l’événement redouté : consacré au traitement de la perturbation, de la perte, du sinistre ou de la crise, conformément aux plans prévus (phase 3). Et une fois la crise passée, traiter la résilience (phase 4).
* un temps de gestion, récurrent, consistant à revoir le dispositif pour l’améliorer régulièrement (phase 5).
Quelles sont les bonnes pratiques de mise en œuvre?
- Engagement de la direction générale ;
- Approche systémique ; car pour être appropriée, pragmatique et performante la continuité d’activité doit s’intégrer au maximum dans le système de management existant de l’organisme, qu’il soit « naturel » ou qu’il soit de type qualité iso 9001, sécurité de l’information iso 27001…
- Approche par les risques cohérente et alignée à la politique de continuité (risques et opportunités par rapport aux objectifs de continuité, bilan d’impact d’activité, analyse de risque des perturbation, stratégie de continuité… pour aboutir à des mesures pertinentes) ;
- Mobilisation des acteurs concernés (compétents et responsables) ;
- Tests réguliers des dispositions en place et prise en compte des retours d’expérience pour renforcer le dispositif de continuité
- Plan de continuité d’activité uniquement spécifique à une activité-produit-service-site, faisant référence à chaque fois que possible aux modalités de management de la continuité d’activité du système de management de l’entreprise
- Intégration de la détection des perturbations dans le dispositif de gestion des incidents de l’organisme qui doit permettre d’enregistrer la perturbation signalée pour pouvoir déclencher les actions de continuité (reprise, rétablissement des services convenus, aux niveaux de services convenus)
Publications
- Livre blanc Beeznet « Continuité d’activité » (voir présentation)
- Ouvrage « Solution pour… Développer l’entreprise numérique » (voir carte identité)
Expertise
Parcours « Confiance numérique » (voir présentation)
Retour d’expérience
- Conception d’un module de sensibilisation à la continuité cyber dans le cadre d’un projet en partenariat avec Afnor visant à accompagner les TPE-PME à la mise en place d’une continuité d’activité (voir).
- Conférence citoyenne « management de la continuité d’activité pour accroître la résilience des entreprises et des individus dans un monde incertain » (voir)
- Audit de conformité iso 22301 et d’optimisation du système de management de la continuité d’un site industriel classé Seveso Seuil bas sur les 4 plans de continuité (infrastructure, système d’information, compétences, fournisseurs) (6 et 7/12/2022, Hauts de France)
Avis
Il n’y a pas encore d’avis.