Administrations et collectivités territoriales / Assurance / BTP / BUP / ERP/IGH / Gestion des risques / Industrie/ICPE
Organiser son plan de continuité d’activité selon la norme ISO 22301
Le présent article détaille les éléments structurant de la norme ISO 22301 relative à la continuité d’activité. Cette norme permet de structurer l’organisation d’un plan de continuité d’activité avec une logique d’amélioration continue.
Un plan de continuité d’activité suppose une démarche formalisée
La formalisation d’un plan de continuité d’activité (PCA) s’appuie sur différents documents censés cadrer le dispositif et garantir son bon niveau de formalisation, voire d’actualisation, comme le prévoit la norme ISO 22301 relative aux systèmes de management de la continuité d’activité.
Ces éléments de documentation peuvent être plus précis selon les scénarios comme l’illustre ce retour d’expérience d’un responsable PCA du secteur des services informatiques, interviewé en 2021 et ayant également la casquette de délégué à la protection des données (DPD) :
« Notre plan de continuité des services prévoit des documents précis par scénario, cela peut sembler complexe mais on a documenté dans chaque situation ce qu’il convient de faire. Dans le cas de scénario de violation de données, nous avons une procédure en cas d’attaque externe, une procédure en cas de faille ou négligence interne, une procédure de notification à la Cnil, une procédure d’urgence en cas de violation de données et une procédure de communication interne et externe. Nous avons mis en place une revue annuelle de cette documentation pour chaque scénario et cela est le rôle d’un chargé de gestion des risques de continuité dédié dans notre entreprise, qui compte 2 400 collaborateurs. Cette fonction à temps plein est nécessaire pour gérer la complexité. On ne prévoit jamais tous les scénarios mais notre boîte à outils est prête en cas de besoin et on l’adapte au fil de nos expériences. »
Le tableau ci-dessous détaille les éléments documentaires envisagés dans le cadre d’un PCA avec une vision par type de livrable.
Typologie des plans d’actions compris dans le PCA
Plan de gestion de crise. C’est une procédure décrivant le fonctionnement de la cellule de crise.
Plan de communication de crise. C’est un plan d’actions consistant à informer :
- l’ensemble des collaborateurs du déclenchement du plan de continuité d’activité ;
- chaque processus et direction/activité métier des mesures spécifiques ;
- les partenaires, prestataires, autorités sur les mesures mises en œuvre et sur le déclenchement du PCA.
Plan de continuité d’activité « ressources humaines ». Ce plan d’actions prévoit :
- les modalités de prise en charge du personnel après le sinistre (accueil post-sinistre, accompagnement des collaborateurs sur le site de repli) ;
- l’adaptation et la communication sur des éléments de droit du travail et le contact avec les instances représentatives du personnel ;
- les mesures d’accompagnement des collaborateurs impliqués dans la gestion de crise (écoute psychologique, défraiements, compensations financières, services de proximité) ;
- les modalités d’information et de communication entrantes/sortantes avec les collaborateurs.
Plan de continuité d’activité « sécurité et moyens logistiques ». Le déclenchement de ce plan requiert la mise en œuvre de moyens logistiques pour :
- garantir la disponibilité des moyens nécessaires à la poursuite des activités (provisionnement en fournitures, préparation du site de repli, restauration, etc.) ;
- assurer la sécurité des biens (notamment l’accès au bâtiment sinistré) et des personnes.
Ce plan inclut généralement la mise à disposition d’un site de repli. Les reprises d’activités sur celui-ci sont définies par le bilan d’impact sur l’activité (BIA) de chaque service/ département, qui indique le nombre de positions nécessaires pendant la durée d’une crise.
Plan de continuité « métiers ». Pour chaque service prioritaire en termes de continuité d’activité, une procédure de fonctionnement dégradée est mise en oeuvre. Elle définit les modalités de travail avec ou sans outils informatiques, avec effectif restreint ou en dehors des locaux en cas de pertes de ces derniers.
Plan de repli des équipes collaborateurs. Le plan de repli des collaborateurs précise les modalités d’accès au site de repli, la répartition des collaborateurs et les activités prioritaires éligibles au site de repli, en tenant compte de celles pouvant être réalisées en télétravail.
Plan de secours logistique. Ce plan d’actions définit les mesures de secours et d’urgence à déclencher sur les fournisseurs de flux (électricité, gaz, eau). Il prévoit également, dans le cadre des entreprises ayant plusieurs sites de production, des mesures de continuité logistique avec la possibilité de transférer tout ou partie de la production en usine sur un ou plusieurs autres sites en cas de perte de l’un des sites. Le recours à des sous-traitants de débordement ou à des entreprises du même secteur, bien que concurrentes, est également possible temporairement afin de garantir la continuité de service et de production.
Plan de secours informatique. Ce plan est élaboré par la DSI (direction des systèmes d’information). Il contient les procédures permettant la mise en oeuvre sous 48 à 72 heures des solutions de secours sur les différents composants informatiques du système d’information : serveurs, infrastructure réseaux, postes de travail, internet et sites de l’entreprise.
« On ne prévoit jamais tous les scénarios mais notre boîte à outils est prête en cas de besoin et on l’adapte au fil de nos expériences. »
Un responsable PCA du secteur des services informatiques.
Une approche structurée
Le tableau ci-dessous illustre pour chaque axe de la norme les thèmes associés et les éléments de mise en œuvre opérationnels à envisager, permettant de structurer la démarche de continuité d’activité.
Article extrait du n° 590 de Face au Risque : « Contrôle d’accès, mener son projet » (mars 2023).
Nicolas Dufour
Docteur en sciences de gestion, professeur des universités associé au CNAM et Risk Manager dans le secteur de l’assurance
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…