Qu’est-ce qu’un plan de continuité d’activité (PCA / BCP)

Un Plan de continuité d’activité (PCA) est un incontournable pour toute petite ou moyenne entreprise (PME), mais ce n’est pas un processus « ponctuel, achevé en une seule occurrence » (once and done). Pour soutenir cette déclaration, Gartner a publié une Méthodologie du Programme de gestion de la continuité des activités (GCA / BCM) qui définit cinq niveaux de maturité en matière de développement et de gestion continue d’un programme de continuité de l’activité. Comme l’indique Gartner, « un programme de GCA n'est pas un projet avec une date de début et de fin ; il s’agit plutôt d’un programme permanent, dans le cadre duquel l’on doit parcourir chaque étape et chaque discipline pour assurer l’amélioration continue et l’efficacité de la récupération. »

Selon la méthodologie de Gartner, toute organisation qui a son propre cadre GCA (BCM) complet mis en place est une organisation de Niveau 5, alors qu’une organisation sans cadre GCA (BCM) mis en place est de Niveau 1. Voici quelques données statistiques intéressantes que Gartner a publiées, concernant la façon dont les organisations ayant des niveaux de maturité différents font face lorsqu’une catastrophe se produit.

• 85 % des organisations ayant un Niveau de maturité 1 et 58 % des organisations ayant un Niveau de maturité 2 n’utilisent pas une méthodologie GCA ou ont leur propre approche ad hoc.
• Seulement 13 % des organisations n’ayant pas de cadre GCA mis en place (Niveau 1) ont réussi à récupérer tous les processus critiques conformément aux objectifs de récupération prédéfinis (voir le Tableau 1).
• 15 % des organisations de Niveau 1 ont rencontré des problèmes importants lors de la récupération d’une ou de plusieurs applications métiers stratégiques (voir le Tableau 1).
• On constate une augmentation d’au moins 17 % du succès du rétablissement lorsqu’on utilise une méthodologie de programme GCA (voir le Tableau 1).

Le simple fait d’avoir un plan de continuité de l’activité mis en place ne garantit pas que votre organisation soit capable de se remettre d’une catastrophe. L’élaboration du plan n’est qu’une première étape, mais dans bien des cas, ces plans ne font rien de plus que ramasser la poussière. Pour mieux comprendre comment faire de votre plan un document vivant et réussi, lisez quels sont les problèmes les plus courants que vous pouvez rencontrer à l’égard de votre plan de continuité de l’activité et comment vous pouvez les résoudre.

Vous êtes président d’une PME de Niveau 2 ; votre organisation a élaboré un plan de continuité de l’activité l’année dernière. Aujourd’hui, vous avez demandé une copie du plan pour l’examiner. En lisant le plan, vous avez été surpris de voir que le RTO (l’Objectif de temps de récupération) pour les courriels exécutifs est de 24 heures. Vous ne vous souvenez pas que quelque membre de l’équipe vous ait posé une question à ce sujet-là. Vous et votre équipe de direction pensiez que le système de courrier électronique serait disponible dans les quatre heures suivant une catastrophe. Vous vous demandez pourquoi vous et d’autres dirigeants n’avez pas été consultés et s’il y a d’autres parties de l’entreprise qui ont des exigences que l’on ne traite pas dans le cadre du plan de continuité de l’activité. Premièrement, la direction générale doit être impliquée dans toute initiative de planification de la continuité de l’activité pour être efficace. En outre, l’équipe GCA (BCM) devrait inclure des cadres sélectionnés, des décideurs d’autres départements de l’entreprise, ainsi que des associés financiers, des représentants du service client, des fournisseurs clés et du personnel informatique. Ces gens doivent être activement engagés pour s’assurer que les plans et les activités de continuité de l’activité commerciale sont alignés sur les objectifs de l’organisation. Ils devraient être en mesure de prendre des décisions concernant les stratégies de continuité de l’activité au niveau de leur département, ainsi qu’au niveau de l’entreprise dans son ensemble. Chaque membre de l’équipe doit prendre le temps de comprendre les activités de l’organisation, y compris ses produits et services et la façon dont ils sont livrés. Grâce à ces connaissances, l’équipe sera en mesure de mieux définir la portée du programme pour s’assurer que l’organisation est capable de se rétablir en cas de sinistre.

Vous avez demandé à votre équipe une copie du rapport de test du plan de continuité de l’activité. Vous découvrez que le plan n’a jamais été testé. Un plan non testé est presque aussi mauvais que le fait de ne pas avoir de plan du tout. Sans tests continus, il n’y a pas de garantie que le plan assurera le rétablissement de votre entreprise en cas de catastrophe.

Dans un article récent, Christopher Britton, directeur de l’exploitation chez RockDove Solutions, suggère que chaque plan soit mis en œuvre comme il s’ensuit :

• Un examen de la liste de contrôle, qui consiste en une vérification de haut niveau de chaque élément du plan, doit être effectué deux fois par an.
• Un exercice d’urgence, qui nécessite la participation de toutes les parties prenantes, doit être effectué une fois par an. Cela renforce le rôle que chaque participant aura en cas de sinistre et assure le bon fonctionnement du plan.
• Un examen de simulation sur table doit être effectué tous les deux ans. Dans le cadre de ce type d’examen, le personnel clé auquel sont attribués des rôles et des responsabilités en matière de gestion des urgences est réuni pour discuter de situations d’urgence simulées.
• Un examen complet doit être effectué tous les deux ans ou en cas de changements importants au niveau de l’organisation, tels qu’un changement important de l’infrastructure informatique, une fusion ou tout autre changement majeur au niveau des opérations commerciales. Ce type d’examen offre aux parties prenantes la possibilité d’examiner le plan actuel afin d’identifier de nouveaux risques et de mettre à jour le plan en conséquence.
• Un test de récupération simulé doit être effectué tous les deux ou trois ans. À travers ce type d’examen, le plan est testé dans son intégralité pour identifier les lacunes, aider les employés à remplir leurs rôles et garantir que l’organisation sera en mesure de se rétablir conformément aux Objectifs de temps de récupération (RTO) et aux Objectifs de points de récupération (RPO) prévus.

Depuis que votre équipe a développé la version initiale du plan de continuité de l’activité, vous vous rendez compte que vous avez virtualisé une partie de votre environnement informatique et vous demandez si le plan inclut ces changements d’infrastructure informatique. On vous dit que le plan n’a pas été mis à jour.

Comme nous l’avons mentionné ci-dessus, votre plan de continuité de l’activité doit être mis à jour chaque fois que l’organisation fait un changement au niveau des opérations qui introduit de nouvelles catégories de risques. Les parties prenantes doivent se rencontrer régulièrement pour discuter des modifications de l’activité d’affaires qui sont susceptibles d’affecter le plan. Pour plus d’informations sur ce sujet, reportez-vous à un article sur Acronis intitulé « Êtes-vous sûr que votre plan de continuité de l’activité marche toujours ? »

Votre organisation est en train de poursuivre un nouveau contrat avec un fournisseur important, vous demandez donc à votre responsable de la chaîne d’approvisionnement une copie à jour du contrat en cours de négociation. Vous remarquez qu’aucune section du contrat ne traite de l’Accord de niveau de service (SLA) du fournisseur en matière de continuité de l’activité. Il n’y a aucune discussion sur la manière et le moment où le fournisseur répondra pour exécuter le contrat si le fournisseur subit une interruption imprévue d’activité.

Vous examinez à nouveau le PCA et vous rendez compte que l’équipe n’a pas pris en compte la chaîne d’approvisionnement de l’entreprise dans l’élaboration du plan. En discutant avec le responsable de la chaîne d’approvisionnement, vous vous rendez compte qu’aucun des contrats avec les fournisseurs ou des processus internes se déroulant au sein de votre entreprise ne traite de l’impact sur les SLA des situations où un fournisseur est affecté par une catastrophe. Certains de ces contrats sont à fournisseur unique, ce qui peut avoir un impact significatif sur votre entreprise. Le niveau de résilience de votre chaîne d’approvisionnement a un impact sur vos clients et votre entreprise. Selon Gianluca Riglietti, directeur de recherche à la BCI et auteur du Lancement du rapport 2017 sur la résilience de la chaîne d’approvisionnement de la BCI, « les perturbations de la chaîne d’approvisionnement sont devenues de plus en plus difficiles à gérer pour les organisations. Le paysage actuel des menaces impose des niveaux de préparation très élevés, car il comprend un large éventail de menaces telles que les cyberattaques, le terrorisme et les catastrophes naturelles. Les professionnels comprennent cet aspect-là, ce qui se reflète dans le nombre plus élevé de répondants (74 %) qui adoptent des accords de continuité des activités pour faire face aux perturbations de la chaîne d’approvisionnement. Cependant, des améliorations sont encore possibles, car plus d’un sur cinq (22 %) n’a pas une visibilité complète de ses chaînes d’approvisionnement. »

Votre plan a été élaboré au début de l’année dernière, avant l’attaque WannaCry qui a touché plus de 200 000 machines Windows dans le monde. En examinant le plan, vous vous rendez compte qu’il n’y a aucune indication ou mention de la façon dont votre entreprise survivra à une attaque de type rançongiciel. Si vous interrogez votre responsable informatique, il indique qu’à l’époque, les rançongiciels n’étaient pas considérés comme une menace importante pour l’activité de l’entreprise.

Vous devez toujours mettre à jour votre plan pour faire face à tout nouveau risque et menace et le rançongiciel est un bon exemple d’une nouvelle menace qui peut être tout aussi destructrice que les autres catastrophes que votre plan inclut déjà. Selon le cinquième rapport annuel d’Horizon Scan publié en 2016 par l’Institut de continuité des activités (Business Continuity Institute), une cyberattaque reste la menace numéro 1 pendant deux années consécutives ; 85 % des responsables de la continuité de l’activité interrogés craignent la possibilité d’une cyberattaque. Ceci n’est pas étonnant. Selon le Rapport annuel de Druva sur les rançongiciels pour 2017, 50 % des organisations ont été attaquées à plusieurs reprises par des ransomware, 33 % des attaques ont touché plusieurs serveurs, 70 % des attaques ont touché plusieurs appareils et, dans le cas de 40 % des attaques, plus de deux heures ont été nécessaires pour les détecter. Pour toutes ces raisons, il est important que vos plans de continuité des activités et de reprise après catastrophe soient fortement concentrés sur la cybersécurité de sorte que vous puissiez être sûr que votre organisation survivra à une attaque et qu’elle le fera rapidement. Ne comptez pas sur la récupération de vos données par le paiement de la rançon. Selon ZDNet, un utilisateur sur cinq de ceux qui ont payé la rançon n’a pas récupéré ses données. Vous devez disposer d’une stratégie de défense approfondie pour protéger votre organisation contre les attaques de type rançongiciel, y compris un logiciel anti-programmes malveillants (anti-malware), des pare-feu (firewalls), le cryptage des données, des sauvegardes complètes de système et une protection active. Bien que la cybersécurité et les attaques de rançongiciels soient des menaces relativement nouvelles, le même rapport publié par Business Continuity Institute a démontré que les responsables de la continuité des activités sont préoccupés par la disponibilité d’autres nouvelles menaces. Pour la première fois, les « talents et compétences clés » sont entrés dans le top 10 des menaces pour la continuité des activités, 13 % des répondants indiquant qu’ils sont « extrêmement préoccupés » et 34 % « préoccupés » par la menace. Les « incidents de santé et de sécurité » ont également été inclus pour la première fois dans la liste du top 10.

À l’horizon 2019, Gartner prédit que 35 % des organisations dont les programmes de GCA (BCM) manquent de maturité rencontreront des problèmes majeurs pour récupérer un ou plusieurs processus métier critiques. Il C’est une augmentation de 17 % par rapport à 2015. De plus, 39 % des organisations qui ont développé leur propre cadre GCA (BCM) complet (Niveau 5) ont récupéré tous les processus métier critiques avec seulement des problèmes mineurs, ou selon les objectifs RTO et RPO attendus. Une étude de Travelers Insurance a révélé que 48 % des petites entreprises fonctionnent sans aucun type de plan de continuité de l’activité, cependant 95 % ont indiqué qu’elles se sentaient préparées à faire face aux menaces. Ce sont des statistiques effrayantes.

Les faits sont clairs : chaque PME a besoin d’un plan de continuité de l’activité qui soit constamment mis à jour et testé.

Si votre PCA (BCP) est posé sur une étagère, en train de ramasser la poussière, vous avez une forte probabilité de rejoindre les rangs des « entreprises en faillite » en cas de catastrophe.