GESTIONDESRISQUES

PROBLÉMATIQUE ET 1
ENJEUX -

DE LA CONTINUITE ,"

1
D'ACTIVITE

Le plan de continuité
d'activité doit être adapté en
permanence en fonction
de l'évolution de l'entreprise
et de son environnement. La continuité d'activité s'inscrit plus physique et so~io-économique dans
rarement dans le cadred'une évolu- lequel évolue l'entreprise:
Il consiste en la mise en place
tion globale de l'entreprise qui pren- lIe milieu physique: zone de crue,
des moyens nécessaires drait en compte son histoire, et aussi proximité d'infrastructure à risque
Associé pourque l'entreprise un dialogue permanent avec son per- (aéroport, route, usine classée
Office Shadow maintienne ses métiers sonnel. Si tel était le cas, la continuité Seveso IL.) ;
France d'activité, ne serait plus alors la simple lIe milieu socio-économique: zone
après un incident majeur,
mise en place des moyens nécessaires de tension sociale, mais aussi ses
mais instaure aussi une clients et sesfournisseurs.
pour qu'une entreprise maintienne
dynamique, par exemple ses activités métiers après un inci- Dans cecadre,la gestion desrisques
dans le dialogue entre tous dent majeur, mais également une va consister en l'étude desrelations
les collaborateurs. opportunité pour mieux anticiper, entre la probabilité d'événements
en termes d'organisation, les réponses indésirables, l'efficacité des protec-
aux incertitUdes de son avenir. tions et la valeur des ressources. Les
'obligation par les autori- pertes directes peuvent être alors éva-
tés de tutelle de mettre en luées par scénario de risques. Selon

L place un plan de continuité

d'activité est bien souvent
ressentie comme une
Lacontinuité d'activité consiste à main-
tenir, quelles que soient les circons-
leur gravité, les risques seront accep-
tés ou refusés. Dans ce dernier cas,
un projet de réduction des risques
contrainte. Si le bien-fondé de cette tances, les activités de l'entreprise devraalors être mené.
~'

demande n'est pas remis en cause dans leur schéma de dépendance. Ce

(les exemples de catastrophes ne
manquent pas...), la continuité d'ac-
tivité est cependant vécue~somme la
réponse organisatioilllelle à un
besoin de plus en plus tangible. En
effet, dans une économie mondiali-
sée, nos entreprises sont de plus en
plus dispersées géographiquement
et interdépendantes les unes des
autres, tendance renforcée par le
recours à l'externalisation de ser-
vices non stratégiques.
maintien dépend des interactions entre
les risques potentiels que l'entreprise
pourrait subir et ses activités propres,
créatrices de valeur. La discontinuité
d'activité peut alors être engendree'
par la défaillance des ressources en
charge de l'animation (ressources
humaines) et du support des activités
(SI, immobilier, mobilier, énergie...).
Ces défaillances peuvent provenir
d'une fragilité intrinsèque des res-
sources ou bien de l'environnement
lES BESOINS
DEREPRISE
L'analyse des besoins en continuité
de services sera menée par activité
métier ou chacune d'entre elle sera
exprimée dans un prisme d'analyse
orienté "ligne d'activité métier".
Dans ce cadre, il s'agira:
1 d'identifier les activités métiers et
leur dépendance opérationnelle tant
en amont/aval, interne/externe, qu'en
termes d'activités de support;

NO679 AVRI L 2006

 DES PLANS D'ACTION ADAPTÉS
\
A CHACUNE DES PHASES
Lagestion de crise sert à définir
comment l'entreprise va être
pilotée durant une situation
qualifiée de "crise". Ilfaut avant
tout définir une cellule de crise
de direction générale avec des
membres nommés et des
suppléants. Les rôles de chacun
doivent être définis. Lesmoyens
nécessaires au fonctionnement
de cette cellule de crise sont à
préciser. Ils doivent être
regroupés dans une salle
spécifique en dehors des locaux
principaux de l'entreprise. Ilest
même préférable de disposer de
deux salles de crise. Ces deux
points résolus, il faut ensuite
documenter les processus de
déclenchement de crise, c'est-à-
dire les chaînes de
communication ascendantes et
descendantes en cas de crise.
Ces processus poussent à définir
d'autres cellules de crise
intermédiaires, chargées de
traiter, soit les crises très
spécifiques (ex: virus
informatique), soit les crises
limitées. Dans tous les cas, toute
réunion d'une cellule de crise . Plan de secours informatique la fonction informatique et aligné rëconstruction des informations
commence par la transmission (PSI) au regard des besoins métiers. Il perdues, etc.
d'une information à celle de son Il s'agit ici de différencier deux répond à une exigence métier, là
niveau hiérarchique supérieur. notions: la sécurité du système où la protection du système . Plan de retour à la normale
Lacommunication de crise est d'information, généralement à la d'information répond à une (PRN)
un élément important à la charge du RSSI(responsable de la problématique technique. Une fois la crise survenue et le
charge de la cellule de crise de sécurité du système maintien des activités critiques
direction générale et doit être d'information), qui vise à protéger . Plan de repli utilisateurs (PRU) assuré, l'entreprise s'occupe du
gérée par des spécialistes, et par les données du SIet répondre à La protection des locaux est à la retour à la normale. Celui-ci est
eux seuls, suivant des processus tout type d'attaque interne ou charge du service sécurité. Elle différent selon les conséquences
précis. L'efficacitéd'une cellule externe, notamment; et le comprend un ensemble de du sinistre et peut s'étaler sur une
de crise ne peut être mesurée rétablissement des services métiers spécifiques souvent sous- durée plus ou moins longue. Cette
que par des exercices de type délivrés par la fonction traités à des entreprises phase comporte surtout
"jeux de rôle", dont les informatique après un sinistre est spécialisées. Si, à la suite d'une la recherche ou la réfection de
conclusions doivent être pris en charge par le plan de crise, les locaux de l'entreprise locaux définitifs, le retour au
exploitées dans le cadre d'un secours informatique ou plan de sont indisponibles, il faut alors travail de personnels absents
plan de progrès. Sans ces reprise des activités. Dans ce déclencher les plans de repli durant la crise et qui seront
'., sessions d'entraînement, la second cas, il faudra que les utilisateurs. Il s'agit ici d'assurer affectés à des travaux différents de
, cellule de crise reste moins services informatiques puissent le maintien des activités critiques ceux qu'ils réalisent
efficace, car elle va devoir faire redémarrer partiellement, avec au sein de locaux différents des habituellement (traitements des
face à des réactions des données qui peuvent être locaux usuels, en ayant accès aux données mises en attente...), la
intempestives, risquant de anciennes, voire incomplètes moyens informatiques de remise en état de l'outil
générer d'autres crises en (cf. PDMA).Ilfaudra que ces l'entreprise. Le PRUdéfinit les informatique...
chaîne non prévues qu'il faudra services informatiques soient en positions de travail à replier, à qui Enfin, la cellule de crise de
inévitablement traiter en temps mesure d'assurer la montée en elles sont destinées, ce qui les direction générale doit faire
réel (ex: des personnes ont tiré charge des traitements de compose (matériel, logiciel, réaliser par les parties prenantes
au fusil sur leurs sauveteurs à la l'entreprise jusqu'à la phase de mobilier, fournitures...). Il faudra, un bilan de la crise et de son
suite de l'ouragan Katrina). Ces retour à la normale (intégration de par ailleurs, définir les sinistre pour pouvoir en tirer
entraînements peuvent données laissées de côté suite à la procédures de repli (comment se toutes les améliorations possibles
s'apparenter auxjeux de guerre crise, remise en route de rendre dans les nouveaux locaux, dans le fonctionnement de
organisés par les états-majors traitements, augmentation du à quel moment...), les rôles et les l'entreprise, tant dans la gestion
militaires pour éprouver leurs trafic réseau suite à emplacements de chacun dans de sinistres futurs, toujours
stratégies. l'augmentation du nombre les locaux, fonctionnement des envisageables, mais aussi dans
d'utilisateurs...). LePSI est régi par activités en mode dégradé, son fonc.1ionnement quotidien.

AVRI L 2006 NO679

. de qualifier la criticité de chacune
des activités en termes de contribu-
tion à la survie de l'entreprise selon
différents critères qualitatifs et quan-
titatifs (impact sur les autorités de
tutelle, contreparties bancaires, sys-
tèmes de place, clientèle, fournis-
seurs/prestataires, financier) ;
. d'évaluer les pertes indirectes en
cas d'arrêt de l'activité sur une plage
temporelle inférieure à 30 jours et
pour des jalons clés tels «4 h, l j, 3 j,
10 j, 30 j). Ces pertes s'évalueront
depuis des critères essentiellement
quantitatifs tels que l'impact finan-
cier. Ces actions devront faciliter
l'expression des besoins opéra-
tionnels en reprise pour chaque acti-
vité critique:
.la durée d'interruption maximale
admissible (DIMA), représente la
durée au-delà de laquelle l'activité
ne peut être arrêtée sans risque pour
l'entreprise. Cette durée tiendra
compte des dépendances des activi-
tés et sera déduite des pertes accep-
tées pour la survie l'entreprise;
. la perte de données maximale
admissible (PDMA), représente les
données ou informations acceptées
comme perdues et pour lesquelles
une reconstruction est possible;
.l'identification des ressources indis-
pensables pour la reprise des activités
(RIRA) à compter de sa DIMA et de
la montée en charge progressive des
positions de travail dans le cadre d'un
fonctionnement en mode dégradé.
Si l'axe d'étude "activité métier" est
privilégié pour l'analyse des besoins,
d'autres axes complémentaires pour-
raient être créés, tels que les ~xes
"organisationnel" ou "géogra-
phique". L'évaluation holistique des
pertes potentielles par scénario de
risque serait grandement facilitée.
En effet, les pertes directes seront
plus naturellement calculées depuis
une perspective "géographique",
alors que les pertes indirectes seront
plutôt issues d'une perspective "acti-
NO679 AVRIL 2006
vité métier". Cette connaissance glo-
bale des pertes alimentera et facili-
tera l'identification des actions à
mener dans le cadre du projet de
réduction des risques.
"le PCAua
éuoluer
constamment L'analyse des capacités procède d'une
analyse d'écart éventuel entre les
pours'adapterà besoins de continuité exprimés par
l'entreprise
etson les métiers et les capacités de reprise
enuironnement des ressources existantes.
extérieur. Ces capacités s'expriment selon des
Cetteremise variables similaires, en miroir de
celles issues de l'analyse des besoins.
encause
Les valeurs sont induites des dispo-
permanente ua sitifs opérationnels en vigueur dans
nécessiter l'entreprise (fIéquence de sauvegarde
desoutilset des données, durée d'activation du
descapteurs site de secours informatique...). Ainsi,
la PDME (perte de données maximale
spécifiques
effective) des ressources se déduit de
pourpiloterle la durée entre la dernière sauvegarde
."
changement des données ou informations des res-
sources et le sinistre. La DIME (délai
d'interruption maximal effectif) des
ressources représente la durée entre
le sinistre et le rétablissement de son
fonctionnement ou de celui d'une
ressource similaire.
Dans la perspective de faire conver-
ger les besoins des métiers et les
capacités de reprise, les écarts (éven-
tuels) feront l'objet de projets de mise
à niveau sur une ou plusieurs années
afin de tenir compte des contraintes
budgétaires. Ces projets serontgou-
vernés par une analyse coût/béné-
fice afin de rechercher le pointd'équi-
libre entre le coût de la protection et
la perte potentielle.
La continuité d'activité va être décli-
née dans un plan d'action (le plan
de continuité d'activité - PCA) dans
lequel seront étudiés les dispositifs
pour rétablir ou maintenir les acti-
vités critiques de l'entreprise au cours
d'une crise et au cours d'une phase
de retour à la normale lorsque la crise
proprementdite,prendrafin (encadre').
Schématiquement, chaque phase
opérationnelle de la continuité d'ac-
tivitédéroulée après un sinistre, dis-
pose de son propre plan d'action: \
. phase évaluation de la situation:
plan de gestion de crise;
. phase réparation et reprise de l'ac-
tivité en mode dégradé: plan de
reprise utilisateur, pour les activités
délivrées par les métiers et plan de
secours informatique, pour les ser-
vices délivréspar l'informatique;
. phase retour à la normale: plans
de retour à la normale tant pour les
activités métiers que pour les ser-
vices informatiques.
Il s'agit, toutefois, de plans princi-
paux, d'autres plansplus spécifiques
intégrés ou en complément de ceux
précités existent tels le plan de
secours des occupants, le plan de
gestiondesincidentsInternet,leplan
de communication, le plan logis-
tique, le plan téléphonique.D'autres
plans, enfin, afin de garantir l'opé-
rationnalité, tels que les plans des
exercices,de formation, de sensibi-
lisation et d'entretien des connais-
sances,de gestiondes changements,
ou encore plan de la gestion de la
conformité.
À la différence d'un projet classique
qui commence et se termine, le PCA
doit être adapté en permanence. De
même que l'entreprise évolue régu-
lièrement pour s'adapter à son envi-
ronnement (marché, clients...), de
même le PCA va évoluer constam-
ment pour s'adapter à l'entreprise et
son environnement extérieur. Cette
remise en cause permanente néces-
site des outils et des capteurs spéci-
fiques pour être pilotée. Ces capteurs
seront au cœur de l'organisation de
l'entreprise pour pouvoir déceler tout
 changement d'infrastructure, du sys-
tème d'information ou de l'organi-
sation. L'impact de ces changements
sur la continuité d'activité devra faire
l'objet de modifications dans le PCA
et celles-ci seront testées au cours
d'exercices annuels. Ils ferontl'objet
de bilans qui pourront eux-mêmes
apporter des évolutions dans l'orga-
nisation. On parle alors de maintien
en conditions opérationnelles. La
mise en place d'un PCA entraîne la
création d'un système régulé et
contrôlé d'évolution de l'organisa-
tion de l'entreprise.
Comme pour la stratégie militaire,
c'est à l'étude des sinistres passés
que l'on peut prévenir les sinistres
futurs; il est donc primordial pour
l'entreprise de systématiser les bilans
de crise et d'exercice. Les techniques
utilisées depuis longtemps dans le
domaine de la sécurité industrielle
(arbre des causes et des consé-
quences) semblent particulièrement
adaptées aux sinistres qui survien-
nent dans les entreprises. Ils per-
mettent d'associer à un sinistre l' en-
semble des événements générateurs
de cette crise et par là même de palier
un certain nombre de dysfonction-
nements potentiellement générateurs
de crise. Ils permettent, par ailleurs,
de créer une base des crises auxquelles
l'entreprise est soumise, donc de
connaître ses points de vulnérabilité,
et par là même d'orienter les évolu-
\ tions de son plan de continuité.
Dans la mesure où la continuité d'ac-
tivitéa pour objet de maintenir les acti-
vités critiques de l'entreprise en toutes
circonstances, la connaissance de l'en-
semble des processus de l'entreprise
devient un enjeu stratégique. Le plan
de continuité d'activité devient alors
un moteur pour documenter, amé-
liorer et réorganiser les processus de
l'entreprise. Ces évolutions des pro-
cessus entraînant à leur tour des modi-
fications du PCA.Le BPM (businesspro-
cessmanagement)devientalors un des
moteurs d'évolution du PCAetde l'en-
treprise qui s'organise suivant ces pro-
cessus. Le processus doit être alors
porteur d'éléments (indicateurs de
performance) de pilotage du PCA.
La continuité d'activité est un projet
qui fédère l'ensemble des acteurs de
l'entreprise autour d'un thème com-
mun. Cela permet d'instaurer une
dynamique autour de ce thème qui
met en lumière les processus trans-
verses de l'entreprise. Ceux-ci, com-
muns à plusieurs directions, services,
etc., sont généralement méconnus
ou partiellement connus: chaque
entité ne connaît, la plupart du temps,
que l'interface qui la relie avec une
autre entité. Par ailleurs, quand ces
processus sont connus, ils ne le sont
que par très peu de personnes et ne
sont souvent peu ou pas documen-
" Pourquele tés. La continuité d'activité, par sa
personnel
obéisse volonté de maintenir les activités por-
auxinjonctions tées par les processus transverses, va
quepeut obliger l'entreprise à regarder ces pro-
cessus dans leur ensemble et à les trai-
nécessiterune
ter comme un tout. Les acteurs inter-
crise,il fautqu'il venant sur ces processus vont devoir
partagelanotion travailler en commun pour préparer
decriseavecle la continuité d'activité et documen-
donneurd'ordreet ter en un ensemble cohérentles par-
ties qu'ils connaissent.
qu'il ait confrance
La démarche de continuité d'activité,
danslesdécisions
notamment dans la gestion de crise,
prises." nécessite des relations de confiance
à tous les niveaux de l'entreprise. Tout
d' abord,.pour que le personnel obéisse
aux injonctions que peut nécessiter
une crise, il faut qu'il partage la notion
de crise avec le donneur d'ordre et
qu'il ait confiance dans les décisions
prises. Ensuite, dans la remontée des
informations pour déclencher une
crise, il faut que le déclencheur soit
suffisamment en confiance pour
"déranger" la cellule de crise de niveau
supérieur. Pour instaurer des rela-
tions de confiance, il va falloir que les
processus de communication soient
clairement définis et que l'ensemble
des informations concernant les PCA
soit partagé par tous.
Bien souvent, l'expert est celui qui
réalise la tâche métier au quotidien;
il doit donc participer à la définition
de ses besoins, de ses procédures
dégradées et de ses indicateurs de
continuité d'activité. C'est en pre-
nant en compte ces données, en fai-
sant participer l'utilisateur aux exer-
cices, à ses bilans... que l'on instaure
la confiance qui sera indispensable
à la mise en place d'un PCA.
De par son étendue organisationnelle
et fonctionnelle, le plan de continuité
d'activité doit être mené par une
approche collaborative du projet.
Celle-ci est assez peu développée dans
les entreprises aujourd'hui, malgré
des outils de plus en plus perfor-
mants, des structures de plus en plus
décentralisées et l'existence de per-
sonnels de plus en plus spécialisés.
Leplan de continuité, tout au moins
pour ce qui concerne la simulation
de crise et la crise réelle, ne pourra
pas fairel'impasse sur les outils col-
laboratifs. Comment, par exemple,
demander à la succursale lilloise de
préparer les postes de secours pré-
vus en cas de sinistre à Paris, si les
deux entités ne partagent pas les infor-
mations, l'historique de la continuité
d'activitéetde sa construction surun
même outil ?
Lacontinuitéd'activité,commeargu-
ment commercial, devientun critère
déterminant de la relation client. Il
n'est par rare que pour conserverou
gagner un contrat, une entreprise
soit obligée de dévoiler son PCA.
Dans les années à venir cette ten-
dance va se renforcer et l'on peut
augurer que la qualité du PCAd'une
entreprise deviendra un argument
commercial vis-à-vis de certains
clients. Lesentreprises n'hésiteront
plus alors à transmettre leurs bilans
d'exercices de PCAau même titre
que leurs états financiers. .
AVRI L2006 NO679