Club des Responsables

Fiche Pratique dInfrastructures et de Production En partenariat avec

PRA - PCA

Laudit de la continuit dactivit

dun organisme

Pour tre sre et valide, la continuit dactivit ncessite une valuation

La continuit dactivit correspond la capacit dun
organisme (entreprise ou administration) poursuivre son
fonctionnement et latteinte de ses objectifs un niveau
acceptable dfini par avance, suite la survenance dun
vnement perturbateur.
Laudit sappuie sur un rfrentiel et sur les normes existantes :
ISO 22301, ISO 27001, etc. La profondeur et la prcision
de laudit sont troitement lies au niveau de maturit de
lorganisme audit en matire de continuit dactivit.
La continuit dactivit doit tre value par les PCA, le
Systme de Management de la Continuit dActivit (SMCA)
et le service rendu aux clients.
Laudit de la continuit dactivit doit tre peru comme une
opration positive et constructive pour lorganisme. Il entre
directement dans le processus damlioration continue de
la Roue de Deming (PDCA) en proposant un plan visant
amliorer la continuit dactivit de lorganisme.
Pour les entreprises de services, la norme ISAE 3402 (volution
de SAS 70) permet de dmontrer ses clients la conformit
de son organisation leurs exigences rglementaires en
matire financire. Elle permet dviter les audits de PCA par
les clients de ces entreprises.

Les trois domaines cibles dvaluation de la continuit :

Les trois domaines cibles dvaluation de la continuit : en dcembre 2009 par lInternational Auditing and
Assurance Standards Board (IAASB), qui fait partie de la
Le Plan de Continuit dActivit (PCA),
Fdration Internationale des Comptables (IFAC).
L
 e Systme de Management de la Continuit dActivit
(SMCA) (cf. norme certifiante ISO 22301 publie en mai Cela ncessite lutilisation dun vocabulaire commun entre
2012), laudit et lauditeur. Le Lexique structur de la continuit
dactivit du Club de la Continuit dActivit (CCA) propose
L
es services rendus ses clients (cf. International des dfinitions admises par la profession.
Standard on Assurance Engagements (ISAE 3402,
volution de SAS 70), norme internationale publie

NB. : Laudit de la gestion de crise na pas t trait dans cette fiche pratique.

Mai
2014 1
Introduction
Laudit aide lorganisme atteindre ses objectifs en valuant, par Trois formes daudit existent :
une approche systmatique et mthodique, ses processus de
. laudit interne,
management des risques, de contrle et de gouvernance, et en
faisant des propositions pour renforcer leur efficacit (source : . laudit externe,
dfinition adopte le 21/03/2000 par le Conseil dAdministration
de lIFACI, Institut Franais de lAudit et du Contrle Internes). . laudit de certification.

Les critres daudit du Plan de Continuit dActivit (PCA)

Comment peut-on valuer le caractre oprationnel dun PCA ?
Les critres dvaluation suivants sont prendre en compte :

Oui Non
1. Expression de besoin des processus mtier et support (aux mtiers)
a. Les processus mtier et support ont-ils exprim leurs besoins de continuit dactivit ?
b. Les besoins et les dispositifs de continuit ont-ils t valids par la Direction de lorganisme ?
c. Les plans de retour une situation normale ont-ils t prvus ?
d. Les besoins exprims dans le BIA (Bilan dImpacts sur lActivit) font-ils partie du contrat de service ?
e. Le niveau de dgradation dactivit suite au sinistre a-t-il t dfini et valid ?

2. Degr de couverture du PCA en termes dimpacts sur le fonctionnement de lorganisme

a. Est-ce que les risques ont t analyss et leurs impacts valus ?
b. Toutes les dpendances externes (tierces parties) lorganisme ont-elles un PCA conforme aux besoins
valids par la Direction Gnrale ?
c. A-t-on pris en compte toutes les exigences lgales et rglementaires inhrentes au secteur dactivit ?
d. Les risques sur les activits ont-ils t valids par la Direction Gnrale ?
e. Les priorits de reprise dactivit sont-elles clairement dfinies ?
f. Les impacts des risques communs entre lorganisme et ses fournisseurs externes critiques ont-ils t
pris en compte ?

3. Moyens de continuit
a. Les responsabilits dexcution du PCA ont-elles t dfinies pour tous les acteurs aux diffrentes
tapes (construction et excution) ?
b. Les salles de crise, en particulier leurs moyens de communication, sont-elles secourues ?
c. Les moyens de communication entre tous les acteurs sont-ils suffisants ?
d. Les moyens de secours et de repli sont-ils non impacts par les scnarios prvus dindisponibilit des
ressources ?
e. Les moyens de continuit ont-ils t identifis et justifis pour tre mis en uvre en conformit avec les
besoins exprims et valids ?

4. Efficacit du PCA : adquation des besoins de continuit aux rponses techniques

a. Les conditions de reprise dactivit observes (RTO, RPO, positions de repli et de stock) sont-elles
conformes aux conditions attendues par les processus mtier et support en termes de dlai de reprise,
perte de donnes, positions de repli et de stock ?

2
 Oui Non
b. Les moyens de secours et de repli sont-ils suffisamment dimensionns pour assurer les besoins de
continuit valids ?
c. La cellule de crise dcisionnelle est-elle unique ?

5. Documentation et outils du PCA

a. Y a-t-il un systme de gestion documentaire ?
b. La documentation du PCA est-elle accessible immdiatement quoi quil arrive ?
c. 
La documentation est-elle exhaustive et jour : contacts, fiches rflexe, procdures (toute la
documentation ncessaire pour excuter le PCA) ?
d. Le PCA est-il excutable par dautres personnes comptentes qui nont pas crit les procdures ?
e. Y a-t-il un plan de coordination de lexcution du PCA ?
f. Les informations du PCA sont-elles classifies et leur diffusion est-elle contrle (habilitations dfinies) ?

6. Maintien en condition oprationnelle

a. Les changements du SI, des locaux, de lorganisation fonctionnelle, sont-ils rpercuts dans le PCA ?
b. Disposez-vous de processus de contrle autres que les tests techniques et exercices de validation ?
c. Y a-t-il un processus de formation continue du personnel de lorganisme ?
d. Y a-t-il lissue des tests et exercices un retour dexprience et un plan damlioration du PCA ?
e. Le plan de validation prvoit-il une progressivit des tests et exercices sur plusieurs annes ?
f. Y a-t-il des exercices de validation inopins ou avec un minimum de prparation ?

7. Pilotage dexcution du PCA

a. Tous les dcideurs de la cellule de crise dcisionnelle sont-ils entrans au pilotage de crise ?
b. Y a-t-il des critres daide la dcision pour dclencher ou non le PCA ?
c. Les communications interne et externe sont-elles prpares par type de scnarios de risques ?

8. Degr dimplication du personnel impliqu dans le PCA

a. Toutes les parties prenantes (interne et externe) du PCA sont-elles formes, entranes, et savent-elles
ce quelles doivent faire en cas de besoin ?
b. Tous les intervenants sont-ils en nombre suffisant en permanence (7j/7, 24h/24) ?
c. La formation des personnes a-t-elle t prvue ?

Les critres daudit du Systme de Management de la Continuit dActivit (SMCA)

La gestion de la continuit dactivit est un processus de
management holistique qui identifie les menaces potentielles
pour un organisme ainsi que les impacts que ces menaces,
si elles se concrtisent, peuvent avoir sur les oprations lies
lactivit de lorganisme. Ce mme processus fournit un
cadre pour construire la rsilience de lorganisme avec une
capacit de rponse efficace prservant les intrts de ses
principales parties prenantes, sa rputation, sa marque et ses
activits productrices de valeur (norme ISO 22301 Systme de
Management de la Continuit dActivit).
Les critres dvaluation du SMCA sont classs selon les
thmes de la Roue de Deming :

3
 Oui Non
1. Plan (planifier)
a. Y a-t-il un primtre dfini pour le SMCA ?
b. Y a-t-il un engagement de la Direction (sponsoring) ?
c. Le SMCA fait-il lobjet dune politique de lorganisme ?
d. Les exigences lgales et rglementaires sont-elles prises en compte ?
e. Les ressources projet (Responsable PCA, Correspondant PCA, contributeurs) sont-elles dfinies ?

2. Do (mettre en uvre)
a. Avez-vous mis en uvre un plan de communication interne et externe ?
b. Le BIA et la stratgie de continuit sont-ils raliss ?
c. Lanalyse et le traitement des risques en termes dimpacts ont-ils t raliss ?
d. Le Groupe de pilotage de la continuit est-il constitu ?
e. Le PCA est-il construit ?

3. Check (vrifier)
a. A-t-il t mis en uvre un processus de contrle du PCA ?
b. Les exercices sont-ils raliss conformment la politique de continuit ?
c. Les comptences des personnes en charge du PCA sont-elles values priodiquement ?
d. Y a-t-il un plan de suivi des indicateurs de performance du PCA ?
e. Un processus daudit interne existe-t-il ?

4. Act (agir/ajuster)
a. La rvision du SMCA prend-t-elle en compte les carts constats entre le Do et le Check ?
b. Un plan damlioration continue existe-t-il ?

Les critres daudit des services rendus aux clients, selon la norme ISAE 3402,
au regard du PCA

La norme ISAE 3402 (International Standard on Assurance
Engagements) offre aux entreprises de services qui sont
soumises la loi Sarbanes-Oxley (ou dautres lois de
scurit financire), la possibilit de certifier la conformit de
leur organisation aux exigences rglementaires. Cette norme
est porte par lIAASB (International Auditing and Assurance
Standards Board), organisme qui fait lui-mme partie de lIFAC
(International Federation of Accountants).
Le recours la norme ISAE 3402 sinscrit dans un processus
comprenant plusieurs tapes. Lentreprise doit dabord
formaliser prcisment son dispositif de contrle interne, ses
objectifs de contrle et les contrles associs, puis tablir un
document dcrivant lensemble de ce dispositif. Cest sur la
base de ce document que lauditeur rdigera son rapport.
En pratique, il existe deux types de rapports :
Un rapport de type I, dans lequel lauditeur vrifie la bonne
description des contrles et leur adquation par rapport aux
objectifs fixs. Ce rapport est effectu une fois par an, un
moment donn ;
Un rapport de type II, dont lobjectif est de vrifier lefficacit
oprationnelle des contrles dcrits dans le rapport de type I,
sur une priode de six mois (en gnral).
Ce dernier rapport comprend quatre sections :
1. Le rapport de lauditeur proprement dit,
2. La description des contrles,
3. La description des tests effectus par lauditeur ainsi que
leurs rsultats,
4. Autres informations fournies par lentreprise prestataire de
services (facultatif).

4
La certification ISAE 3402 de type II est donc la certification la Extrait des recommandations de lAICPA (American Institute of
plus complte. Elle intgre non seulement un audit au moment Certified Public Accountants) :
de la certification, mais ensuite des contrles rguliers pour
Si une entreprise prestataire de services souhaite dcrire son
sassurer que les procdures mises en place restent bien
PCA, elle doit le faire dans la section 4 (Autres informations
appliques. Pour chaque service audit, une grille de contrle
fournies par lentreprise prestataire de services), car un plan
a t mise en place avec une liste des objectifs de contrle,
nest pas un contrle.
des activits contrles, des plans de tests, des observations
et recommandations.

Les diffrents sous-ensembles du PCA

PCA
PGC

PSI PRA-I PRA-M PCO

PCS

IT Mtier
Un plan de continuit dactivit (PCA) est constitu de 6 sous-ensembles : PGC, PCS et PSI, PCO.

Sigle Intitul Primtre Objectif

Assurer la rsilience
PCA Plan de Continuit dActivit Organisme
de lorganisme
Assurer le fonctionnement
PCO Plan de Continuit des Oprations Activits mtier critiques
acceptable des activits critiques
Partie(s) de lorganisme Protection et disponibilit
PCS Plan de Continuit des Services
concerne(s) par la crise des ressources
Partie(s) de lorganisme Assurer une gestion matrise
PGC Plan de Gestion de Crise
concerne(s) par la crise du pilotage des plans
Assurer le secours des
PSI Plan de Secours Informatique Le Systme dInformation
fonctions centrales du SI
Plan de Reprise dActivit Reprise de lactivit du
PRA-I Le Systme dInformation
- Informatique SI aprs interruption
PRA-M Plan de Reprise dActivit - Mtier Activits mtier critiques Rendre lactivit mtier

5
3. Conclusion
Laudit de la continuit dactivit couvre, outre les ripostes La nouvelle norme ISO 22301 prsente bien des avantages
prvues par les scnarios de risques (PCA), le management pour lorganisme certifi :
et lorganisation de la continuit dactivit. Il offre une

Elle sintgre aisment aux autres systmes de
vision globale de la prparation et du fonctionnement de
management prsents dans lorganisme,
lorganisme en cas de sinistre, car il interroge sur :
Elle linscrit dans un processus damlioration continue
la criticit des processus mtier,
en questionnant sur ladaptabilit du systme face aux
la couverture des procdures de continuit dactivit, nouveaux enjeux,
la mise jour de ces procdures face aux nouveaux 
Elle cre un rapport de confiance entre les parties
contextes et rfrentiels. prenantes et ledit organisme,
Laudit interne, qui sert rassurer la Direction sur la bonne 
Elle permet dtayer les rponses aux appels doffre
matrise de ses risques et la rsilience de lorganisme, doit lorsque la problmatique de la continuit dactivit est
tre associ un audit externe qui lui est complmentaire. A aborde.

Rdaction : Groupe de Travail PRA-PCA - Pilotes Franois Tte - CCA, Pascal Antier - ADP GSI - Cration Fred.lameche - www.anousdejouer.fr
ce titre, il a le regard tourn vers les interactions extrieures,
Il est nanmoins important de signaler que les auditeurs
car il atteste de la scurisation des activits auprs les parties
nmettent quune recommandation de certification, laquelle
prenantes et permet, en cas de conformit du Systme de
nest prononce que par un organisme certificateur habilit.
Management, dobtenir une certification ISO 22301 (scurit
socitale et management de la continuit dactivit).

Annexe et liens utiles

Dfinition des termes employs : Lexique structur de la
continuit dactivit, version 3, du Club de la Continuit
dActivit (www.clubpca.eu)

Guide pour raliser un Plan de Continuit dActivit,
SGDSN, 2013 (www.sgdsn.gouv.fr/site_article128.html)
ISAE 3402 (www.isae3402.com)

Club des Responsables dInfrastructures et de Production

24 rue Erlanger 75016 Paris - contact@crip-asso.fr www.crip-asso.fr

Club de la Continuit dActivit

73 rue Anatole France 92300 Levallois Perret - contact@clubpca.eu www.clubpca.eu

En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le
prsent ouvrage que ce soit mcanique ou lectronique, intgralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP.
6