Cher lecteur,
Bienvenue dans le monde merveilleux de la continuité d’activité ! Tachant de rompre avec un discours parfois très académique ou au contraire très technico-technique, nous avons pris le parti de vous proposer une fiction sur le sujet du plan de continuité d’activité. Cette fiction, découpée en sept articles, met en scène la société Machepro de ses premières réflexions jusqu’au déploiement de son PCA.
N’hésitez pas à nous faire part de vos réactions, remarques et autres réflexions dans les commentaires,
Bonne lecture,
L’équipe Openhost
Lire l’article précédent : Article 1 : Mettre en place son PCA
Article 2 – Les 3 phases du plan de reprise
Julie, fraichement nommée responsable PCA en plus de ses fonctions habituelles pour la société MACHEPRO, a passé les trois dernières semaines à préparer la mise en place du PCA. Après s’être familiarisée avec la documentation existante sur le sujet, elle convoque le Comité exécutif pour faire un point sur l’état d’avancement du projet.
« Salut les garçons ! Je vous propose aujourd’hui de commencer par faire un point sur l’avancée de mes recherches, et ensuite d’attaquer vraiment le PCA. Alors, il faut déjà que vous sachiez qu’avant qu’on accouche de notre PCA v1.0, il va falloir passer par plusieurs étapes préalables qui vont conditionner la suite des opérations. Je vais vous lister toutes les étapes. Ça va être un peu fastidieux, mais au moins on sera bien d’accord sur le déroulé. C’est bon pour vous ? Ok. J’ai essayé de faire une synthèse de ce qui me semblait être le plus pertinent pour ce qui nous concerne. Pour moi, il faut découper le PCA en trois phases. Chaque phase devra être validée par le Comex. Bien sûr, vous vous en doutez, chaque phase comprend plusieurs étapes. Vous êtes accrochées ? Alors c’est parti.
Phase 1 : La préparation du PCA
Pour la première phase, ce que j’ai choisi d’appeler la préparation du PCA, il faut passer par trois étapes.
- La première, c’est l’analyse de risques. Il va falloir faire une liste de tous les risques qui peuvent nous affecter. Tous. Même ceux qui nous semble vraiment improbable.
- Ensuite, cibler les risques qui vont avoir un impact sur les activités essentielles de la société.
- Tout ça pour aboutir à une liste de tous les impacts que ces risques auraient sur l’entreprise s’ils se réalisaient.
Phase 2 : Les dispositifs opérationnels
Pour la deuxième phase « dispositifs opérationnels », il s’agit de mettre en place les équipes qui vont être au cœur du dispositif du PCA. En gros, il s’agit de distribuer les rôles. Là c’est plutôt simple. On va commencer par nommer une équipe : la cellule de crise. C’est la cellule de crise qui sera au cœur de la tempête. Une fois la cellule constituée, il va falloir lui donner les moyens de remplir sa mission. C’est l’étape de « conduite crise ». Pour le coup, je ne vous en dis pas plus sur la conduite de crise, ça serait trop long à développer ici. On va passer directement à la troisième phase : la stratégie de continuité.
Phase 3 : La stratégie de continuité
C’est un peu la suite logique de la phase 2. La stratégie de continuité c’est la manière dont on va gérer la continuité du fonctionnement de l’entreprise. Cette stratégie est composée de ce que j’ai appelé des procédures opérationnelles. Ce sont tous les outils qu’on va mettre en place pour gérer la crise.
Avancement du projet
Chaque phase ou étape doit être validée par le Comex. Soit de manière formelle (réunion et tout le bazar) pour ce qui concerne les fins de phases ou les grosses étapes (comme les procédures), soit de manière informelle (je fais un mail à tous) pour les étapes mineures.
Je vous ai préparé un petit récap’ pour clarifier les choses :
Des questions là-dessus ? »
« Ta « phase transversale », observe Simon, « tu pourrais développer un peu ? Je pense avoir compris l’idée générale mais bon, on n’est jamais trop prudent ».
« Bien sûr. L’idée est de toujours remettre en cause les acquis. Que ce soit au niveau du plan en lui-même, qui doit être testé régulièrement au travers d’exercices qui conduisent eux-mêmes à des RETours d’EXpérience (les RETEX) et qui peuvent à leur tour conduire à des mises à jour du plan. Et bien sûr, la sensibilisation des collaborateurs, en particuliers ceux qui seront impliqués activement dans le PCA. Mais j’y viendrais plus tard. D’autres question ? Non ? Je vous propose donc de partir de ce tableau pour la suite des opérations.
Maintenant que nous sommes d’accord sur l’orientation générale, allons-y pour la première phase.
Méthode & Rigueur
La dernière fois Pierre, tu nous avais proposé de déterminer en peu à froid les activités qui nous « semblaient » être essentielles à la société. Cette fois, je vais vous proposer une manière un peu plus méthodique de procéder. J’attire d’ailleurs votre attention sur un point : en tant que membres du Comex, vous êtes autant concernés que moi. L’élaboration, le déploiement, puis le maintien en condition opérationnelle du PCA n’est pas une affaire de connaissances techniques, mais est une affaire de méthode. Je m’explique. Nous allons devoir faire preuve de la plus grande rigueur tout au long de notre travail. Cette rigueur sera la condition de la réussite de notre PCA. J’insiste autant sur ce point parce que c’est le dénominateur commun de tous les ouvrages que j’ai pu lire : leurs auteurs mettent en garde le lecteur sur l’importance de la rigueur. Et cette rigueur s’appliquera autant à nous qu’aux membre de l’entreprise. Ce sera alors à nous de faire en sorte de transmettre cette rigueur aux collaborateurs quand il s’agira du PCA. Et le meilleur moyen de la faire transparaître, c’est d’être nous-mêmes exemplaires à ce sujet. Donc pas de raccourcis, de facilités ou de laxisme sur ce sujet, sinon il perd son essence.
Voilà, cette précision étant faite, allons-y pour la première étape de la phase 1 : l’analyse des risques. Déjà, pourquoi mettre cette étape en premier à votre avis ? »
« Si je lis bien ton tableau Julie, tu veux procéder en entonnoir c’est ça ? Du plus général ou plus particulier ? »
« Exactement Pierre. L’analyse des risques va nous permettre ensuite de déterminer les activités essentielles de l’entreprise. »
« D’accord, mais pourquoi on ne commence pas directement par les activités essentielles ? Ou même les scénarios tant qu’à faire ? », intervient Victor.
« Bonne question. Qui fait écho à ma remarque sur la rigueur méthodologique en fait. On pourrait en effet être tentés de commencer par les scénarios de sinistres. Mais le problème en procédant ainsi et d’en oublier. Je pense qu’on va s’apercevoir à travers ce travail que certaines activités ne nous semblaient pas critiques, alors qu’elles le sont. Et pour pouvoir identifier ces activités, il faut suivre la méthode que je vous propose. Une analyse exhaustive des risques nous permettra d’identifier ceux qui nous semble cibler des activités essentielles. Et à partir des activités essentielles, on pourra procéder à un bilan d’impact sur les activités. Je vois à vos têtes que je vous ai un peu perdus là… La morale de l’histoire, c’est qu’il faut suivre une méthode rigoureuse ! Vous en comprendrez pleinement le mérite au fur et à mesure. Allons-y pour l’analyse des risques donc. »
Lire l’article suivant : Article 3 – Analyse des risques
Besoin d’accompagnement pour votre PCA ?
Passionné par les enjeux de cybersécurité, j’aime accompagner les entreprises dans leurs réflexions en matière de sécurité au sens large.
