< Back
Pourquoi et comment mettre en place un plan de continuité d’activité ?

Tags:

Governance
21 October 2024

Pourquoi et comment mettre en place un plan de continuité d’activité ?

Dans un contexte géopolitique tendu, le nombre de cyberattaques visant les infrastructures critiques des États européens ne cesse d’augmenter. De plus, les attaques informatiques constituent la première cause d’interruption d’activité.

Face à ce niveau élevé de cybermenace, les organisations doivent renforcer leur résilience opérationnelle en mettant en place un système de gestion de la continuité d’activité (SGA). Celui-ci comprend un plan de continuité d’activité (PCA), qui joue un rôle essentiel pour assurer la continuité des opérations en cas d’incident. Quentin Mouzard, consultant en continuité d’activité et sécurité de l’information chez Thales, révèle les bonnes pratiques à suivre pour concevoir un PCA efficace.

La résilience, un enjeu stratégique

La résilience opérationnelle est la capacité d’une organisation à reprendre rapidement son activité après un incident ayant interrompu son fonctionnement. Pour gagner en résilience, les entreprises doivent adopter une approche holistique : « Les cyberattaques, comme les ransomwares ou les attaques DDoS, peuvent mettre à l’arrêt l’activité d’une organisation, mais aussi les catastrophes telles qu’un incendie ou une inondation, ou encore une pandémie. Un plan de continuité d’activité doit prendre en compte tous ces scénarios », explique Quentin Mouzard.

Une interruption d’activité peut avoir de graves conséquences. Un hôpital public du sud de l’Ile-de-France, par exemple, a été complètement fragilisé pendant trois mois par une cyberattaque en 2022, et devrait retrouver son état d’avant crise… en septembre 2024.

Conscients de cet enjeu, les régulateurs définissent de nouveaux cadres réglementaires pour inciter les organisations à renforcer leur résilience.

Dans le secteur financier, le règlement DORA impose de nouvelles exigences en termes de résilience face aux risques liés aux Technologies de l’Information et de la Communication (TIC). Pour les autres secteurs d’activité, la directive NIS2 prévoit une série de mesures à adopter en matière de cybersécurité et de résilience opérationnelle.

Comment élaborer un plan de continuité des activités ?

Chez Thales, nous utilisons une approche en six étapes, itérative, pragmatique et agile, pour vous aider à élaborer le plan de continuité d'activité le plus efficace possible.

  1. Analyser le contexte interne et externe de l'entreprise :

La première étape consiste à identifier les activités indispensables à votre organisation.

Cette étape implique une approche top-down : l'équipe de direction livre sa vision des activités qu'elle identifie comme vitales. Sur cette base, il est possible de déterminer le périmètre et le niveau de détail que les analyses doivent couvrir pour élaborer des plans de continuité d'activité.

Elle intègre également une approche bottom-up : l'objectif est de se rapprocher du terrain lors d'ateliers d'analyse et de remonter les informations pertinentes identifiées lors des phases d'analyse. Certains collaborateurs ont parfois connu des interruptions, comme des applications qui cessent de fonctionner. Ils ont déjà mis en place des solutions de contournement informelles. Ces informations sont précieuses, et impliquer les équipes facilitera l'adhésion au plan de continuité d'activité. Les collaborateurs seront en première ligne pour mettre en œuvre les plans en situation de crise.

  1. Analyser l'impact sur l'entreprise :

Il est important de définir des mesures de continuité pour chaque activité afin d’établir des priorités pour la reprise des activités en cas de sinistre. Parmi les indicateurs à inclure figurent l’objectif de temps de reprise et le niveau de service minimum à fournir dans ce délai.

Pour chaque activité critique ainsi identifiée, il faut également identifier les ressources indispensables à son bon fonctionnement : services essentiels des fournisseurs, employés clés, ressources informatiques, postes de travail, etc.

  1. Analyse des risques :

Cette troisième étape a pour objectif d’identifier les scénarios de menaces et d’incidents les plus probables, afin de mieux les anticiper.

Cela permet de définir des priorités pour l’établissement de stratégies de continuité et de plans de continuité d’activité détaillés dans les étapes suivantes.

  1. Définition des stratégies de continuité d'activité :

Ici, l’objectif est de répondre à la question « Comment réagir si mes ressources critiques sont indisponibles ? »

« Dans le contexte actuel, cette partie s’intéresse beaucoup au risque cyber. La digitalisation augmente la surface d’attaque des entreprises, tout comme la généralisation du télétravail. Une cyberattaque est donc le scénario qui est souvent traité en premier », explique Quentin Mouzard.

Plusieurs solutions de contournement peuvent être adoptées : l’utilisation de supports physiques et la prise de notes manuscrites en cas d’attaque informatique, le télétravail en cas d’indisponibilité des locaux, et des accords réciproques avec d’autres fournisseurs pour prêter des ressources en cas de problème.

Il faut cependant analyser ces solutions sous l’angle du rapport coût/bénéfice.

Après des analyses d’impact et de risques métiers, les scénarios de menaces les plus probables et les vulnérabilités associées sont identifiés. Le choix des stratégies repose sur un équilibre entre le coût de leur mise en place et les bénéfices de leur mise en œuvre.

Par exemple, si une infrastructure informatique est hébergée dans un ou plusieurs datacenters exploités par une entreprise pour gérer ses opérations critiques, il convient de considérer le coût et les implications d’une migration vers un fournisseur de cloud par rapport à la mise en œuvre de solutions de sauvegarde et de redondance locales, couplées à des procédures métiers dégradées.

Cette évaluation doit prendre en compte la probabilité de panne des serveurs, les menaces de cybersécurité et les coûts potentiels liés à l’interruption d’activité suite à un sinistre informatique.

« De plus, le risque de concentration des ressources informatiques auprès de prestataires externes doit être pris en compte, notamment dans le contexte actuel d’attaques sur la supply chain », souligne Quentin Mouzard.

  1. Définir les plans de continuité :

Il s’agit de mettre en œuvre les stratégies de continuité définies à l’étape précédente.

Le PCA doit être adapté aux spécificités opérationnelles des différents services. Pour cela, il identifie les sous-scénarios propres à chacun et élabore les plans de continuité les plus adaptés.

Le plan de continuité d’activité expose l’ensemble des procédures et actions concrètes à mener en cas d’urgence, avec des plans de communication fluides et efficaces. Il explique ensuite les étapes à suivre pour rétablir les opérations en mode « dégradé », en cohérence avec les objectifs de continuité d’activité définis à l’étape 2. Il comprend en parallèle des lignes directrices pour rétablir la disponibilité des ressources critiques affectées. En termes informatiques, un PCA comprend souvent un plan de reprise après sinistre, qui détaille le plan d’action pour restaurer les systèmes informatiques les plus critiques et permettre aux utilisateurs de reprendre le travail normalement.

Les procédures d’urgence peuvent être diffusées aux collaborateurs pour faciliter la mise en œuvre des plans, éviter les confusions et améliorer la réactivité des équipes. La documentation du plan de continuité d’activité doit être accessible quel que soit le type d’incident.

  1. Réaliser des exercices de mise en situation :

Il est important de tester l’efficacité des plans de continuité et leur appropriation par les collaborateurs au travers de programmes d’exercices. Par itération, ces tests permettent d’identifier les axes d’amélioration et les éventuels écarts à corriger pour garantir que les plans de continuité d’activité soient les plus efficaces possible en cas d’interruption.

Les avantages d'un plan de continuité des activités

Mettre en place un plan de continuité d’activité présente de nombreux avantages pour les organisations :

  • Limiter les dommages : le PCA permet de rétablir l’activité beaucoup plus rapidement, ce qui réduit à la fois le coût financier de l’interruption et les dommages à la réputation de la marque causés par l’arrêt.
  • Un avantage concurrentiel : « Faire preuve de résilience est un véritable atout, à tel point que certaines entreprises se certifient à la norme de référence : ISO/IEC 22301. Cela leur permet de gagner des parts de marché, notamment en gagnant la confiance de clients anglo-saxons qui ont une culture de continuité d’activité et qui cherchent à travailler avec des entreprises résilientes. Faire preuve de résilience est également un atout pour les entreprises qui répondent à des appels d’offres », note Quentin Mouzard.
  • Une prise de décision stratégique facilitée : l’audit réalisé dans le cadre du plan de continuité d’activité peut servir à prendre des décisions stratégiques. Par exemple, certaines entreprises utilisent l’analyse de risques pour passer de serveurs sur site à une infrastructure cloud, ou pour rationaliser des outils informatiques aux fonctions similaires.

La planification de la continuité des activités est essentielle pour assurer la continuité des organisations face à des incidents majeurs susceptibles d’interrompre leur activité sur une longue période. En suivant une méthodologie rigoureuse et pragmatique, votre organisation peut minimiser les perturbations, protéger sa réputation et acquérir un avantage concurrentiel. Vous souhaitez renforcer votre résilience opérationnelle ? Nos experts peuvent vous accompagner dans l’élaboration de votre plan de continuité des activités !