Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Audit de PCA : que faut-il regarder ?


Souvent dans les grandes entreprises, des démarches de PCA de diverses natures ont été menées dans un passé plus ou moins récent.
Cherchant à faire le point sur la situation, l'audit interne se demande comment aborder le sujet.
Voici succinctement quelques pistes.



crédits photo : DR
crédits photo : DR
Nous avons classé ci-dessous en sept domaines de préoccupation les points qui nous semblent importants à vérifier dans toute démarche de PCA.

Ces sept domaines -qui sont repris par diverses bonnes pratiques ou normes- sont les suivants :

  • l'analyse de risque

  • l'analyse d'impact (BIA)

  • la formulation de la stratégie de réponse au sinistre

  • missions responsabilité et crise

  • planification des actions

  • sensibilisation et test

  • politique de la Continuité

Mais entrons un peu plus dans le détail :

Une analyse de risque spéciale PCA et une prise en compte par le management

Ce point est particulièrement sensible car il est connexe d'autres analyses de risques pratiquées dans l'entreprise et pour autant, il faut rester raisonnable sur les travaux faits.

En terme d'audit de PCA, une version réduite -centrée sur les risques externes- est à prendre en compte. Il convient de regarder en particulier les points suivants :

Pour l'évaluation des risques :

  • les menaces externes considérées : la liste est-elle convenable ?
  • les probabilités et impacts ont-ils été évalués ?
  • la mesure des évaluations est-elle discutée et objet de décision du management ?
  • les biens exposés aux menaces sont-ils désignés en grande masse ?

Pour le traitement des risques :

  • les quatre possibilités de traitement ont-elles été envisagées (pour mémoire : accepter, supprimer, réduire, transférer) ?
  • existe-t-il une trace des options envisagées et choisies ?
  • les risques résiduels sont-ils décrits ?
  • les éventuels plans d'actions sont-ils décrits et suivis ?

Enfin pour la survenance de sinistre :

  • existe-t-il une surveillance préventive ?
  • l'escalade est-elle en place et efficace ?

Enfin, les questions habituelles sont à poser sur la documentation de l'ensemble et les révisions des divers documents produits et entreposés.

BIA : le coeur de la démarche doit avoir été fait

Le BIA (Business Impact Analysis) consiste à déterminer les activités critiques de l'entreprise, celles dont l'arrêt va l'empêcher d'accomplir ses missions.

Cette analyse est donc importante. Dans la lignée des grandes normes et bonnes pratiques (British Standard, Disaster Recovery Institute, ISO) il convient de s'assurer que les responsables métier ont bien exprimé leurs besoins en terme de continuité.

Selon la situation de l'entreprise, il existe plus ou moins de description des activités, réalisées selon divers formalismes avec divers outils. Indépendamment des travaux réalisés, il convient que l'auditeur porte une attention particulière sur les points suivants :

  • les activités ont-elles toutes été passées en revue, même pour simplement les classer 'non critiques' ?
  • existe-t-il une évaluation de criticité faite par les responsables métiers sur leurs activités ?
  • cette évaluation utilise-t-elle un système de mesure gradué validé en interne ?
  • la notion de choc extrême est-elle prise en compte ?
  • les critères d'évaluation sont-ils mentionnés (ex : perte de CA, détérioration d'image, violation réglementaire ?)
  • les délais d'interruption maximale admissibles (DMIA) figurent-ils ?

Les activités les plus critiques étant connues, il est alors nécessaire de regarder ce dont elles ont besoin pour fonctionner. Il faut alors regarder des points comme :
  • les moyens informatiques nécessaires sont-ils listés ?
  • les données critiques sont-elles identifiées ?
  • les exigences sur les sauvegardes sont-elles indiquées ?

Même remarque que précédemment sur la documentation de l'ensemble.

La stratégie de reprise doit être décidée

L'entreprise connaît ses risques de sinistre et ses activités importantes exposées.

Elle doit décider ce qu'elle fera en cas de survenance des sinistres prévus ou pas :
  • les activités qui sont arrêtées
  • les activités reprises : où et comment ?
  • dans quel ordre ?

Cette étape est très vaste et pour un auditeur, il n'est pas simple d'aller à l'essentiel. Il ne faut pas se contenter de déclaration du type "on verra bien".

En ce qui concerne les réponses aux sinistre, on pourra toutefois se concentrer sur trois grands pans à traiter : la résilience des moyens, la couverture face à l'étendue du risque et les délais de mise en oeuvre des secours.

Concernant la résilience des moyens :
  • existe-t-il des points uniques de défaillance sur des éléments sensibles ?
  • existe-t-il des possibilités de pannes communes ?
  • les doublements sont-ils effectifs en pratique ? (doubles alimentations électriques, doubles liens télécom, etc.)

En ce qui concerne la couverture face à l'étendue du sinistre ; il est bon de regarder :
  • le secours prévu est-il en dehors du champ de risque prévu (ex : en-dehors de la même zone inondable ?)
  • les couvertures prévues : sinistre de site ? de ville ? de région ? de pays ? y-a-t il une gradation dans les réponses ?

Enfin, les délais de mise en activité sont traditionnellement à regarder aussi :
  • existe-t-il une gradation entre un site de secours proche activable très rapidement et un site plus lointain activable moins rapidement ?notions de secours chaud, tiède et froid
  • le site de secours lointain est-il activable dans des délais raisonnables ? et conformes aux exigences métier ?
    existe-t-il un dernier recours chez un tiers ?
  • le retour à la normale sur le site principal a-t-il été anticipé ?

Bien évidemment ces questions sont à aménager en fonction de l'entreprise et de son activité.
Tout ce qui a été prévu a dû être documenté et doit être auditable.

Missions, responsabilités et crise : est-ce défini ?

Nous arrivons dans le vif du sujet.

Un sinistre se produit : l'entreprise a-t-elle préparé sa réponse ?

En général, on se préoccupe d'une cellule de crise et l'on définit des missions et des groupes responsables pour la réponse au sinistre.

En terme d'audit il est important de vérifier les points suivants :

Pour la crise :

  • existe-t-il un dispositif pour gérer la crise ? permet-il de décider ? est-il documenté ?
  • ce dispositif a-t-il des moyens adaptés ? et tenus à jour ?
  • le responsable de crise est-il désigné et au courant ? dispose-t-il des bonnes délégations ? et ses remplaçants ?

Pour les divers intervenants :

  • les groupes d'interventions sont-ils préparés en fonction des moyens critiques ?
  • est-ce prévu sur le site sinistré mais aussi sur les sites de secours ?
  • y a-t-il des listes de personnels compétents avec indication des remplaçants ? à jour ?
  • l'informatique ? les bureaux ? les documents ? etc... sont-ils dotés de groupes responsables d'agir avec les bons moyens ?

Pour tous ces points, il faut en effet être vigilant, car le détail tue.

Plannings de reprise : même rudimentaires, ils doivent exister !

En cas de sinistre il convient de disposer de liste de tâches à mener avec quelques indications utilisables par le gestionnaire de crise qui ne sera peut-être pas le plus compétent sur place le jour J...

Sur ce sujet, il faut être réaliste et pragmatique et pouvoir s'adapter à la situation.

Un auditeur cherchera donc à trouver :

  • des indications et check-lists sur les constats à faire, les escalades, les évaluations
  • une liste de tâches à mener pour stabiliser une situation sur site sinistré (informatique)
  • une indication des tâches prioritaires pour redémarrer en fonction des priorités sur le ou les sites de reprise
  • des penses-bêtes administratifs, légaux, réglementaires divers
  • des ordres de grandeurs de charge pour les travaux à faire, de compétences et moyens nécessaires
  • des éléments pour la communication, l'escalade et l'horodatage des événements...

Tout ceci doit être à jour et accessible, même en situation de sinistre.

Exercices de tests et sensibilisation : il doit y en avoir !

Autre aspect très important : tout ce qui a trait à la sensibilisation et la formation.

Le plus efficace dans ce domaine est l'organisation de séances de tests de plus ou moins grande ampleur, allant d'une simple vérification de listes à une mise en situation partielle en passant par des séances d'exercices en chambre.

L'auditeur recherchera alors :

  • des documents préparant des tests et des campagnes sur durée longue
  • des fiches de tâches préparatoires
  • des comptes rendus de tests
  • des bilans et plans d'action suite à test
  • des listes des personnels ayant participé aux tests
  • tous ces documents ayant moins d'un an ?

Une pratique très régulière de tests est en effet salutaire pour étendre et maintenir l'éveil.

Et enfin... il doit y avoir un document de politique de la continuité

Ce document est décrit par ailleurs sur notre site voir : http://www.duquesnegroup.com/Que-faut-il-mettre-dans-le-document-de-Politique-de-continuite_a214.html://

L'auditeur s'attachera à y trouver :

  • l'expression d'une volonté assortie de moyens
  • l'attribution de responsabilités dans toute l'entreprise, responsables opérationnels aussi bien que RPCA
  • l'expression des enjeux et des critères d'évaluation (genre perte de chiffre d'affaires, image détériorée, etc.)
  • la mise en place de reporting et de contrôle sur les sinistres
  • le suivi des tests et de leur conclusion


L'ensemble de ces points peut constituer la base d'une campagne d'audit appropriée.

Emmanuel Besluau
Mardi 28 Juin 2011

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2