Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Audit de PCA : trois erreurs assez courantes


Les audits en matière de Continuité d'Activité sont très souvent insuffisants... et peuvent conduire à des conclusions très discutables.



Audit de PCA : trois erreurs assez courantes
Les entreprises disposant de PCA les font auditer régulièrement, comme il se doit ; elles font appel pour cela à leurs auditeurs ou à des cabinet externes.

Nous sommes souvent appelés pour des missions d'amélioration de Plan de Continuité d'Activité suite à des audits de ce type qui ont pointé des insuffisances.

Or, lorsque nous regardons de près ces insuffisances, nous constatons souvent que les travaux des auditeurs ont été menés avec une vision très partielle et que le sujet du PCA n'est pas totalement maîtrisé.

Il apparaît ainsi que dans certains cas les auditeurs avancent quasiment à l'aveuglette et que les audits en question nous paraissent perfectibles sur bien des points.

Coup de projecteur sur trois "erreurs" courantes constatées récemment.

La focalisation excessive sur la reprise de moyens

Certains auditeurs de PCA concentrent leur attention sur ce qui est prévu lorsque par exemple "les locaux sont indisponibles" ; ils s'attendent à trouver des plans de relogement du personnel dans des bureaux de secours prévus en cas de sinistre.

Il est vrai que cette cette approche "table et chaises" est à faire, il faut cependant raison garder :

  • il faut se focaliser sur les personnels les plus utiles aux activités critiques (cela suppose qu'on les connaisse...) nul besoin dans le PCA de reloger tout le monde en trois mois

  • il faut concentrer les préparations sur les premières heures, les premiers jours suite au sinistre, pour le reste, "on verra" d'autant plus que la préparation d'un sinistre très long peut être hasardeuse...

  • et puis, il faut regarder s'il n'y a pas mieux à faire : peut-être que ces activités critiques peuvent être confiées en cas de sinistre à une autre entité de l'entreprise ou à un prestataire.

Il ne me semble pas correct dans un audit de reprocher une absence de relogement (au sens de bureaux) de personnels si les activités prioritaires peuvent continuer autrement.

Cette focalisation exagérée sur les moyens fait perdre de vue la fin ultime du PCA : continuer les activités prioritaires.

L'absence de vue sur les "risques PCA"

Il est très courant qu'un auditeur se contente de scénarios simples comme "perte de site" pour lequel on prévoit de reloger tout le monde sur un "site de secours".

Est-ce que le site de secours est épargné par le sinistre ? rien n'est moins sûr. En tout cas, cela n'est pas étudié et l'auditeur ne demande rien et ne note aucun écart.

Or la moindre des choses est de prévoir un scénario réaliste et vraisemblable de sinistre (une inondation par exemple) déduit de l'analyse de risques qui a du être faite.

Très souvent l'auditeur sera satisfait si on lui dit que le "Risk Manager" est en charge des analyses de risques, pas le RPCA. Or très souvent les risques vus par le Risk Manager sont de type métier (risques de change,...) ou réglementaire (respect de telle réglementation). Ils ne permettent pas de connaître ou d'anticiper les circonstances de sinistres à prévoir dans le PCA.

Concrètement : quel est le sinistre qui risque le plus de mettre tout le personnel à la rue ? le blocage social ? le tremblement de terre ? ou l'inondation ? et accessoirement, cela risque de durer combien de temps ? trois heures ? trois semaines ? trois mois ? et les activités prioritaires ? où en sont-elles ?

Sans vision sur ces paramètres, il est illusoire de planifier.

Peu d''auditeurs de PCA' pointent ces manques et la vision "je reloge tout le monde en trois mois quels que soient les activités et le sinistre" est encore bien vue de certains.

La confiance aveugle dans les Plans de Continuité Informatiques (PCIT)

Certains auditeurs ont devant le PCIT l'attitude de Mowgli devant le python du Livre de la jungle : ils acceptent tout sans contredire et se contentent de peu (un rapport de test "comme quoi cela s'est bien passé").

Or, nous sommes souvent dans l'incompréhension réciproque en ce qui concerne les Plans informatiques et la continuité d'activité.

S'il y a une attention forte à porter, elle est bien là ! La DSI a-t-elle identifié avec les métiers les machines prioritaires ? sont-elles bien reprises dans les délais exigés des métiers ? est-ce seulement étudié et depuis quand ? ces questions et bien d'autres sont à aborder (voir notre article sur le sujet).

Il ne faut pas se contenter d'un cluster actif-actif (dans la même salle) baptisé pompeusement PCA...

Attention aux rapports d'audit caricaturaux !

En suivant ce qui précède, on pourra trouver des rapports d'audit :

  • qui pointent en insuffisance le fait que tout le personnel n'est pas relogé

  • qui trouvent bien un PCIT sans l'avoir trop regardé, sous le prétexte que le dernier test a marché

  • qui n'ont aucune considération sur les risques réellement présents d'arrêt des activités

  • qui ne s'interrogent pas sur les activités qu'il convient de continuer ou reprendre en priorité

La vision ainsi obtenue ne permet pas de prendre les bonne orientations pour améliorer le PCA.
Emmanuel Besluau
Vendredi 24 Mai 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2