Audit interne du PCA : que faut-il regarder ?

Dans un passé encore récent, le champ d'investigation d'un audit interne du PCA était en général assez étroit.

Dans la mesure où le PCA était vu essentiellement sous l'angle des moyens, l'auditeur interne se contentait souvent de vérifier qu'un plan était effectivement en place et que des tests avaient réellement été faits. Avec des compétences techniques nécessaires, un auditeur pouvait aussi revoir le plan de reprise informatique, notamment pour vérifier qu'il avait bien été tenu à jour en fonction des évolutions du système d'information.

Aujourd'hui, le management de la continuité d'activité a émergé comme une discipline à part entière, avec une démarche transverse qui prend en compte à la fois les processus métiers et l'ensemble des moyens. Dans ce nouveau contexte, l'Audit Interne se trouve face à un champ d'investigation considérablement élargi, sans forcément disposer d'une "culture PCA" permettant aux auditeurs de poser les bonnes questions et d'aller rapidement au fond du sujet.

Pour pallier les difficultés éventuelles des auditeurs internes, l'IIA (Associtation de l'Audit Interne) a déja publié quelques consignes utiles dans le "Practice Advisory 2110-2" sur le rôle de l'Audit Interne dans le management de la continuité d'activité.

Dans un esprit de complémentarité, nous proposons ici une aide méthodologique issue de nos études et de notre propre expérience, sous forme d'une "checklist" de questions à poser lors d'un audit interne du PCA.

Nous avons classé ci-dessous en sept domaines de préoccupation les points qui nous semblent importants à vérifier dans toute démarche de PCA et qui sont repris par diverses bonnes pratiques ou normes.

Il est à noter que nous laissons de côté de manière volontaire les aspects réglementaires spécifiques à tel ou tel secteur.

Ces sept domaines sont les suivants :

• l'analyse de risque

• l'analyse d'impact (BIA)

• la formulation de la stratégie de réponse au sinistre

• missions responsabilité et crise

• planification des actions

• sensibilisation et test

• politique de la Continuité

Mais entrons un peu plus dans le détail.

Ce point est particulièrement sensible car il est connexe d'autres analyses de risques pratiquées dans l'entreprise et pour autant, il faut rester raisonnable sur les travaux faits.

En terme d'audit de PCA, une version réduite -centrée sur les risques externes- est à prendre en compte. Il convient de regarder en particulier les points suivants :

Pour l'évaluation des risques :

• les menaces externes considérées : la liste est-elle convenable ?

• les probabilités et impacts ont-ils été évalués ?

• la mesure des évaluations est-elle discutée et objet de décision du management ?

• les biens exposés aux menaces sont-ils désignés en grande masse ?

Pour le traitement des risques :

• les quatre possibilités de traitement ont-elles été envisagées (pour mémoire : accepter, supprimer, réduire, transférer) ?

• existe-t-il une trace des options envisagées et choisies ?

• les risques résiduels sont-ils décrits ?

• les éventuels plans d'actions sont-ils décrits et suivis ?

Enfin pour la survenance de sinistre :

• existe-t-il une surveillance préventive ?

• l'escalade est-elle en place et efficace ?

Enfin, les questions habituelles sont à poser sur la documentation de l'ensemble et les révisions des divers documents produits et entreposés.

Le BIA (Business Impact Analysis) consiste à déterminer les activités critiques de l'entreprise, celles dont l'arrêt va l'empêcher d'accomplir ses missions.

Cette analyse est donc importante. Dans la lignée des grandes normes et bonnes pratiques (British Standard, Disaster Recovery Institute, ISO) il convient de s'assurer que les responsables métier ont bien exprimé leurs besoins en terme de continuité.

Selon la situation de l'entreprise, il existe plus ou moins de description des activités, réalisées selon divers formalismes avec divers outils. Indépendamment des travaux réalisés, il convient que l'auditeur porte une attention particulière sur les points suivants :

• les activités ont-elles toutes été passées en revue, même pour simplement les classer 'non critiques' ?

• existe-t-il une évaluation de criticité faite par les responsables métiers sur leurs activités ?

• cette évaluation utilise-t-elle un système de mesure gradué validé en interne ?

• la notion de choc extrême est-elle prise en compte ?

• les critères d'évaluation sont-ils mentionnés (ex : perte de CA, détérioration d'image, violation réglementaire ?)

• les délais d'interruption maximale admissibles (DMIA) figurent-ils ?

Les activités les plus critiques étant connues, il est alors nécessaire de regarder ce dont elles ont besoin pour fonctionner. Il faut alors regarder des points comme :

• les moyens informatiques nécessaires sont-ils listés ?

• les données critiques sont-elles identifiées ?

• les exigences sur les sauvegardes sont-elles indiquées ?

Même remarque que précédemment sur la documentation de l'ensemble.

L'entreprise connaît ses risques de sinistre et ses activités importantes exposées.

Elle doit décider ce qu'elle fera en cas de survenance des sinistres prévus ou pas :

• les activités qui sont arrêtées

• les activités reprises : où et comment ?

• dans quel ordre ?

Cette étape est très vaste et pour un auditeur, il n'est pas simple d'aller à l'essentiel. Il ne faut pas se contenter de déclaration du type "on verra bien".

En ce qui concerne les réponses aux sinistre, on pourra toutefois se concentrer sur trois grands pans à traiter : la résilience des moyens, la couverture face à l'étendue du risque et les délais de mise en oeuvre des secours.

Concernant la résilience des moyens :

• existe-t-il des points uniques de défaillance sur des éléments sensibles ?

• existe-t-il des possibilités de pannes communes ?

• les doublements sont-ils effectifs en pratique ? (doubles alimentations électriques, doubles liens télécom, etc.)

En ce qui concerne la couverture face à l'étendue du sinistre ; il est bon de regarder :

• le secours prévu est-il en dehors du champ de risque prévu (ex : en-dehors de la même zone inondable ?)

• les couvertures prévues : sinistre de site ? de ville ? de région ? de pays ? y-a-t il une gradation dans les réponses ?

Enfin, les délais de mise en activité sont traditionnellement à regarder aussi :

• existe-t-il une gradation entre un site de secours proche activable très rapidement et un site plus lointain activable moins rapidement ?notions de secours chaud, tiède et froid

• le site de secours lointain est-il activable dans des délais raisonnables ? et conformes aux exigences métier ?
  existe-t-il un dernier recours chez un tiers ?

• le retour à la normale sur le site principal a-t-il été anticipé ?

Bien évidemment ces questions sont à aménager en fonction de l'entreprise et de son activité.
Tout ce qui a été prévu a dû être documenté et doit être auditable.

Nous arrivons dans le vif du sujet.

Un sinistre se produit : l'entreprise a-t-elle préparé sa réponse ?

En général, on se préoccupe d'une cellule de crise et l'on définit des missions et des groupes responsables pour la réponse au sinistre.

En terme d'audit il est important de vérifier les points suivants :

Pour la crise :

• existe-t-il un dispositif pour gérer la crise ? permet-il de décider ? est-il documenté ?

• ce dispositif a-t-il des moyens adaptés ? et tenus à jour ?

• le responsable de crise est-il désigné et au courant ? dispose-t-il des bonnes délégations ? et ses remplaçants ?

Pour les divers intervenants :

• les groupes d'interventions sont-ils préparés en fonction des moyens critiques ?

• est-ce prévu sur le site sinistré mais aussi sur les sites de secours ?

• y a-t-il des listes de personnels compétents avec indication des remplaçants ? à jour ?

• l'informatique ? les bureaux ? les documents ? etc... sont-ils dotés de groupes responsables d'agir avec les bons moyens ?

Pour tous ces points, il faut en effet être vigilant, car le détail tue.

En cas de sinistre il convient de disposer de liste de tâches à mener avec quelques indications utilisables par le gestionnaire de crise qui ne sera peut-être pas le plus compétent sur place le jour J...

Sur ce sujet, il faut être réaliste et pragmatique et pouvoir s'adapter à la situation.

Un auditeur cherchera donc à trouver :

• des indications et check-lists sur les constats à faire, les escalades, les évaluations

• une liste de tâches à mener pour stabiliser une situation sur site sinistré (informatique)

• une indication des tâches prioritaires pour redémarrer en fonction des priorités sur le ou les sites de reprise

• des penses-bêtes administratifs, légaux, réglementaires divers

• des ordres de grandeurs de charge pour les travaux à faire, de compétences et moyens nécessaires

• des éléments pour la communication, l'escalade et l'horodatage des événements...

Tout ceci doit être à jour et accessible, même en situation de sinistre.

Autre aspect très important : tout ce qui a trait à la sensibilisation et la formation.

Le plus efficace dans ce domaine est l'organisation de séances de tests de plus ou moins grande ampleur, allant d'une simple vérification de listes à une mise en situation partielle en passant par des séances d'exercices en chambre.

L'auditeur recherchera alors :

• des documents préparant des tests et des campagnes sur durée longue

• des fiches de tâches préparatoires

• des comptes rendus de tests

• des bilans et plans d'action suite à test

• des listes des personnels ayant participé aux tests

• tous ces documents ayant moins d'un an ?

Une pratique très régulière de tests est en effet salutaire pour étendre et maintenir l'éveil.

Ce document est décrit par ailleurs sur notre site voir : http://www.duquesnegroup.com/Que-faut-il-mettre-dans-le-document-de-Politique-de-continuite_a214.html://

L'auditeur s'attachera à y trouver :

• l'expression d'une volonté assortie de moyens

• l'attribution de responsabilités dans toute l'entreprise, responsables opérationnels aussi bien que RPCA

• l'expression des enjeux et des critères d'évaluation (genre perte de chiffre d'affaires, image détériorée, etc.)

• la mise en place de reporting et de contrôle sur les sinistres

• le suivi des tests et de leur conclusion

L'ensemble de ces points peut constituer la base d'une campagne d'audit appropriée.