Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Que faut-il mettre dans le document de "Politique de continuité" ?




Que faut-il mettre dans le document de "Politique de continuité" ?
Bien que le document de "Politique de Continuité" soit posé comme un pré-requis par les "bonnes pratiques", dans nos missions en entreprise, le sujet est rarement mentionné tout de suite.

Au bout d'un certain temps toutefois, tout le monde considère que ce type de document est fondamental.

Que faut-il y mettre ?

Voici les grandes lignes.

Que faut-il mettre dans le document de "Politique de continuité" ?

D'abord le document de politique doit très rapidement en quelques lignes expliquer ce qu'est la Continuité d'activité et ce qui doit y figurer.

Il doit par exemple mentionner la nécessité de faire une analyse de risque spécifique à la continuité, de mener une analyse d'impact et de statuer sur ce qui doit être préparé lorsque le sinistre abat un processus jugé critique.

Il doit aussi faire mention des dispositifs de gestion de crise et autres Plans de reprise à considérer avec leurs nécessaires campagnes de tests.

Il ne s'agit pas d'une description détaillée, mais le lecteur doit savoir ce que "continuité d'activité" recouvre pour la Direction Générale. Ceci peut prendre une demi-page.

Dans cette première partie, il est courant que l'on trouve aussi un cadrage (comme : "cette politique concerne la SA France").

Enfin, il est souvent mentionné le fait que la Politique de Continuité est revue régulièrement et que le document de politique sera lui aussi l'objet de modifications sur un rythme de type annuel par exemple.

Exprimer clairement une volonté

Ce point est très important et la norme en cours d'élaboration (ISO 22301) insiste sur cet aspect.

La DG doit expliciter ce qui compte pour elle en terme d'enjeu associé à la Continuité, comme par exemple :

  • les pertes financières
  • la détérioration de l'image en cas d'interruption d'activité
  • la violation d'engagements contractuels
  • la violation de réglementation applicable

Ces points sont importants car ils déterminent les "zones de douleur" sur lesquelles l'attention devra porter lors de l'analyse de BIA.

La DG dans ce document de politique affiche clairement que la Continuité d'Activité est importante pour elle et explique pourquoi.

Associé à ce qui précède, il est courant de trouver ici une expression de priorités (telle que : "le risque politique en filiale sera considéré en premier lieu" ou "l'activité industrielle sera prioritaire").

La DG exprime ce qui est important et affiche des priorités.

Attribuer des responsabilités

C'est la suite naturelle de ce qui précède : la Continuité d'Activité étant importante, il faut attribuer les rôles :
  • qui doit décider des activités critiques ?
  • qui est habilité à trancher dans les analyses d'impact ?
  • qui fixe les exigences en matière de continuité ?

Ces points sont traités dans ce chapitre clé du document de politique.

En général on retrouve là les Directeurs de Divisions ou "business owners".

Il est important de bien faire figurer ces aspects dans la politique pour que les responsabilités puissent s'exercer sans ambiguïté.

En particulier un RPCA nouvellement nommé pourra aller voir les responsables pour collecter leurs exigences.

Mettre en place un dispositif de création de PCA

La société souhaite mettre sur pied un PCA. Son document de Politique de la Continuité doit donc mettre en place le dispositif qui permettra peu à peu de construire ce PCA.

Ce dispositif est variable, mais il comporte très souvent trois composantes :

  • le RPCA lui même (Responsable du Plan de Continuité d'Activité) qui a pour mission d'impulser, de mener et de coordonner les travaux de réalisation de la Politique de Continuité

  • le ou les comités de pilotage indispensables pour prendre les décisions, réaliser les arbitrages qui s'imposent

  • éventuellement des correspondants continuité à même de représenter leur entité et de démultiplier les efforts localement

La description précise de ces composantes peut se faire dans des documents à part.

La DG dans son document de politique monte explicitement un dispositif "d'insertion de la continuité dans l'entreprise."

Institutionnaliser la sensibilisation et la formation

Pierre angulaire des approches anglo-saxones et américaines, la sensibilisation à la Continuité doit être affichée comme une attention de la DG.

Concrètement cela se traduit par un certain nombre de mesures :

  • les séminaires du type 'nouveaux arrivants' doivent aborder le thème de la continuité
  • des présentations de courte durée de sensibilisation doivent être organisées régulièrement
  • des formations plus pointues pour certains titulaires de postes clés sont à prévoir
  • la participation aux tests ou exercices de PRA doit être prise en compte et suivie

Bref, le lecteur doit comprendre que la DG souhaite que chacun considère la Continuité d'activité comme importante à proportion de la criticité de son poste.

Mettre en place du contrôle

Enfin, dernière pièce au dispositif : la DG doit s'assurer que ce qu'elle a décidé passe progressivement dans les faits.

Pour cela, un classique dispositif à deux étages peut être monté :

  • le contrôle par les opérationnels responsables
  • l'audit (de différents types)

Tout ceci est légèrement formalisé dans le document de politique.

L'essentiel doit être que les responsables évaluent et se font évaluer en terme de degré d'avancement de la mise en oeuvre de la Continuité d'Activité dans leur domaine.

Des tableaux de bord avec indicateurs sont produits et permettent de suivre la pénétration des pratiques de continuité en ligne avec la volonté de la Direction Générale.



L'ensemble de ces points doit être organisé convenablement dans un document de politique. Un RPCA nouvellement nommé sera plus habilité à mener ses travaux s'il a ce viatique avec lui.

Emmanuel Besluau
Vendredi 4 Novembre 2011

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mercredi 5 Octobre 2016 - 17:48 Attention : un SMCA n'est pas un PCA !


Duquesne Research Newsletter