Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Attention : un SMCA n'est pas un PCA !

Un Système de Management de la Continuité d'Activité n'est pas un Plan de Continuité


La notion de SMCA (Système de Management de la Continuité d'Activité) est introduite par la norme ISO 22301. Habitués à parler de PCA, bien des responsables pensent que cette norme ISO va leur indiquer ce qu'il faut y mettre.

Or, il n'en est rien ! Ou plus exactement l'effet est indirect. Regardons comment cela marche.



DR
DR

Les PCA en place se situent dans une zone de non-dit

Tout le monde connaît le PCA : Plan de Continuité d'Activité.

C'est un ensemble de mesures mises en place et de dispositions prises pour, en cas de sinistre, assurer une meilleure continuité d'activités jugées prioritaires. Cela se traduit généralement par des procédures, des renforts de moyens que l'on a rendus mieux résilients ou des plans de repli chez des prestataires de secours par exemple.

Pour réaliser tout cela, un certain nombre d'hypothèses ont été tacitement faites :

  • on a une idée sur les scénarios de sinistres qui peuvent toucher la société : on raisonne perte de site de bureaux, perte de salle IT, ...
  • on a présupposé que telle activité était plus importante à continuer que telle autre et que donc tel ou tel moyen était à reprendre...
  • on a mis en place des moyens de substitution pour les bureaux, l'informatique, ...

La plupart des responsables de PCA reconnaissent souvent que ces choix ont été faits en conscience mais sans véritable concertation avec les responsables métiers de l'entreprise. Et que de plus ces choix datent un peu.

Ainsi, bien des PCA -pour ne pas dire la plupart de ceux que nous voyons- sont le résultat de choix anciens, peu documentés, assez intuitivement faits et surtout non actualisés ! De plus les attendus sur lesquels ces choix s'appuient sont très souvent oubliés.

Tout se passe alors comme si le PCA était le résultat de choix passés non formalisés et que sa raison d'être était plus ou moins oubliée avec le temps.

Quand on constate que les tests faits depuis dix ans ne portent que sur quelques serveurs anciens, l'inquiétude nous guette !

Votre PCA est-il toujours approprié ?

Voici la vraie question, qui en amène d'autres :

  • le PCA en place permet-il de redémarrer efficacement les activités prioritaires de l'entreprise ? et d'abord quelles sont-elles ?
  • le dispositif choisi est-il à l'abri des risques de sinistres ? le secours est-il épargné par l'inondation ?
  • les cellules de crise prévues sont-elles les bonnes ? avec les bons responsables ? en mode action ou improvisation ?
  • etc.

On voit alors se dérouler un questionnement nécessaire qui s'articule en trois étapes :

  • quels sont les risques réels de sinistre et que peut-on atténuer ?
  • quelles sont les activités vraiment prioritaires de l'entreprise et que faudrait-il redémarrer vite ?
  • en fonction de cela que faut-il préparer comme Plan de continuité efficace ?

Ce questionnement de bon sens esquisse une méthode.

Il faut une méthode pour aboutir à un PCA correct

Pour mettre en place un PCA adapté aux enjeux, il faut donc, comme on l'a vu mener quelques études :

  • faire une analyse des risques pour réduire ce qui peut l'être et connaître les scénarios de sinistre les plus à craindre
  • étudier les activités de l'entreprise pour savoir ce qu'il convient de protéger et/ou de redémarrer assez vite raisonnablement
  • enfin décider des parades à mettre en place (ou pas) selon aversion aux risques
  • puis les mettre en musique (procédurer) et les tester

En listant ces points qui permettent d'aboutir à un ou plusieurs PCA appropriés au contexte de l'entreprise, nous listons les principales étapes du SMCA de la norme.

Autrement dit le SMCA illustre l'adage "dites moi vos risques et vos activités prioritaires, je vous dirai quel PCA vous va."

La norme présente une approche pour élaborer un PCA approprié. Mais elle dit peu de chose sur le PCA lui-même. Elle se contente d'en présenter quelques caractéristiques.

Etant un "système de management" (comme pour la Qualité ISO 9001 ou la sécurité IT ISO 27001) la norme vous demande aussi d'avoir des contrôles, des indicateurs d'efficacité, de faire des audits, d'organiser des revues de direction et de mener des actions correctives. Le tout dans une boucle du genre PDCA (Plan Do Check Act).

La SMCA ou le système à faire et améliorer votre PCA

Le SMCA est donc un dispositif organisationnel de gouvernance qui :

  • va vous demander de comprendre votre situation et exposition aux risques
  • va vous amener à réaliser des PCA adaptés à votre situation et à vos objectifs de continuité
  • va exiger une mise sous contrôle de tout cela et une amélioration continue.

C'est ce cercle vertueux qui est décrit par la norme et qui peut se faire certifier.

Il est supposé qu'une fois en place il vous amènera à traiter vos risques et à réaliser des PCA corrects et que si ce n'est pas le cas, cela s'en rapprochera.

Un SMCA n'est donc pas un PCA mais il contribue à y aboutir en ligne avec la volonté de la direction.

Emmanuel Besluau
Mercredi 5 Octobre 2016

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter