Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Documentation du PCA : comment s'en sortir ?


Voilà un sujet peu passionnant, mais ô combien important. Sans document, peut-on parler de PCA ou de système de management ?

Il faut donc en parler et le faire de la manière la moins pénible possible...et la plus efficace.

Voici quelques réflexions sur le sujet.



crédits : DR
crédits : DR

Documenter : pour quoi faire ?

Première question à se poser, de la réponse dépendra bien sûr la suite.

Habituellement, trois raisons poussent à une documentation formalisée :

  • Inspirer confiance en démontrant que quelque chose a été fait en matière de continuité : que ce soit pour un prospect, un client qui lui-même pense à son PCA, une autorité de contrôle, un audit de conformité, il faut montrer quelque chose qui emporte la conviction.

  • Gérer et faire gérer dans la durée la documentation en responsabilisant les acteurs de la continuité en entreprise : vous avez construit un ensemble documentaire et il faut absolument le tenir à jour. Il vous faut attribuer chaque document à un responsable en charge de le tenir à jour à intervalle fixé.

  • Permettre et faciliter la gestion de crise : en cas de sinistre, il faut pouvoir accéder à des informations telles que numéros de téléphone, plans d’actions de parade à mener face au sinistre, plans de repli, disaster recovery plans, plans de câblage, d’usine, adresses, etc…

Bien évidemment, il peut exister d’autres raisons, comme la nécessité de se conformer à une norme comme l’ISO 22301. Mettons cette raison à l’écart pour l’instant (in fine de toute façon, cela revient aux trois raisons citées).

Notons aussi -et cette question est souvent bloquante- la nécessité ou non de garder certaines informations confidentielles, ce qui vient compliquer le problème.

Passons en revue chaque point.

Le problème du niveau de confidentialité

Abordons ce point en premier, car c'est plus simple de concevoir d'entrée de jeu une documentation adaptée à la confidentialité exigée.

En matière de PCA, entrer dans le vif du sujet est souvent jugé trop sensible et les documents considérés comme non montrables en l'état.

En effet, montrer les documents des analyses de risques réalisées ou des études de criticité des activités (BIA) peut très vite se heurter à des problèmes de confidentialité.

Mission impossible, alors ? Non, il faut procéder avec méthode :

Pour tout document produit lors de la construction du PCA il faut –avant- se poser la question : qu’est-ce qui peut être montré à l’extérieur ? Et qu’est-ce qui doit rester confidentiel ?

La réponse à cette question est à graduer : on ne montre pas la même chose à un prospect ou à une autorité de contrôle. De même un auditeur tierce partie pourra être engagé par une clause de non divulgation de contenu et se limiter à détecter des non conformités sans révéler les contenus des documents.

Une fois cela fait, il est possible de structurer la documentation en -au moins- deux catégories : information montrable et information confidentielle.

Il faut en effet fournir des éléments « inspirant confiance ».


Inspirer confiance

Un fournisseur demande « ce qui a été fait pour le PCA » et aimerait bien voir des éléments probants. Une présentation lénifiante « oui ! nous avons un PCA » ne peut faire illusion bien longtemps, il faut autre chose de plus solide !

Montrer que quelque chose -inspirant confiance- a été fait en matière de continuité peut se faire en produisant les éléments suivants et en graduant selon le degré d'ouverture :

  • Le document de politique de la Continuité, avec les dispositifs en place (RPCA, correspondants, comité, …) éventuellement simplifié pour des raisons de confidentialité ou complet, … si celui-ci n'existe pas (cas réel souvent) ce sera une occasion d'en proposer un à la signature de la DG.

  • La méthode utilisée pour l’analyse de risque de sinistres, les risques analysés, l’appréciation faite, la position du management, …

  • La méthode utilisée pour le BIA (analyse des activités prioritaires), les analyses faites, la liste des activités prioritaires et leurs délais de reprise, les modes dégradés, …

  • Les dispositifs prévus pour améliorer la résilience (= baisser les risques) et faire face aux sinistres pour les activités prioritaires : sur ce sujet sensible, le niveau de détail pourra varier selon l’interlocuteur. De plus en plus d’organismes commencent par demander des réponses sur ces points, sous le mode : « Que faites-vous si vous perdez votre data center ? Et vos bureaux ? et votre usine en Chine ? »

  • Des éléments documentant votre plan de reprise concret (procédures, tâches), votre cellule de crise (au singulier ou au pluriel), les responsabilités et missions en cas de crise, les interlocuteurs prévus face aux clients ou autorités, la manière de communiquer, les outils en place ou activables, …

  • Des plannings de tests ou exercices avec indication de leurs objectifs, des rapports de réalisation, des rapports de points à problème, des plans d’actions correctives, des rapports de suivi de ces actions, …

  • Des présentations de sensibilisation du personnel, des formations, une liste des personnels ayant suivi ces formations, …

  • Des ordres du jour de revue du comité continuité, des rapports de revues, des indicateurs, des relevés de décisions, …

On le voit, la liste peut être longue et à chaque fois dosée dans la profondeur de confidentialité que l’on accepte de montrer.

Il est important de noter que même si l’on se limite au premier document de chaque point de la liste, on crée de la confiance sur le sérieux de l’approche continuité, sans pour autant dévoiler des secrets.

Créer la confiance ou « build confidence » est un leitmotiv majeur des normes et bonnes pratiques.

Faciliter la gestion

Cet aspect des choses est majeur : si la documentation créée n’est pas gérée, elle devient au sens propre lettre morte. Le RPCA tout seul est peu efficace.

Il est utile d’attribuer les documents à des responsables Continuité (ou correspondants) qui seront chargés de la tenue à jour. Ceux-ci sont partout dans l’organisation :

  • Côté moyens (informatique, logistique, moyen généraux, …) pour le suivi des risques et de leur parade et pour les plans de reprise (IT, locaux, crise, etc.)

  • Côté métiers pour la vérification des activités critiques et de leurs besoins de reprise à un niveau spécifié

  • Eventuellement côté DRH pour les aspects droit du travail et côté Com pour la communication de crise.

Le responsable PCA veillera à faire gérer cette documentation par ceux qui y ont intérêt, plutôt qu’à la gérer lui-même.

Pour cela, il faudra déposer la documentation dans un environnement de partage (genre Sharepoint ou Lotus, voire un CMS) avec rappel régulier de l’exigence de tenue à jour.

Les tests seront d’ailleurs le moment de vérifier cette tenue à jour. On peut d'ailleurs réaliser des séances de tests peu coûteuses, dont c'est l'unique objectif.

On voit ainsi que la préoccupation de tenue à jour de toutes ces documentations n'est pas une mince affaire. Les deux mots clés sont "responsabilisation" et "contrainte des tests".


Permettre la gestion de crise

Il s'agit là d'un tout autre objectif. Nous sommes au cœur du sujet.

A l'inverse des bonnes pratiques qui veulent qu'un document soit présent en un dépôt de référence, les documents de crise eux, doivent être en plusieurs exemplaires et supports et en plusieurs endroits. Le risque d'écarts et d'inexactitudes est alors plus fort, mais il n'y a pas moyen de faire autrement.

On peut citer :

  • Dans la ou les salles de crise et chez certains responsables, une copie papier est nécessaire.

  • Un support de type clé USB et PC portable s’avérera utile en salle(s) de crise, au domicile de certains acteurs de la crise ou sur un site tiers.

  • Des documents sur Smartphones, en mode déconnecté ou/et avec un système d'e-mailing qui marche (ie. protégé du sinistre), des annuaires répliqués par exemple et des données lisibles directement sur le smartphone ou éventuellement via réseau et accès SaaS.

  • De manière générale, une présence de la documentation sur l'Intranet ou en mode SaaS hors de l'entreprise sera très appréciable.

  • Plus largement, les personnels impliqués dans la gestion de crise disposeront sur eux d'un petit document (format carte de paiement) appelé souvent "cartelette" avec le minimum vital à savoir : où aller, quel numéro de référence appeler, comment se renseigner, que faire en premier, les contacts utiles, des plans, etc.

Pour tous ces éléments, trois considérations priment :

  • multiplier raisonnablement les exemplaires pour "échapper au sinistre"

  • réaliser une documentation qui doit être "orientée action"

  • organiser la tenue à jour de toutes ces instances est vital

Encore une fois, une revue régulière de ces éléments épars avec des campagnes de rafraîchissement réguliers (sous le mode : on jette et on remplace) est indispensable.


Conclusion : responsabiliser et contrôler

Tout ce travail de constitution, tenue à jour et test de la documentation n'est pas -loin s'en faut- une sinécure.

Les outils modernes (smartphones, extranet, webmails) offrent des facilités intéressantes de rafraîchissement fréquents.

Le bon vieux papier peut lui aussi encore servir, à condition qu'il soit tenu à jour.

La motivation des responsables de parties de documents est à entretenir ; il n'y a pas de recette miracle !

Les exercices et tests sont l'occasion de montrer l'intérêt de tout cela.

Une animation générale par le RPCA sous le regard attentif de la direction générale est une clé de réussite.

PS : sauf erreur, ce qui précède est conforme à la norme ISO 22301

Emmanuel Besluau
Jeudi 10 Octobre 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter