Duquesne Group Duquesne Group
English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more

Les autorités parlent de PUPA et non plus du PCA : est-ce judicieux ?

Les banques et compagnies d'assurance doivent donc avoir un PUPA depuis fin 2014


Dans le décret de 2014, l'ACPR mentionne le PUPA en lieu et place du PCA. Pourquoi introduire ce concept alors que les praticiens de la continuité sont habitués au PCA ? Est-ce une distinction utile ? Et si le problème était ailleurs ? Quelques éléments de réflexion.



source site de l'ACPR
source site de l'ACPR

Le "PCA" est victime d'interprétations très nombreuses.

Dans nos missions de conseil en Continuité d'Activité, nous le voyons bien, les définitions du trigramme PCA sont nombreuses et différentes.

Citons par exemple :

  • Pour les uns, le PCA est un dispositif technique informatique permettant d'échapper à une panne unitaire. Un responsable système qui remplace un serveur par un cluster de serveurs avec des mécanismes de bascule ou de résilience dira ainsi qu'il "a mis en place un PCA".

  • Pour d'autres le PCA consiste à trouver des bureaux de repli en cas de sinistre sur les bureaux habituels : "dans mon PCA je vais sur tel site où 50 postes de travail nous sont mis à disposition sous quatre heures".

  • D'autres encore vont inclure dans ce qu'ils appellent PCA des études d'impact (les fameux BIA) mais aussi, pourquoi pas, des exercices et des appréciations de risques. Ils engloberont alors sous l'appellation PCA une démarche plus globale.

  • Enfin, il faut mentionner une vision assez courante au niveau de l'Etat de considérer un PCA uniquement prévu pour le choc majeur avec des déclenchements lourds et coûteux qui hors choc majeur ne sont pas justifiés.

Bref en matière de continuité tout le monde voit le PCA à sa porte. Ce qui fait que quand quelqu'un nous dit "j'ai un PCA" ou au contraire "je n'ai pas de PCA" nous ne savons en fait pas ce qu'il en est vraiment.


Qu'est-ce donc que le PUPA ?

Le PUPA, à l'inverse du PCA n'a pas un passé chargé !

PUPA : "Plan d'Urgence et de Poursuite des Activités" c'est clair et montre bien qu'il y a deux objectifs, réagir en urgence et poursuivre des activités.

La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l'ancien PCA :

"Ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes"

Les derniers mots "et à limiter ses pertes" ont été ajoutés à l'ancienne définition. On notera qu'évidemment un organisme en situation de sinistre va chercher à limiter ses pertes quelles qu'elles soient.

Le passage du PCA au PUPA permet d'attirer l'attention sur la définition plutôt que de se reposer sur un mot fourre-tout et mal compris.

Regardons la définition du PUPA de plus près

Certains commentaires s'imposent sur cette définition (qui n'est pas nouvelle mais souvent occultée par l'ombre du PCA).

  • Il s'agit d'un "ensemble de mesures" et non d'un document de 500 pages. Il est bon de le rappeler.

  • Ces mesures "visent à assurer" : elles ne "garantissent" pas, contrairement à ce que l'on peut lire dans des "PCA-ligne-Maginot" déjà vus en clientèle.

  • "y compris face à des chocs extrèmes" : et donc pas uniquement ce cas là.

  • "de façon temporaire selon un mode dégradé" : le mode dégradé ou "niveau minimal acceptable" selon l'ISO22301 a tout à fait droit de citer, suivi du retour à une "reprise planifiée".

  • "des prestations de services (...) importantes" : il faut les connaître ! il faut savoir quelles sont les activités prioritaires : nous sommes là au cœur du BIA.

  • "et à limiter ses pertes" : cela peut se comprendre de différentes manières : prévention ou réaction prévue. Cela a à voir avec les appréciations de risques et leurs traitements.

Si vous ne savez pas ce qu'est le PUPA, lisez et comprenez cette définition. Ne vous laissez pas influencer par ce que vous pensez savoir du PCA. Rien que cette attitude peut justifier un changement de nom !


Regardons bien tout le décret

Ce décret de novembre 2014 présente aussi sous une forme un peu modifiée l'attitude qui est attendue des organes de direction de l'entreprise.

Deux points méritent l'attention :

  • Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité". Il est on ne peut plus clair qu'une appréciation des risques régulière est exigée sur les quatre ressources citées pour éclairer les décisions de la direction

  • Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre par les dirigeants effectifs." Il faut s'assurer de la cohérence et de l'efficacité des plans de continuité (au pluriel) dans le cadre d'un plan global. Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux exercices, revues de direction et audits. Nous sommes très proche d'un système de management ISO 22301.

Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de vérification de la performance. Aspects très importants à prendre en compte et tout à fait dans l'esprit de la norme ISO 22301.

Le PCA (pardon le PUPA) n'est donc décidément pas un gros classeur dans une vieille armoire de la salle de crise ...

Emmanuel Besluau
Jeudi 31 Janvier 2019

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Mardi 7 Novembre 2017 - 07:29 Un Plan de reprise n'autorise pas à faire l'impasse sur les risques

Mercredi 10 Mai 2017 - 09:23 Incident ou crise ? Où est la limite ?

Duquesne Research Newsletter

Continuité & sécurité - 31/01/2019

Conformité et juridique - 12/09/2015

Microsoft vs US devant la Cour d’Appel : l'affaire Tech de la décennie franchit un nouveau pas !

Microsoft vs US devant la Cour d’Appel : l'affaire Tech de la décennie franchit un nouveau pas !
L'affaire des emails stockés à Dublin et exigés par un tribunal américain a été entendue en appel le 10 septembre 2015.

Au cœur du débat : l’affirmation par les procureurs que le gouvernement a le droit de saisir les emails de toute personne dans le monde ... si le siège social du fournisseur de service est situé sur le sol des Etats-Unis.

Si la Cour accepte cet argument, ce serait une très mauvaise nouvelle pour les acteurs Tech américains, qui ont compris qu'il y a un principe majeur en jeu pour les clients non américains et un enjeu commercial énorme.

Microsoft est déterminé de se battre jusqu’au bout et portera l'affaire devant la Cour Suprême s’il le faut.
> Read more

Confidentialité en Europe : Microsoft versus le gouvernement américain

Retour sur l'affaire SocGen-Kerviel

Technologies : marchés et usages - 22/05/2014

Sourcing et achats - 29/10/2013

Analyses et réflexions diverses - 30/11/2013