• 6 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 12/06/2023

Rédigez votre plan de continuité d'activité

Dans le chapitre précédent, vous avez déterminé votre stratégie de continuité d’activité composée de solutions de prévention, de remontée d’alertes et de protection. Ce choix a été validé par la Direction générale.

Ces solutions vont être mises en place. Cela n’est pas suffisant. Par suite d’un événement, votre entreprise est paralysée, des procédures intégrées dans des plans doivent être rédigées, pour guider les intervenants. Il est nécessaire que vous disposiez :

  • de procédures (qui fait quoi, quand, comment et où ?) suffisamment détaillées pour bien avancer, mais suffisamment souples pour pouvoir être adaptées au contexte de l’évènement perturbateur (agilité) ;

  • d’un plan regroupant ces procédures, qui serve de guide pour toutes les étapes de la continuité et de la reprise d’activité, de la gestion de crise au retour à une situation normale.

Découvrez le plan de continuité d’activité (PCA)

Vous rencontrerez fréquemment le terme PCA dans les entreprises en France. La réglementation bancaire utilise le terme PUPA : plan d’urgence et de poursuite de l’activité, depuis 2014.

Un PUPA, plan d’urgence et de poursuite de l’activité, est un ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités, et à limiter ses pertes (définition de l’arrêté du 3 novembre 2014).

Comment dois-je procéder ?

Il convient de mettre en œuvre des procédures qui doivent globalement contenir :

  • les rôles et responsabilités (personnes responsables ayant un rôle désigné) ;

  • la manière de se coordonner et de communiquer (entre personnes et cellules de crise) ;

  • la manière de déclencher tel ou tel secours (qui contacter ? quoi dire ?) ;

  • des actions de protection (des personnels, biens, etc.) de limitation des dégâts ;

  • une coordination opérationnelle avec les parties prenantes, dont les clients les plus impactés ;

  • la manière de planifier et effectuer la reprise des activités prioritaires ;

  • des indications techniques nécessaires (mode opératoire). 

Rédigez votre PCA

Le schéma ci-dessous illustre un exemple d’enchaînement des différents plans d’un PCA correspondant au cas d’un événement perturbateur rendant impraticable un siège social hébergeant un site informatique et des activités critiques, par exemple.  Seul le contenu du plan est important, peu importe le nom qui lui est attribué. Voici l'ensemble des plans associés au plan de continuité d'activité :

  • plan Ressources humaines ;

  • plan d’urgence ;

  • plan de gestion de crise ;

  • plan de communication de crise ;

  • plan de reprise d’activité IT ;

  • plan d’activation opérationnelle du repli ;

  • plan de continuité des opérations ;

  • plan de retour à une situation normale.

Le Plan RH est présent en situation normale. Dès l'événement perturbateur, est mis en place le plan d'urgence, puis les plans d'activation opérationnelle de repli et de reprise d'acitvité IT. Une fois la reprise d'activité enclenchée, le plan de g
L'ensemble des plans associés au plan de continuité d'activité

Découvrez d’abord le contenu de chacun de ces plans. Vous découvrirez dans un paragraphe ci-dessous comment rédiger des procédures et des modes opératoires.

Découvrez les différents types de plans 

Découvrez le plan Ressources humaines 

Vous devez déterminer avant la survenance de l’événement perturbateur le traitement des problématiques d’astreinte, de travail à distance, de pointage des heures de travail, de travail au-delà des heures légales, de travail en horaires non ouvrables, etc.

Découvrez le plan d’urgence 

Les entreprises ont la responsabilité directe de la sauvegarde et de la protection des employés, sous-traitants, visiteurs/clients lorsqu’un incident entraîne un risque sur leur vie. Une attention particulière devra être prêtée, lors de la survenance d’incidents, aux personnes à mobilité réduite ou présentant d'autres situations spécifiques (par exemple, incapacité provisoire due à une blessure).

Découvrez le plan de gestion et de crise 

Vous ne vous intéressez ici qu’à la gestion de crise dans le cadre du PCA, c’est-à-dire quand l’événement perturbateur a été prévu, ou peut se rapporter à un cas prévu.

Le plan de gestion de crise doit formaliser les procédures et les fiches réflexes suivantes :

  • le traitement de la remontée d’alerte ; 

  • la mobilisation des cellules de crise décisionnelles et opérationnelles. Nous verrons leurs rôle et composition dans le troisième chapitre de cette partie ; 

  • les critères de prise de décision pour activer ou non le PCA ; 

  • le pilotage de l’exécution des plans du PCA ; 

  • les décisions du contenu de la communication interne et externe. La communication sera faite dans le plan suivant (le plan de communication) ;

  • la main courante actant chronologiquement les informations reçues, les décisions prises, le suivi de leur réalisation ;

  • l’annuaire de crise. 

Découvrez le plan de communication 

Il doit s’intégrer dans la communication de crise existante de l’entreprise, pour d’autres types de crises ne nécessitant pas le déclenchement des plans de continuité.

Spécifiquement, le plan de communication doit comporter des procédures de communication comprenant des communiqués types à destination :

  • des collaborateurs ;

  • des IRP, CHSCT, CE ;

  • des clients ;

  • des fournisseurs ;

  • des médias ;

  • des organismes de tutelle ;

  • des collectivités locales, etc. 

Découvrez le plan de reprise d’activité IT

En cas d’indisponibilité du système d’information, quelle qu’en soit la cause, pour une durée indéterminée, des milliers de traitements en cours ont été arrêtés brutalement, d’autres peuvent éventuellement continuer à fonctionner.

Les principales étapes sont : activation du site de secours, restauration des données s’il y a lieu, reprise des applications entre elles, contrôles fonctionnels, reroutage des réseaux.

Découvrez le plan d’activation opérationnelle

Ce plan regroupe les procédures pour assurer la mise en place opérationnelle des positions de travail sur le site de repli : approvisionnement en matériel, activation des positions de travail, restauration des applications, contrôles fonctionnels.

Découvrez le plan de continuité opérationnelle

Ce plan, pour chaque direction, décrit les procédures de continuité utilisant les solutions et les moyens prévus. Les procédures de continuité remplacent les procédures de fonctionnement normal pour poursuivre l’activité des processus sinistrés. Il s’agit de décrire les modalités de fonctionnement des processus dans un environnement dégradé prévu par le BIA.

Les objectifs de ce plan sont les suivants :

  • communiquer les consignes aux collaborateurs après le déclenchement du PCA ;

  • déployer les collaborateurs concernés sur le site de repli ;

  • assurer la continuité de l’activité et rattraper le retard éventuel ;

  • formaliser les modes dégradés de fonctionnement ; 

  • informer les contacts essentiels de la situation, selon la stratégie de communication qui aura été définie.  

Découvrez le plan de retour à une situation normale

Ce plan n’est pas aussi détaillé que les autres plans. Il fournit des informations à suivre, en fonction des différents cas d’événements perturbateurs, pour revenir à une situation normale. Ce ne sera pas toujours la solution nominale d’avant le sinistre. Par exemple, en cas de destruction d’un bâtiment, il n’est pas certain de revenir dans le même bâtiment.

Formalisez vos plans

Comment dois-je rédiger les procédures et leurs modes opératoires ? 

Ces procédures font ou peuvent faire référence à des modes opératoires décrivant précisément l’action à réaliser.

Vous trouverez ci-dessous un exemple de procédure formalisée dans un tableau de tâches à exécuter. La procédure peut faire référence à des modes opératoires contenant des éléments plus précis tels que : modes d’emploi, schémas, modèles, images fixes, vidéos, etc. 

Quoi

Qui

Fait ?

1

Valider le bon fonctionnement de votre position de travail (connexion au poste de travail par identifiant-mot de passe, téléphone, imprimante).

Collaborateurs

 Oui/non 

2

Valider le bon fonctionnement de l’ensemble des applications nécessaires à la reprise des activités. Voir mode opératoire.

Collaborateurs

 Oui/non 

3

Faire un état des lieux des activités critiques en cours : le sinistre ayant pu provoquer un arrêt brutal de ces dernières, il se peut que certaines tâches en cours dans les instants précédant le sinistre n’aient pas été enregistrées et soient donc perdues. Voir mode opératoire.

Collaborateurs

 Oui/non 

Comprenez la nécessité de gérer tous ces plans avec un logiciel spécialisé

Word ou Excel ne sont pas toujours suffisants pour faciliter la gestion du PCA. Un logiciel spécialisé peut être nécessaire. Il est indispensable de constituer un référentiel Continuité d’activité gérant les dépendances entre processus, locaux, applications et ressources informatiques. Un événement perturbateur impactant l’un de ces éléments proposera les plans pour y répondre.

Le référentiel dLe référentiel de continuité d'activité qui gèrent les dépendances entre processus, locaux, applications, ressources informatiques. Il est contenu dans le PCA. Ce plan se délimite en phases, dans lesquelles des actions sont prése
Le référentiel de continuité d'activité qui gère les dépendances

Ce type de logiciel permet différentes choses, sous réserve d’être habilité :

Pendant la phase de mise en œuvre du PCA

Ce type de logiciel permet de :

  • gérer des plans modèles types par scénario de risques ;

  • faciliter la conception modulaire des plans nécessaires pour gérer les différents scénarios de risque ;

  • faciliter le maintien en condition opérationnelle ;

  • faciliter le contrôle des mises à jour des plans du PCA.

Pendant un exercice ou à la suite d’une activation du PCA

Il permet également de :

  • avoir accès immédiatement aux plans concernés par le sinistre  ;

  • avoir accès à toutes les informations nécessaires à jour ;

  • pouvoir piloter l’exercice, voire la reprise d’activité en temps réel.

Le logiciel RVR Parad développé par Devoteam répond à ces fonctionnalités, mais il en existe de nombreux autres. Vous trouverez par exemple la fonctionnalité de formaliser le plan sous forme de Gantt, nécessaire pour piloter l’exécution du plan en exercice ou en réel. Chacune des actions du plan est exécutée au fur et à mesure, en fonction de l’ordonnancement. L'instant précis de la reprise d’activité est ainsi évalué à tout moment.

En résumé

  • L'ensemble des procédures doivent être coordonnées et à jour et forment ainsi le PCA : le plan de continuité d'activité. 

  • Leur formalisation doit être compréhensible de tous et rédigées de la même façon le plus possible, pour faciliter leur cohérence.

  • Utiliser un logiciel qui intègre l'ensemble de ces plans permet de centraliser l'information. 

Votre PCA est rédigé ! Dans le chapitre suivant, vous découvrirez comment le tester régulièrement pour en assurer l'actualité ! 

Exemple de certificat de réussite
Exemple de certificat de réussite