• 6 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 12/06/2023

Testez régulièrement votre plan de continuité d'activité

 

Votre PCA existe, il va falloir maintenant le mettre à l’épreuve de la réalité par des tests et exercices de validation périodiques. 

Découvrez la différence entre les tests et les exercices

Les tests sont donc par exemple la disponibilité de ressources, la restauration des données, le reroutage de la téléphonie (bascule des serveurs, bascule des clusters, bascule du réseau…).

Les exercices entraînent les collaborateurs à réaliser ce qu’est la continuité d’activité, en s’appuyant sur l’organisation de crise, la documentation et les outils correspondants. La mise en situation doit être la plus proche possible des impacts de l’événement perturbateur.

Par exemple : comment allez-vous valider que les activités critiques puissent continuer leurs activités sur le site de repli ? Tout d’abord, vous devrez faire des tests techniques du fonctionnement des positions de travail sur le site de repli (connexion des positions de travail, accès aux applications, reroutage de la téléphonie, fonctionnement des imprimantes, test de charge…). Ces tests sont faits par les informaticiens sans la présence des utilisateurs métiers. Une fois les tests satisfaisants, vous pourrez organiser le premier exercice de validation avec la présence d’une partie des utilisateurs métiers avec leurs positions de travail critiques. Puis d’autres exercices réguliers seront planifiés, en se rapprochant le plus près possible d’une situation réelle.

Validez votre PCA de façon progressive

La validation d’un PCA se fait progressivement, par une campagne pluriannuelle de validation comprenant une suite de tests et d’exercices avec de moins en moins de préparation. Pour y arriver, nous vous proposons de prendre en compte successivement trois objectifs, en définissant les niveaux à atteindre progressivement en trois temps :

Objectifs

Temps

Niveau à atteindre

Amélioration des plans

T1

  • Tester techniquement tous les moyens de continuité prévus

  • Vérifier la restauration complète des données

  • Former tous les acteurs concernés par le PCA

  • Réaliser un exercice d’intégration du PCA sur les activités les plus critiques d’une direction de l’entreprise

Préparation progressive

T2

  • Impliquer progressivement tous les acteurs nécessaires au fonctionnement réel du PCA

  • Réaliser des exercices d’intégration du PCA sur un maximum d’activités critiques concernées par tous les événements perturbateurs pris en compte

  • Intégrer progressivement la dimension réelle, en limitant de plus en plus la préparation

Visibilité extérieure

T3

  • Réaliser des exercices d’intégration du PCA sur toutes les activités critiques concernées par tous les événements perturbateurs pris en compte

  • Faire intervenir les fournisseurs de prestations essentielles externalisées

  • Participer à des exercices concernant des événements régionaux de grande ampleur

Un exercice probant, c’est :

  • un périmètre d’activités critiques et un niveau de services conformes aux besoins exprimés dans les BIA validés par la Direction générale ;

  • une évolution progressive vers une préparation limitée, pouvant tendre vers un exercice inopiné ;

  • des conditions de reprise les plus proches d’un cas réel.

Atteignez une validation probante en suivant ces 3 règles d'or

Un exercice ne peut pas être probant à 100 %. Il serait trop risqué de mettre en péril l’entreprise en simulant un événement perturbateur, à un moment ou dans des conditions hautement critiques. Quelques règles simples permettent de s’en rapprocher.

Règle #1 : Installer un filet de sécurité

  • Avoir vérifié les prérequis et effectué les tests techniques nécessaires avant l’exercice probant.

  • Vérifier que les sauvegardes informatiques spécifiques à l’exercice ont été effectuées, pour des retours arrière certains.

  • Avoir l’aval de la Direction générale sur les risques encourus.

  • Avoir l’aval des directions des activités critiques pour les périodes propices.

  • Limiter au maximum les erreurs humaines par des validations collégiales, etc.

Règle #2 : Opter pour des validations progressives

  • Commencer par identifier ce que l’on veut valider.

  • Faire un ensemble de tests/exercices sur des périmètres cohérents bien définis.

  • Progresser ensuite sur des ensembles et des volumes plus importants.

  • Valider l’organisation cible prévue en cas de crise.

  • Multiplier les exercices dans des conditions diverses, avec des personnes différentes (titulaires et suppléantes).

  • Progresser vers des exercices inopinés, en limitant progressivement les préparations.

Règle #3 : Impliquer la Direction générale

  • La Direction générale doit valider les événements perturbateurs à traiter, sur propositions du directeur des risques et/ou du responsable du plan de continuité d’activité, eu égard aux vulnérabilités identifiées pour l’entreprise, ou face à certains risques émergents.

  • La Direction générale doit valider les conditions de réalisation des exercices : simulés ou réels, préparés ou inopinés, à quelles dates ? Sur quelles durées ? Sur quels périmètres ? 

Découvrez les types d’exercices de validation

Ils peuvent être préparés ou inopinés. Ils peuvent simuler le fonctionnement des activités ou mettre en situation de travail réel.

 

Exercice simulé

Exercice réel

Exercice

préparé

La date de l’exercice est connue de tous les participants.

Pas d’arrêt de fonctionnement opérationnel. Le PCA est validé sans impact sur le fonctionnement de l’entreprise.

La date de l’exercice est connue de tous les participants.

L’entreprise fonctionne réellement sur le site de repli des positions de travail et/ou sur le site de secours informatique.

Exercice

inopiné

La date de l’exercice est inconnue de la plupart des participants. 

Pas d’arrêt de fonctionnement opérationnel. Le PCA est validé sans impact sur le fonctionnement de l’entreprise.

La date de l’exercice est inconnue de la plupart des participants.

L’entreprise fonctionne réellement sur le site de repli des positions de travail et/ou sur le site de secours informatique.

Dans la plupart des pays dont la France, il n’y a pas de réglementation quant à la fréquence annuelle des exercices. Beaucoup d’entreprises réalisent seulement un exercice par an, ce qui est souvent insuffisant. Une campagne de validation doit prévoir sur plusieurs années la liste des tests et exercices à réaliser. Ces validations régulières permettent d’entraîner progressivement tous les exécutants, en ne prenant pas à chaque fois les mêmes.

Ci-dessous, vous trouverez un tableau proposant un exemple d’une campagne de validation ciblée sur un événement perturbateur : bâtiment impraticable.

Date

Type

Objectif

XXXX

1

Test technique

- Validation de la connexion des postes de travail du site de repli

- Tests de reroutage de la téléphonie sur le site de repli du siège

XXXX

2

Exercice simulé préparé

- Entraînement de la cellule de crise décisionnelle pour déclencher le PCA, avec jeu de rôle simulant des événements liés à la reprise d’activité

- Fonctionnement d’une direction sur un site de repli

XXXY

3

Test technique

- Validation des équipements des salles de réunion des cellules de crise 

XXXY

4

Exercice simulé préparé 

- Validation de la remontée d’alerte 

- Réunions de la cellule de crise décisionnelle et de la cellule de crise opérationnelle   

- Fonctionnement de plusieurs directions sur un site de repli

XXXZ

5

Test technique

- Tests de reroutage du courrier sur le site de repli

XXXZ

6

Exercice réel préparé

- Réunion de la cellule de crise décisionnelle avec jeu de rôle pour l'entraîner à décider l’activation du PCA

- Fonctionnement d’autres directions sur un site de repli

XXXZZ

7

Exercice réel avec préparation limitée

- Réunion de la cellule de crise décisionnelle avec jeu de rôle pour l'entraîner à décider l’activation du PCA

- Fonctionnement d’autres directions sur un site de repli

Les exercices sont progressifs et de difficulté croissante. Cependant, la planification des exercices doit couvrir l’ensemble du périmètre (activités critiques et événements perturbateurs) et doit assurer la non-régression.

Comment m'y prendre pour réaliser un exercice ?

Les étapes d’exécution d’un exercice de validation de tout ou partie d’un PCA se décomposent en trois parties :

1- Préparation

2- Déroulement

3- Retour d’expérience

  • Définir les objectifs de l’exercice

  • Qualifier le périmètre : activités, parties prenantes…

  • Définir un scénario simulant un évènement perturbateur

  • Communiquer sur l’exercice

  • Réaliser des tests techniques préparatoires

  • Élaborer le planning de l’exercice

  • Mettre en place le pilotage de l’exercice : suivi, contrôle, communication, observation

  • Enregistrer le suivi dans une main courante

  • Recueillir des preuves et des résultats de l’exercice

  • Recueillir les informations des participants lors d’un débriefing à chaud 

  • Faire un débriefing à froid en présentant le compte rendu de l’exercice

  • Diffuser les résultats et mener les plans d’action de mise à niveau

Vous trouverez ci-dessous une liste de points de qualification d’un exercice :

  1. Le périmètre est-il adéquat aux niveaux de services négociés avec les directions métiers ? 

  2. L’événement perturbateur pris en compte était-il réaliste (par exemple : ce cas peut-il arriver ?) ? A-t-il été validé par la direction des risques ou son équivalent ?

  3. Les conditions d’arrêt simulant l’événement perturbateur comportaient-elles assez d’éléments aléatoires pour être proches d’un cas réel ?

  4. L’exercice a-t-il eu une préparation limitée ? 

  5. Les conditions de reprise d’activité observées sont-elles conformes aux conditions attendues par les directions métiers ?

  6. L’entraînement des décideurs et des opérationnels (internes et externes) est-il suffisant ?

  7. Est-ce que les dernières mises à jour de l’environnement ont été prises en compte et testées dans le PCA ? 

  8. Les exercices ont-ils été « rejoués » par des personnes différentes ? En effet, les procédures écrites doivent toutes être réexécutables par des personnes compétentes, mais ne les ayant pas écrites, ni déjà utilisées. 

  9. Les conditions de « stress » des participants étaient-elles adéquates ?

  10. La durée de l’exercice a-t-elle été suffisante pour caractériser un événement perturbateur réaliste ?

  11. L’exercice a-t-il produit des preuves auditables ? Ont-elles été conservées ? 

  12. L’exercice a-t-il été surveillé par des observateurs internes ou externes indépendants ?

En résumé

  • Pour qu’un PCA soit opérationnel, il doit être testé de façon progressive.

  • Des tests (techniques) et des exercices (humains) doivent être effectués.  

  • Plus le PCA fait l’objet d’exercices qui tendent vers un caractère probant, plus la confiance s’installe, participant à l’accroissement de son niveau de maturité et donc à l’atteinte de plus de résilience.

Vous avez vu comment tester efficacement votre PCA ; le prochain chapitre vous permettra d'en apprendre plus sur la gestion des situations de crise en entreprise. 

Exemple de certificat de réussite
Exemple de certificat de réussite