Votre SMCA et votre PCA ont été mis en place. Vous devrez maintenant les maintenir et les faire évoluer.
Validez la maîtrise et l’efficacité de votre SMCA (système de management de la continuité d’activité)
Vous devez être en mesure de piloter votre système de management de la continuité d’activité, afin d’obtenir les résultats attendus en matière de continuité. Sous votre initiative et dans le cadre de votre politique de continuité d’activité, diverses actions ont été lancées dans l’entreprise pour assurer la continuité d’activité.
Vous devez fournir à votre Direction générale – c’est une exigence de la norme ISO 22301 – des moyens d’information ; par exemple :
des indicateurs ciblés mis en place, mesurés et présentés régulièrement. Par exemple : nombre de personnes formées, nombre de personnes sensibilisées, nombre d’exercices ;
des revues diverses et leurs comptes rendus (réunion post audit interne…) ;
des retours sur événements (résultats des tests et exercices, pannes ou interruptions vécues…) ;
des rapports d’audits internes (nombre de non-conformités majeures relevées…).
Procédez avec méthode
Pour mettre en œuvre cette maintenance efficace de votre SMCA, voici quelques conseils :
Mettez en place quelques indicateurs correspondant à vos craintes : nombre de BIA réalisés ou mis à jour dans une année ? Nombre d’exercices réalisés ? Taux de succès des exercices ? Nombre de risques connus et traités ? Nombre de personnes sensibilisées ? Nombre de personnes formées ?
Faites réaliser un audit interne à base de questions sur chaque clause de la norme ISO 22301.
Mobilisez le contrôle interne et articulez le SMCA en lien avec la Direction générale et la direction des risques.
Réservez dans vos réunions de Direction générale un point d’ordre du jour sur la continuité d’activité, où vous passez en revue les indicateurs, les événements de type interruption et les résultats d’audit. Lors de cette réunion, la Direction générale peut éventuellement décider d’actions de réorientation et de correction.
Maintenez également en condition opérationnelle votre plan de continuité d’activité
Après la construction et la mise à l’épreuve du plan de continuité d’activité, il s’avère indispensable pour votre entreprise de s’assurer que ce dispositif demeure opérationnel dans le temps, afin d’être toujours efficace lors de la survenance d’un événement perturbateur.
Quelques exemples fréquemment constatés lors d’un exercice qui met en évidence que le maintien en condition opérationnelle du PCA n’a pas été réalisé :
des numéros de téléphone erronés ;
des capacités de position de travail sur un site de repli trop faibles. Des déménagements d’activité d’un bâtiment dans un autre ayant modifié le nombre de position de travail à secourir pour ce bâtiment ;
de nouvelles applications informatiques internes ou externes non prises en compte dans le plan de continuité d’activité ;
une dépendance d’un fournisseur externe non prise en compte dans le plan de continuité d’activité.
Mettez en place une démarche itérative et d’amélioration continue
Face aux changements, multiples et rapides, susceptibles d’impacter les entreprises, il s’avère indispensable de prévoir la répercussion de ces éventuels changements dans le PCA, avec pour objectif que celui-ci reste toujours une riposte pertinente et efficace en cas d’événement perturbateur.
Ces travaux de MCO sont communément reconnus comme chronophages, mais il semble impossible de s’en dispenser au risque de favoriser l’obsolescence du PCA, compte tenu de la vitesse des changements actuels (organisation, risques, besoin de continuité d’activité, logiciels, solutions de continuité, réglementation…). Il est d’ailleurs utile d’inscrire le principe et la fréquence des campagnes de MCO dans la politique de continuité, document stratégique validé au plus haut niveau de l’entreprise.
En fonction de la taille de l’entreprise, de la fréquence des changements structurants ou encore de sa maturité sur le PCA, une revue de MCO peut même être envisagée à une fréquence semestrielle, ce qui serait optimal. Le responsable PCA a également pour mission d’anticiper une remise à jour du dispositif, en dehors de toute campagne de MCO, si celle-ci s’avère décisive face à des changements significatifs dans l’entreprise qui impacteraient largement le PCA existant.
Les campagnes de MCO s’inscrivent pleinement dans la démarche d’amélioration continue du système de management de la continuité d’activité de l’entreprise au sens de la norme ISO 22301. Ces campagnes s’avèrent en effet, parfois, l’occasion d’identifier des axes d’amélioration importants, à la suite par exemple de conclusions d’audit, de l’émergence de nouvelles pratiques plus performantes, de nouveaux enjeux internes, ou encore de nouvelles sous-traitances.
C’est ainsi qu’au-delà d’être un outil classique incontournable de mise à jour, les campagnes de MCO participent également à la montée en puissance des performances et de l’efficacité même du PCA, ce qui est loin d’être négligeable.
Mettez en œuvre le MCO (maintien en condition opérationnelle)
Un périmètre large
Chaque campagne de MCO doit concerner l’ensemble des procédures de continuité sans aucune exception. Afin d’être parfaitement exhaustif dans le processus de mise à jour, il faut veiller à ce que chaque nouvelle procédure de continuité soit intégrée automatiquement dans le périmètre de la prochaine campagne de MCO.
Les changements à prendre en compte
La nature des changements à prendre en considération dans une campagne de MCO est très variée :
Des évolutions structurelles ou relatives au domaine d’activité (réorganisation, fusion, création de nouvelles entités ou produits…), un changement de l’activité, la création d’une nouvelle entité ou encore un changement de stratégie d’entreprise doivent impérativement générer très rapidement une étude approfondie de l’impact de ces changements sur le PCA.
Changements au niveau de la gouvernance.
Capitalisation sur des événements vécus par l’entreprise (retours d’expérience).
Changements d’environnement ou de localisation.
Au-delà des modalités pratiques d’un simple déménagement, un changement de localisation doit nécessairement engendrer une étude liée au nouvel environnement et aux risques associés (corrélation avec les risques majeurs identifiés par la préfecture).
Évolution des ressources humaines (masse salariale globale, personnes clés, correspondants PCA).
Évolution des besoins de continuité exprimés par l’entreprise : on parle de revue des activités vitales.
Le cas particulier du MCO du plan de reprise d’activité informatique
Le plan de reprise d’activité informatique ne peut pas évidemment rester figé dans le temps. Il suit et prend en compte tous les changements qui concernent le système d’information : les mises à jour des logiciels systèmes, les évolutions de l’infrastructure, les livraisons applicatives, etc.
Le MCO doit être intégré dans le processus de changement informatique pour s’assurer que :
Les nouvelles applications aient une architecture conforme à la solution de reprise d’activité prévue pour leur besoin de continuité ;
Les nouvelles applications aient des sauvegardes de recours testées fonctionnellement ;
Les applications soient opérationnelles sur les deux sites, et en conformité avec les délais de reprise exprimés ;
La documentation afférente des plans, les procédures et leurs modes opératoires soient mis à jour.
Préparez des actions de sensibilisation post MCO
Une campagne de MCO est une occasion intéressante pour lancer différentes actions de communication et de sensibilisation sur le PCA.
Un point de situation auprès de la Direction générale
Dès lors que la campagne de MCO induit des changements significatifs dans le PCA, un point de situation auprès de la Direction générale est incontournable. En effet, la Direction, en tant que commanditaire du PCA, doit obtenir du responsable PCA une information régulière pour disposer d’une vision complète et à jour du PCA.
Une sensibilisation des correspondants PCA
Dans le cadre d’une pédagogie et d’une sensibilisation continues au PCA, le MCO s’impose comme un moment clé. C’est effectivement à la fois le moment de former les nouveaux correspondants PCA sur le sujet de la continuité, mais aussi l’occasion de maintenir une mobilisation de l’ensemble des acteurs PCA en les informant des éventuels changements, et en effectuant si besoin des remises à niveau.
Une campagne d’exercices ou de tests PCA
À l’issue d’une campagne de MCO, certaines procédures opérationnelles peuvent voir le jour ou subir des modifications importantes. C’est alors le moment de mettre en place un exercice PCA ou encore un test technique PCA. En effet, un dispositif de continuité ne peut être considéré comme opérationnel que lorsqu’il a été mis à l’épreuve d’un exercice qui va en révéler l’efficience ou les besoins d’ajustements nécessaires. Dans l’élaboration d’une procédure, la réalisation de tests peut s’avérer importante pour valider ou amender certains choix purement techniques.
Pour terminer, prenez en compte les bonnes pratiques suivantes
L’expérience montre :
qu’il est utile de prendre en compte le MCO dans la conception et la mise en œuvre du PCA ;
que le MCO du PCA est véritablement l’affaire de tous. La sensibilisation des parties prenantes est absolument nécessaire.
En résumé
Le MCO du PCA s’avère avoir aujourd’hui une place centrale dans le cycle de vie du PCA.
De par son ampleur et sa régularité, il va à la fois :
permettre de s’assurer de l’efficacité permanente du dispositif ;
être un outil de sensibilisation ;
mais également être source de réflexion pour tendre à l’amélioration continue du dispositif, dans le cadre du système de management de la continuité.
