Démarche d'élaboration d'un Plan de Continuité d'Activité
Introduction
Nous sommes régulièrement sollicités par des dirigeants d’entreprises (IT, Industrie…) ou d’établissements publics (hôpitaux, collectivités ..) qui souhaitent élaborer un plan de continuité d’activité ou SMCA (Système de Management de la Continuité d’Activité), mais redoutent un peu une complexité de mise en œuvre, voire un formalisme inapproprié.
Nous leur répondons avec une démarche pragmatique et adaptée aux enjeux et à l’organisation de leur entreprise, démarche dont les grands principes sont évoqués dans le cas ci-dessous.
Besoin exprimé
Préoccupé par le niveau de menace cyber et attentif aux recommandations des services de l’Etat, le DSI d’un hôpital privé nous sollicite pour renforcer la résilience de son Système d’Information.
Parmi les inquiétudes qu’il exprime : son doute quant à l’adéquation du dispositif en place avec les missions essentielles de son établissement et… un manque de préparation de son Comité de Direction.
Parmi les inquiétudes qu’il exprime : son doute quant à l’adéquation du dispositif en place avec les missions essentielles de son établissement et… un manque de préparation de son Comité de Direction.
Evaluation du besoin et proposition d’assistance
Après une première analyse documentaire et plusieurs entretiens téléphoniques avec ce DSI, nous lui proposons de travailler à l’amélioration de son Plan de Continuité d’Activité, puis d’accompagner son appropriation par le Comité de Direction, notamment dans une perspective de gestion de crise.
Prestation proposée et résultat
Notre démarche repose sur la méthodologie structurée d’élaboration d’un SMCA (Système de Management de la Continuité d’Activité), qui vise à garantir qu’une organisation peut maintenir ou rapidement reprendre ses fonctions critiques après un incident majeur, comme une panne, une cyberattaque, une catastrophe naturelle ou tout autre événement d’ampleur.
Normalisée (ISO 22301) et promue par plusieurs services de l’Etat (dont le SGDSN, cf. figure ci-dessous), cette méthodologie implique notamment de procéder à une évaluation de l’impact possible d’évènements majeurs sur les Activités (BIA – Business Impact Analysis) et d’élaborer en réponse un plan de réduction des risques ET un Plan de Continuité d’Activité.
Guide de la Continuité d’Activité – janvier 2023 – Secrétariat Général de la Défense et de la Sécurité Nationale
Notre prestation s’inscrit donc dans ce séquencement, démarrant avec l’évaluation des besoins de continuité à laquelle succède l’appréciation des risques (réalisée selon les mêmes principes que le Diagnostic cyber d’un grand établissement d’enseignement).
Elle se poursuit par la construction du plan de continuité d’activité (PCA) proprement dit, qui constitue l’ensemble des procédures et des moyens qui vont permettre la Continuité d’Activité malgré les risques qui subsisteront (le plan de réduction des risques ne peut pas les éliminer intégralement).
Incluant le dispositif de Gestion de Crise, le PCA constitue donc d’une certaine façon l’ultime « filet de sécurité » qui permettra en l’occurrence la continuité des missions de soin de l’hôpital.
Incluant le dispositif de Gestion de Crise, le PCA constitue donc d’une certaine façon l’ultime « filet de sécurité » qui permettra en l’occurrence la continuité des missions de soin de l’hôpital.
Livrables
Au terme de notre mission, le résultat est matérialisé par le BIA, par une analyse de risques et par le Plan de Continuité d’Activité, qui référencera à la fois le PCA du Système d’Information, les PCA Métiers et le dispositif de Gestion de Crise.
Et, sur demande du DSI, nous accompagnons le Comité de Direction et des référents métiers pour qu’ils intègrent clairement leurs rôles au sein du PCA et pour qu’ils puissent s’approprier la Gestion de Crise par des mises en situation pratiques.
Profil d’expert retenu
Mon Consultant Expert a mobilisé sur cette mission un consultant senior, disposant d’une solide expérience de gouvernance opérationnelle et familier des Systèmes de Management de la Continuité d’Activité, notamment par les fonctions de gestion de crise qu’il a exercées pour un OIV (Opérateur d’Importance Vital) et par ses certifications ISO 27001.
Conclusion
Se doter d’un plan de continuité d’activité est désormais nécessaire pour toute entreprise ou organisme public qui doit assurer la continuité de ses missions.
Mon Consultant Expert est à votre disposition pour tout échange ou conseil dans cette perspective et sera ravi de vous accompagner dans sa mise en œuvre le cas échéant.
Mon Consultant Expert est à votre disposition pour tout échange ou conseil dans cette perspective et sera ravi de vous accompagner dans sa mise en œuvre le cas échéant.
Vous réfléchissez à être accompagné dans l’élaboration de votre plan de continuité d’activité ?
N’hésitez pas à nous contacter, nous serions ravis de discuter ensemble des différentes façons dont l’expertise de notre consultant pourrait vous aider à gagner vos appels d’offres complexes.