Aller au contenu principal

Guide rédaction d'un plan de continuité d'activités

Introduction

Pourquoi réaliser un Plan de Continuité d’Activité ?

Les retours d’expérience des crises passées démontrent que les organisations ayant mis en place une gestion de la continuité des activités sont les plus résilientes faces aux évènements qui déstabilisent leur fonctionnement normal.

De plus pour l’organisation gérant des activités sensibles (défense, santé, transport...), cette dernière se doit d’élaborer des stratégies de protection permettant d’éviter ou de limiter les effets de certains évènements sur l’activité d’une organisation.

Définition d’un Plan de Continuité d’Activité selon la norme ISO 22301 : Un PCA regroupe un ensemble de procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini après un élément perturbateur.

Différence entre un Plan de Continuité d’Activité et un Plan de Reprise d’Activité : Dans le cas d’une cyberattaque, par exemple, le PCA détaille comment assurer le fonctionnement du système d’information malgré l’attaque. Il veille ainsi à ce que les applications métiers essentielles restent utilisables et à garantir la protection des données confidentielles. Il assure également que les collaborateurs et éventuels clients puissent continuer à utiliser le SI.

Le PRA va quant à lui détailler les démarches qui s’imposent si le système d’information s’avère malheureusement inutilisable afin de rétablir l’activité dans son état avant le sinistre.

Plan de Reprise informatique Ce document ne traite pas du Plan de Reprise Informatique (PRI). La mise en place d’un PRI dépend fortement de l’infrastructure Systèmes et Réseaux : existante. : serveurs sur site ou sur le Cloud, sauvegardes externalisées, serveurs physiques ou virtualisés..).

Le PRI traitera de l’ensemble des procédures nécessaires afin d’assurer la continuité de fonctionnement de l’infrastructure système et réseaux informatique. 

Démarche d'élaboration d'un PCA

La démarche d’élaboration d’un Plan de Continuité doit contenir les éléments suivants :

  • le contexte ;
  • les risques (les plus graves) ;
  • la stratégie de continuité d’activité ;
  • le rôle des responsables ;
  • le dispositif de gestion de crise ;
  • la mise en condition opérationnelle du plan.

remarque

L’analyse de risque peut être optionnelle dans l’élaboration d’un PCA.

Méthode d'élaboration d'un PCA

Le périmètre géographique, organisationnel, et fonctionnel couvert par le PCA doit être défini. Il doit être revu et adapté en fonction du changement de contexte de l’entreprise.

Les activités essentielles et les enjeux de l’entreprise doivent être définies.

Les objectifs de continuité et les contraintes externes et internes.

Le périmètre doit être défini géographiquement :

  • Sites concernés ;
  • Zones géographiques au sein d’un site.

Le périmètre doit être défini de manière fonctionnelle :

  • Identifier les activités métier et les processus essentiels de l’organisation.

Le périmètre doit être défini de manière organisationnelle :

  • Parties de l’organisation à prendre en compte (filiales, interdépendances…).
Périmètre géopgraphiquePérimètre organisationnelPérimetre fonctionnel
Sites concernés Zones géographiquesFiliale, Service, BU…Activités essentielles Processus essentiels Ressources essentielles

Cartographier les processus, flux et définir leur criticité

Les activités essentielles s’appuient sur des processus et des flux indispensables à la réalisation de ces activités.

L’objectif est d’identifier les processus et les flux entrants et sortant supportant ces activités. Exemples de processus :

  • Conception ;
  • Commande ;
  • Approvisionnement ;
  • Fabrication ;
  • Livraison ;
  • Facturation ;
  • Gestion de paie.

Exemple : l’activité principale d’une entreprise est de concevoir et de fabriquer des luminaires. Ces processus peuvent être transverses à plusieurs activités :

Le processus de commande peut supporter la commande des composants pour l’activité essentielle de fabrication des luminaires et la commande pour des matériels hors composants.

On peut lister dans un tableau, les activités essentielles et les processus supportant ces activités : Exemple : L’activité d’assemblage de luminaires s’appuie sur les processus de commande et de maintenance des équipement de production, mais ne s’appuie pas sur le processus de conception en 3 D.

Processus de CommandeProcessus de maintenance des équipement de productionProcessus de conception 3D d’un luminaire
Activité : Conception luminaireNONNONOUI
Activité : Assemblage luminairesOUIOUINON

Pour chaque processus critique on liste l’ensemble des ressources critiques :

Ressource matériellesRessources logiciellesRessources intellectuellesRessources humaines
Processus de Commande de composants de luminairesserveur ERPERPDonnées de commandes
Processus de MaintenanceServeur de Gestion de MaintenanceLogiciel de maintenanceInventaire matériel
Processus de conception en 3DServeur Base de donnéesLogiciel CAO + base de donnéesDonnées 3D

Identifier et formaliser les besoins de continuité des activités

L’objectif est d’identifier pour chaque activité métier, les attentes et besoins de continuité des processus supportant ces activités.

Ces attentes et besoins seront définis après discussion avec les responsables métiers.

Ces besoins peuvent être déclinés selon les critères suivants :

  • Disponibilité : Continuité de service, régularité, résistance aux dysfonctionnements ;
  • Intégrité : Le service/produit livré est bien celui attendu. Dans le cas contraire cela conduit à un arrêt du service ;
  • Confidentialité : Protection des informations sensibles. Une perte de confidentialité peut conduire à l’arrêt de certaines activités. (RGPD) ;
  • Traçabilité : La traçabilité peut être indispensable afin d’assurer des prestations (exemple : transport de matières dangereuses).

On peut lister dans le tableau suivant, les besoins de continuité par activité en fonction des critères de Disponibilité, Intégrité, Confidentialité, Traçabilité :

DisponibilitéIntégritéConfidentialitéTraçabilité
Conception de luminaire
Assemblage de luminaire

Quantifier les besoins de continuité : Pour chaque activité, on peut définir des indicateurs permettant de quantifier les besoins de continuité :

  • Niveau de service minimum : une perte de service qui maintient le fonctionnement au-dessus de ce seuil affecte peu le service final ;
  • Durée Maximale d’Interruption de service Acceptable : RTO ;
  • Perte de donnée Maximale Admissible : RPO ;
  • Ressources indispensables permettant la reprise d’activité : Exemple : locaux de replis, sauvegardes, PC de secours, communication de secours, ressources humaines …

Identifier les besoins de continuté des ressources critiques

Les processus et flux identifiés comme critiques (supportant des activités essentielles) s’appuient sur des ressources critiques.

Les ressources peuvent être classées en catégories suivantes :

  • Infrastructure : locaux, bâtiments, moyens de transport ;
  • Système d’Information : serveurs, télécommunication, réseaux LAN/WAN, accès internet...) ;
  • Ressources humaines : équipes disponibles, renfort, personnes clés, compétences ;
  • Ressources intellectuelles : données interne, informations stratégiques (fichiers clients et prospect, liste fournisseurs…) ;
  • Prestations externes : eaux, énergie, sous-traitants...

Le PCA doit prendre en compte les pertes des ressources critiques générant la rupture des processus critiques et par conséquent la perte d’activité essentielle.

Mesurer les conséquences d'une perte d'activité

Les conséquences d’une perte d’activité peuvent être mesurées en termes de coût :

  • Humain ;
  • Part de marché ;
  • Conséquences des engagements commerciaux et contractuels (pénalités de retard, résiliations de contrats) ;
  • Conséquences juridiques (sanctions possibles, responsabilité pénale du dirigeant…) ;
  • Opérationnels (coût de réparation, remise en service d’une application, d’une infrastructure IT) ;
  • Conséquences sociales (chômage technique, impact sur les prestataires…) ;
  • Conséquences psychologique (démotivation…) ;
  • Conséquences environnementale (pollution…) ;
  • Perte d’image, de réputation, perte de parts de marché.  

Description des processus

La description des processus doit contenir à minima les informations suivantes :

  • Nom du processus ;
  • Responsable ;
  • Description du processus ;
  • Interfaçage et flux externes (prestataires/fournisseurs).

Exemples :

ProcessusResponsable du processusDescription du processusInterfaçages
CommandeDécrire les étapes de la commandeInterfaçage avec les autres logiciels internes ou externes (fournisseurs)
Approvisionnement
Livraison
Paye

Décrire les processus de manière détaillée

Exemple : processus de commande : Décrire les étapes détaillées de la commande de matériels :

  • Création d’un bon de commande dans le logiciel (ERP par exemple) : quels sont les champs indispensables à la création du bon de commande ;
  • Commande envoyée au fournisseur ;
  • Réception du bon de commande par le fournisseur (information indiquée dans l’ERP) ;
  • Envoi de la commande par le fournisseur ;
  • Réception de la commande ;
  • Règlement de la facture au fournisseur.

Ces étapes permettront de mettre en place un processus de contournement (dans la mesure du possible) pour passer et réceptionner une commande.

Analyse de risques

Il peut s’avérer nécessaire d’opérer une analyse de risques qui contiendra les actions suivantes :

  • Identification du risque ;
  • Analyse du risque ;
  • Evaluation du risque ;
  • Traitement du risque.
remarque

L’analyse de risque peut porter uniquement sur les risques les plus importants

Etablir les scénarios de risques

Ce guide se focalisera sur les conséquences des risques sur la disponibilité, mais au besoin le PCA pourra être adapté à la confidentialité et l’intégrité de la donnée.

Définir des objectifs de continuité en mode dégradé

Il est nécessaire de se fixer les objectifs de continuité en matière de disponibilité, compte tenu des besoins dans l’absolu et des scenarios de risque et d’attaque. Ces objectifs seront quantifiés par des indicateurs mesurant les exigences sur les systèmes informatique et autres systèmes et sur les modalités de la réponse mise en œuvre pour donner suite à un sinistre :

IndicateurActivité 1Activité 2Activité 3
Durée Maximale Interruption Admissible : RTO
Perte de Donnée Maximale Admissible : RPO
Perte de Ressource Maximale admissible (informatique et humaine)

Définir les exigences sur les ressources nécessaires au PCA

Il est important de définir l’ensemble des ressources nécessaires en cas d’activation du PCA et des exigences qui en découlent :

  • Exigences sur les Ressources Humaines ;
  • Exigences sur les systèmes d’information et communication.

Les objectifs de RTO, RPO et perte de ressource maximale fixeront les solutions techniques à mettre en place :

  • Découpage du SI permettant une reprise d’activité par service : mise en place de VLAN, de Firewall ;
  • Sauvegarde et restauration : Etablir une politique de sauvegarde et de restauration (fréquence de sauvegarde, durée de rétention, externalisation des sauvegardes) en fonction des besoins de chaque activité métier.
  • Reprise à chaud et à froid à partir des dernières sauvegardes
    • Exigences sur les moyens de télécommunication ( accces internet, liasion sites distants) ;
    • Installation de systèmes de redondance : électrique, air conditionnée, d’architecture système et réseau : mise en place de haute disponibilité systèmes et réseaux ;
    • Exigence sur les processus et l’organisation.
  • Identifier les solutions de contournement qui n’utilisent pas l’architecture des systèmes d’information classique (Serveur, PC, réseaux…) :
  • Exigence sur ressources intellectuelles ;
  • Exigence sur les infrastructures ;
  • Exigences sur les prestataires externes et partenaires.

Relations avec les services de l'état

Le rôle de l’état doit être pris en compte dans un PCA notamment en cas de crise dépassant ce qu’une organisation ou entreprise peur gérer seule.

Processus de gestion de crise

La mise en place d’un PCA peut parfois engendrer l’activation d’un processus de gestion de crise. Un guide de gestion de crise doit être élaboré par l’entreprise dans le cadre d’une politique de gestion des incidents.

Quand et comment déclancher le PCA ?

En fonction des différents indicateurs de compromission et de l’analyse faite, l’organisation (direction, responsables métiers, cellule de crise) prendra la décision de déclencher le PCA. Il conviendra alors de :

  • Mobiliser le responsable du PCA ;
  • Vérifier le bon fonctionnement des dispositifs prévus en cas de déclenchement du PCA ;
  • Vérifier la disponibilité des moyens de communication internes.

Mesure de l'éfficacité du PCA

L‘entreprise pourra mettre en place des indicateurs mesurant l’efficacité du PCA Indicateurs :

  • Etre en conformité avec les indicateurs définis en Chap11 ;
  • Satisfaction des parties prenantes ;
  • Cout de l’interruption ;
  • Taux de récupération des données(RPO).

Maintien en condition opérationnelle du PCA

Des tests opérationnels du PCA doivent être effectués régulièrement afin de mesurer son efficacité et d’effectuer les mises à jour si nécessaire.

Conformité du PCA vis-à-vis des lois et règlements

Il est nécessaire de vérifier la conformité du PCA (mesures techniques, processus…) avec les lois et règlements auxquels est soumise l’entreprise. (RGPD, activité militaire, de santé…).  

Exemples de scénario de déclenchement d'un PCA

Scenario 1 : Attaque par Ransomware

Identification du périmètre

L’activité principale d’une entreprise est de concevoir et de fabriquer des luminaires. Le processus de commande peut supporter la commande des composants pour l’activité essentielle de fabrication des luminaires et la commande pour des matériels hors composants Le PCA concerne la disponibilité du processus de commande des composants pour la fabrication des luminaires. Ce processus de commande est porté par une application de type ERP. Cette application est On-Premise et fonctionne sur une ferme de 3 serveurs en Load-balancing. (équilibrage de charge) . Ces serveurs sont connectés à l’AD du domaine et 10 utilisateurs y accèdent régulièrement : un administrateur et neufs utilisateurs standards.

Objectif : Rétablir le processus de commande des composants suivant les besoins de continuité définies dans le PCA.

Déroulement du synopsis

Un utilisateur s’aperçoit que son PC n’est plus utilisable : Le PC a été chiffré et un message de demande de rançon est affiché à l’écran Conformément aux instructions définies dans la politique de gestion des incidents, les équipes de la DSI/SSI en sont informées.

Exemple d’opérations à exécuter immédiatement :

  • Isoler le ou les PC du réseau local ;
  • Laisser les postes allumés ;
  • Vérifier l’état de l’ensemble des PC et laptop sur site et hors site ;
  • Vérifier l’état des serveurs On-Premise, l’état des sauvegardes disque et bande ;
  • Isoler les serveurs compromis du réseau local sans les éteindre ;
  • Vérifier le fonctionnement des applications métiers critiques : ERP, service paye, approvisionnement, gestion des stocks…

Après quelques heures d’investigation, les serveurs hébergeant l’application ERP sont chiffrés. Les sauvegardes réseau des données de l’ERP sont également chiffrées.

Le niveau de compromission des actifs (nombre de PC, serveurs, et sauvegardes ERP compromises, applications ERP impactée) est tel que la cellule de crise déclenche le PCA selon les procédures de mises en œuvre.

Mise en œuvre partielle du PCA relatif à la continuité des application métiers critiques

  • Déploiement de la solution de secours : processus de commande manuel hors logiciel ERP, défini au préalable dans le PCA, permettant d’assurer la continuité d’activité en mode dégradé ;
  • Réinstallation d’un serveur de production ou de secours ;
  • Récupération des sauvegardes hors ligne selon la politique de sauvegarde ;
  • Restauration du serveur de sauvegarde ;
  • Restauration des sauvegardes hors ligne (chiffrées) sur le serveur ;
  • Vérification qu’il n’y ait plus de signes de compromission sur un serveur hébergeant l’ERP ;
  • Tests fonctionnel de l’ERP sur 1 PC de secours ;
  • Si les tests techniques et applicatifs sont concluants, réinstallation des 2 autres serveurs et restauration si nécessaire ;
  • Réinstallation de tous les PC compromis ;
  • Mise en place du load-balancing.

PRA activé :

  • Retour en fonctionnement normal
    • Régularisation dans le logiciel ERP des commandes passées manuellement.
    • Estimation des données perdues dans le système

Scenario 2 : L’ensemble des sites (hors production) non accessibles par suite d’une pandémie

L’ensemble des sites d’une entreprise est inaccessible.

Déclenchement du PCA par la cellule de crise

Mise à disposition des ressources critiques tels que définies dans le PCA :

  • Ressources humaines : Service IT, RH, responsable communication, services généraux ;
  • Locaux de replis avec l’infrastructure nécessaire sécurisée pour travailler à distance : PC, moyens de télécommunication ;
  • Outils et infrastructure sécurisés (VPN, MFA…) et dimensionnés pour télétravailler ;
  • Mise à disposition des outils d’administration du SI de manière sécurisée.