Beruflich Dokumente
Kultur Dokumente
Plan de
Continuité
d’Activité :
le chemin de
la maturité
BENCHMARKING DES ENTREPRISES ET INSTITUTIONS FRANçAISES PAR MATTHIEU BENNASAR ET LEONARD KEAT
Plan de
Continuité
d’Activité :
le chemin de
la maturité
par Matthieu Bennasar & Léonard Keat
2 LIVRE BLANC SUR LES PCA
La plupart des enquêtes et publications sur la solution unique et universelle permettant de faire
maturité des entreprises sur les Plans de Continuité face à toutes les situations de sinistres imaginables.
d’Activité (PCA) se concentrent sur les grands Il est évident que l’entreprise n’utilise pas les mêmes
comptes, voire les très grands comptes de plus d’1 moyens face à un sinistre de bâtiment que face à
milliard d’euros de chiffre d’affaires et de plus de une vague pandémique. Enfin, et surtout, ce n’est
dix mille salariés. Si la maturité des entreprises pas une simple solution technique (informatique
sondées est jugée satisfaisante dans les enquêtes, ou industrielle) à une problématique d’entreprise :
la nature du panel occulte souvent un pan entier des une organisation et des moyens humains sont
entreprises : les PME. LEXSI propose une étude des indispensables pour assurer notamment la gestion de
entreprises de toute taille, implantées en France, sur la crise et les fonctionnements dégradés des métiers.
la base du retour d’expérience de ses consultants
spécialisés en résilience et continuité d’activité.
Politique de
Si les résultats de ce benchmarking paraissent Management
Maintien en de la continuité
sévères à certains égards, il faudra se rappeler que conditions
Plan de Test
et Simulation
la méthodologie d’enquête n’est pas auto déclarative opérationnelles PCA
PROCÉDURES D’URGENCE
PROCÉDURES DE
RELOCALISATION
Le cœur du PCA a deux
ventricules : le PCM et le PCSI
Plus complexe qu’il n’y paraît, un PCA est à l’image
d’un cœur humain. Il a besoin de 2 ‘‘ventricules’’ pour
Un rappel tout d’abord : un Plan de Continuité fonctionner : un Plan de Continuité Métier (PCM), et un
d’Activité (PCA) est ‘‘l’ensemble des mesures visant Plan de Continuité du Système d’Information (PCSI).
à assurer, selon divers scénarios de crises, y compris Le PCA est complété par des procédures transverses
face à des chocs extrêmes, le maintien, le cas échéant (procédures d’urgence, procédures de relocalisation
de façon temporaire selon un mode des utilisateurs,…) d’un processus
dégradé, des prestations de services et d’une organisation de gestion de
essentielles de l’entreprise puis crise (logistique de crise, guide de
la reprise planifiée des activités’’ Le PCA n’est pas pilotage d’activation des plans de
(CRBF 2004-02) . 1
une solution unique et continuité…) et de documents de
Un PCA n’est donc pas un outil universelle permettant gestion du PCA (maintenance, test
garantissant le maintien du niveau de faire face à toutes les et management du plan).
de service courant des activités. Au situations de sinistres Le Plan de Continuité Métier (PCM)
vu de son coût d’activation, ce plan imaginables ! traite de l’ensemble des procédures,
n’est à activer qu’en cas de sinistre moyens et stratégies capables de
majeur. Ce n’est pas non plus une garantir la continuité des activités
métier essentielles face à un sinistre touchant une les Grands Comptes, à secteur égal. Deux raisons
ou plusieurs ressources essentielles (destruction de peuvent être avancées :
bâtiment, pandémie, fournisseur vital défaillant,…). 1. La première réside dans la perception que les
Les stratégies souvent évoquées sont celles de repli budgets nécessaires pour faire face à un sinistre
utilisateurs vers un site de secours, d’accord de de salle informatique sont rédhibitoires. Les PME
réciprocité avec un partenaire ou de secours mutuel privilégient ainsi les mesures de prévention pour
des équipes et des services. limiter les impacts et la probabilité d’occurrence
Le Plan de Continuité du Système d’Information (PCSI) d’un sinistre de grande ampleur.
décrit les moyens techniques, l’organisation et les 2. La seconde est plus inquiétante : les PME
stratégies pour faire face à un sinistre informatique de ne mesurent pas les risques et les acceptent en
grande ampleur (destruction de la salle informatique, refoulant le sentiment inconscient de la nécessité
rupture de lien télécom,…). De nombreuses solutions de s’en protéger.
sont envisageables allant de la simple externalisation
des sauvegardes à une infrastructure de haute MATURITÉ PCSI
disponibilité géographiquement répartie et éloignée.
Les résultats de notre étude présentent la maturité
d’une centaine d’entreprises françaises sur ces deux
30% 18%
notions : PCSI et PCM. Maintenu et testé Inexistante
régulièrement
20%
En cours de
définition
organisation à renforcer
1. Traditionnellement, le secteur Banque et Assurances a beaucoup formalisé (parfois un peu ‘‘scolairement’’) pour répondre à la pression réglementaire tandis
que l’Industrie a des solutions pragmatiques en place mais manque cruellement de formalisation.
2. SOX : Sarbanes-Oxley Act ; FDA : Food and Drug Administration.
4 LIVRE BLANC SUR LES PCA
PCSI
les grands groupes. Nous soulignons un niveau de l’ensemble des procédures techniques de
maturité bien meilleur que par le passé, avec une continuité du SI, selon des scénarii de sinistre
informatique dite ‘‘de gestion’’ bien mieux prise établis. L’ordonnancement et l’organisation autour
en compte. du plan sont à formaliser pour éviter de les faire
Le secteur public, les collectivités territoriales porter exclusivement par la Cellule de Crise
et le secteur de la santé sont en Informatique, peu efficace sinon.
retrait, mais la situation s’améliore, 2. Les tests de PCSI sont
plus rapidement pour les grandes trop souvent incomplets et ne
institutions publiques et de santé. mettent pas en scène les scénarii
Disposer d’un véritable
Cette augmentation de la maturité prévus par le Plan, faute de
plan global PCSI qui
témoigne que les Directions SI et les budget ou de disponibilité des
‘‘orchestre’’ l’ensemble des
Directions Générales sont de plus équipes informatiques. Cela est
procédures techniques
en plus conscientes du caractère d’autant plus dommage que nous
de reprise.
vital du Système d’Information constatons que c’est souvent dû
dans la continuité des activités à un Bilan d’Impact sur l’Activité
essentielles de l’entreprise ou de insuffisamment travaillé : un trop
l’institution. grand nombre d’applications y
ressortent comme critiques, ce qui complique
Deux points ressortent comme lacunaires dans notablement les tests. Un audit des PCSI permet
notre retour d’expérience : dans ce cas de savoir si le périmètre des tests est
1. Il manque un plan global PCSI qui ‘‘orchestre’’ correctement défini.
Plan de Continuité d’Activité : le chemin de la maturité 5
10% 11%
En cours de En cours de
déploiement définition
Des freins aux
projets PCA à lever
Le constat est plus sévère pour ce deuxième volet Les freins au lancement d’un projet PCA trouvent
(PCM) : 43% des entreprises du panel n’ont aucun leurs sources dans les idées véhiculées au sein des
projet PCM en cours ou en place. Parmi elles, 60% ont comités et entités de décision. Or, pour la plupart,
un CA inférieur à 200 millions d’E. Près de 52% ayant ces idées reçues sont tout bonnement fausses.
un PCM en place et/ou maintenu et testé régulièrement
ont un CA supérieur à 1 milliard d’E. Les Plans de Un PCA coûte les yeux de la tête ?
Continuité Métier sont vus comme des projets coûteux
et difficiles à mettre en œuvre. La priorité n’est pas dans Même s’il est vrai qu’un projet PCA nécessite un
ce type de projet parce que, logiquement, la prévention budget et des charges à réserver pour le mener
est toujours privilégiée, surtout pour les PME. à bien, sa mise en place est une nécessité que
6 LIVRE BLANC SUR LES PCA
PCM
l’on rend accessible en ajustant La mise en œuvre d’un plan PCA est
la démarche aux enjeux de donc proche de la signature d’un
l’entreprise, avec beaucoup de contrat d’assurance, qui vous couvre
Une PME peut moins se
pragmatisme et le souci de la en cas de sinistres majeurs. La
permettre de laisser un
maîtrise de l’investissement : en question à se poser alors n’est pas :
sinistre décider de son
fonction des risques considérés et ‘‘Avons-nous besoin d’un PCA ?’’
avenir qu’un concurrent de
des sinistres envisagés, l’entreprise mais plutôt : ‘‘Jusqu’à quel point
type Grand Compte.
met en place tous les moyens, toutes avons-nous besoin de définir des
les procédures et les organisations mesures de continuité d’activité ?’’.
adaptés à son contexte. Une telle approche privilégie donc
l’adéquation des mesures aux
Il faut donc envisager de : enjeux de l’entreprise et doit garantir un retour
– continuer à privilégier la prévention, afin d’éliminer sur investissement ‘‘par construction’’, c’est-à-dire
durablement des scénarii de sinistres ; dont les bénéfices attendus s’ajustent aux risques
– externaliser son secours, si l’entreprise souhaite se encourus et considérés.
concentrer sur son cœur de métier ;
– investir dans des solutions techniques de secours Les PME ont moins besoin des PCA ?
dont les coûts ont beaucoup baissé et/ou mutualiser
les infrastructures de secours ; Notre étude met en relief le manque de maturité
– profiter d’un projet PCA pour répondre à la des PME concernant les PCA. Nous devons rappeler
problématique de disponibilité ‘‘au quotidien’’. qu’elles sont plus sensibles aux chocs extrêmes :
Plan de Continuité d’Activité : le chemin de la maturité 7
uniques. 50
Une PME peut moins se permettre de laisser un
40
sinistre décider de son avenir qu’un concurrent de
type Grand Compte, assis sur plusieurs continents et 30
de formalisation du Plan.
1950 1960 1970 1980 1990 2000 2010
Un sinistre, cela n’arrive qu’aux autres ? Evolution des pertes économiques dues aux catastrophes naturelles
de la période 1950-2009 (d’après Munich Re)
Déploiement
Mieux
Notre enquête s’appuie sur nos références clients
et maintien en
conditions connaître et prospections. L’analyse a été réalisée par nos
opérationnelles son activité
consultants experts dans le domaine. Ce n’est donc
pas à partir de questionnaires auto-renseignés par
5 1
Piloter
les Responsables PCA ou les Responsables Sécurité
le MCA que les résultats ont été obtenus. Le portrait ainsi
Mettre en place 6 dressé se veut réaliste.
Orienter la
les solutions 4 2 stratégie de Notre panel d’analyse se caractérise par une
fonctionnelles
et techniques continuité répartition homogène en termes de secteurs
de continuité
3 d’activité et de chiffre d’affaires ou budget de
fonctionnement. Notre panel prend en compte des
Développer
le plan de continuité
entreprises à quelques centaines de milliers d’euros
d’activité de chiffre d’affaires.
LEXSI dispose d’un pôle de compétence Résilience & Continuité d’Activité de 20 consultants certifiés (MBCI,
CBCP, E=MCA…) présents à Paris et Lyon. Il compte plus d’une centaine de missions et de projets PCA dans
tous les secteurs d’activité, de l’étude d’opportunité au test de bout-en-bout du PCA.
LES AUTEURS
Léonard KEAT est consultant en sécurité de l’information et en continuité d’activités depuis 2002. Il compte
plus d’une dizaine de missions en continuité d’activité et en secours informatique dans des secteurs comme
les assurances, les banques, l’énergie, la distribution et les services. Il est membre et animateur du pôle de
compétence Résilience & Continuité d’Activité du groupe LEXSI. Il est certifié Lead Auditor ISO 27001 et E=MCA.
Matthieu BENNASAR dirige le Pôle Conseil de LEXSI Régions et le Pôle de Compétences Résilience & Continuité
d’Activité de LEXSI. Consultant expert depuis 12 ans, il est l’auteur de deux ouvrages de référence : Plan de
Continuité d’Activité et Système d’Information, dans lequel est décrite la méthodologie E=MCA, et Manager la
Sécurité du SI tous deux publiés chez Dunod. Il est membre du BCI (MBCI) et certifié CISM.
LIVRE BLANC PLAN DE CONTINUITÉ : LE CHEMIN DE LA MATURITÉ © 2010 LEONARD KEAT & MATTHIEU BENNASAR
www.lexsi.com
SiEge social :
Tours Mercuriales Ponant
40 rue Jean Jaurès
93170 Bagnolet
Tél. (+33) 01 55 86 88 88
Fax. (+33) 01 55 86 88 89
LEXSI GROUP INNOVATIVE SECURITY CONSEIL EN SECURITE DE L’INFORMATION PARIS LYON MONTREAL SINGAPOUR