Le but de la gestion des risques n'est pas d'éliminer tous les risques, mais de réduire efficacement leur probabilité et leur impact. Une façon de le faire est à travers la planification de la continuité des activités.

Avoir un plan de continuité des activités en place peut aider votre organisation à continuer de fonctionner à une certaine capacité pendant une catastrophe.

Ci-dessous, obtenez des réponses claires sur ce qu'inclut un plan de continuité des activités, pourquoi il est important et comment en rédiger un. Vous trouverez également un modèle de plan de continuité des activités pour simplifier le processus.

Qu'est-ce qu'un plan de continuité des activités?

Un plan de continuité des activités est un document contenant un ensemble prédéterminé de procédures qui décrivent comment une organisation va maintenir ses opérations commerciales pendant et après une perturbation significative.

Cette perturbation peut être causée par une large gamme de menaces, y compris des catastrophes naturelles, des défaillances techniques et des cyberattaques.

Qu'est-ce que la gestion de la continuité des activités?

Un plan de continuité des activités est une partie de la gestion de la continuité des activités (GCA). La GCA comprend l'évaluation des risques, la planification de la réponse, la récupération et la maintenance à long terme des politiques et procédures développées, testées et utilisées lors d'une crise.

Quel est le principal objectif de la planification de la continuité des activités?

Le principal objectif de la planification de la continuité des activités est d'identifier les préparations et les actions de récupération qui peuvent aider une organisation à reprendre ses opérations et services le plus rapidement possible pendant et après une crise.

Par exemple, la plupart des opérations commerciales dépendent fortement de la technologie et des systèmes automatisés, et la perturbation de ces systèmes même pendant quelques heures peut causer de graves problèmes. Considérez une panne de Zoom. Cela peut avoir un impact sur les réunions avec les collègues, les clients et les prospects ainsi que sur les projets et les affaires importants par conséquent. Une entreprise avec un plan de continuité des activités qui a identifié un outil de substitution pour les réunions vidéo pourra se rétablir plus rapidement qu'une entreprise sans plan.

Pour garantir que votre entreprise fonctionne aussi bien que possible même face à des pannes de système, des cyberattaques, des catastrophes naturelles et d'autres perturbations majeures, il doit y avoir une conscience des crises potentielles qui pourraient affecter les systèmes, outils et compétences critiques de votre organisation et un plan pour les gérer.

La planification de la continuité des activités est également importante pour obtenir et maintenir la conformité à certaines normes de confidentialité et de sécurité, y compris SOC 2®. Jetons un coup d'œil à cette autre raison de créer un plan de continuité des activités et de le maintenir à jour.

Pourquoi un plan de continuité des activités est-il important pour la conformité SOC 2?

Un plan de continuité des activités fait partie de la documentation qu'un auditeur SOC 2 examinera probablement, ainsi que vos systèmes et contrôles de sécurité, pour déterminer votre niveau de conformité aux Critères de Services de Confiance (TSC) que vous avez sélectionnés. Ce plan est particulièrement important si vous incluez la Disponibilité comme un TSC dans votre audit SOC 2.

Les contrôles de Disponibilité dans SOC 2 se concentrent sur la minimisation du temps d'arrêt. L'évaluation des risques est donc essentielle.

Un auditeur SOC 2 examinera très probablement si votre entreprise a identifié et pensé à des moyens de réduire les menaces environnementales qui pourraient impacter la disponibilité du système, comme les ouragans, les tornades et les incendies de forêt. Le même processus doit être appliqué aux menaces "d'origine humaine", comme le vol et les cyberattaques.

Un auditeur SOC 2 vérifiera également probablement si votre plan de continuité des activités peut être appliqué à des événements imprévus pouvant impacter la disponibilité et la capacité de votre système, comme une pandémie mondiale.

Un auditeur vérifiera également probablement si vous avez testé votre BCP au cours de l'année dernière (au moins).

Qui est responsable de la planification de la continuité des activités ?

La planification de la continuité des activités doit être un effort de haut en bas. Autrement dit, elle doit avoir le soutien et la participation volontaire d'un directeur ou d'un cadre supérieur de l'entreprise. Bien qu'ils agissent en tant que sponsor exécutif, une autre personne doit être désignée comme coordinateur du BCP. Selon la taille de l'organisation, une équipe de planification représentant tous les principaux domaines des opérations peut également devoir être désignée pour assister le coordinateur du BCP.

Ce coordinateur et/ou cette équipe doit être correctement annoncé et habilité à exercer un éventail de responsabilités, notamment identifier les faiblesses de votre entreprise et élaborer des plans pour les atténuer, tester ces plans pour s'assurer qu'ils sont efficaces pour différents types de crises et les mettre à jour à mesure que de nouvelles menaces apparaissent.

Quelle est la différence entre les plans de continuité des activités, de reprise après sinistre et de réponse aux incidents ?

Il existe plusieurs plans de contingence et de continuité qui peuvent aider à minimiser l'impact des événements catastrophiques. Examinons ci-dessous les trois plans les plus courants et comment ils diffèrent les uns des autres.

Plan de continuité des activités vs plan de reprise après sinistre

La principale différence entre un plan de continuité des activités et un plan de reprise après sinistre est qu'un BCP fournit des procédures pour maintenir les opérations commerciales tout en se remettant d'une perturbation importante, tandis qu'un DRP fournit des procédures pour récupérer les opérations des systèmes d'information après une perturbation importante du système, comme une panne logicielle majeure ou une catastrophe naturelle, en les délocalisant vers un autre emplacement.

De nombreuses organisations choisissent de combiner leurs plans de continuité des activités et de reprise après sinistre en un seul document. Cependant, certaines choisissent de les créer sous forme de documents distincts.

Plan de continuité des activités vs réponse aux incidents

La principale différence entre un plan de continuité des activités et un plan de réponse aux incidents est qu'un BCP fournit des procédures pour maintenir les opérations commerciales tout en se remettant d'une perturbation importante, tandis qu'un IRP fournit des procédures pour atténuer et corriger un système après un incident de sécurité, comme un virus ou un cheval de Troie.

Un plan IRP doit détailler un processus de récupération pour les cas d'incidents de sécurité.

Ceci est un autre document crucial qu'un auditeur SOC 2 examinera probablement pour déterminer votre niveau de conformité avec le TSC que vous avez sélectionné.

Que comprend généralement un plan de continuité des activités ?

Un plan de continuité des activités comprend généralement les éléments suivants :

• Services, processus et ressources critiques pour la mission : Chaque PCA doit inclure une liste des services, processus et ressources critiques pour la mission. Ceux-ci doivent être rétablis en premier lorsqu'un événement PCA se produit afin de minimiser les interruptions.
• Considérations d'emplacement alternatif : Lors d'un événement PCA significatif, une organisation peut avoir besoin d'utiliser des centres de données de secours, des sites de secours pour les opérations, des lieux distants ou d'autres emplacements alternatifs. Ces éléments sont généralement documentés dans le PCA avec des considérations telles que l'accessibilité de ces sites alternatifs, les alternatives de transport vers ces sites, le nombre de personnel nécessaire pour effectuer les activités critiques sur ces sites, et les autres ressources requises.
• Relations avec les fournisseurs : Les organisations peuvent classer les fournisseurs en niveaux de risque et évaluer le risque dans leurs plans de PCA.
• Services de télécommunications et considérations technologiques : Les organisations détaillent généralement des stratégies pour maintenir les opérations lors de perturbations des communications dans leur PCA. Cela peut inclure l'utilisation de plusieurs fournisseurs de télécommunications, des lignes téléphoniques secondaires, la technologie cloud, des lignes téléphoniques temporaires, des unités mobiles de télécommunications et du Wi-Fi pour le personnel sans électricité, ainsi que des services de téléphonie mobile de secours avec différents opérateurs.
• Plans de communication : Les organisations établissent généralement des plans de communication avec le personnel, les clients et d'autres tiers externes, notamment les régulateurs, les bourses et les responsables de l'urgence, dans leur PCA.
• Considérations réglementaires et de conformité : Les organisations incluent généralement les exigences réglementaires dans leurs PCA et doivent les mettre à jour régulièrement pour inclure toute nouvelle exigence.
• Méthodes d'examen et de test : Les organisations doivent inclure comment leur PCA est examiné et testé, et à quelle fréquence. Par exemple, elles peuvent réaliser des tests complets de PCA au moins une fois par an ou plus tôt si des changements significatifs sont apportés. Elles peuvent également faire des formations pour les employés ou exiger que les employés examinent leur PCA annuellement pour s'assurer que tout le personnel connaît le plan et ses responsabilités.
• Objectifs de récupération : Un PCA inclura généralement des objectifs clés de récupération qui aident les organisations à planifier la rapidité avec laquelle elles doivent récupérer les données et les systèmes afin de minimiser les interruptions et de maintenir des opérations fluides lors d'événements inattendus. Ceux-ci sont définis ci-dessous :
  - RPO (Recovery Point Objective) : Le RPO fixe la limite de perte de données qu'une entreprise peut tolérer après une interruption. Il définit le point dans le temps le plus récent acceptable pour récupérer des données, minimisant ainsi les pertes potentielles.
  - RTO (Recovery Time Objective) : Le RTO est le temps d'arrêt maximum acceptable pour les systèmes ou processus. Il indique à quelle vitesse une entreprise doit se rétablir et reprendre ses opérations normales après une interruption.

Exemple de plan de continuité des activités

Cet exemple de plan de continuité des activités de Santa Cruz Health est conçu pour que différentes installations le personnalisent afin de garantir que des mesures soient prises pour préparer et positionner les ressources à l'avance afin d'assurer la continuité des services et processus critiques pour la mission en cas d'événement perturbant les opérations normales et impactant les opérations essentielles de l'établissement. Il est divisé en plusieurs sections, comprenant :

1. Général: Décrit l'objectif du PCA, comme indiqué ci-dessus.
2. Activation: Décrit brièvement quand le plan doit être activé.
3. Aperçu: Décrit brièvement ce qu'est le plan, comment il a été élaboré, quelles étapes doivent être suivies pour garantir son efficacité et ce qu'il inclut.
4. Exigences de continuité: Répertorie les services essentiels à la mission de l'établissement, les processus, l'équipement et les fournitures, les applications informatiques, les registres et le personnel de continuité des activités.
5. Actions de continuité et de reprise: Répertorie les procédures à suivre suite à la survenue de différents événements du plan de continuité des activités (PCA), y compris la perte de puissance, la perte de climatisation (CVC), et la relocalisation des services départementaux vers un site alternatif.

Comment rédiger un plan de continuité des activités

Il est maintenant temps de commencer à formuler et élaborer votre plan de continuité des activités. Pour vous guider dans le processus, nous avons divisé le processus en six étapes clés. Nous avons également fourni un modèle ci-dessous pour vous aider à démarrer.

1. Identifier et évaluer vos risques.

La première tâche majeure de la rédaction d'un plan de continuité des activités est d'identifier les risques ou menaces dans votre environnement et de déterminer comment ils pourraient impacter vos opérations. Par exemple, certaines menaces environnementales peuvent vraisemblablement causer des dommages physiques à votre bâtiment. D'autres types de menaces peuvent avoir un impact sur votre personnel et leurs familles.

Les risques les plus menaçants pour vos opérations doivent être priorisés.

2. Identifier les éléments critiques de votre organisation.

La prochaine tâche majeure est d'identifier les outils, systèmes et compétences essentiels à vos opérations et à quel point ils sont critiques pour la reprise. Vous pouvez démarrer le brainstorming en posant la question, comment atteignons-nous nos objectifs ?

Par exemple, supposons que l'un de vos services essentiels à la mission soit la collecte de fonds. Dans ce cas, un actif critique pourrait être les cartes de promesse de don. Le fournisseur qui imprime vos cartes de promesse de don serait également considéré comme critique.

Lors de l'identification de ces systèmes, outils et compétences, vous devrez également déterminer quelles ressources seraient nécessaires pour les restaurer et donc reprendre les services et processus essentiels à la mission dont ils font partie. Des exemples de besoins en ressources sont les installations, le personnel, l'équipement, les logiciels, les fichiers de données, les composants systèmes et les archives vitales.

Cela aidera à déterminer les niveaux de priorité pour le séquencement des activités de reprise. En d'autres termes, ce qui doit être restauré en premier pour reprendre le travail le plus rapidement possible pendant et après une crise.

3. Identifier des moyens de mitiger les risques.

Maintenant que vous comprenez les risques uniques et les éléments critiques de votre organisation, vous êtes prêt à créer un plan d'action.

Commencez par identifier des stratégies qui élimineront entièrement les risques identifiés à l'étape 1. Si cela n'est pas possible, identifiez des stratégies qui en réduiront l'impact. Par exemple, il est impossible d'éliminer complètement la menace des menaces environnementales comme les tempêtes de neige. Au lieu de cela, vous pouvez créer une procédure pour que vos employés et sous-traitants travaillent à distance si une tempête de neige rend l'accès au bureau impossible ou difficile. Cela exigera que tous les employés et sous-traitants disposent des fournitures et équipements appropriés et reçoivent les mêmes communications.

Ces stratégies de mitigation sont conçues pour éliminer ou réduire l'impact d'une menace avant une crise et devraient donc être mises en œuvre le plus rapidement possible.

4. Identifier des moyens de se préparer et de se remettre de la perte de tout élément critique.

Puisqu'il est impossible d'éliminer toutes les menaces auxquelles votre organisation est confrontée, votre prochaine étape consiste à identifier autant de stratégies que possible pour faire face à la perte de chaque élément critique identifié à l'étape 2.

Par exemple, l'installation de systèmes de protection comme un système de sécurité, un système d'alarme incendie et un logiciel antivirus peuvent tous être considérés comme des stratégies pour se préparer et se remettre de la perte d'éléments critiques causée par le vol, le vandalisme, les dangers environnementaux, les cyberattaques et d'autres menaces.

L'objectif est de proposer autant de stratégies de préparation que possible afin de mieux se préparer et se remettre de la perte d'actifs essentiels à la mission pendant et après une crise.

Lors de la phase de révision ou de test, vous pouvez supprimer toutes les stratégies qui sont trop chronophages ou coûteuses.

5. Préparez-vous à la façon dont vous allez réagir après une crise.

Maintenant que les plans et stratégies sont en place, vous pouvez prendre des mesures pour améliorer l'efficacité et la qualité de la réponse de votre organisation à une crise afin de vous permettre de reprendre le travail le plus rapidement possible.

Envisagez de créer une équipe de récupération qui peut évaluer vos pertes et initier des actions de récupération après une crise. Les rôles et responsabilités de cette équipe peuvent être documentés dans votre BCP.

6. Mettez à jour et testez votre plan de continuité des activités.

Votre plan de continuité des activités est un document vivant. Il doit être mis à jour pour refléter les risques et les besoins évolutifs de votre entreprise. Que vous intégriez un nouveau logiciel qui tombe soudainement en panne ou que vous accueilliez un nouveau membre de l'équipe de gestion, votre BCP doit refléter ces changements.

Même s'il n'y a pas de changements majeurs impactant votre entreprise, vous devez quand même tester votre plan de continuité des activités au moins une fois par an. Il s'agit d'une meilleure pratique et d'une exigence de conformité. Vous pouvez utiliser une variété de méthodes de test, y compris des exercices sur table et des tests de simulation.

Tester et garder une documentation comme celle-ci à jour fait partie intégrante de la conformité continue.

Modèle de plan de continuité des activités

Utilisez ce modèle pour commencer à identifier les risques, les éléments critiques, les actions de mitigation et les stratégies de préparation qui constitueront les composants de base de votre plan de continuité des activités.