Politique de continuité d'activité
Une politique de continuité d'activité (business continuity policy, en anglais) est un ensemble de normes et de consignes qu'une entreprise met en place pour garantir la résilience et la gestion correcte des risques. Ces politiques varient d'une entreprise ou d'un secteur à l'autre et exigent des mises à jour régulières, puisque les technologies évoluent et les risques métier changent.
Le but de cette politique est de documenter tous les éléments indispensables au bon fonctionnement d'une entreprise en temps ordinaire comme en cas d'urgence. Lorsque la politique est clairement définie et respectée, l'entreprise peut fixer des attentes réalistes en termes de continuité et de reprise d'activité (BC/DR, business continuity and disaster recovery). Cette politique peut également servir à déterminer l'origine des problèmes et à y remédier plus rapidement. Enfin, chaque entreprise crée et applique une politique de continuité d'activité en fonction de ses besoins, conformément aux volontés de son secteur et aux exigences de conformité.
Si les politiques de continuité d'activité varient d'une entreprise à l'autre, elles comprennent les mêmes composants de base, à savoir : l'affectation du personnel, les mesures et les normes.
Dans une politique de continuité d'activité, l'affectation du personnel en interne doit définir les rôles et les responsabilités des chefs de service, les communications avec les dirigeants de l'entreprise et les membres de l'équipe BC/DR. Elle peut également faire intervenir un personnel externe à l'entreprise, tel que les fournisseurs, les parties prenantes et les clients. Pour assurer la conformité, il est essentiel de garder la trace de chaque personne concernée par la politique de continuité d'activité et qui participe à sa mise en oeuvre.
Dans ce contexte, les mesures les plus courantes sont les indicateurs de performances clés (KPI) et les indicateurs de risques clés (KRI). Les KPIs permettent aux dirigeants d'entreprise et aux responsables d'analyser les fonctions et processus critiques requis pour satisfaire les objectifs et les niveaux de performance fixés. Les KRIs mesurent la probabilité d'un événement susceptible de toucher l'entreprise. Ils contribuent à planifier la gestion des risques.
L'ISO (Organisation internationale de normalisation) et la BSI (Organisme britannique de normalisation) établissent des normes en ce sens. Ces normes étant quelquefois actualisées, il convient d'en suivre régulièrement les éventuelles modifications.
Suivez notre modèle pour
élaborer une politique de
continuité d'activité.
Points importants à prendre en compte
La première chose à prendre en compte lors de la création d'une politique de continuité d'activité, ce sont les risques particuliers auxquels une entreprise pourrait être confrontée. L'entreprise se trouve-t-elle dans une région où il y a de fréquents ouragans ou des conditions météo difficiles ? Y a-t-il un élément de géopolitique susceptible de provoquer des difficultés ? Avez-vous connu des problèmes de rançongiciels ou d'autres programmes malveillants par le passé qui exigent une attention particulière ? Les entreprises doivent tenir compte de tous ces facteurs lors de l'élaboration de la politique de continuité d'activité.
L'évaluation des risques est une méthode fiable pour identifier les menaces potentielles et leur probabilité. Elle détecte les dangers potentiels et fournit les moyens d'en réduire l'impact sur l'activité. À l'instar des politiques de continuité d'activité, les méthodes d'évaluation des risques diffèrent d'une entreprise à l'autre, mais leurs grandes étapes sont les mêmes :
- Identifier les dangers ;
- Déterminer les dommages éventuels ;
- Évaluer les risques et créer des mesures de contrôle ;
- Enregistrer les conclusions ;
- Réexaminer et mettre à jour l'évaluation.
Une analyse d'impact (BIA, business impact analysis) doit venir compléter l'évaluation des risques, pour former une politique de continuité d'activité solide. L'analyse d'impact détermine les effets d'un désastre potentiel sur une entreprise en identifiant les vulnérabilités existantes. Bien que similaire à une analyse des risques, l'analyse d'impact intervient généralement avant. Elle étudie l'impact potentiel sur les activités et veille au respect des objectifs fixés en termes de délai et de point de restauration.
La surveillance et la vérification de la politique de continuité d'activité sont également importantes s'il y a des obligations légales à respecter. Un responsable, par exemple un dirigeant de l'entreprise, peut être désigné pour assurer la communication avec l'équipe BC/DR, de façon à coordonner les efforts en cas de problème de conformité. L'équipe BC/DR peut être elle-même chargée de vérifier le respect de la politique en accord avec les services internes concernés. Outre la définition des procédures et l'affectation du personnel, l'équipe BC/DR doit vérifier régulièrement que la politique est bien appliquée.
En cas de non conformité, la direction de l'entreprise peut intervenir pour régler le problème.
Quand faire appel à un fournisseur ?
L'élaboration d'une politique de continuité d'activité est une décision de l'entreprise. Mais, il est préférable d'étudier en amont les offres des fournisseurs BC/DR pour connaître les services qu'ils proposent. Les fournisseurs de solutions de continuité et de reprise d'activité (BC/DR) peuvent alléger la tâche de l'entreprise et faciliter les tests de la stratégie élaborée.
Le cloud étant de plus en plus à la portée de tous, un système DRaaS (reprise après désastre en tant que service) devient une option très prisée. Ce service peut prendre diverses formes et dimensions, ce qui en fait une solution attrayante. Capables de gérer aussi bien les problèmes mineurs que les graves sinistres, les services DRaaS offrent une solution assez universelle à implémenter.
Les principaux fournisseurs de services DRaaS sont Acronis, Amazon Web Services, Axcient, IBM, Unitrends, VMware et Zerto.
Différence entre politique et plan de continuité d'activité
La politique et le plan de continuité d'activité ont beaucoup en commun, puisqu'ils visent à répondre aux besoins spécifiques d'une entreprise et à la préparer à assurer la continuité. Ils ont toutefois deux finalités différentes au sein d'une entreprise. Si la politique met en avant les normes à suivre et les références à respecter, le plan précise de bout en bout ce que doit faire l'entreprise en cas de sinistre. Toutes les dispositions de la politique de continuité d'activité doivent être incluses dans le plan, mais en tant qu'entité distincte.
