Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

1ère Agora Continuité d’Activité : vers une « culture » de la continuité

mars 2009 par Emmanuelle Lamandé

La première agora dédiée à la Continuité d’Activité, organisée par le Groupe Lexsi et la société Auditware, a rassemblé plus d’une centaine de personnes la semaine dernière. Les différentes associations et organisations professionnelles du domaine s’étaient réunies dans l’objectif de créer une « rue de la continuité » et de faire valoir le génie français en la matière.

Pour le Professeur Jean-Paul Louisot (CARM Institute USA, Sorbonne Paris 1), la gestion des risques est en pleine évolution et nécessite une approche globale. Il n’existe pas d’opportunité pour une entreprise sans prise de risque. Pour lui, la gestion des risques va s’avérer significative dans cette période de reconstruction d’après crise, puisqu’elle permet de s’adapter aux mutations que connaissent les entreprises. Pourtant, dans certaines circonstances, la continuité s’avère catastrophique. La discontinuité permet, en effet, parfois de repartir sur de bonnes bases.

La gestion des risques et la conformité sont deux notions à ne pas confondre. La conformité est différente des risques, cependant la non-conformité est un gros risque. Gérer les risques, c’est mettre en place un processus itératif de diagnostic, traitement et audit des vulnérabilités pesant sur l’entreprise pour lui permettre d’atteindre ses objectifs en toutes circonstances. A l’heure actuelle, la gestion des risques, la gouvernance et la conformité sont la responsabilité des dirigeants en application de la loi n°2008-649 du 3 juillet 2008 et de l’ordonnance n° 2008-1278 du 8 décembre 2008 transposant en droit français les directives européennes.

La gestion des risques s’appuie sur l’appropriation des risques par tous

« SI un risque est un événement aléatoire qui peut frapper l’organisation, l’empêchant d’atteindre ses objectifs, alors gérer les risques, c’est protéger les ressources vitales, se donner les moyens en toute circonstance d’atteindre les objectifs. Le diagnostic est la clé de voûte du système ». Il s’agit d’identifier, d’analyser et d’évaluer les risques pesant sur une organisation. En outre les impacts subis par l’organisation elle-même, il est important de ne pas négliger les dommages subis par des tiers. L’équipe de direction doit être formée à la solidarité. La gestion des risques s’appuie sur l’appropriation des risques par tous.

L’entreprise est un portefeuille de risques et la gestion des risques permet d’éviter les à-coups considérables. L’objectif est de faire en sorte que l’entreprise puisse continuer après coup. La question est de savoir de quelle résilience on parle : quels critères sont primordiaux pour mon entreprise ?

L’analyse des risques impose de faire un inventaire de toutes les conséquences et donc de ce que certains appellent une Business Impact Analysis (BIA). Cette dernière consiste à :
- identifier tous les risques qui peuvent affecter une organisation,
- évaluer ce qui peut arriver, quand et l’impact sur les objectifs
- prendre en compte les effets financiers et non financiers des risques
- distinguer les processus critiques (et ceux qui ne le sont pas)
- déterminer l’objectif de délai de retour au fonctionnement normal.

« La gestion des risques est un voyage, et non une destination »

« La gestion des risques est un voyage, et non une destination (Kevin Knight, Risk-Manager et président de la commission ISO 31000- Australie) ». Pour le RPCA d’une institution financière, la continuité d’activité est à aligner sur l’organisation de l’entreprise qui évolue dans le temps. Pour ce qui est de l’outillage, le chantier de sélection d’un progiciel a démarré, au sein de son entreprise, en 2005, à travers un appel d’offres auprès des principaux éditeurs du marché (Strohl, Devoteam, Cap Gemini, …). Mais le marché n’était pas mature à l’époque. « Nous sommes donc repartis de zéro. La solution n’a été trouvée qu’en 2008 ». L’objectif était de prendre en compte les spécificités de chaque établissement dans le développement de l’outil. « L’avantage est que nous n’avons pas besoin de nous adapter à l’outil puisqu’il a été développé pour s’adapter aux besoins du groupe. Chacun a participé au développement de l’outil, l’acceptation n’en est donc que plus grande ».

« Dans notre entreprise, le projet a été piloté à travers une approche business » souligne le Directeur Sécurité d’un autre établissement financier. L’analyse des risques s’est faite par typologie, au niveau global de la Banque : quels sont les scénarios que l’on cherche à couvrir ? Quel est le risque maximum toléré ? Quel est le risque résiduel accepté ? De plus, les coûts induits au regard de ces risques doivent être qualifiés et un budget défini. L’objectif est, pour lui, de développer une « culture » de la continuité. Tout ce qui n’est pas testé n’est pas validé. Il est important de se mettre en situation de crise, de tester différents scénarios, jours ouvrés et WE.

Certains pays ont pris de l’avance dans le domaine. C’est le cas du secteur bancaire au Luxembourg. Selon le Business Continuity Manager d’une banque luxembourgeoise, l’important est de se poser les bonnes questions : les plans de continuité sont-ils à jour ? Les plans de secours sont-ils à disposition ? Sans oublier la préoccupation première : la sécurité et la santé des employés. Pour le savoir, rien de mieux que des mises en situation. Le problème est que tous les tests de gestion de crise demandent beaucoup de moyens et de temps.

Le droit doit être un outil de gestion des risques au service de l’entreprise

Pour Isabelle Renard, Docteur Ingénieur - Avocat, « le droit est, et doit être, un outil de gestion des risques au service de l’entreprise. Le droit s’insère ainsi dans un processus de continuité d’activité ».

Quelles sont les actions préventives à mettre en œuvre avant la crise ?
- les aspects sociaux : déclaration CNIL spécifique PCA, adaptation des contrats de travail en terme de délocalisation possible en cas de crise, anticipation des problématiques liées au déplacement, … L’intégration des mesures PCA dans le règlement intérieur présente un véritable intérêt pratique.
- les aspects contractuels : identifier les partenaires de la continuité d’activité dans l’infrastructure informatique et réseau. En cas de catastrophe, va-t-on perdre son patrimoine informationnel ? Il faut prévoir que tout l’archivage soit dupliqué.
- l’audit de la couverture d’assurance : assurance dommage et assurance RC (mise en cause de la responsabilité de l’entreprise par un tiers).
- la conformité aux règles de « compliance » : aujourd’hui nous sommes entourés pas un carcan réglementaire (SOX, Bâle II, CRBF 97, CNIL, …).
- le secours bancaire : mise en place éventuelle d’une ligne de crédit spécifique, création d’un fonds de garantie…

Les mesures conservatoires pendant la crise :
- le constat : l’objectif est de sauvegarder tous les éléments de preuve permettant de caractériser et de chiffrer le dommage subi par l’entreprise, et de mettre en jeu (le cas échéant) la responsabilité d’un tiers.
- les déclarations d’assurance et les appels de fond
- les fondements juridiques : évaluation du fait générateur de la rupture d’activité, relations avec les clients et les fournisseurs, mise en cause de la responsabilité du responsable de la rupture d’activité (le cas échéant).

La rupture d’activité peut être due soit à un événement qui revêt les caractéristiques de la force majeure (terrorisme, catastrophe naturelle, état de guerre), soit à la faute d’un tiers identifié, fournisseur ou non de l’entreprise. La responsabilité n’est pas mise en cause en cas de force majeure. En cas de crise, vous ne devez pas oublier de notifier vos clients et fournisseurs. C’est très important. L’objectif est d’atténuer la mise en cause de la responsabilité de l’entreprise.

Les mesures d’accompagnement d’après crise sont à la fois sociales et contractuels. Il s’agit éventuellement et si besoin de mettre en œuvre un plan social, de gérer les absences, d’assurer le suivi en cas d’atteintes aux personnes, d’analyser les contrats en cours, ... Si un problème se produit, cela vous permettra de mieux vous défendre.

Le Plan de Continuité d’Activité doit être porté par un manager business

Pour cet opérateur de télécommunications, « en cas d’incident, le principal objectif est de revenir à la normal aussi vite que possible ». Pour ce faire, il a opté pour la conformité à la norme britannique BS 25999, dédiée à la gestion de la continuité d’activité. En vous aidant à mettre en place un système de gestion de la continuité d’activité, cette norme vise à prévenir les interruptions d’activité.
- BS25999-1 offre les recommandations pour les meilleures pratiques en terme de Continuité d’Activité. Il s’agit d’un guide de bonnes pratiques.
- BS25999-2 fournit les exigences requises pour un système de management de la continuité d’activité. Cette partie de la norme peut être utilisée pour démontrer la conformité par le biais d’un audit et du processus de certification.

« Ce sont des bonnes pratiques mais nous ne les suivons pas aveuglément. Nous le faisons parce que c’est une question de bon sens pour le business, et non pas parce que la norme nous l’impose » conclut-il.

Faire un test est le seul moyen de savoir si vous êtes opérationnels

Pour cet autre RSSI, le problème est de savoir comment intégrer toutes les évolutions d’une grande structure dans un PCA ? Selon lui, le seul moyen de voir si le PRA fonctionne, c’est de tout arrêter en coupant le courant. Dans la plupart des cas, même si vous coupez la plus petite ligne possible, les incidences sont majeures. Cependant, faire un test est le seul moyen de savoir si vous êtes opérationnels. L’objectif est de sensibiliser également le business manager et pas seulement l’IT manager. Dans la théorie, le Plan de Continuité d’Activité doit être porté par un manager business, malheureusement dans la pratique c’est toujours un technicien. La part des partenaires et fournisseurs dans la mise en œuvre de PRA est, de plus, trop souvent sous-estimée.

Paul Théron, Thales, Correspondant BCI France, est Délégué CNCA. Le Conseil National de la Continuité d’Activité a été créé le 18 avril 2008. Son rôle est de développer le débat sur le concept intersectoriel de continuité d’activité, lequel concerne à la fois les entreprises et le service public. Il a pour objectif de permettre une meilleure résilience de la nation face aux crises. L’objectif est de faire la promotion des idées en la matière, et établir le dialogue entre l’état et les entreprises. « Le maillage de relations est fondamental et l’entraide est un facteur important en cas de problème. Il est donc nécessaire d’engager une réflexion entre les acteurs du marché » souligne-t-il.

Pour lui, la gestion de crise se trouve plus dans la sphère psychosociale que dans la sphère de la continuité d’activité. Il est nécessaire de bien distinguer les notions de gestion de crise et de PCA. En effet, ce n’est pas parce qu’un événement suspend l’activité qu’il y a forcément crise. En outre, l’outillage prend une place importante dans la problématique. Il observe enfin la nécessité impérieuse de dynamiser le marché et d’avoir des outils interopérables.

L’incendie du Crédit Lyonnais a marqué les esprits dans le milieu bancaire

C’est le bon moment pour mettre en place une stratégie de BCM (Business Continuity Management). En période de crise, la sensibilité est plus évidente. Le problème est de pouvoir justifier ces dépenses. Pour certains, le budget est toutefois « no-limit » car le plus important est de pouvoir assurer l’activité. Elle permet de gagner en compétence et de se distinguer par rapport aux autres. A partir du moment où la direction prend connaissance de l’importance de la continuité d’activité dans le quotidien de la stratégie de l’entreprise, c’est facile de faire passer le budget auprès de la direction. Le PCA a un caractère sain dans la stratégie de l’entreprise.

La formation à la continuité d’activité et son management se fait principalement sur le terrain et par le biais de tests. La formation, c’est l’éducation. La question est de savoir comment sensibiliser les collaborateurs ? Ca n’intéresse les employés que quand ça touche directement leurs postes. Pour qu’ils se sentent concernés, il faut les former de manière ludique. Dans le monde bancaire, c’est plus facile à faire passer depuis l’incendie du Crédit Lyonnais, qui a vraiment marqué les esprits. Un choc est souvent nécessaire pour que les mentalités changent.

La certification des organisations en matière de PCA est une tendance future qui sera lourde pour les entreprises. Néanmoins, la continuité des infrastructures critiques est vitale.




Voir les articles précédents

    

Voir les articles suivants