logo_FEDER español
gss-logo-header
FR
ESENPT
DémoDemander une démo
Continuité de l'activité

Introduction à la mise en place d’un système de continuité d’activité

Alberto Rosell
🕑 7 minutes read

Table of contents

Continuité d’entreprise et BIA

Ces derniers temps, le terme « continuité des activités » a été de plus en plus utilisé et appliqué dans les organisations, tant publiques que privées. Ce fait est fondé sur la préoccupation grandissante qu’aucune organisation n’est à l’abri d’un incident qui affecte la continuité de ses opérations quotidiennes.

Mais qu’est-ce que la continuité des activités ? Selon la norme ISO 22301:2012 (une norme internationale publiée par l’Organisation internationale de normalisation (ISO) qui réglemente les exigences qu’un système de management de la continuité des activités doit avoir), la continuité des activités est la capacité de l’organisation à continuer à fournir des produits et des services à des niveaux prédéfinis acceptables après un incident perturbateur. En analysant attentivement la définition ci-dessus, on perçoit qu’il y a plusieurs inconnues et on présuppose qu’il est nécessaire d’atteindre cette « capacité ».

Indépendamment de la norme ISO 22301, les stratégies menées par les organisations pour la mise en œuvre de la Continuité d’Activité sont très diverses, dépendant en grande partie des connaissances existantes de l’organisation sur le sujet et des ressources (économiques, technologiques, humaines) dont elle dispose.

Comme première recommandation, si vous me le permettez, pour la mise en œuvre de la continuité d’activité, il y a l’utilisation d’une norme de référence sur le sujet. Les normes publiées par les différents organismes (par exemple, la norme ISO 22301 susmentionnée) sont constituées d’équipes de travail composées d’experts dans le domaine et qui ont une grande expérience, ce sont donc généralement des documents qui intègrent toutes les exigences qui doivent être prises en compte pour la mise en œuvre d’un système. Certaines personnes ont la fausse croyance que la mise en œuvre d’une norme ISO (ou d’une autre norme d’un organisme différent) implique nécessairement la certification de celle-ci, mais en réalité, de nombreuses organisations utilisent une norme internationale comme guide de ce qu’elles peuvent faire pour atteindre leurs objectifs sans tomber dans l’obligation de se conformer à 100 % à toutes les exigences. et encore moins qu’une entité externe certifie une telle conformité.

En laissant de côté la partie théorique et en se concentrant sur la partie plus pratique de la continuité des activités, cela implique le développement de différentes activités qui, d’une part, aident l’organisation à connaître ses principales caractéristiques et lacunes, et d’autre part, définissent les actions nécessaires pour se remettre de tout événement qui affecte la continuité de ses opérations en tenant compte de l’impact sur l’organisation de certains processus qui cessent d’être exécutés.

Pour y parvenir, il existe une activité très importante dans toute mise en œuvre d’un système de continuité d’activité : l’analyse d’impact sur les activités (communément appelée BIA). Cette activité est composée de l’analyse de tous les processus d’affaires qui sont impliqués dans la livraison de produits et de services aux clients d’une organisation.

Comment le planifier et le réaliser sera bientôt vu dans la deuxième partie de l’article.

Lors de la planification de la réalisation d’un BIA dans une organisation, les personnes qui le dirigent se posent principalement deux questions :

  1. Quelles informations puis-je obtenir et analyser à partir des processus d’entreprise ?
  2. Comment puis-je obtenir ces informations ?

En ce qui concerne la première question, il n’y a pas de réponse unique puisque les informations nécessaires pour connaître les caractéristiques et la criticité des processus d’affaires peuvent varier d’une entreprise à l’autre. Cependant, il est recommandé d’obtenir un ensemble minimum d’informations pour chaque processus, à savoir :

  • Impact potentiel sur l’organisation en cas d’incident empêchant l’exécution normale du processus. Cet impact doit être établi en considérant différents temps d’interruption, en préconisant l’utilisation de différents types d’impacts (économiques, opérationnels, juridiques, etc.) en fonction de la nature du processus.
  • Périodes maximales et souhaitables pour la reprise des activités critiques des processus opérationnels. Ces délais sont communément appelés MTPD (Maximum Tolerable Period of Disruption) et RTO (Recovery Time Objective), respectivement. Ce sont deux concepts très importants dans tout système de continuité d’activité.
  • Ressources minimales nécessaires à l’exécution des activités critiques du processus en cas d’incident empêchant son exécution normale. Les ressources à prendre en compte comprennent l’infrastructure, les personnes, les informations, les fournisseurs, les emplacements physiques, etc., c’est-à-dire tout ce qui est nécessaire pour que le processus exécute ses activités critiques.
  • Délai maximum pour la reprise de toutes les activités (critiques et non critiques) du processus d’affaires. Cette période détermine la fenêtre de temps pendant laquelle le processus peut être sans exécuter 100 % de ses activités. Ce concept ne doit pas être confondu avec MTPD ou RTO, car ce sont des concepts très différents.

BIA : les informations nécessaires pour déterminer la criticité des processus

De plus, chaque organisation doit déterminer quelles autres informations elle a besoin pour connaître les particularités des processus. Par exemple, la performance d’un BIA peut être utilisée pour mettre à jour les caractéristiques des processus d’affaires de l’organisation (activités, produits de travail qu’elle génère, dépendances à d’autres processus, etc.), puisque cette information est généralement définie, si elle l’est, dans des documents créés à cette fin. De plus, ces documents sont souvent obsolètes en raison de la dynamique constante de changement qui existe dans toutes les organisations pour se mettre à jour aux nouvelles exigences commerciales.

En bref, pour être sûr que des informations importantes ne sont pas oubliées, nous pouvons appliquer les critères suivants : un BIA doit obtenir toutes les informations nécessaires pour déterminer la criticité du processus pour l’organisation, et ainsi être en mesure d’élaborer par la suite le plan de continuité de l’entreprise qui permet de récupérer les activités critiques de chaque processus, en respectant les délais obtenus dans chacun d’eux.

En ce qui concerne la deuxième question soulevée, l’information d’un processus d’affaires doit être obtenue par l’intermédiaire des personnes qui ont la responsabilité du processus d’affaires, mais elles doivent également savoir comment il fonctionne et avoir une visibilité sur la façon dont le processus d’affaires affecte les objectifs de l’organisation. Ces caractéristiques ne se retrouvent pas toujours chez la même personne, donc dans ces situations, toutes les personnes qui correspondent doivent être interrogées.

La responsabilité et l’exécution des processus d’affaires sont réparties dans différents domaines et départements de notre organisation, donc lors de la planification d’un BIA, ce fait doit être pris en compte car il conditionne ses délais. Chaque domaine et département a ses objectifs et ses activités quotidiennes, et il n’est pas toujours facile de planifier des séances de travail pour obtenir les informations nécessaires à l’AIB en raison des incompatibilités qui existent généralement entre les ordres du jour.

En conclusion de tout ce qui précède, l’exécution d’un BIA dans une organisation peut être résumée comme un processus périodique essentiel pour établir un système de continuité des activités où tous les processus commerciaux impliqués dans la livraison de produits et de services aux clients sont analysés, en obtenant les informations nécessaires pour déterminer à la fois les principales caractéristiques de chaque processus et les impacts (économiques, économiques, économiques, opérationnel, juridique, etc.) Cela signifierait pour l’organisation qu’un processus cessera de s’exécuter (quel que soit l’incident ou l’événement qui le provoque). Ces informations doivent être disponibles pour la préparation des plans de continuité de l’organisation, car elles permettent d’établir les priorités des différents processus et, de cette façon, d’ordonner des activités de récupération en cas de survenance d’un événement qui affecte la continuité des opérations quotidiennes.

L’exécution de l’ensemble du processus décrit ci-dessus peut être automatisée grâce à l’outil de continuité des activités GlobalSUITE®. Cette plateforme dispose de toutes les fonctionnalités pour l’organisation et l’enregistrement des BIA, y compris : une configuration standard (types d’impact, délais, ressources minimales, etc.) pour l’enregistrement des BIA, qui est modifiable ; la possibilité d’effectuer plus d’une BIA pour le même processus d’affaires ; la consolidation des ARAC d’un processus en tenant compte des différentes ARA réalisées pour le processus ou les sous-processus ; ainsi que la conception et la publication d’enquêtes BIA qui sont envoyées aux responsables de chaque processus d’affaires, qui accèdent à l’enquête en ligne sans avoir besoin d’avoir un utilisateur de l’outil.

Share:

Alberto Rosell
. Director del departamento de proyectos GlobalSuite Solutions. Ingeniero informático por la UCLM, CISA, PMP, Lead Auditor ISO 27001, ISO 20000 e ISO 22301 con más de 15 años de experiencia en proyectos de implementación para la automatización de Sistemas de Gestión de Riesgos, Seguridad, Continuidad y Cumplimiento. Cuenta con la certificación GlobalSuite® Expert.

More articles