|
Aspects Normatifs de la continuité d'activité |
|
|
|
|
28-02-2007 |
De quoi parle-t-on ?
Nous proposons la définition du "Forum Tripartite" du Comité de Bâle sur le Contrôle bancaire , mais cette définition peut s'appliquer à tous les secteurs d'activité :
« La gestion de la continuité d'activité est une approche globale qui inclut la politique, les standards et les procédures pour s’assurer que des opérations précises peuvent être poursuivies ou récupérées dans un laps de temps raisonnable dans le cas d'une perturbation majeure. Son but est de réduire au minimum les conséquences opérationnelles, financières, légales, de réputation et autres conséquences substantielles si un tel événement survient ».
Quelles normes ?
SSI-Conseil recommande de se référer aux bonnes pratiques et aux normes disponibles du domaines de la continuité d'activité.
La référence actuelle est la norme BS 25999 du BSI. Elle fait suite aux travaux du BCI (Business Continuity Institute) Britannique et notamment au PAS56:2003.
Elle est déclinée logiquement sous deux aspects :
BS 25999-1: Guide des bonnes pratiques de la continuité d'activité;
Définit les bases pour comprendre, concevoir et mettre en oeuvre la continuité opérationnelle d'une organisation. Etablit les bases de la confiance dans les relations d'affaires avec les partenaires et clients.
Elle est disponible au BSI : BS 25999-1:2006 et propose une démarche de management (Business Continuity Management) organisée en 5 étapes.
BS 25999-2: Guide de la mise en œuvre d'un système de management de la continuité d'activité (SMCA);
Spécifie les exigences pour "établir, mettre en œuvre, piloter, auditer, améliorer de façon continue" un système de Management de la Continuité des Affaires dans le contexte d'une couverture de l'ensemble des risques liés à l'activité d'une organisation, et en vue de la mise en oeuvre des mesures de sécurité adaptées aux besoins de continuité de services d'une organisation donnée.
Elle est maintenant disponible au BSI : BS 25999-2:2007
De son coté l'AFNOR a publié une étude: Plan de Continuité d'Activité (PCA) disponible à l'AFNOR : BP Z74-700
Enfin l' AFNOR a traduit et publié en 2007 sous le titre Management de la continuité d'activité le guide des bonnes pratiques du BCI
Et les autres ? :
L'ENISA (European Network and Information Security Agency) a dressé un comparatif des normes, méthodologies et outils disponibles pour soutenir une démarche de Continuité d'Activité : Inventory of Business and IT Continuity Methods
Autres aspects normatifs :
LSF : la loi française n° 2003-706 sur la sécurité financière d'une part, et plus particulièrement pour le domaine bancaire, le règlement CRBF 2004-02, d'autre part, font explicitement référence à la nécessité de disposer d'un plan de continuité d’activité documenté, cohérent et testé destiné à assurer la continuité des services y compris en cas de sinistre grave ou de "chocs extrêmes".
ITIL : Service Delivery, section 7 : IT Service Continuity Management, ...
Terminologie :
La terminologie relative aux Plans de continuité d'activité n'est pas "officiellement" arrêtée en France.
Les termes couramment utilisés sont :
BCP :Business Continuity Plan que nous traduisons par PCA : Plan de Continuité des Affaires et qui concerne autant la partie fonctionnelle que la partie des ressources IT (Système d'information, réseaux et télécommunications).
Le PCA n'est pas monolithique et comporte les plans opérationnels suivants :
PCO :Plan de Continuité des Opérations :Concerne les activités métiers de l'entreprise.
DRP : Disater Recovery Plan que nous traduisons par PRA et quelque fois PRAI : Plan de Reprise d'Activité (Informatiques et télécoms) et qui couvre le PSI ou Plan de Secours Informatique (au sens large des ressources TIC) et le PRAp ou Plan de Reprise des Applications.
L'Afnor Parle de PCIT : Plan de continuité de l'Informatique et des Télécommunications;
Il nous arrivera aussi de parler de PCU : Plan de continuité Utilisateurs qui correspond au PCO et de PRET : Plan de Reconstitution de l'Environnement de Travail pour la logistique technique immobilière et de transport nécessaire à la reconstitution de l'environnement de travail des Utilisateurs et des Informaticiens.
Enfin l'ensemble des plans sont sous contrôle d'un PGC : Plan de Gestion de Crise.
Le club de la continuité d'activité vient de sortir (Juin 2009) son Livre blanc « Lexique structuré de la Continuité d’Activité » pour nous permettre d'y voir plus clair. (pdf de 60 pages).
Le Champ des situations à prendre en compte :
© AFNOR
A ce champ il convient d'ajouter la prise en compte les situations humaines comme les risques sociaux (grèves) ou les pandémies où le personnel ne se déplace plus.
Ressources :
Matthieu BENNASAR : livre PLAN DE REPRISE D'ACTIVITE et système d'information paru chez Dunod
: ISBN 2-10-049603-4 reste une référence d'adaptation pragmatique (E=MCA) en Français des Good Management Practices du BCI et du PAS56.
Emmanuel BESLUAU : Livre Management de la Continuité d'Activité Chez Eyrolles, ISBN:978-2-212-12346-3, avec une approche plus orientée sur la gestion des risques.
Club de la continuité d'activité : www.clubpca.eu
Gratuit, mais en Anglais, une étude très fouillée de l'ENISA : Business and IT Continuity: Overview and Implementation Principles PDF de 2641KB
|
|
Dernière mise à jour : ( 08-03-2010 )
|
Continuité d'Activité 
