SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Le Projet PCA Convertir en PDF Version imprimable Suggérer par mail
03-02-2014
SSi-Conseil recommande une approche des projets PCA en 6 étapes :

Image

Phase 1 : Lancement du projet :

En plus des caractéristiques générales des lancements de projets, (qui fait quoi, quand, comment...etc.) dans la note de lancement se rappeler les caractéristiques particulières suivantes d'un projet de continuité d'activité :
  • Stratégique    =>    Engage l’entreprise et ses budgets
  • Nouveau         =>    Bouleverse généralement les habitudes
  • Ingrat               =>    Pas de valeur perçue immédiate
  • Transverse     =>    Monopolise tous les métiers de l’entreprise
  • Complexe       =>    Touche tous les processus
  • Long                =>    Dans sa phase de conception
  • Interruptible    =>    Des temps morts entre décisions et mise en œuvre
  • Permanent     =>    Par la suite : Programme vs Projet
en déduire les principes suivants :
  • Pas de sponsor pas de projet !
  • Organisation en mode projet (PMO obligatoire)
  • Programme annuel VS Projet ponctuel,
  • S’assurer de la fonction MCA (Maintient en condition opérationnelle), au moins à la fin du projet, et la préparer tout le long du projet,
  • 80% d’organisation 20% de technique,
  • Gérer la complexité : (Nouveauté, Transversalité, pas de ROI en vue = vente permanente à prévoir, ...etc.)
  • Préférer le " Must have" au  " Nice to have"
  • 20% des processus sont cruciaux pour l'entreprise, se focaliser sur eux,
  • Ne pas sous-estimer la conduite du changement : communiquer, communiquer, et communiquer encore,
  • Prévoir éventuellement plusieurs « tranches » pour la mise en œuvre : « Think Big, Start Small »
Phase 2 : Connaître son activité :
Image
Objectifs :
  • Identifier tous les processus sensibles de l’entreprise
  • Identifier les moyens associés (Personnes, Informatique, outils de production, sites…)
  • Arrêter les sinistres à traiter… et ceux qui ne le seront pas,
  • Identifier les enjeux en analysant les processus critiques
  • Identifier les risques liés aux vulnérabilités existantes
  • Définir les besoins de disponibilité métier par métier (y compris l’informatique et les services de support logistique et de sécurité)
  • Assurer la cohérence économique des besoins
  • Préparer l’arbitrage des solutions pour la Direction Générale.


Phase 3 : Définir sa stratégie de continuité :
Image
A partir des besoins et des risques
A partir des « bonnes pratiques » et de l’état de l’art et des offres de services de fournisseurs spécialisés
L’étude de solutions de continuité va porter sur tous les composants du PCA :
  • Les solutions de gestion de crise (PGC)
  • Les solutions de Continuité Informatique et Télécoms (PCIT)
  • Les solutions de Repli et de logistiques (PRL)
  • Les solutions aux besoins de continuité des métiers (PRAs)
  • Les solutions de management de la continuité
  • Les solutions de conduite du changement
  • Les solutions de Maintien en Condition Opérationnelle (MCO)
  • Les solutions aux besoins de tests (Plan de Tests)
Pour chaque composant on proposera un ou plusieurs scénarios
  • Hypothèses techniques ou organisationnelles
  • Chiffrage de tous les aspects (directs, indirects, investissements, amortissement, maintenance…etc.)
  • Evaluation des critères de choix non financiers
Le Dossier décisionnel est soumis pour arbitrage au comité de pilotage
Les décisions retenues sont l’entrée de la phase suivante de mise en œuvre (cahier des charge du développement détaillé)
Rappel : Un PCA peut être réalisé par tranches
Les décisions arrêtées permettent de constituer le cahier des charges pour la réalisation du PCA

Phase 4 : Mettre en œuvre le PCA

Image

Les étapes de la phase 4 :

  • Mise en place des dispositifs
  • Mise en place des dispositifs de gestion de crise et de sécurité
  • Mise en place des dispositifs du plan de repli et de logistique (préparation des locaux de secours, acquisition d’équipements, fournitures, contrats fournisseurs, signalétique, …etc.)
  • Mise en place des dispositifs du Plan de Secours Informatique (acquisition et configuration d’équipements de secours, contrats avec des fournisseurs, etc.)
  • Désignation des acteurs chargés de la mise en œuvre des dispositifs en cas de crise
  • Mise en place des procédures techniques associées aux dispositifs (tâches, acteurs, dépendances, documentation technique)
  • Tests unitaires de mise en œuvre de chaque dispositif (validation des solutions de secours, contrôle de la durée de mise en œuvre, contrôle d’adéquation de la documentation)
  • Formaliser le Plan de Gestion de Crise et la stratégie générale
  • Formaliser les procédures transverses :
  • Urgences
  • Stratégies
  • Pilotage
  • Formaliser le Plan de secours Informatique
  • Formaliser le Plan de Repli et de Logistique
  • Formaliser les Plans de Continuité des Opérations métier
  • Formaliser pour chaque plan :
  • les procédures générales
  • les procédures détaillées ou  techniques
  • Formaliser le Plan de Maintien en Conditions Opérationnelles
  • Formaliser le Plan de tests
  • Outiller les principaux acteurs du PCA
  • Former les acteurs du PCA

Formalisation du Plan de gestion de Crise et la stratégie :
Image

  • Procédures générales de gestion de crise :
  • Document Plan de Gestion de Crise :
  • Schéma d’organisation de crise
  • Structure de crise, Rôle et responsabilité des acteurs
  • Principes d’activation, de pilotage, de fin de crise
  • Dispositifs et moyens de gestion de crise,
  • Dispositifs de communication
  • Centre d’appels de crise (internes et externes)
  • Dispositifs RH,
  • Dispositifs financiers en contexte exceptionnel,
  • Annexes et procédures détaillées :
  • Stratégie de secours par type de sinistre,
  • Arbre (ou logigramme) et niveaux d’alerte
  • Outil de pilotage de la crie
  • Annuaire de crise
  • Check-lists de gestion de crise
  • Check-lists communication de crise et messages pré-formatés
  • Check-lists de sortie de crise
  • Journal de crise

Formaliser les procédures d’urgence transverses
:
Image

  • Définition des rôles et responsabilité des utilisateurs en cas de sinistre
  • Guide file, serre-file (plan d’évacuation et de regroupement par site)
  • Fiches réflexe par type de sinistre (incendie, séisme, attaque ou attentat,..etc.)
  • Règles de repli en cas de sinistre
  • Etc.
  • Règles spécifiques de sécurité ou de sureté
  • Sectorielles (Banques, Industries critiques,…)
  • POI (Plans d’Opérations Internes)
  • Signalétique
  • Etc.
  • Définition des procédures particulières de repli et de logistique

Formaliser les stratégies de secours transverses :

Construire la matrice Scénario->Dispositifs permettant de prévoir un panel de dispositifs préétablis en fonction du scénario de sinistre :
Image

Formaliser les procédures de pilotage :
  • Les principales tâches de pilotage sont :
  • Alerte et Mobilisation des cellules de crise
  • Choix des stratégies pour ce qui est prévu
  • Décisions complémentaires pour ce qui n’est pas prévu
  • Mise en œuvre des stratégies choisies
  • Mise en œuvre de chaque sous-ensemble de dispositifs choisis
  • Suivi du déroulement et du timing de chaque sous-ensemble et suivi global
  • Gestion de fin de crise et retour à la normale

Formalisation du Plan de secours Informatique :
Image
  • Procédures générales du PSI :
  • Document Plan de Secours Informatique
  • Structure de crise informatique,
  • Dispositifs de secours informatique,
  • Principes d’activation,
  • Principes de pilotage,
  • Communication
  • Fin de crise
  • Annexes et procédures détaillées :
  • Stratégie de secours informatique par type de sinistre,
  • Réseau (Lan /Wan) et télécommunications
  • Informatique centrale (Serveurs, San, NAS, Données)
  • Informatique distribuée
  • Messagerie et bureautique
  • Postes de travail
  • Cartographie des plate-forme
  • Planification des tâches et de redémarrage des systèmes et des applications
  • Outil de pilotage de la stratégie de reprise informatique
  • Coordination avec les fournisseurs
  • annuaire,
  • procédures techniques détaillées,
  • etc
Formalisation du Plan de Repli et Logistique :
Image
  • Procédures générales du PRL
  • Document Plan de Repli et de logistique (PRL)
  • Structure de crise Repli et Logistique, rôles et responsabilités)
  • Principes d’activation,
  • Stratégie de mise en œuvre des dispositifs de repli et de logistique,
  • Matrice de relocalisation des personnels
  • Logistique préventive (Fournitures et Moyens de fonctionnement autres qu’ informatique)
  • Logistique de transport et Logistique de restauration
  • Principes de pilotage,
  • Procédures de fin de crise
  • Annexes et procédures détaillées:
  • Stratégie de repli par type de sinistre,
  • Outil de pilotage de la stratégie de Repli
  • annuaire,
  • procédures techniques et check-lists
  • etc.
Formalisation des  des Plans de Continuité des Opérations de Chaque métier :
Image
  • Procédure Générale
  • Définition de la stratégie spécifique à chaque métier
  • Structure de gestion de crise métier
  • Composition de la cellule de crise métier
  • Rôles et responsabilités
  • Fonctionnement en mode dégradé et bascule sur des moyens de substitution :
  • Fonctionnement en mode manuel et formulaires de substitution
  • Mesures préventives de logistique (Moyens et fournitures)
  • Mesure de reconstitution des documents ou valeurs perdus
  • Reprise de l’environnement de travail reconstitué
  • Mesure de rattrapage des retards
  • Retour à la normale
  • Annexes et procédures détaillées (très variable suivant les métiers)
  • Outil de pilotage et chronologies d’enchaînement
  • Détail des règles et procédures de fonctionnement en mode dégradé
  • Formulaires pour fonctionnement en mode « manuel »
  • Détail des moyens de substitution (matériels et humains)
  • Détail des aspects transverses vis-à-vis de l’extérieur (Clients-Fournisseurs) et des autres métiers de l’entreprise
  • Reroutage des moyens logistiques
Phase 5 : Gérer le Changement :
Image
Objectifs:
Assurer le transfert d’informations, de connaissances et de compétences en lien avec le management de la continuité d’activité.
Les étapes de la phase 5 :
  • Concevoir et développer un plan d’actions de sensibilisation et de formation :
La sensibilisation et la communication sont des facteurs clés de succès d’un PCA,
La gestion du changement doit débuter dès le lancement du projet et continuer pendant toute la vie du programme de Maintien en Condition Opérationnelle du PCA.
  • Définir périmètre objectifs et enjeux en lien avec la politique de MCA
  • Définir les moyens (plan de cadrage de la formation)
  • Définir les cibles (audience) et modalités
  • Définir les contenus (Modules, Séquences)
  • Définir les supports et vecteurs de formation
  • Définir les actions de suivi
  • Développer et mettre en œuvre :
  • Intranet et autoformation
  • Sessions en classes (Modules / séquences) par type d’audience
  • Sérious games
  • Participation aux tests PCA
Concevoir et développer un plan d’actions de communication interne et externe à l’entreprise :
  • Définir les cibles de l’information
  • Internes
  • Externes
  • Définir les vecteurs
  • Journaux / Internet / Publications réglementaires (communication externe)
  • Intranet, Bulletins internes
  • Communications à l’occasion de séminaires internes ou de réunions des cadres, des employés ou actionnaires

Phase 6 : Maintien en condition opérationnelle du PCA

Image
Objectif : assurer l’efficience et la pérennité du PCA
Les étapes de la phase 6:
  • Tester le PCA :
  • Définir un cadre général pour les tests du PCA
  • Définir un plan annuel de tests
  • Réaliser les tests
  • Décider d’actions d’amélioration du PCA suite aux tests
  • Maintien en Condition Opérationnelle (MCO) du PCA :
Cette étape doit permettre de mettre en place l’ensemble des dispositifs organisationnels assurant la pérennité et l’efficacité dans le temps du PCA
  • S’assurer de sa maintenance :
  • Définir un cadre général pour le management du PCA
  • Définir un cadre général pour le Maintien en condition opérationnelle du PCA (MCO)
  • Valider par des audits tiers l’adéquation et l’alignement du PCA avec les objectifs de l’entreprise :
Cette étape doit permettre de mettre en place l’ensemble des dispositifs de contrôle interne et d’audit du PCA :
  • Définir un cadre général pour l’audit du PCA (Plan d’audit)
  • Appliquer les règles de l’audit (audit tiers interne ou externe)
  • Définir un cadre général pour l’amélioration permanente du PCA

Dernière mise à jour : ( 03-02-2014 )
Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.