Bruno HAMON, Président du groupe de travail PCA à l'AFNOR

Views:
 
     
 

Presentation Description

Le 22 septembre 2011, s'est tenue à la Maison des Entreprises du Loiret à Orléans la 4ème conférence sur la réduction de la vulnérabilité aux inondations des activités économiques du bassin de la Loire et ses affluents organisée par l'Etablissement public Loire et ses partenaires. Cette manifestation, intitulée "Carrefour de la continuité d'activité face au risque inondation : comment agir durablement pour les activités économiques du bassin de la Loire et ses affluents ?", a su réunir plus de quatre-vingt auditeurs publics et privés (professionnels de la continuité d'activité, élus, agents de collectivités, chefs d'entreprises et représentants des organisations professionnelles), témoignant ainsi de leur intérêt et de leur implication en faveur de la compétitivité des territoires face au risque inondation. Ce carrefour a été l'occasion de poser les objectifs et contenus de la continuité d'activité, d'en définir le contour réglementaire et juridique mais aussi de s'intéresser aux bonnes pratiques pour élaborer un Plan de Continuité d'Activité (PCA) avec la présentation de cas pratiques et le témoignage d'entreprises.

Comments

Presentation Transcript

Slide 1:

Gérer l’imprévisible, prévoir l’incertitude : le défi de la continuité d’activité Bruno HAMON Président du groupe de travail PCA à l’AFNOR

INTRODUCTION:

INTRODUCTION Construire un PCA = conduire un projet d’entreprise, transversal et multidisciplinaire. Objectif Ardent d’un PCA = préparer l’entreprise à faire face à un sinistre, pour assurer sa survie. Construction du PCA production d’un plan d’actions détaillé sur ce qu’il faudra faire si le sinistre survient. Construire un PCA = adapter l’organisation d’une entreprise pour atteindre l’objectif de continuité, lui-même orienté vers la satisfaction de ses clients.

Définition d’un PCA:

Définition d’un PCA Le Plan de continuité d’activité (selon l’AFNOR BP Z 74-700) « un Plan de Continuité d’Activité représente l’ensemble des procédures et dispositions qui sont prévues pour garantir à l’organisation concernée la continuité / reprise de son activité en cas de sinistre » Le Plan de continuité d’activité (selon CRBF 2004-02) « ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités » La Gestion de la continuité d'activité (selon Comité de Bâle) « approche globale qui inclut la politique, les standards et les procédures pour s’assurer que des opérations précises peuvent être poursuivies ou récupérées dans un laps de temps raisonnable dans le cas d'une perturbation majeure. Son but est de réduire au minimum les conséquences opérationnelles, financières, légales, de réputation et autres conséquences substantielles si un tel événement survient »

Pourquoi mettre en place un PCA ?:

Pourquoi mettre en place un PCA ? Dans l’entreprise, qui fait quoi : En cas de rupture du Système d’Information ? En cas de destruction d’un site ? En cas de défaillance d’un fournisseur ? En cas de conflit social ? En cas de catastrophe naturelle ? En cas de cambriolage, de perte de données ? Que se passe-t-il si les données ne sont pas protégées ? 70% des entreprises ayant subi une perte de données majeure ne survivent pas plus de 18 mois (source UK : Departement Of Trade Industry ) 93% des entreprises dont le centre informatique reste inexploitable pendant 10 jours ou + suite à un sinistre déposent le bilan dans l’année suivant le sinistre (source NARA : National Archives & records Administration, Washington) Des analystes ont estimé que 40% des recouvrements de données échouaient (source ESG : Entreprise Strategy Group)

Pourquoi mettre en place un PCA ?:

Recommandations internes Permettre en cas de sinistre de : Assurer la reprise de l’activité de l’entreprise Maintenir la relation avec les clients Offrir une solution de repli aux collaborateurs de l’entreprise Répondre aux recommandations de l’audit interne Respecter les contraintes fixées par les polices d’assurance Assurer la sécurité et l’emploi des collaborateurs Recommandations externes Obligations statutaires, fiscales, juridiques, réglementaires : Normes : ISO 27000, ISO 22301, BS 25999 (part 1 & 2), Sarbannes -Oxley, SOLVENCY, CRBF 2004-02, BALE II,… Demande des auditeurs externes Augmentation importante de la sinistralité : Incendies, Inondations, Arrêt de la fourniture d’énergie, Terrorisme (+450 dangers référencés) Pourquoi mettre en place un PCA ?

Un PCA, c’est une histoire qui dure….:

Un PCA, c’est une histoire qui dure…. Et la vie de l’Entreprise continue… Un nouveau contrat client ? Un nouveau fournisseur ? Un nouvel embauché ? Un nouveau règlement ? Une croissance externe ? Un nouvel établissement ou un nouveau site ?

Terminologie & Définition:

Terminologie & Définition Selon l’AFNOR, le PCA s’appuie sur deux socles : Le « Plan de Continuité des Opérations » (PCO) Le « Plan de Continuité Informatique et Télécommunications » (PCIT)

Terminologie & Définition:

Terminologie & Définition Continuité : P lan de C ontinuité d’ A ctivités, ou Plan de Secours, ou P lan de R eprise d’ A ctivités, … Deux volets : métier et technique DMIA : D urée M aximale d’ I nterruption A dmissible, ou « black-out  », ou RTO (Recovery Time Objective) D’abord définie au niveau métier Puis transposée au niveau de chaque application informatique PDMA : P erte de D onnées M aximale A dmissible , ou RPO (Recovery Point Objective) Une notion d’historique : quelle est l’antériorité maximale que le métier requiert sur les données conservées par le SI ? Une notion de fraîcheur : quelle est l’antériorité la plus faible que le métier requiert sur les données conservées par le SI ? Il est important de partager la même terminologie et celle que vous choisirez pour votre organisation.

Situations à couvrir :

Il faut s’intéresser aux effets des sinistres : indisponibilité, … LOCAUX RESSOURCES INFORMATIQUES Circonscription du périmètre, Inondation, Incendie, … Perte de liaisons de télécom, Perte d’infrastructure, Perte de la salle informatique, … RESSOURCES HUMAINES Mouvement social, Epidémie ou Pandémie, Intoxication alimentaire, … Situations à couvrir

Situations à couvrir (variante) :

Situations à couvrir (variante) Il faut traiter les conséquences d’un sinistre et non pas ses causes en abordant le triptyque suivant : Business, Facteur humain, Coût

Phases de Construction d’un PCA (avec les livrables):

Phases de Construction d’un PCA (avec les livrables)

10 commandements pour le succès de l’implémentation d’un PCA :

Périmètre + contenu du PCA = choix stratégiques du ressort de la DG  Obtenir le mandat au niveau adéquat : la direction doit s’engager ! Définir les responsabilités pour le Management de la Continuité d’Activité Définir la cible fonctionnelle avant de définir la stratégie technique de secours Prévoir un délai de projet réaliste Adapter la démarche aux enjeux en soignant le Bilan d’Impact sur l’Activité (BIA) Engager des actions de communication User des avantages du PCA Garder l’ équilibre entre nécessaire flexibilité et impératif de réactivité Tester , tester, tester… Mettre à jour le MCO en permanence (solutions tech . et orga .) 10 commandements pour le succès de l’implémentation d’un PCA

Ce qu’il faut retenir:

Fort courant actuel de la nécessité de mettre en place des PCA Le PCA rayonne au-delà de toute entreprise concernée Le PCA va devenir à terme un élément commercial différenciateur Le PCA est un moyen et non une finalité La réglementation française est en cours; elle s’inspire des standards et normes internationales La toute première normes ISO 22301 est enfin arrivée Ce qu’il faut retenir

authorStream Live Help