Plan de continuité d'activités

PCA : Comment mettre en place un plan de continuité d’activité en cas d’attaque informatique

Pandémie mondiale, grève nationale des gilets jaunes, crac immobilier de 2008… Les crises auxquelles s’exposent les sociétés sont nombreuses et violentes.

C-RiskC-Risk

Publié le 2 juillet 2021 08:41 (Mise à jour le 1 décembre 2021 14:56)

Outre le contexte sanitaire lié à la COVID-19, 2021 est aussi une année marquée par de forts enjeux de cybersécurité pour les entreprises. Les cyberattaques menacent particulièrement leurs activités, et donc aussi leur réputation.

Le Plan de Continuité d’Activité, ou PCA, constitue dans ce contexte un outil permettant aux entreprises de maintenir leur fonctionnement malgré les perturbations. Ce document a d’ores et déjà exercé un rôle stratégique majeur dans la résilience de certaines sociétés à la crise du coronavirus. Qu’est-ce que le PCA ? Comment le conceptualiser et le mettre en place dans votre organisation ? Voici tout ce qu’il faut savoir sur le Plan de Continuité d’Activité.

Qu’est-ce qu’un Plan de Continuité d’Activité ?


Le PCA est un outil stratégique pour les entreprises, qui leur permet d'affronter les crises avec plus de sérénité, et d’en sortir plus résilientes. Il dépend de définitions officielles, mais aussi de normes internationales. Il est capital pour faire face à une situation de crise en préservant la capacité de l’entreprise à poursuivre son activité comme nous l’a démontré la pandémie de covid-19.

PCA : Définition officielle de la gestion de la continuité d’activité

Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) définit la gestion de la continuité d’activité comme un “processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation”.

Dans ce contexte, la gestion de la continuité d'activité fournit donc un cadre pour assurer la résilience de l’entreprise. Ce cadre lui sert aussi à garantir ses capacités à conserver sa réputation et les intérêts de ses parties prenantes.

Le PCA dans les normes françaises et internationales

Le SGDSN reprend donc à son compte la signification que donne le règlement n° 97-02 du Comité de la réglementation bancaire et financière de 1997 sur le PCA. Selon cette définition, le Plan de Continuité d’Activité représente “l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités.”

L'objectif du PCA consiste donc à organiser la continuité des activités suite à un événement qui perturbe le fonctionnement normal de l'entreprise, comme une cyberattaque. Il doit aider la société à respecter le cadre de ses obligations légales malgré la crise, et à maintenir ses objectifs commerciaux et financiers. Le PCA anticipe ainsi les risques pour limiter leur impact sur l’organisation. En anglais, on l’appelle le Business Continuity Plan.

Le PCA couvre toutes sortes de crises. Il peut s’agir de crises internes, comme une faille de cybersécurité, une panne informatique ou encore un incendie. Les crises peuvent aussi être externes : épidémie, mouvement social, crise financière etc. La mise en place du Plan de Continuité d’Activité relève d’une obligation légale pour certains secteurs, comme la finance, la banque ou la santé.

C’est la norme internationale ISO 22301 de 2019 qui spécifie le SMCA, “système de management de la continuité d’activité”, à installer pour protéger les entreprises des crises. Elle détaille notamment les mesures à suivre par les secteurs pour lesquels la création du PCA relève d’un enjeu de conformité juridique.

Conséquences financières d’une cyberattaque

Comment le PCA se différencie du PRA ?

Ces deux types de “plans” visent tous deux à assurer la sécurité de l'entreprise malgré les situations de crises qu’elle traverse. Le PCA résume ce que l'entreprise doit faire pour que son fonctionnement se maintienne malgré les sinistres. Le PRA, ou Plan de Reprise d’Activité, précise ce qu’il faut faire pour reprendre l’activité après une crise majeure.

Dans l’hypothèse d’une cyberattaque, par exemple, le PCA détaille comment assurer le fonctionnement du système informatique malgré l’attaque. Il veille ainsi à ce que les applications essentielles restent utilisables et à garantir la protection des données confidentielles. Il assure également que les collaborateurs et éventuels clients puissent continuer à utiliser le SI.

Le PRA va quant à lui détailler les démarches qui s’imposent si le système informatique s’avère malheureusement inutilisable suite à une attaque cyber. Il peut par exemple énumérer les démarches à suivre pour que le site internet soit de nouveau accessible à la suite d’une attaque DDoS, ou “par déni de service distribué”. Il peut également donner des instructions pour le démarrage d’un système de secours.

Quels contextes justifient la mise en place d’un Plan de Continuité d’Activité ?

Le PCA s’impose dans toutes les entreprises où un risque d’interruption d’activité existe. Il est particulièrement nécessaire si cet arrêt menace la crédibilité financière de la société ou sa réputation.

Dérouler les démarches prévues par le PCA en cas de crise grave permet effectivement de gagner en crédibilité auprès des parties prenantes. Dans l’éventualité d’une faille de cybersécurité, il s’avère ainsi indispensable pour rassurer les investisseurs quant au professionnalisme de vos équipes. Il sécurise par ailleurs les utilisateurs ou clients quant à la confidentialité de leurs données, ou la poursuite de leurs activités en ligne.

Pourquoi mettre en place un Plan de Continuité d’Activité, avantages et inconvénients

Le principal avantage du PCA consiste à prévenir et anticiper les risques opérationnels de la société. Il s'inscrit donc dans le cadre d’une gestion des risques liés aux failles de cybersécurité. Il consiste à rassembler les bons acteurs autour de la réalisation des processus qui permettent de conserver l'activité de l’entreprise.

Avantages du Plan de Continuité d’Activité

Le PCA recoupe plusieurs atouts pour l’organisation qui s’attelle à sa mise en place :

  • anticiper et prévenir les risques internes et externes de l’entreprise ;
  • détailler la stratégie qui permet de réagir rapidement et efficacement à un scénario de crise ;
  • diffuser une culture de la prévention des risques au sein de la société ;
  • prévoir les messages à adresser aux différentes parties prenantes pour que la stratégie de communication de crise ne soit pas affaiblie par la perte de repères due à l’urgence ;
  • contribuer à la reprise rapide des activités, malgré le ou les sinistres ;
  • limiter les effets de la crise en termes de fonctionnement, de rentabilité et de réputation ;
  • rassurer les marchés financiers ;
  • conserver la crédibilité personnelle de la ou du dirigeant ;
  • différencier l'entreprise de sa concurrence ;
  • profiter de réductions tarifaires chez les assureurs.

Écueils relatifs au Plan de Continuité d’Activité

Pour rester avantageux, le PCA doit cependant être considéré par la direction générale comme un réel outil. Un des principaux inconvénients du PCA consiste effectivement à ce qu’il n’apparaisse que comme un exercice de style dont l’application reste très hypothétique. Pour qu’il soit efficace, il faut au contraire qu’il soit régulièrement mis à jour et réévalué.

La mise en place d’un Plan de Continuité d’Activité s'avère en outre parfois coûteuse, ce qui décourage certaines organisations. Si c’est votre cas, veillez à acquérir un système informatique distant, qui préservera vos applications essentielles en cas de cyberattaque.

Comment élaborer un PCA ?

Le PCA consiste à anticiper différents scénarios de crise, afin de concevoir les stratégies qui permettent de maintenir un fonctionnement minimal. Il prend notamment en compte d’éventuelles pertes de ressources, qu’il s’agisse de revenus, de collaborateurs, ou, dans le cas d’une cyberattaque, du système informatique ou de données sensibles.

Voici un exemple de mise en place de PCA appliquée au risque de cyberattaque. Cet exemple s’inspire directement du PDCA (Plan Do Check Act) prévu par la norme ISO 22301 :

- P : “Plan”, ou “prévoir” ;

- D : “Do” c’est-à-dire concevoir le plan d’actions ;

- C : “Check”, soit tester, essayer, simuler et vérifier que le PCA fonctionne ;

- A : “Act”, soit agir pour corriger les dysfonctionnements du Plan.

Auditer son entreprise et son contexte cyber

1/ Dans un premier temps, concentrez-vous sur la définition des objectifs et besoins de votre entreprise susceptibles d’être contraints par une faille de cybersécurité. Votre priorité est-elle d’assurer l’accessibilité de votre site internet ? Est-ce de conserver les données de vos utilisateurs ? Quelles sont vos activités informatiques prioritaires ?

2 / Définissez ensuite les ressources informatiques et les compétences internes qui vous sont indispensables pour maintenir ces objectifs. Demandez-vous également pendant combien de temps votre système informatique peut rester inutilisable sans impacter définitivement la pérennité de l’entreprise.

3 / Attaquez-vous ensuite à l’identification des différents scénarios de crises cyber que votre entreprise peut rencontrer :

  • Êtes-vous exposés au vol de données confidentielles ou au risque de rançongiciel ?
  • Votre site ou vos services en ligne sont-ils menacés par les attaques par déni de service ?
  • Votre entreprise s’expose-t-elle à d’éventuels malwares ?
  • Avez-vous déjà été victime de phishing ?

Servez-vous de votre cartographie des risques cyber pour anticiper leurs impacts sur votre activité.

Détailler une stratégie de traitement des risques

4 / Attachez-vous par la suite à définir votre stratégie de traitement des risques. Il s’agit des actions prioritaires qu’il faut mener pour réduire la probabilité de survenance des risques cyber, et, le cas échéant, pour assurer la survie de l'entreprise, son fonctionnement et ses objectifs.

5 / Une fois ces éléments précisés, définissez dans le détail la stratégie de continuité que vous envisagez pour chaque scénario de cyberattaque. Cette étape s’apparente à de la gestion de crise pure et dure. Elle consiste à décrire la stratégie de traitement des risques à déployer, actions par actions, acteur par acteur :

  • Quel est le seuil de vulnérabilité de votre entreprise ? Quels sont les facteurs qui justifient le déclenchement des processus précisés par le PCA ?
  • Qui sont les responsables du Plan de Continuité d’Activité ? Sont-ils les mêmes que ceux de votre cellule de crise ? Quel est le rôle de chaque acteur ? Son implication dans l’efficacité globale du PCA ?
  • Quelles sont les actions qui vont limiter les effets de la cyberattaque sur le SI ? Sur la sécurité de vos données ? Sur des activités de vos utilisateurs et collaborateurs ?
  • Quels sont les indicateurs d’évaluation de l’efficacité du PCA ? Comment mesurez-vous le fonctionnement réel de la société pendant la crise ?
Concevoir sa stratégie de traitement des risques

S’exercer à la crise de cybersécurité

6 / Réaliser des exercices de simulation de cyberattaque pour tester l’efficacité de votre PCA. Cette mise en pratique doit vous aider à vous assurer que votre Plan de Continuité d’Activité contribue réellement à ce qu’on appelle le MCO, Maintien en Condition Opérationnelle.

L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un guide complet sur l’organisation des exercices de gestion des crises cyber. Elle y rappelle plusieurs éléments indispensables sur le concept même d’exercice de gestion crise :

  • l'exercice est limité dans le temps, la plupart des organisations s’y attellent sur deux ou trois heures ;
  • il porte sur une cyberattaque fictive mais crédible pour les collaborateurs ;
  • en aucun cas il ne doit vraiment perturber les activités de la société : tous les éléments de la crise doivent être simulés ;
  • la simulation accompagne les acteurs de la gestion de crise dans l’atteinte de leurs objectifs, elle ne les piège pas ;
  • l’exercice doit faire participer tous les acteurs potentiellement concernés en interne par une faille de cybersécurité.
Exercice de simulation du PCA

Entretenir son PCA

Les leçons tirées des simulations de risque cyber doivent permettre d’évaluer la pertinence du PCA et, si besoin, de le redéfinir de façon à améliorer ses performances. De façon plus globale, votre Plan de Continuité d’Activité gagne à être mis à jour tous les deux à trois ans au minimum. Il convient également de l’enrichir après chaque crise effective. On parle dans ce cas de “RETEX”, ou “retour d’expérience”.

Le Plan de Continuité d’Activité peut par ailleurs consister en un seul et même document unique qui traite à la fois de tous les risques auxquels s’expose l’entreprise. Il peut aussi se décliner en différents documents thématiques : un PCA orienté cybersécurité, un plan orienté crise sanitaire, un autre dédié au risque de grève etc.

FAQ

Le PCA détaille la stratégie et les démarches à suivre pour assurer la continuité du fonctionnement de la société suite à une crise telle qu’une cyberattaque. Il permet de rapidement faire face à la situation de crise tout en préservant la capacité opérationnelle de l’entreprise.

Le Plan de Continuité d’Activité se prépare en amont de la survenue d’un sinistre ou d'un élément perturbateur pour l’entreprise, ses utilisateurs et sa réputation. Il est de vitale importance d’anticiper les risques, de les cartographier et de créer un PCA adapté en fonction de la nature de la crise potentielle.

Le PCA relève dudit Responsable Plan de Continuité d’Activité, qui dépend de la Direction Générale. Ce ou cette responsable peut être un membre de la Direction des systèmes d’Information quand le PCA traite du risque cyber. Mais, in-fine, le PCA est l’affaire de tous et doit impliquer l’ensemble des parties prenantes pour s’assurer de son bon fonctionnement.