PCA : Comment mettre en place un plan de continuité d’activité en cas d’attaque informatique

Qu’est-ce qu’un Plan de Continuité d’Activité ?

Le PCA est un outil stratégique pour les entreprises, qui leur permet d'affronter les crises avec plus de sérénité, et d’en sortir plus résilientes. Il dépend de définitions officielles, mais aussi de normes internationales. Il est capital pour faire face à une situation de crise en préservant la capacité de l’entreprise à poursuivre son activité comme nous l’a démontré la pandémie de covid-19.

PCA : Définition officielle de la gestion de la continuité d’activité

Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) définit la gestion de la continuité d’activité comme un “processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation”.

Dans ce contexte, la gestion de la continuité d'activité fournit donc un cadre pour assurer la résilience de l’entreprise. Ce cadre lui sert aussi à garantir ses capacités à conserver sa réputation et les intérêts de ses parties prenantes.

Le PCA dans les normes françaises et internationales

Le SGDSN reprend donc à son compte la signification que donne le règlement n° 97-02 du Comité de la réglementation bancaire et financière de 1997 sur le PCA. Selon cette définition, le Plan de Continuité d’Activité représente “l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités.”

L'objectif du PCA consiste donc à organiser la continuité des activités suite à un événement qui perturbe le fonctionnement normal de l'entreprise, comme une cyberattaque. Il doit aider la société à respecter le cadre de ses obligations légales malgré la crise, et à maintenir ses objectifs commerciaux et financiers. Le PCA anticipe ainsi les risques pour limiter leur impact sur l’organisation. En anglais, on l’appelle le Business Continuity Plan.

Le PCA couvre toutes sortes de crises. Il peut s’agir de crises internes, comme une faille de cybersécurité, une panne informatique ou encore un incendie. Les crises peuvent aussi être externes : épidémie, mouvement social, crise financière etc. La mise en place du Plan de Continuité d’Activité relève d’une obligation légale pour certains secteurs, comme la finance, la banque ou la santé.

C’est la norme internationale ISO 22301 de 2019 qui spécifie le SMCA, “système de management de la continuité d’activité”, à installer pour protéger les entreprises des crises. Elle détaille notamment les mesures à suivre par les secteurs pour lesquels la création du PCA relève d’un enjeu de conformité juridique.

Comment le PCA se différencie du PRA ?

Ces deux types de “plans” visent tous deux à assurer la sécurité de l'entreprise malgré les situations de crises qu’elle traverse. Le PCA résume ce que l'entreprise doit faire pour que son fonctionnement se maintienne malgré les sinistres. Le PRA, ou Plan de Reprise d’Activité, précise ce qu’il faut faire pour reprendre l’activité après une crise majeure.

Dans l’hypothèse d’une cyberattaque, par exemple, le PCA détaille comment assurer le fonctionnement du système informatique malgré l’attaque. Il veille ainsi à ce que les applications essentielles restent utilisables et à garantir la protection des données confidentielles. Il assure également que les collaborateurs et éventuels clients puissent continuer à utiliser le SI.

Le PRA va quant à lui détailler les démarches qui s’imposent si le système informatique s’avère malheureusement inutilisable suite à une attaque cyber. Il peut par exemple énumérer les démarches à suivre pour que le site internet soit de nouveau accessible à la suite d’une attaque DDoS, ou “par déni de service distribué”. Il peut également donner des instructions pour le démarrage d’un système de secours.

Quels contextes justifient la mise en place d’un Plan de Continuité d’Activité ?

Le PCA s’impose dans toutes les entreprises où un risque d’interruption d’activité existe. Il est particulièrement nécessaire si cet arrêt menace la crédibilité financière de la société ou sa réputation.

Dérouler les démarches prévues par le PCA en cas de crise grave permet effectivement de gagner en crédibilité auprès des parties prenantes. Dans l’éventualité d’une faille de cybersécurité, il s’avère ainsi indispensable pour rassurer les investisseurs quant au professionnalisme de vos équipes. Il sécurise par ailleurs les utilisateurs ou clients quant à la confidentialité de leurs données, ou la poursuite de leurs activités en ligne.

Pourquoi mettre en place un Plan de Continuité d’Activité, avantages et inconvénients

Le principal avantage du PCA consiste à prévenir et anticiper les risques opérationnels de la société. Il s'inscrit donc dans le cadre d’une gestion des risques liés aux failles de cybersécurité. Il consiste à rassembler les bons acteurs autour de la réalisation des processus qui permettent de conserver l'activité de l’entreprise.

Avantages du Plan de Continuité d’Activité

Le PCA recoupe plusieurs atouts pour l’organisation qui s’attelle à sa mise en place :

• anticiper et prévenir les risques internes et externes de l’entreprise ;
• détailler la stratégie qui permet de réagir rapidement et efficacement à un scénario de crise ;
• diffuser une culture de la prévention des risques au sein de la société ;
• prévoir les messages à adresser aux différentes parties prenantes pour que la stratégie de communication de crise ne soit pas affaiblie par la perte de repères due à l’urgence ;
• contribuer à la reprise rapide des activités, malgré le ou les sinistres ;
• limiter les effets de la crise en termes de fonctionnement, de rentabilité et de réputation ;
• rassurer les marchés financiers ;
• conserver la crédibilité personnelle de la ou du dirigeant ;
• différencier l'entreprise de sa concurrence ;
• profiter de réductions tarifaires chez les assureurs.

Écueils relatifs au Plan de Continuité d’Activité

Pour rester avantageux, le PCA doit cependant être considéré par la direction générale comme un réel outil. Un des principaux inconvénients du PCA consiste effectivement à ce qu’il n’apparaisse que comme un exercice de style dont l’application reste très hypothétique. Pour qu’il soit efficace, il faut au contraire qu’il soit régulièrement mis à jour et réévalué.

La mise en place d’un Plan de Continuité d’Activité s'avère en outre parfois coûteuse, ce qui décourage certaines organisations. Si c’est votre cas, veillez à acquérir un système informatique distant, qui préservera vos applications essentielles en cas de cyberattaque.