Pandémie mondiale, grève nationale des gilets jaunes, crac immobilier de 2008… Les crises auxquelles s’exposent les sociétés sont nombreuses et violentes.
Outre le contexte sanitaire lié à la COVID-19, 2021 est aussi une année marquée par de forts enjeux de cybersécurité pour les entreprises. Les cyberattaques menacent particulièrement leurs activités, et donc aussi leur réputation.
Le Plan de Continuité d’Activité, ou PCA, constitue dans ce contexte un outil permettant aux entreprises de maintenir leur fonctionnement malgré les perturbations. Ce document a d’ores et déjà exercé un rôle stratégique majeur dans la résilience de certaines sociétés à la crise du coronavirus. Qu’est-ce que le PCA ? Comment le conceptualiser et le mettre en place dans votre organisation ? Voici tout ce qu’il faut savoir sur le Plan de Continuité d’Activité.
Le PCA est un outil stratégique pour les entreprises, qui leur permet d'affronter les crises avec plus de sérénité, et d’en sortir plus résilientes. Il dépend de définitions officielles, mais aussi de normes internationales. Il est capital pour faire face à une situation de crise en préservant la capacité de l’entreprise à poursuivre son activité comme nous l’a démontré la pandémie de covid-19.
Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) définit la gestion de la continuité d’activité comme un “processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation”.
Dans ce contexte, la gestion de la continuité d'activité fournit donc un cadre pour assurer la résilience de l’entreprise. Ce cadre lui sert aussi à garantir ses capacités à conserver sa réputation et les intérêts de ses parties prenantes.
Le SGDSN reprend donc à son compte la signification que donne le règlement n° 97-02 du Comité de la réglementation bancaire et financière de 1997 sur le PCA. Selon cette définition, le Plan de Continuité d’Activité représente “l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités.”
L'objectif du PCA consiste donc à organiser la continuité des activités suite à un événement qui perturbe le fonctionnement normal de l'entreprise, comme une cyberattaque. Il doit aider la société à respecter le cadre de ses obligations légales malgré la crise, et à maintenir ses objectifs commerciaux et financiers. Le PCA anticipe ainsi les risques pour limiter leur impact sur l’organisation. En anglais, on l’appelle le Business Continuity Plan.
Le PCA couvre toutes sortes de crises. Il peut s’agir de crises internes, comme une faille de cybersécurité, une panne informatique ou encore un incendie. Les crises peuvent aussi être externes : épidémie, mouvement social, crise financière etc. La mise en place du Plan de Continuité d’Activité relève d’une obligation légale pour certains secteurs, comme la finance, la banque ou la santé.
C’est la norme internationale ISO 22301 de 2019 qui spécifie le SMCA, “système de management de la continuité d’activité”, à installer pour protéger les entreprises des crises. Elle détaille notamment les mesures à suivre par les secteurs pour lesquels la création du PCA relève d’un enjeu de conformité juridique.
Ces deux types de “plans” visent tous deux à assurer la sécurité de l'entreprise malgré les situations de crises qu’elle traverse. Le PCA résume ce que l'entreprise doit faire pour que son fonctionnement se maintienne malgré les sinistres. Le PRA, ou Plan de Reprise d’Activité, précise ce qu’il faut faire pour reprendre l’activité après une crise majeure.
Dans l’hypothèse d’une cyberattaque, par exemple, le PCA détaille comment assurer le fonctionnement du système informatique malgré l’attaque. Il veille ainsi à ce que les applications essentielles restent utilisables et à garantir la protection des données confidentielles. Il assure également que les collaborateurs et éventuels clients puissent continuer à utiliser le SI.
Le PRA va quant à lui détailler les démarches qui s’imposent si le système informatique s’avère malheureusement inutilisable suite à une attaque cyber. Il peut par exemple énumérer les démarches à suivre pour que le site internet soit de nouveau accessible à la suite d’une attaque DDoS, ou “par déni de service distribué”. Il peut également donner des instructions pour le démarrage d’un système de secours.
Le PCA s’impose dans toutes les entreprises où un risque d’interruption d’activité existe. Il est particulièrement nécessaire si cet arrêt menace la crédibilité financière de la société ou sa réputation.
Dérouler les démarches prévues par le PCA en cas de crise grave permet effectivement de gagner en crédibilité auprès des parties prenantes. Dans l’éventualité d’une faille de cybersécurité, il s’avère ainsi indispensable pour rassurer les investisseurs quant au professionnalisme de vos équipes. Il sécurise par ailleurs les utilisateurs ou clients quant à la confidentialité de leurs données, ou la poursuite de leurs activités en ligne.
Le principal avantage du PCA consiste à prévenir et anticiper les risques opérationnels de la société. Il s'inscrit donc dans le cadre d’une gestion des risques liés aux failles de cybersécurité. Il consiste à rassembler les bons acteurs autour de la réalisation des processus qui permettent de conserver l'activité de l’entreprise.
Le PCA recoupe plusieurs atouts pour l’organisation qui s’attelle à sa mise en place :
Pour rester avantageux, le PCA doit cependant être considéré par la direction générale comme un réel outil. Un des principaux inconvénients du PCA consiste effectivement à ce qu’il n’apparaisse que comme un exercice de style dont l’application reste très hypothétique. Pour qu’il soit efficace, il faut au contraire qu’il soit régulièrement mis à jour et réévalué.
La mise en place d’un Plan de Continuité d’Activité s'avère en outre parfois coûteuse, ce qui décourage certaines organisations. Si c’est votre cas, veillez à acquérir un système informatique distant, qui préservera vos applications essentielles en cas de cyberattaque.
Le PCA consiste à anticiper différents scénarios de crise, afin de concevoir les stratégies qui permettent de maintenir un fonctionnement minimal. Il prend notamment en compte d’éventuelles pertes de ressources, qu’il s’agisse de revenus, de collaborateurs, ou, dans le cas d’une cyberattaque, du système informatique ou de données sensibles.
Voici un exemple de mise en place de PCA appliquée au risque de cyberattaque. Cet exemple s’inspire directement du PDCA (Plan Do Check Act) prévu par la norme ISO 22301 :
- P : “Plan”, ou “prévoir” ;
- D : “Do” c’est-à-dire concevoir le plan d’actions ;
- C : “Check”, soit tester, essayer, simuler et vérifier que le PCA fonctionne ;
- A : “Act”, soit agir pour corriger les dysfonctionnements du Plan.
1/ Dans un premier temps, concentrez-vous sur la définition des objectifs et besoins de votre entreprise susceptibles d’être contraints par une faille de cybersécurité. Votre priorité est-elle d’assurer l’accessibilité de votre site internet ? Est-ce de conserver les données de vos utilisateurs ? Quelles sont vos activités informatiques prioritaires ?
2 / Définissez ensuite les ressources informatiques et les compétences internes qui vous sont indispensables pour maintenir ces objectifs. Demandez-vous également pendant combien de temps votre système informatique peut rester inutilisable sans impacter définitivement la pérennité de l’entreprise.
3 / Attaquez-vous ensuite à l’identification des différents scénarios de crises cyber que votre entreprise peut rencontrer :
Servez-vous de votre cartographie des risques cyber pour anticiper leurs impacts sur votre activité.
4 / Attachez-vous par la suite à définir votre stratégie de traitement des risques. Il s’agit des actions prioritaires qu’il faut mener pour réduire la probabilité de survenance des risques cyber, et, le cas échéant, pour assurer la survie de l'entreprise, son fonctionnement et ses objectifs.
5 / Une fois ces éléments précisés, définissez dans le détail la stratégie de continuité que vous envisagez pour chaque scénario de cyberattaque. Cette étape s’apparente à de la gestion de crise pure et dure. Elle consiste à décrire la stratégie de traitement des risques à déployer, actions par actions, acteur par acteur :
6 / Réaliser des exercices de simulation de cyberattaque pour tester l’efficacité de votre PCA. Cette mise en pratique doit vous aider à vous assurer que votre Plan de Continuité d’Activité contribue réellement à ce qu’on appelle le MCO, Maintien en Condition Opérationnelle.
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un guide complet sur l’organisation des exercices de gestion des crises cyber. Elle y rappelle plusieurs éléments indispensables sur le concept même d’exercice de gestion crise :
Les leçons tirées des simulations de risque cyber doivent permettre d’évaluer la pertinence du PCA et, si besoin, de le redéfinir de façon à améliorer ses performances. De façon plus globale, votre Plan de Continuité d’Activité gagne à être mis à jour tous les deux à trois ans au minimum. Il convient également de l’enrichir après chaque crise effective. On parle dans ce cas de “RETEX”, ou “retour d’expérience”.
Le Plan de Continuité d’Activité peut par ailleurs consister en un seul et même document unique qui traite à la fois de tous les risques auxquels s’expose l’entreprise. Il peut aussi se décliner en différents documents thématiques : un PCA orienté cybersécurité, un plan orienté crise sanitaire, un autre dédié au risque de grève etc.
Le PCA détaille la stratégie et les démarches à suivre pour assurer la continuité du fonctionnement de la société suite à une crise telle qu’une cyberattaque. Il permet de rapidement faire face à la situation de crise tout en préservant la capacité opérationnelle de l’entreprise.
Le Plan de Continuité d’Activité se prépare en amont de la survenue d’un sinistre ou d'un élément perturbateur pour l’entreprise, ses utilisateurs et sa réputation. Il est de vitale importance d’anticiper les risques, de les cartographier et de créer un PCA adapté en fonction de la nature de la crise potentielle.
Le PCA relève dudit Responsable Plan de Continuité d’Activité, qui dépend de la Direction Générale. Ce ou cette responsable peut être un membre de la Direction des systèmes d’Information quand le PCA traite du risque cyber. Mais, in-fine, le PCA est l’affaire de tous et doit impliquer l’ensemble des parties prenantes pour s’assurer de son bon fonctionnement.
