Le Plan de Continuité d’Activité ou PCA a pour but d’offrir des outils et des procédures permettant à l’entreprise de continuer de fonctionner après un sinistre important touchant le système d’information.

Le PCA fait partie de la politique de sécurité informatique de l’entreprise.

Dans les PME la sécurité informatique ne fait pas encore partie de l’ADN. Qui dit sécurité informatique pense d’abord à la sécurité des données, par conséquent aux sauvegardes. Cela ne va guère plus loin.

C’est un lieu commun de dire qu’il faut un sinistre pour s’apercevoir que les mesures prises sont insuffisantes.

Un PCA s’appuie sur deux piliers essentiels : une analyse de risques et une analyse d’impact.

L’analyse de risques permet de mettre en évidence les menaces qui pèsent sur l’informatique. Celles-ci peuvent être humaines, une attaque délibérée ou une maladresse (les conséquences peuvent être similaires), ou naturelles (tout ce qui a trait à la nature, à l’eau, au feu, aux glissements de terrain, au gel, à la neige, à des interruptions électriques, à des tremblements de terre, etc.). Une sous-division menaces consiste à définir celles qui sont internes, présentes à l’intérieur de l’entreprise, de celles qui sont externes, présentes dans l’environnement de la firme.

A partir des menaces identifiées, on mettra en évidence les risques que celles-ci font peser sur la société, de même que l’impact possible de chaque risque, avec un coefficient qui permettra ensuite de définir et de mettre en œuvre des mesures d’atténuation. Le coefficient identifiera les mesures sur lesquelles il y a lieu d’agir avec plus ou moins d’urgence.

Les mesures d’atténuation ne supprimeront jamais complètement un risque. Il y aura toujours une part résiduelle qui sera prise en compte soit par une acceptation formelle, soit par une mise en œuvre complémentaire de mesures. Dans ce contexte une assurance pourra peut-être se justifier.

L’analyse d’impact travaille sur les risques. Il s’agit de déterminer quel est l’impact d’un risque qui surviendrait. Est-il intolérable ? Si oui met-il en danger la survie même de l’entreprise ? Si des sinistres extrêmes, la destruction d’un bâtiment par exemple, surviennent qu’en sera-t-il des impacts financiers, humains, légaux, … ? On travaille ici sur la durée admissible pendant laquelle l’entreprise peut être arrêtée. En découle la durée maximale d’interruption tolérable.

Par rapport au système d’information, l’analyse d’impact va permettre de déterminer, pour chaque processus de l’entreprise qui en dépend, la durée maximale d’interruption et, par conséquent le temps disponible pour remettre en route les réseaux, les serveurs ou les postes dont chaque processus découle.

Le service informatique n’est pas le seul secteur impliqué. Pour qu’une analyse de risques soit réussie il faut motiver tous les acteurs du SI, les utilisateurs en premier lieu, les managers et les techniciens.

Jean-Maurice Burri
Février 2019

Besoin de conseils en matière de gestion des risques ?