Guide de planification de la continuité des activités

La présente publication comprend un résumé et les directives générales de la planification de la continuité des activités.

Alors que les gouvernements, les organismes à but non lucratif et les organismes non gouvernementaux offrent des services essentiels, les entreprises privées doivent, elles aussi, livrer leurs produits et services sans interruption, afin de satisfaire leurs actionnaires et de survivre. N'importe quelle organisation, peu importe ses objectifs et fonctions, peut mettre un plan de continuité des activités (PCA) en pratique.

Table des matières

Les changements dans le monde de la planification de la continuité des activités

La planification de la continuité des activités versus la planification de la reprise des activités et la planification antisinistre

Un plan de reprise des activités décrit comment reprendre les opérations après une interruption de services. Un plan antisinistre traite de la récupération de l'actif des technologies de l'information (TI) après une interruption causée par une catastrophe. Ces deux stratégies réactives découlent d'une interruption des activités essentielles.

La reconnaissance du fait que certains services ou produits doivent être offerts continuellement, sans interruption, a entraîné un glissement vers la continuité des activités. Ceci se traduit par le passage de la planification de la reprise des activités à la planification de la continuité des activités.

Un plan de continuité des activités permet aux clients de recevoir sans interruption les services ou produits qui leurs sont essentiels. Au lieu de se pencher sur la reprise des activités après la cessation d'opérations essentielles ou sur le rétablissement après une catastrophe, le plan de continuité des activités veille à ce que les opérations essentielles continuent à se dérouler et à être disponibles.

Les leçons du 11 septembre

Les événements du 11 septembre 2001 ont prouvé que même dans l'éventualité d'événements à impact élevé et à faible probabilité, le rétablissement est possible. Malgré la destruction d'immeubles et la perturbation de tout un quartier de Manhattan, les entreprises et institutions munies d'un bon plan de continuité ont survécu.

Voici quelques leçons à retenir de ces événements :

Les problèmes émergents

L'assurance de la prestation continue des services (APCS) est un engagement à l'égard de la prestation continue des services essentiels qui évite à une organisation toute interruption grave immédiate. La planification de la continuité des activités comprend l'évaluation, la gestion et le contrôle des risques, de même que des plans, des mesures et des dispositions efficaces qui assurent la continuité des activités.

La gestion continue des risques abaisse le risque d'interruption et évalue les effets potentiels des interruptions qui se produisent. On pense par exempleà la composante d'un programme de PCA portant sur l'analyse des répercussions sur les activités.

Qu'est-ce que la planification de la continuité des activités?

Les produits ou services essentiels sont ceux que doit fournir une organisation pour assurer la survie, pour éviter de causer des blessures et pour respecter ses obligations juridiques ou autres. La planification de la continuité des activités est un processus de planification proactif qui assure la prestation des services ou des produits essentiels lors d'une interruption.

Un plan de continuité des activités (PCA) comprend :

Le fait d'avoir un PCA en place rehausse l'image de l'organisation auprès de son personnel, de ses actionnaires et de sa clientèle en démontrant son attitude proactive. Mentionnons entre autres avantages l'amélioration globale de l'efficacité de l'organisation et la détermination des relations entre les ressources matérielles, humaines et financières et les services et biens livrables essentiels.

Pourquoi est-il important de planifier la continuité des activités?

Toute organisation est à risque de subir une catastrophe, y compris :

L'élaboration et le maintien de la PCA aident à assurer à l'organisme les ressources et l'information nécessaires pour intervenir dans ce genre de situation d'urgence.

L'élaboration d'un plan de continuité des activités (PCA)

Un plan de continuité des activités se divise généralement en cinq sections :

  1. La régie du PCA.
  2. L'analyse des répercussions sur les activités (ARA).
  3. Les plans, les mesures et les dispositions pour la continuité des activités.
  4. Les procédures d'intervention immédiate.
  5. Les techniques d'assurance qualité (exercices, entretien et vérification).

L'établissement des responsabilités

Un plan de continuité des activités contient une structure de régie, souvent sous la forme d'un comité, qui assure le respect des engagements de la haute gestion et définit le rôle et les responsabilités de ses membres.

Le comité de gestion supérieure de la planification de la continuité des activités est responsable de la supervision, de la mise en marche, de la planification, de l'approbation, de la mise à l'essai et de la vérification du PCA. Il en assure également la mise en œuvre, en plus de coordonner les activités, d'approuver l'enquête sur l'ARA, de superviser l'élaboration de plans de continuité et d'examiner les résultats des activités d'assurance de la qualité.

Normalement, la haute gestion ou le comité de la planification de la continuité des activités :

Le comité de la planification de la continuité des activités est normalement formé des membres suivants :

L'analyse des répercussions sur les activités

L'ARA a pour but de déterminer le mandat de l'organisation ainsi que ses services ou produits essentiels; d'établir l'ordre de priorité des services ou produits à prestation continue ou à rétablissement rapide; de déterminer les effets des interruptions à l'interne et à l'externe.

La détermination du mandat et des aspects essentiels de l'organisation

Cette étape consiste à déterminer quels biens ou services doivent être maintenus. On peut obtenir cette information à partir de l'énoncé de mission de l'organisation et des exigences juridiques concernant la prestation de services et produits particuliers.

La priorisation des services ou produits essentiels

Une fois que l'on a identifié les services ou produits essentiels, il faut établir leur ordre de priorité en fonction des niveaux minimaux de prestation acceptables et de la durée maximale pendant laquelle on peut interrompre le service avant qu'il n'en résulte des dommages graves pour l'organisation. Pour déterminer l'ordre de priorité des services essentiels, il faut obtenir de l'information permettant d'évaluer l'impact d'une interruption aux plans de la prestation des services, de la perte de revenus, des dépenses supplémentaires et des pertes irrécupérables.

La détermination des effets des interruptions

L'effet créé par l'interruption d'un service ou d'un produit essentiel détermine combien de temps l'organisation pourrait fonctionner sans ce service ou produit et combien de temps la clientèle accepterait qu'il ne soit pas offert. Il faudra déterminer pendant combien de temps un service ou produit pourrait manquer avant que des effets graves ne se fassent sentir.

La détermination des secteurs ou une perte de revenu est possible

Pour déterminer la perte de revenu, il faut déterminer lesquels des procédés et fonctions qui soutiennent la prestation des services ou des produits sont en cause dans la production des revenus. En l'absence de ces procédés et fonctions, y a-t-il perte de revenu? De combien? S'il est impossible de fournir des services ou des biens, l'organisation subira-t-elle une perte de revenu? Dans l'affirmative, à combien se chiffrera la perte, et pour combien de temps? Si la clientèle n'a pas accès à certains services ou produits, s'approvisionnera-t-elle chez un autre fournisseur, entraînant des pertes supplémentaires?

La détermination des dépenses additionelles

Si une fonction ou un procédé commercial est inopérant, combien de temps faudra-t-il avant que les dépenses additionnelles commencent à s'accumuler? Combien de temps pourra-t-on se passer de cette fonction avant de devoir embaucher du personnel supplémentaire? Y aura-t-il une amende ou une pénalité à payer pour avoir manqué à des responsabilités juridiques, à des ententes ou pour infraction à un règlement gouvernemental? Si tel est le cas, quel est le montant de la pénalité?

La détermination des pertes incorporelles

Il faut procéder à des estimations afin de déterminer le coût approximatif de la perte de confiance de la part des clients et des investisseurs, des dommages à la réputation, de la perte de concurrentialité, de la baisse des parts du marché et de la violation de lois et de règlements. La perte de l'image ou de la réputation a une importance particulière pour les organismes publics, car on a souvent la perception qu'ils ont des normes plus strictes.

Les exigences relatives à l'assurance

Comme peu d'organisations ont les moyens de payer le plein prix d'un rétablissement, le fait de détenir une police d'assurance assure le financement complet ou partiel du rétablissement.

Lorsque l'on examine les choix d'assurance, il faut décider quelles menaces couvrir. Il est important de s'aider de l'ARA pour décider aussi bien ce qu'il faut protéger par une assurance que le montant de la couverture correspondante. Certains aspects d'une organisation pourraient être trop ou trop peu assurés. Il convient donc de réduire au minimum le risque de ne pas prendre un scénario en compte et d'assurer une couverture pour toutes les éventualités.

Documentez le degré de couverture de la police d'assurance de votre organisme, et trouvez les lacunes de la police quant aux secteurs non assurés et aux niveaux de couverture non précisés. L'assurance des biens ne couvre peut-être pas tous les risques (explosion de vapeur, dommages causés par l'eau, dommages résultants d'une accumulation de glace et de neige non déblayée par le propriétaire). La couverture de ces éventualités est généralement possible par un avenant à la police.

Lorsque l'on dépose une demande de règlement ou que l'on parle à un expert en sinistres, la clarté de la communication et de la compréhension est importante. Assurez-vous que l'expert en sinistres comprend la durée prévue avant le rétablissement complet lorsque vous

documentez des pertes. C'est le titulaire de la police qui a le fardeau de la preuve quand il dépose une demande de règlement, ce qui exige une documentation valide et précise.

Mettez à contribution un expert ou une équipe d'assureurs dans l'élaboration du plan d'intervention.

L'ordre de priorité

Une fois recueillis et assemblés tous les renseignements pertinents, on peut établir l'ordre de priorité des services ou produits essentiels de l'organisme. L'ordre de priorité repose sur la perte éventuelle de produits d'exploitation, la durée du rétablissement et la gravité des effets que causerait une interruption. On détermine alors des niveaux de service minimaux et des durées maximales d'interruption.

La détermination des relations de dépendance

Il est important de déterminer les relations de dépendance internes et externes des services ou produits essentiels, car la prestation des services repose sur ces relations.

Les relations de dépendance internes comprennent la disponibilité du personnel; les actifs de la société, notamment l'équipement, les installations, les applications informatiques, les données, les outils, les véhicules; et les services de soutien tels les services financiers, les ressources humaines, la sécurité et le soutien en technologies de l'information.

Les relations de dépendance externes comprennent les fournisseurs; les actifs externes de la société tels que l'équipement, les installations, les applications informatiques, les données, les outils, les véhicules; et les services de soutien extérieurs tels que la gestion des installations, les services publics, les communications, les transports, les institutions financières, les assureurs, les services gouvernementaux, les services juridiques et les services de santé et sécurité.

Les plans pour la continuité des activités

Cette étape consiste à préparer des plans et des dispositions détaillés d'intervention et de rétablissement afin d'assurer la continuité. Ces plans et dispositions décrivent en détail les façons et moyens d'assurer la prestation des services et produits essentiels à un niveau de service minimal avec une durée d'interruption tolérable. Il faut établir un plan de continuité pour chaque service ou produit essentiel.

L'atténuation des menaces et des risques

Les menaces et les risques sont définis à l'ARA ou dans une évaluation complète des menaces et des risques. L'atténuation des risques est un processus permanent qui doit se poursuivre même si le PCA n'est pas activé. Par exemple, si une organisation a besoin d'électricité pour sa production, elle peut atténuer le risque d'une panne de courant de courte durée en installant des génératrices d'appoint.

Une organisation qui dépendrait de télécommunications internes et externes pour fonctionner efficacement serait un autre exemple. On peut réduire au minimum les pannes de communications en utilisant des réseaux de communications de remplacement ou en installant des systèmes redondants.

L'analyse de la capacité de rétablissement actuelle

Examinez les dispositions de rétablissement déjà mises en place par l'organisation et vérifiez si elles sont applicables en permanence. Si elles sont pertinentes, intégrez-les au PCA.

L'élaboration de plan de continuité

Les plans de continuité des services et produits reposent sur les résultats de l'ARA. Veillez à ce que des plans soient en place pour faire face à divers degrés de gravité des effets d'une interruption. Par exemple, s'il se produit une inondation près des locaux de l'organisation, on pourra intervenir en installant des sacs de sable. Si l'eau s'élève jusqu'au rez-de-chaussée, on pourra déménager les activités dans un autre immeuble ou aux étages supérieurs du même édifice. S'il s'agit d'une inondation grave, la meilleure solution pourrait être de déménager les fonctions essentielles de l'entreprise dans un autre secteur jusqu'à ce que la situation revienne à la normale.

Une entreprise pourrait faire le suivi de son inventaire sur des formulaires papier pendant que l'on répare les ordinateurs ou les serveurs ou en attendant que le courant électrique soit rétabli. Dans certains établissements comme les grandes sociétés financières, une interruption informatique serait jugée inacceptable; il faudrait alors recourir à des sites de remplacement et à une technologie de duplication des données.

Il faut prendre en compte les risques et avantages associés à chaque option qu'on pourrait intégrer au plan, en gardant à l'esprit les coûts, la souplesse et les scénarios d'interruption possibles. Pour chaque service ou produit essentiel, choisissez les options les plus réalistes et les plus efficaces lors de l'élaboration du plan général.

La préparation à l'intervention

Pour bien réagir à une crise, l'organisation doit mettre sur pied des équipes qui dirigeront et soutiendront les activités de rétablissement et d'intervention. Ces équipes doivent se composer de membres du personnel bien au fait de leurs responsabilités et ayant la formation et l'expérience nécessaires.

Le nombre et la taille des équipes dépendent de la taille, de la fonction et de la structure de l'organisation. Voici quelques suggestions :

Il faut définir les tâches et responsabilités de chaque équipe, y compris la composition et la hiérarchie de l'équipe, ses tâches précises, le rôle et les responsabilités de ses membres, la liste des personnes et organismes ressources et le nom de substituts possibles.

Pour que les équipes puissent fonctionner même en cas de perte ou de non-disponibilité de certains de leurs membres, il pourra s'avérer nécessaire de constituer des équipes multitâches et d'assurer une formation réciproque entre les équipes.

Les installations de remplacement

Une organisation doit disposer d'installations de remplacement au cas où elle perdrait ses installations principales ou ses actifs, réseaux et applications des technologies de l'information. Il existe trois types d'installations de remplacement :

  1. Une salle blanche (ou vide) est une installation de remplacement qui n'est ni aménagée ni équipée de façon opérationnelle. Il faut installer l'équipement et les aménagements nécessaires avant de démarrer les activités, et il faut beaucoup de temps et d'efforts pour rendre une salle blanche complètement opérationnelle. La salle blanche est l'option la moins coûteuse.
  2. Un centre de relève est une installation de secours déjà préparée sur le plan électronique et presque entièrement équipée et prête à fonctionner. Il faut encore plusieurs heures pour le rendre complètement opérationnel. Un centre de relève coûte plus cher qu'une salle blanche.
  3. Un centre de relève immédiate est entièrement équipé, aménagé et souvent même doté en personnel. On peut l'activer en quelques minutes, voire en quelques secondes. Le centre de relève immédiate est l'option la plus coûteuse.

Lors de l'examen du type d'installation de secours à retenir, tenez compte de tous les facteurs, y compris des menaces et des risques, du temps d'interruption maximal tolérable et des coûts.

Pour des raisons de sécurité, certaines organisations disposent de centres de secours renforcés. Les centres renforcés offrent des fonctions de sécurité qui réduisent les interruptions au minimum. Ils sont par exemple dotés d'une alimentation de secours, d'une capacité de produire des copies de sécurité, d'un haut niveau de sécurité physique et d'une protection contre la surveillance et l'intrusion électroniques.

Les procédures d'intervention immédiate

La formation

La mise en œuvre des plans de continuité des activités peut se faire en douceur et avec efficacité :

Les exercices

Après la formation, il faut élaborer et exécuter des exercices afin d'atteindre et de maintenir un haut niveau de compétence et de préparation. Bien que les exercices coûtent cher en temps et en ressources, ils constituent la meilleure méthode de validation d'un plan. La planification d'un exercice doit prendre en compte les points suivants :

Le but
La portion de la PCA à mettre à l'essai.
Les objectifs
Les résultats prévus. Les objectifs doivent poser des défis et être bien définis, mesurables, réalisables, réalistes et opportuns.
La portée
Identifie les services et les organisations touchés, l'aire géographique concernée, ainsi que les conditions et la présentation de l'essai.
Les aspects artificiels et hypothétiques
Définissent quels aspects de l'exercice sont artificiels ou hypothétiques : les renseignements contextuels, les procédures à suivre, l'équipement disponible.
Les directives aux participants
Expliquent aux participants que l'exercice leur donne l'occasion de mettre les procédures à l'essai avant que survienne une véritable catastrophe.
L'énoncé de l'exercice
Donne aux participants les renseignements contextuels nécessaires, décrit le milieu et prépare les participants à agir. Il est important d'inclure des facteurs tels que la durée, le lieu, la méthode de découverte et la séquence des événements, la question de savoir si les événements sont terminés ou toujours en cours, les rapports préliminaires sur les dommages et les conditions extérieures.
Les communications aux participants
On peut rehausser le réalisme de l'exercice en donnant aux participants l'accès à des personnes à contacter en cas d'urgence, qui participeront aussi à l'exercice. On peut également communiquer des messages aux participants pendant l'exercice afin de modifier les conditions ou d'en créer de nouvelles.
La mise à l'essai et l'évaluation après l'exercice
Surveiller le déroulement de l'exercice de façon impartiale afin de déterminer si l'on a atteint les objectifs. Évaluer le rendement des participants, notamment leur attitude, leur esprit de décision, le commandement, la coordination, la communication et le contrôle. Le compte rendu doit être bref, mais complet; on expliquera ce qui a fonctionné ou non, en mettant l'accent sur les réussites et les possibilités d'amélioration. L'évaluation de l'exercice doit aussi tenir compte des observations des participants.

On peut aussi rehausser le niveau de complexité de l'exercice en le concentrant sur un aspect du PCA plutôt que d'y faire participer toute l'organisation.

Les techniques d'assurance de la qualité

L'examen du PCA doit évaluer l'exactitude, la pertinence et l'efficacité de la planification. Il doit aussi déceler les aspects du PCA à améliorer. L'évaluation continue du PCA est essentielle au maintien de son efficacité. Cette évaluation peut être confiée à un examen interne ou à un vérificateur externe.

L'examen interne

On recommande aux organisations d'examiner leur PCA :

La vérification externe

Normalement, les consultants qui examinent les PCA vérifient :

Que faire en cas d'interruption?

Le traitement d'une interruption se fait en trois étapes :

  1. l'intervention
  2. la continuité des services essentiels
  3. le rétablissement et la remise en état

L'intervention

L'intervention en cas d'incident consiste à déployer des équipes, des plans, des mesures et des arrangements. La phase de l'intervention comprend la réalisation des tâches suivantes :

La gestion de l'incident

La gestion de l'incident comprend les mesures suivantes :

La gestion des communications

La gestion des communications est essentielle pour maîtriser les rumeurs, pour maintenir le contact avec les médias, les services d'urgence et les fournisseurs et pour rassurer le personnel, le public et les autres groupes touchés. Les exigences de la gestion des communications pourraient nécessiter l'intégration de redondances aux systèmes de communications et l'élaboration d'un plan de communications afin de répondre adéquatement à tous les besoins.

La gestion des activités

On peut se servir d'un centre des opérations d'urgence (COU) pour gérer les opérations dans l'éventualité d'une interruption. En disposant d'un COU où coordonner, gérer et documenter l'information et les ressources, on peut assurer une intervention plus efficace.

La continuité

Veillez à ce que tous les services ou produits essentiels asservis au temps soient assurés sans interruption et évitez toute interruption d'une durée intolérable.

Le rétablissement et la remise en état

Les activités de rétablissement et de remise en état ont pour but de rétablir l'installation ou les activités et de maintenir la prestation des services ou des produits essentiels. Le rétablissement et la remise en état comprennent les tâches suivantes :

Conclusion

L'impossibilité d'assurer la prestation de services et de produits essentiels peut avoir de graves conséquences. Une organisation mal préparée s'expose à des risques et à des catastrophes éventuelles. Un plan de continuité des activités est un outil qui permet aux organismes non seulement d'atténuer les risques, mais aussi d'assurer la prestation continue de produits et de services malgré une interruption.

Autres sources de conseils

Pour plus de renseignements sur la planification de la continuité des activités, vous pouvez visiter les sites Internet des organisations suivantes :


ISBN 0-662-88618-6
Numéro de catalogue D82-37/2003F-IN
Ministre des Travaux publics et Services gouvernementaux Canada

Date de modification :