Vous êtes sur la page 1sur 36

Plan deContinuit dActivit pourlesPME/PMI delargionCentre

O Ou ut tiillm m t th ho od do ollo og giiq qu ue e


Outil mthodologique - PCA rgion Centre - 2010

Avertissement
Ce document n'a pas t soumis la procdure d'homologation et ne peut tre en aucun cas assimilunenormefranaise.Sonutilisationestvolontaire. Leprsentdocumentreprsenteleconsensusobtenuparungrouped'acteursindividuelsoucollectifs et identifis dans ce document. Ce document, prsent, rdig et mis en point l'initiative d'AFNOR, constitueuneuvrecollectiveausensduCodedelaPropritIntellectuelle. Le prsent document bnficie de la protection des dispositions du Livre 1er du Code de la Proprit Intellectuelle relatif la proprit littraire et artistique. Toute reproduction sous quelque forme que cesoitestunecontrefaonettoutecontrefaonestundlit.

Page2sur36

Outil mthodologique - PCA rgion Centre - 2010

Avantpropos
En rponse lappel projets de la DIRECCTE (ex DRIRE) du Centre PME/PMI et TIC : Vers Un Systme Informatique Efficace, Fiable Et Scuris, la dlgation rgionale Centre dAFNOR propose une action collective qui a pour objet de valider et de diffuser aux PME/PMI du Centre des bonnes pratiques et des mthodes pour llaboration dun Plan de Continuit dActivit (PCA) dans le cadre de sinistres ou de situationsrisques. Cetteactioncollectivesinscritdansunelogiquedaccompagnementde la mise en uvre de technologies dinformation et de communication au sein des entreprises et plus particulirement des petites et moyennesorganisations. L'ensemble de ce projet est prsent et expliqu l'occasion du colloquergionalle30septembre2010Orlans.

Page3sur36

Outil mthodologique - PCA rgion Centre - 2010

REMERCIEMENTS Laralisationdecedocumentatrendupossiblegrcel'investissementetla collaborationdespersonnessuivantes:


ClineHUAULT (succdantPierreHAUTEVILLE) JeanFranoisLEGENDRE NicolasSCUTO FrdricSOLBES PascalJAY AnneYOUF GeorgesNOVO JeanMarcRIGAULT PierreGELINEAU EmmanuelFILLON OlgaGUITTON PatrickALBERT (succdantMarieLaureCAZAURAN) JulieJEUFFRAULT AdelineMEREY IsabelleMERLET LaetitiaDAUXERRE PhilippeMERCIER BrunoHamon DIRECCTECentre

AFNORNormalisation

AFNORrgionCentre ARTENAYCEREALS AUBRILA FILLONTECHNOLOGIES MEDEFCENTRE ORYALIS

SAINTMICHELCONTRES

TPC45 PrsidentdelaplateformePCAnationale

Page4sur36

Outil mthodologique - PCA rgion Centre - 2010

SOMMAIRE 1. LECONTEXTEDUPCA .........................................................................................8


1.1. 1.2. 1.3. 1.4. Domained'application .................................................................................... 8 Contextenormatif........................................................................................... 9 Termesetdfinitions .................................................................................... 11 EnjeuxduPCApourlesPME/PMI.................................................................. 13

2.

METHODESETPROCEDURES ............................................................................14
2.1. 2.2. Planifierl'tudedudiagnostic ....................................................................... 16 Formaliserlardactionduprojet .................................................................. 17

3.

REDIGERLEPCA................................................................................................21
3.1. 3.2. 3.3. 3.4. Lediagnostic ................................................................................................. 21 L'Analysedescarts ...................................................................................... 25 Formaliserlesexigences................................................................................ 27 LePCAoprationnel...................................................................................... 29

4.

RECOMMANDATIONS ......................................................................................35

Page5sur36

Outil mthodologique - PCA rgion Centre - 2010


TABLESDESILLUSTRATIONS

Modle1:Exempledorganisationdu"PCARfrentieldeBonnesPratiques"..................... 9 Modle2:Modledecycledeviedesdonnes .................................................................... 14 Modle3:Etapesdudiagnostic ........................................................................................... 15 Modle4:Lepland'actionstratgique ................................................................................ 19 Modle5:Lepland'actionoprationnel .............................................................................. 19 Modle6:Reprsentationdupland'action.......................................................................... 20 Modle7:AnalysedescartsEtudedecas:informatiquedegestion................................ 25 Modle8:Exempledematricedescarts ............................................................................ 26 Modle9:Desenjeuxauxexigences .................................................................................... 27 Modle10:InteractionentrelaDSIetlesservicespourlesenjeuxdepriorit1 ................... 28 Modle11:QuandactiverunPCA? ..................................................................................... 29 Modle12:Processusdegestiond'unPCA........................................................................... 30

Page6sur36

Outil mthodologique - PCA rgion Centre - 2010


DOCUMENTSDEREFERENCE

Documentspublics

Rfrentiel de Bonnes Pratiques BP Z74700, Fvrier 2007 (en cours de rvision pourfin2010). ConventionDIRECCTE(exDRIRE)rgionCentre.

Documentsderfrencedisponiblesl'achat

BS259991:2006Codeofpracticeforbusinesscontinuitymanagement BS259992:2007"Specificationforbusinesscontinuitymanagement". ISO PAS 22399:2007 "Scurit socitale Lignes directrices pour tre prpar un incidentetgestiondecontinuitoprationnelle". ISO90012008"SystmesdemanagementdelaqualitExigences". ISO/CEIsrie27000"Technologiesdel'informationTechniquesdescurit". ISO/CEI Guide 73:2009 "Management du risque Vocabulaire Principes directeurspourl'utilisationdanslesnormes". ISO/IEC 27001 pour les PME Conseils pratiques (Guide ISO/IEC ISBN 9789267 205175)

Page7sur36

Outil mthodologique - PCA rgion Centre - 2010

1. LECONTEXTEDUPCA
1.1. Domained'application
Les grandes entreprises sont les premires avoir pris conscience de limportance de savoir grer des situations risques par rapport leur systme dinformation par le fait mme de leur type d'organisation dite "tendue" (filiales et partenaires multiples ncessitant des changes d'information frquents dans un environnement tendant vers l'interoprabilit). Dans ce cadre conomique ncessitant une information globalise, l'ensemble des acteurs conomiques de la chaine de valeur est incit, voire oblig par un donneur d'ordre,dployerdesmoyensdecommunicationcompatiblessouspeined'treisol. Mais l'augmentation de la multiplicit et l'ouverture des supports d'changes d'informations rend de fait ces organisations beaucoup plus sensibles des dysfonctionnements (exemples : panne du systme informatique, piratage des donnes) et impose la mise en place d'une stratgie de continuit d'activit (d'aucun parle de rsilience). Enjeu d'une vritable politique dans les grandes entreprises (secteur aronautique, automobile, agroalimentaire), un tel dploiement de moyens est difficilement envisageable pour une PME/PMI structurellement autonome o les moyens humains sontcomptsetvisentprioritairementlaproductivitcourtterme. Aussi, un accompagnement est ncessaire pour les aider envisager des lments de rponses oprationnels opposer des risques potentiels. La continuit dactivit est issuedeleursrflexionsstratgiques. A ce jour, sans incitation daucune sorte, les PME/PMI ignorent pour la plupart lintrt de mettre en place et de maintenir oprationnel un PCA. Plus gnralement, elles engagent peu de rflexion sur leurs risques en matire de systmes dinformation au sens large du terme. La dmarche en matire de scurit de linformation et de protectiondesdonnesdelentrepriseestengnralembryonnaireetnonstructureen termes de bnfices/cots/impacts. Il convient par les financements publics daider un petit nombre de PME/PMI montrer lexemple pour favoriser un effet dentranement. Laction collective prsente par AFNOR propose, sur la base dune exprimentation auprs de 10 PME/PMI de la rgion Centre, dlaborer, de valider puis de mettre disposition de toutes les PME/PMI de la rgion Centre une mthode de formalisation et dvaluationdesPlansdeContinuitdesActivits(PCA). Cette mthode de formalisation pourra inspirer d'autres groupements d'intrts conomiquesrgionauxenFrance.

Page8sur36

Outil mthodologique - PCA rgion Centre - 2010

1.2. Contextenormatif
Jusqu ce jour, il nexistait aucune norme indiquant le niveau de fiabilit entre lanalyse des besoins utilisateurs et la solution choisie et implmente par une organisation pour rtablir son activit aprs un sinistre. Un premier travail a t ralis en 2006, mais certaines de ses caractristiques sont difficilement intgrables en l'tat, principalement parce qu'elles s'adressent de grandes entreprises tendues (exemple : services et production dcentraliss, outils informatiques surmesure, soustraitance tendue, filialesl'tranger). Leschmaciaprsillustrenanmoinsdemanireclairecequepourraittreleprocessus degestionorganisationnelled'unPCAauseind'uneorganisationprofessionnelle. Modle1:Exempledorganisationdu"PCARfrentieldeBonnesPratiques" COPIL
Comit de Pilotage (Communication, Stratgie, Logistique, Ressources Humaines)

Plan de continuit des Oprations

PCO

PCIT
Plan de Continuit / Reprise Informatique & Tlcoms

Informatique & Tlcoms Moyens de production Moyens Transverses

Ainsi, si l'on souhaite impliquer l'ensemble des entreprises, d'ailleurs, pour certaines, partenaires de ces grands groupes, il convient d'adapter ce rfrentiel aux besoins des petitesetmoyennesentreprises.

Page9sur36

Outil mthodologique - PCA rgion Centre - 2010

Un Plan de Continuit dActivit pourra couvrir, par exemple, des aspects touchant lenvironnementmmedelimplantationdunoudeplusieurssites,lorganisationdans sa globalit, un dpartement, aux processus mtiers, une application, en cas dindisponibilitprovisoireoupermanenteduserviceauxutilisateurs.

Page10sur36

Outil mthodologique - PCA rgion Centre - 2010

1.3. Termesetdfinitions
En complment des documents normatifs rfrencs page 7, voici quelques termes et expressionutilissdanscedocument.
CCO CODIRGroupe DMIA PCA PCIT PCO PDMA PRA CelluledeCriseOprationnelle ComitdeDirectionGroupe DureMaximaled'InterruptionAdmissible PlandeContinuitd'Activit PlandeContinuitInformatiqueetTlcommunication. PlandeContinuitOprationnel PertedeDonnesMaximaleAdmissible PlandeReprisedActivit

Cycledeviedesdonnes(voir2Mthodesetprocdures) 1.Productiondesdonnes Cette tape comprend toutes les activits lies la planification, la collecte, au traitement, lanalyse et la maintenance des donnes dans le cadre du projet de rechercheinitial.Parmicesactivitsfigurent:

laslectionduneconceptiondtude, llaborationdoutilspourlacollectedesdonnes, lacollecteoulacrationdesdonnes, laprparation,lavrificationetlavalidationdesdonnes, lanalysedesdonnes, lasauvegardedesversionsdedonnes, laprparationetlebalisagedesmtadonnes.

2.Diffusiondesdonnes Cette tape comprend la prparation des donnes pour lutilisation par autrui et ltablissement de procdures et de mthodes pour la diffusion des donnes. Afin dtre comprhensibles, les donnes doivent tre accompagnes de mtadonnes descriptives accessibles dans des formats rpandus. Les donnes doivent galement

Page11sur36

Outil mthodologique - PCA rgion Centre - 2010

tre disponibles dans des formats communment utiliss, et des mcanismes doivent tre en place pour assurer les niveaux appropris daccs, selon les restrictions relatives la scurit, la protection des renseignements personnels ou la proprit intellectuelle. 3.Gestionlongtermedesdonnes Cette tape comprend les activits de soutien la conservation qui assurent laccs long terme aux donnes de recherche. Le travail de dveloppement des collections de donnesestessentielcettetapeetfaitpartieintgrantedelagestiondelaccsaux donnes de recherche. Laccs long terme ne sera possible quavec le concours de saines pratiques de conservation. Parmi ces activits figurent lvaluation, la slection, le dpt ou labsorption des donnes dans un dpt, lassurance de lauthenticit, la gestion de la collecte des donnes et des mtadonnes, lentretien des mdias numriquesetlamigrationdesdonnesversdenouveauxmdiasnumriques. 4.Recyclagedesdonnes On reconnat de plus en plus les donnes comme un atout prcieux pour la recherche dont la valeur dpasse lobjectif vis initialement. Cette tape comprend des mcanismes et des activits qui permettent la dcouverte et la rutilisation des donnes. Quil s'agisse de rpter des constatations antrieures ou de traiter des questions de recherche non explores, les outils de dcouverte sont ncessaires pour repreret rcuprer les donnes pertinentes. Le recyclage des donnes, qui comprend la cration de nouvelles donnes en combinant les donnes appropries provenant dunevaritdefichiersexistants,estenvoiedmergercommenouvellemthode.Le recyclage des donnes gnre galement de nouveaux produits de donnes qui nexistaient pas auparavant. Parmi les activits de cette tape figurent llaboration et le soutien des outils de recherche qui utilisent des mtadonnes normalises, lharmonisation du codage des donnes pour des variables prcises, la cration de nouvelles mthodes de combinaison des donnes, ainsi que la gnration et la rcolte denouvellescollectionsdedonnes.

Page12sur36

Outil mthodologique - PCA rgion Centre - 2010

1.4. EnjeuxduPCApourlesPME/PMI
Auquotidien,lentrepriseestamenegrerdessituationsimprvuespouvantavoirdes consquences sur son activit et entraner des pertes dexploitation importantes. Les causes peuvent tre multiples et les impacts peuvent tre financirement lourds ; de la perte d'informations de gestion jusqu'au remplacement du systme informatique en cas dedestructiondelocaux. Tous ces vnements peuvent provoquer au mieux des complications d'exploitation (mineuressiellessontcirconscritesunservice),aupireunemiseendangerdelaviede l'entreprise. Ainsi, lentreprise doit se concentrer sur la continuit de chacun de ses services dont les contraintes verticales (par mtier) et transversales (transfert d'informations) sont susceptiblesd'tremieuxapprhendes. Pour ce faire, les entreprises peuvent mettre en uvre un Plan de Continuit dActivit (PCA). Lobjectifdelaprsenteactioncollectiveestdaiderles10entreprisespartenaires: valider par consensus une mthode consistant formaliser les besoins justifiantunPlandeContinuitdactivit, valideruneprocduredetestdeleurPlandeContinuitdActivit, enfin diffuser trs largement l'outil mthodologique valid en vue d'inciter les autresPME/PMIformaliserleurproprePCAsurunebaserobuste. A notre connaissance, aucune action daccompagnement dentreprises similaire na adresslesPCAcejour. Lespagessuivantesproposentdesmthodesetprocduresoprationnelles.

Page13sur36

Outil mthodologique - PCA rgion Centre - 2010

2. METHODESETPROCEDURES
Ladfinitiond'unPCAtrouvesonsensdanslamesureoleprincipedemiseenuvre rpondcertainesconditionsfondamentales.

LeprincipeduPCArpondunobjectifclair

En matire de systme d'information, le PCA a pour objectif d'assurer la rsilience des donnesencasdecrisemajeure. Le modle ciaprs illustre le cycle de vie des donnes. Divis en quatre tapes principales, ce modle peut fournir un cadre pratique pour la future analyse des carts (voir3.2). Modle2:Modledecycledeviedesdonnes (Lesdfinitionsdestermesduschmasontau1.3)

LeprincipeduPCAestacceptable

Lamiseenuvred'unPCAdoittreunmoyend'actionapriorijugbnfiqueparet pourlespersonnelsquidoiventlemettreenuvre,quellequesoitl'originedela demande(interneouexterne); Cetteconvictiondoittrepartagepourunemiseenuvreralisable.

Page14sur36

Outil mthodologique - PCA rgion Centre - 2010

LeprincipeduPCAestralisable

La mise en uvre du PCA rclame la mobilisation et le contrle de ressources improductives.Ainsi,ilconvientdes'assurerquelePCA:


estcorrectementdimensionn, esttenujour, peut tre excut tout moment avec les moyens prvus initialement (valid paruntest).

Ainsi, pour dcider d'engager un projet de PCA sur la base d'objectifs clairs, la connaissancedel'entrepriseestfondamentale: au niveau des grandes orientations de sa stratgie interne (ex : nouveaux outils d'information avec risques de d'erreurs) et externe (ex : adaptation aux procduresd'unnouveauclientmajeur); etdesonhistorique(crisespasses,potentiellementrenouvelables). Modle3:Etapesdudiagnostic

Page15sur36

Outil mthodologique - PCA rgion Centre - 2010

2.1. Planifierl'tudedudiagnostic
Lapremireapprocheproposeconsisteplanifierl'tudeafindedfinirlecontexteet laporteduprogrammeconduisantl'objectiffix. Pourmenerbienunetelletude,ilestconseill:

denommerlapersonnepilotedel'tude(ex:responsableQualit,responsable dusystmed'information); de nommer le rdacteur de l'tude (cette tche peut tre soustraite un consultantouunstagiaireadhoc);

et de lui attribuer des ressources suffisantes (en temps, en matriel, en collaborateurs).

Lobjectif de ce chapitre est de proposer un plan rdactionnel afin de dcrire les conditionsoprationnellesdegestiondelacrise.

Page16sur36

Outil mthodologique - PCA rgion Centre - 2010

2.2. Formaliserlardactionduprojet
2.2.1. Lesciblesduprojet
L'laboration du PCA passe ncessairement par un ensemble de documents dcrivant les diffrentes phases ainsi que les ressources (humaines, matrielles et financires) affectesauPCA.Ilconvientaupralabledes'assurer: quelesinformationsproviennentdesourcesfiables

quelesdmonstrationsetargumentsadressentlesbonsvalideurs.

A cet gard, les diffrents contenus des documents doivent clairement spcifier leur destinataire.Adfaut,lerdacteurduprojetrisquedeperdredevuelesobjectifsetles enjeux. Le modle de tableau suivant est un exemple d'outil utiliser lors de la prparation du projetPCAensynthtisantl'originedessourcesetlavalidation. Chaquecasepourraventuellementidentifierson(ses)responsable(s). Exemple:Validation(notVal)etSource(notSour)selonlethmedescontributions Cible Thmedescontributions
I. II. III. IV. V. VI. VII.

Direction Gnrale Val Val Val Val Val Val Val

Responsable deservice Sour Sour Sour Sour Sour Val/Sour Val Sour Val/Sour

Personnel oprationnel Sour Sour Sour Sour

ObjectifgnralduPCA Ressourcesncessaires Pilotageduprojet Pland'action Diagnosticdel'organisation Enjeuxcritiques Exigencesfonctionnelles

VIII. Exprimentation IX. X.

Reportingd'aprscrise Misejourdesexigences

Page17sur36

Outil mthodologique - PCA rgion Centre - 2010

2.2.2. Lesenjeuxrdactionnelsdefond
Autrementappels"lesfondamentaux",ilappartientauresponsableduprojet:

de prouver l'utilit du PCA avec un diagnostic et des exigences fonctionnelles bnfiques,acceptablesetralisables; de dmontrer un gain de moyens (de temps, de financement) pour le comitdepilotagequidevraimplmenterlefuturPCA.

2.2.3. Lesenjeuxrdactionnelsdeforme
Eu gard au fait que ce guide de bonnes pratiques s'adresse aux PME/PMI, il est convenudeprivilgier:

laformerdactionnellepourdcrirelamthodologie; laformefonctionnelle(tableaux,logigramme,matrices)pourillustrer lesobjectifs lesenjeuxcritiquesetleursexigencesprocduralesoufonctionnelles.

2.2.4. Lepland'action
Ilvisestructurerleplandetravail.Larussiteduprojetdpendengrandepartiedela clartdesonarticulation. Ilconvientdedistinguernouveauxlacontraintedereprsentationdupland'action. Le plan d'action stratgique adress la direction gnrale doit tre synthtique et proposerlesthmesstratgiques.

Page18sur36

Outil mthodologique - PCA rgion Centre - 2010

Modle4:Lepland'actionstratgique Enjeuxstratgiquesdu projetPCA


I. II.

Objectifs

Echances

Jour Homme

EnjeuX EnjeuY

III. EnjeuZ

Par ailleurs, le plan d'action adress aux personnels oprationnels sera dtaill et viendraencomplmentdupland'actionstratgique. Ilexplicitechaquetcheenprcisantsonobjectif,sadureetlesmoyensdisponibles sonaccomplissement. Modle5:Lepland'actionoprationnel
Tche N T1. T2. T3. Titre Objectifsdelatche Responsable Contributeurs Interactions JH1 Echance

En complment de cette reprsentation du plan d'action oprationnel, il peut tre pertinent de recourir des outils du type diagramme de GANTT, facilitant la visualisationdansletempsdestchesintermdiairesduprojet.

JourHomme

Page19sur36

Outil mthodologique - PCA rgion Centre - 2010

Modle6:Reprsentationdupland'action
Tches T1. Gestion du projet PCA T2. Rapport Diagnostic et enjeux critiques T2.1. Informatique de gestion T2.2. Accs aux locaux T2.3. Dprdation matrielle T2.4. Rupture technologique T3. Rdaction du PCA Preuve du concept T4. Test Validation MM. MmeB Leader M.X M.Y MmeZ
VF

Mai S1 S2 S3 S4

Juin S5 S6 S7 S8

Juillet S9 S10 S11 S12


VF

Danscemodle, chaquetche(T)asonresponsable; chaquetcheestalimenteparlescontributions(T2.1)surdesthmesprcis; chaquetchefaitl'objetd'unrapportdiscutenrunion(bulledansle tableau); puislerapportestvalidetditenVersionFinale(VF);


Avantagesdeceprocessus: Mutualisationdesconnaissances, Dlaideproductionpluscourtquedanslecasd'uncontributeurunique.

Limites: DisponibilitrequisedescontributeursventuellementmalaisedansunePMI, Niveaudecomptenceexig(enanalyseetrdactionnelle)descontributeurs.

L'ensembledecesprrequisrclameunbudgetqu'ilconvientdedfiniraupralable (exprimparexempleenJourHomme). Cesprrequisrevtentuneimportancedterminantepourledroulementduprojet, quellequesoitladcisionfinale(actiond'implmenterlePCAounon).

Page20sur36

Outil mthodologique - PCA rgion Centre - 2010

3. REDIGERLEPCA
Dans la mesure o les exigences sont valides par la direction gnrale de l'entreprise, lardactionduPCApeuttremiseenuvre. La rdaction et la gestion dun PCA peuvent savrer lourde et dune productivit incertaine. Toutefois, la bonne conduite de l'tude pralable (le diagnostic) est dterminantepourcettenouvellephase.

3.1. Lediagnostic
Les thmatiques suivantes permettent au rdacteur d'organiser son rapport de diagnostic en commenant par une photographie des vnements jugs comme potentiellementcritiquesdanslavied'uneentreprise. Ces thmes peuvent tre ordonns sous forme de questionnaire puis faire l'objet d'un rdactionnelplusconsistant. La mthode retenue consiste avoir une approche par les enjeux globaux auxquels peut tre confronte l'entreprise, et non par des incidents potentiellement inhrents chaqueservicedansl'entreprise. La premire justification de ce choix rside dans la problmatique du PCA dans la mesureoiladresseleSystmed'Information.Ils'agitavanttoutd'uneproblmatique transversalepouruneorganisation. Lasecondejustificationestd'ordreempirique.UnPCAestunmoyendefairefaceune situation de crise. Or les situations de crise deviennent critiques pour l'entreprise lorsqu'elles atteignent plusieurs services (ex : gestion des commandes gestion des livraisonsgestiondelafacturationgestiondelatrsorerie). Ainsi, les pages suivantes dclinent une liste des enjeux (non exhaustifs) pour l'entreprise. Cettelistedoitpermettred'identifieretdeprioriserlesdiffrentsenjeux.

Page21sur36

Outil mthodologique - PCA rgion Centre - 2010

3.1.1. Lesvnementsdjsurvenusdanslentreprise
a. Yatildjeudescrises?Commentsesontellesmatrialises? b. Quellesenonttlescausesprincipales? dfaillancehumaine(absence,manquement,incapacit) dfaillancematrielle(dprdation,dfautderessources) 2 interneset/ouexternes(rupturetechnologiquemajeure ), c. Quelsenonttlesimpacts: pertedeCA, pertedUnitduvreUO(ex:Journe.Homme,Mois.Homme) retardsdelivraison, pnalits, nonremisedunappeldoffrequicomprometlobtentiondunnouveau march, retardsdereportingauxactionnaires, dficitdimagedemarque d. Dessolutionsontellesdjtenvisages/implmentes? Deslocaux/sitesdereplis? Unappareildeproductiondesecours? Desvhiculesdisponibles? e. Leressentieninterne f. Quellessontlesautresconsidrations/apriori?

3.1.2. Lagrancedel'entreprise
a. LagestionausensIntuituPersonae(capital,sarpartition,lefaitquellefasse partied'ungroupe,sanotoritcommerciale,sonsavoirfairetechnique,les avancesdesquipesdanstelouteldomainedelarecherche,lastratgiede sonquipedirigeante) b. Lagestionoprationnelle(dlgationdepouvoir,obligationderendre compte)

Casd'implmentationd'unoutilindustrielinnovantavecunimpactmajeursurdesprocessusmtier.

Page22sur36

Outil mthodologique - PCA rgion Centre - 2010

3.1.3. Lascuritdesdonnes
a. b. c. d. Quigrelesaccsauxdonnes? Quelssontlesniveauxd'accsauxdonnes? Osontstockslescodesd'accs? Lescodesd'accssontilsfiables?

3.1.4. Lesinfrastructuresmtier
e. Quelssontlenombreetlalocalisationdessites:sige,centresadministratifs etcentresdeproductions? f. Quelleestlarpartitiondesmtiers? g. Desactivitssontellessoustraites?

3.1.5. L'infrastructureinformatique
a. b. c. d. e. f. g. Commentlagestiondessauvegardesdesdonnessopretelle? Lamaintenancematrieletlogicielsopretelleparinfogrance? ExisteilunrseauLANentrelesdiffrentssites? Quelestloprateurtlcom? Desanalysesderisquesontellesdjtmenes? LaDSIdisposetelledeplusd'unsited'exploitationinformatique? Quidisposedesaccsauxinfrastructures?

3.1.6. Leslmentsmtiers
a. Existetildesobligationscontractuellescrantdesexigencesdecontinuit (pnalitsderetard,)? b. Existetildesobligationslgalesourglementaires(siteclass,autoritde tutelles,scuritcivile,)? c. Existetildeshabitudesdetravail/usagesparticuliers/obligationsde partenariataveccertainsclients? d. Quellessontlesactivits/mtiersidentifiscommestratgiques? e. Quelssontlespartiesintresses(clients/fournisseursBtoB,BtoC)et marchsidentifiscommestratgiques?

Page23sur36

Outil mthodologique - PCA rgion Centre - 2010

3.1.7. L'information
Lentrepriseestelleaccompagnedans: a. LasensibilisationllaborationdunPCA(4niveauxsontdistinguer):

Lecadragedesobjectifs Ladfinitiondesmoyens L'implmentationetlestests LeMCO(MaintienenConditionsOprationnelles)?

b. LauditdunPCAexistant?Sioui,quelniveau? c. LlaborationdunPCIT*? d. LauditdunPCIT? e. Laformation(activation,celluledegestiondecrise,outilsduPCA,etc.)?

Page24sur36

Outil mthodologique - PCA rgion Centre - 2010

3.2. L'Analysedescarts
L'analyse des carts est une technique utile pour dterminer les mesures prendre pourpasserd'untatcourantuntatsouhait.Cettetechniquepermetdemettreen exergue les lacunes dans un processus. Cette phase est importante pour formaliser (dduireetvaluer)lesexigencesduPCA. A des fins de clart, il est propos un outil d'analyse susceptible d'aider formaliser l'analysedescartsfondsurleslmentsmtiersduchapitreprcdent. Modle7:AnalysedescartsEtudedecas:informatiquedegestion
Cycledeviedes donnes 1. Etatactuel Production
Obligations contractuelles sousunformat prcis Saisieen tempsrel

Exploitation
EDI

GestionLong Terme
Archivagedes donnessur serveurinterne pendant10ans Sauvegarde horaire automatiquesous formatcompress Archivagedes documentsde gestion

Recyclage
Compressiondes donnesprincipales Suppressiondes donnesnoncritiques Lesdonnes principalesrestent accessiblestous Possibleselon l'isolementdu systme

2. Indicateurs de performance 3. Etatdecrise

Diffusionaux clientsaprs20h, chaquejourouvr +rcap.mensuelle Modedegestion manuellesur supportpapier.

PanneduSIde gestion

4. Niveau d'cart

Importancedel'enjeu Ecartconstat

;ElevModrFaible ;ElevModrFaible

1. Lesprocduresdechangementdesupportsnesontpasconnues. 2. Lesclientsontavertisaucasparcasdelapanneetduretarddetraitementde leurscommandes 3. Lessupportspapierdesecoursnesontpasstocksaummeendroitousont obsoltes.

Commentaire descarts

Page25sur36

Outil mthodologique - PCA rgion Centre - 2010

L'espace "Commentaire des carts" est complter synthtiquement et consciencieusement. Il est d'ailleurs conseill de marquer cette tape en discutant ce diagnostic lors d'une runion. Ce dbat sera l'occasion de faire valider la vision du rdacteur de l'tude par lesresponsablesdeservice. Cettevalidationdudiagnosticpeuttresynthtiseparexemplesousformematricielle (voir ciaprs), permettant ainsi de rvler l'importance d'un enjeu en situation de crise. Modle8:Exempledematricedescarts

+
Importance de lenjeu

Formationdes
personnelsfrontoffice

PannedelInformatique
degestion

Rupturetechnologique

Incendie

Dprdation Accsauxdonnes Arrtdesserveurs

Formationdespersonnels
backoffice

Ecart

(normal / crise)

Page26sur36

Outil mthodologique - PCA rgion Centre - 2010

3.3. Formaliserlesexigences
Le tableau ciaprs permet de prsenter les enjeux prioritaires mis en exergue par la matricedescartsexposedanslechapitreprcdent. Le rdacteur de l'tude peut proposer de formaliser tous les enjeux ou d'adresser uniquement certains enjeux selon leur niveau de priorit (ex : lister les enjeux priorit1). Entouttatdecause,ilconvientdevalidercettetapeenrunionafin:

devrifierencommunlapertinencedesenjeux, devrifierl'acceptabilitetleralismedesexigences.

Modle9:Desenjeuxauxexigences
Niveau de LesenjeuxprioritairespourlaDSI priorit Exigences(selonles objectifs)
Dvelopperle partenariatavec lefournisseur Formerun rfrentinterne

Services
Mthodes Productionet Ingnierie Logistique Administrationdes ventesetdesachats R&D Sallesserveurs R&D Systmedinformation ProjetsR&D/Gestion Directioncommerciale Administrationdes ventesJuridique Directiongnrale DirectionMarketing/ Communication

X X X X Y Y

Rupturetechnologiquelorsde l'implmentation d'unnouveaulogiciel d'unnouveauprocessus Pannedel'informatique degestioncommerciale degestiondesachats delaR&D L'accsauxlocauxsensiblesn'estpas scuris Lintgritdesdonnescritiquesde lentreprisesn'estpasassure Respecterunengagementcontractuel(ex.: obligationmanantd'unclient,d'une assurance,d'unconsortium) Commentetquoicommuniquerlorsd'un tatdecrise: eninterne(employs) etenexterne(verslesclients, fournisseurs,lesmarchs)

Limiterlesaccspar unetechnologietype

Page27sur36

Outil mthodologique - PCA rgion Centre - 2010

Dans la mesure o les enjeux prioritaires et leurs exigences ont t valids, il peut tre pertinentd'illustrerlesinteractionsentrelaDSIetlesautresservicesimpacts. Le modle suivant permet de visualiser un premier schma d'intervention selon les vnementscritiques. Cetexempledemodlepeuttredimensionnselontouttyped'organisation. LeslmentsspcifisdevronttreexplicitsdanslecorpsduPCAetfairel'objetd'une communicationformelleavecunedocumentationaccessible. Modle10:InteractionentrelaDSIetlesservicespourlesenjeuxdepriorit1 Services I. R&D EnjeuA EnjeuB EnjeuC Elev Elev Elev Elev Elev

II. MthodesProductionLogistique III. Achats IV. Ventes V. GestionFinancire VI. Marketing/Communication Elev

DSI

Page28sur36

Outil mthodologique - PCA rgion Centre - 2010

3.4. LePCAoprationnel
Le chapitre prcdent a permis d'apprhender les exigences fonctionnelles selon le niveaudesenjeuxcritiquespourl'organisation. La phase prsente a pour objectif d'aider dterminer le processus oprationnel du PCA.

3.4.1. Lagestiondecrise
On appelle gestion de crise la priode qui dbute avec la survenance dune alerte valuecommemajeure,jusqulaprisededcisiondactiverounonlePCA. LePCAestuneorganisationalternativequelentrepriseapplique,letempsderemdier lvnement perturbateur lorigine de lalerte, quand lorganisation par temps calmenestplusoprante. Modle11:QuandactiverunPCA?

La mise enuvre d'un PCA adressant par essence plusieursentits d'une organisation, il convient galement de dcrire et d'illustrer les interactions entre les diffrents servicesimpliqusauniveaudcisionneletoprationnel.

Page29sur36

Outil mthodologique - PCA rgion Centre - 2010

Modle12:Processusdegestiond'unPCA
Donnes dentre Anomalieou panne Fiche dvaluation dvnement Fiche dvaluation complte CCOrunie Proposition dactiverlePCA Dcision dactiverlePCA Procduresde secours(PCOet PCIT) Etatdel'activit restaure Testde restaurationdes conditions initialesOK Rapportde restauration Actions Dtecterunvnement perturbateur Enregistreret analyser Donnesdesortie AlerteauService Informatique Fichedvaluation complte Rsolutionduproblme ConvocationCCO MessageauCODIR Etatdeslieux Solutionsderepli Propositiondactiverle PCA Coordinateur/rapporteur delaCCOnomm ConvocationduCODIR DcisiondactiverlePCA Activitrestaure maintenuetitre provisoire. ReportingauCODIR Rapportderestauration Rapportdeclture Responsables Personneayant dtect lanomalie Responsable deservice Responsable deservice Responsable PCA CCO CCO Coordinateur rapporteur delaCCO DG CCO Oprationnels CCO CCO CODIR/CCO

Activit compromise?
Oui

Non

RunirlaCCO AlerterleCODIR

Proposerle PCA?
Oui

Non

Nommerle coordinateur/rapporteur delaCCO RunirleCODIRgroupe

Confirmerle PCA?
Oui

Non

ExcutiondesPCOetPCIT Contrlequotidiendelefficacit desPCOetPCITetdavancement duretourauxconditionsinitiales


Non

Restaurationprennedes conditionsinitiales Misejouretclturedu PCA

Page30sur36

Outil mthodologique - PCA rgion Centre - 2010

3.4.2. Letempscalme
Onappelletempscalmeletempsdurantlequellentrepriseestmmedeconduire sesactivitsdanssesconditionsnominales. Il peut sembler pertinent de mettre profit ce temps pourmettre en place un groupe de pilotage ad hoc afin de diagnostiquer les risques de crise pour lentreprise (risques internesouexternes). Durant le temps calme, lentreprise peut avoir faire face des vnements perturbateurs de toute nature, quon appellera " alertes". Lentreprise sait faire face laplupartdesalertesetmaintenirsesactivitsmalgrcesvnementsperturbateurs. Toutefois, il peut se produire certains vnements critiques (i.e. majeurs et exceptionnels) contre lesquels lentreprise nest pas prpare faire face efficacement (i.e. maintenir durablement ses activits vitales, en labsence de dispositions particulires). Les items suivant sont fournis titre indicatif afin d'aider la rdaction dudiagnostiquepartempscalme. Item1/ Par le pass, quels ont t les vnements critiques qui auraient ncessit unPCA? a. UnepolitiquedePCAouquivalentatelledjtmiseenuvre? b. Selonquelprogramme? c. Avecquelsrsultats(bnfices/pertes,avantages/limites)? Item2/ QuanddclencherlePCA? Il se peut que la gestion de crise aboutisse dcider de ne pas activer le PCA. Le dclenchement du PCA nest pas forcment la rponse ncessaire et suffisante la survenancedunvnementcritique. On doit prendre par exemple en considration les circonstances particulires au moment du sinistre, et notamment le carnet de commande, la charge de travail, les niveauxdestock,etc. De plus, il peut tre pertinent de prendre en compte un vnement critique extrieur qui impacte lentreprise, par exemple dans le cas dune entreprise tendue3. Dans ce cas, il peuttre pertinent denvisager de mutualiser un PCA afin de prserverau mieux lachaineconomiquepourlintrtdetoussesacteurs.
3

Forme d'organisation privilgiant des partenariats forts permettant de mutualiser les connaissances et les comptencesutilisesnotammentpourlaconduitedegrandsprojetsouledveloppementdeproduits.

Page31sur36

Outil mthodologique - PCA rgion Centre - 2010

Item3/ Lorganisationdelentreprise a. Quelestl'organigrammedupilotageduPCA? b. Existetiluneentitencharge:


Delorganisation? Delaqualit? Duparcinformatiqueetdusystmedinformation?

c. Quelssontsesliensstructurelsventuelsauseind'uneorganisationconomique tendue(partenaires,soustraitants,filiales)?

Page32sur36

Outil mthodologique - PCA rgion Centre - 2010

3.4.3. L'alertemajeure
On appelle alerte majeure tout vnement critique susceptible de remettre en cause lactivit, et auquel lentreprise ne sait pas faire face avec lorganisation et les moyens normauxquisontlessienspartempscalme. Un vnement constitue une alerte majeure dans la mesure o l'enjeu adress a t pralablementqualifien"Priorit1"(voir3.2"L'Analysedescarts"). A dfaut d'avoir pris en compte un vnement constituant une alerte majeure, il convient nouveau d'estimer l'impact de cet vnement sur l'activit de l'entreprise (processusitratif).

Proposition 1:afind'estimeraumieuxunniveaud'impact,lepilote du PCA peut procder une tude de cas typique fonde sur un scnarioprobableouunvnementpass.

Proposition 2 : dans le cas d'un PCA avec des impacts extrieurs, il peut tre envisag d'inclure dans le groupe de pilotage un reprsentantdequelquespartenairescls.

Item4/ LentreprisedevradciderdecequecouvriralePCA(implicationdelaDG) a. Quels activits / mtiers (ex : grance) / processus / fonctions seront pris encompte? b. Contrequel(s)type(s)desinistrelePCAprmuniratillentreprise? c. LePCArpondratilunsinistresurunsiteouplusieurssites? d. Selon les diffrents enjeux couverts par un PCA, quelles seront les modalits de reprise mesurables (ex: en temps, en matire, en Unit duvre)acceptablesetralisablesparrapport:

aux contraintes internes (ex: ressources mobilisables, immobilisation dematriel,dlocalisation), aux obligations externes (ex: approvisionnement, chances financires,)?

Page33sur36

Outil mthodologique - PCA rgion Centre - 2010

e. Quelssontlesmoyensetsolutionsretenusenfonctiondecesmodalitsde reprises? f. QuelsrsultatsmtiersserontdenouveauatteintsT0+24h,T0+48h,?

g. Quels personnels seront mobiliss par la cellule de crise et quels personnelsserontdastreinte? h. Quelsinvestissementslentrepriseestelleprtefaire(dontlaformation)? i. Quellestratgiedereprise,interneouexterne?

3.4.4. Leretourautempscalme
On appelle retour au temps calme la phase de fin de crise durant laquelle lentrepriseretrouvesonniveaud'activitpriodiquedanslecadredesonorganisation originelle.Cetempsestmisprofitpour:

Evalueretanalyserlesconsquencesdelacrise, EvaluerlaperformancedelamiseenuvreduPCA, EtmettrejourlePCA(ajustementventueldesmoyens,desprocduresetde lagestiondelacrise)

Il s'agit ici d'accompagner l'volution fonctionnelle et organisationnelle de l'entreprise par un processus itratif au niveau de la priorisation des enjeux et de la dfinition des exigences. Cette phase est importante puisqu'une priode de crise peut galement donner lieu de nouvelles orientations stratgiques pour l'organisation (ex : partenariat, fusion / acquisition, prise de participation, cession d'une entit) impactant en profondeur l'ensembledusystmed'informationdel'organisation. Parailleurs,unephasedecrisepeuts'avrerbnfiquesil'organisationconsidre:

quelesvnementscritiquesonttparticulirementbiengrs, etquedespointsd'amliorationsesontavrsbnfiques.

Page34sur36

Outil mthodologique - PCA rgion Centre - 2010

4. RECOMMANDATIONS
Cesrecommandationscompltentlesactionsprescritesdanslestexteslistsenpage7, notammentleRfrentieldeBonnespratiquesBPZ74700. R1. ExploitationduPCA Excellentmoyenpourgrerlesphasescritiquesdelavied'uneorganisation,ilpeuttre galement pertinent d'envisager dans quelle mesure le PCA peut tre exploit aux bnficesdudveloppementdel'activitdel'entreprise. Ainsi,certainsservicessontsusceptiblesdebnficierdelavalorisationduPCA:

La Direction Gnrale afin de renforcer les liens (voire de raliser des conomies d'chelle) au sein d'un consortium (gestion conjointe d'une plateformed'changevirtuelle); LeMarketingetlacommunicationafindevaloriserlaqualitdel'organisation del'entrepriseauprsdesespartenairesGrandsComptes; Le service Commercial comme argument de confiance vers les clients majeurs.

R2. Gestiondocumentaire Une information interne individualise sur support informatique et physique peut tre envisage.Cetteinformationdoittreaccessibleettenuejour. R3. Impactsfinanciers Une situation de crise impactant gravement le systme d'information peut compromettre certaines procdures, notamment les rglements automatiss (payes, primesd'assurances). UneprocduredesecourspeuttreprvuedanslePCA. R4. Impactsjuridiques(droitdesaffaires) Certains clients peuvent souhaiter tre assurs du maintien de leur cycle d'approvisionnement. Ainsi, le fournisseur peut tre oblig d'ajouter dans ses contrats

Page35sur36

Outil mthodologique - PCA rgion Centre - 2010

commerciaux dans un premier temps une clause dclarative faisant tat de l'existence d'unPCA. Dans la mesure o de nombreuses pratiques en matire de continuit d'activit sont mises en place au niveau international sous l'impulsion de l'ouverture des marchs, du dveloppementdumodedel'entreprisetendueetdelapressionconomique,iln'est pasexcluqu'unetellepratiquesegnralise. Si tel est le cas, on peut envisager que certains oprateurs en viennent exiger un rglement de certification, en d'autres termes la ncessit pour le fournisseur de prouver officiellement l'existence et la viabilit d'un PCA via un processus d'audit ralisparunorganismecertificateuraccrdit. R5. Enfin, la PME/PMI dispose de ressources limites. Il convient donc de mesurer l'applicabilit et le bnfice du PCA afin qu'il conserve une relle plusvalue pour l'organisation.

Page36sur36