Vous êtes sur la page 1sur 6

Club des Responsables

Fiche Pratique dInfrastructures et de Production En partenariat avec

PRA - PCA

Laudit de la continuit dactivit


dun organisme

Pour tre sre et valide, la continuit dactivit ncessite une valuation


La continuit dactivit correspond la capacit dun Laudit de la continuit dactivit doit tre peru comme une
organisme (entreprise ou administration) poursuivre son opration positive et constructive pour lorganisme. Il entre
fonctionnement et latteinte de ses objectifs un niveau directement dans le processus damlioration continue de
acceptable dfini par avance, suite la survenance dun la Roue de Deming (PDCA) en proposant un plan visant
vnement perturbateur. amliorer la continuit dactivit de lorganisme.
Laudit sappuie sur un rfrentiel et sur les normes existantes :
Pour les entreprises de services, la norme ISAE 3402 (volution
ISO 22301, ISO 27001, etc. La profondeur et la prcision
de SAS 70) permet de dmontrer ses clients la conformit
de laudit sont troitement lies au niveau de maturit de
lorganisme audit en matire de continuit dactivit. de son organisation leurs exigences rglementaires en
matire financire. Elle permet dviter les audits de PCA par
La continuit dactivit doit tre value par les PCA, le les clients de ces entreprises.
Systme de Management de la Continuit dActivit (SMCA)
et le service rendu aux clients.

Les trois domaines cibles dvaluation de la continuit :


Les trois domaines cibles dvaluation de la continuit : en dcembre 2009 par lInternational Auditing and
Assurance Standards Board (IAASB), qui fait partie de la
Le Plan de Continuit dActivit (PCA),
Fdration Internationale des Comptables (IFAC).
L
 e Systme de Management de la Continuit dActivit
(SMCA) (cf. norme certifiante ISO 22301 publie en mai Cela ncessite lutilisation dun vocabulaire commun entre
2012), laudit et lauditeur. Le Lexique structur de la continuit
dactivit du Club de la Continuit dActivit (CCA) propose
L
es services rendus ses clients (cf. International des dfinitions admises par la profession.
Standard on Assurance Engagements (ISAE 3402,
volution de SAS 70), norme internationale publie

NB. : Laudit de la gestion de crise na pas t trait dans cette fiche pratique.

Mai
2014 1
Introduction
Laudit aide lorganisme atteindre ses objectifs en valuant, par Trois formes daudit existent :
une approche systmatique et mthodique, ses processus de
. laudit interne,
management des risques, de contrle et de gouvernance, et en
faisant des propositions pour renforcer leur efficacit (source : . laudit externe,
dfinition adopte le 21/03/2000 par le Conseil dAdministration
de lIFACI, Institut Franais de lAudit et du Contrle Internes). . laudit de certification.

Les critres daudit du Plan de Continuit dActivit (PCA)


Comment peut-on valuer le caractre oprationnel dun PCA ?
Les critres dvaluation suivants sont prendre en compte :

Oui Non
1. Expression de besoin des processus mtier et support (aux mtiers)
a. Les processus mtier et support ont-ils exprim leurs besoins de continuit dactivit ?
b. Les besoins et les dispositifs de continuit ont-ils t valids par la Direction de lorganisme ?
c. Les plans de retour une situation normale ont-ils t prvus ?
d. Les besoins exprims dans le BIA (Bilan dImpacts sur lActivit) font-ils partie du contrat de service ?
e. Le niveau de dgradation dactivit suite au sinistre a-t-il t dfini et valid ?

2. Degr de couverture du PCA en termes dimpacts sur le fonctionnement de lorganisme


a. Est-ce que les risques ont t analyss et leurs impacts valus ?
b. Toutes les dpendances externes (tierces parties) lorganisme ont-elles un PCA conforme aux besoins
valids par la Direction Gnrale ?
c. A-t-on pris en compte toutes les exigences lgales et rglementaires inhrentes au secteur dactivit ?
d. Les risques sur les activits ont-ils t valids par la Direction Gnrale ?
e. Les priorits de reprise dactivit sont-elles clairement dfinies ?
f. Les impacts des risques communs entre lorganisme et ses fournisseurs externes critiques ont-ils t
pris en compte ?

3. Moyens de continuit
a. Les responsabilits dexcution du PCA ont-elles t dfinies pour tous les acteurs aux diffrentes
tapes (construction et excution) ?
b. Les salles de crise, en particulier leurs moyens de communication, sont-elles secourues ?
c. Les moyens de communication entre tous les acteurs sont-ils suffisants ?
d. Les moyens de secours et de repli sont-ils non impacts par les scnarios prvus dindisponibilit des
ressources ?
e. Les moyens de continuit ont-ils t identifis et justifis pour tre mis en uvre en conformit avec les
besoins exprims et valids ?

4. Efficacit du PCA : adquation des besoins de continuit aux rponses techniques


a. Les conditions de reprise dactivit observes (RTO, RPO, positions de repli et de stock) sont-elles
conformes aux conditions attendues par les processus mtier et support en termes de dlai de reprise,
perte de donnes, positions de repli et de stock ?

2
Oui Non
b. Les moyens de secours et de repli sont-ils suffisamment dimensionns pour assurer les besoins de
continuit valids ?
c. La cellule de crise dcisionnelle est-elle unique ?

5. Documentation et outils du PCA


a. Y a-t-il un systme de gestion documentaire ?
b. La documentation du PCA est-elle accessible immdiatement quoi quil arrive ?
c. 
La documentation est-elle exhaustive et jour : contacts, fiches rflexe, procdures (toute la
documentation ncessaire pour excuter le PCA) ?
d. Le PCA est-il excutable par dautres personnes comptentes qui nont pas crit les procdures ?
e. Y a-t-il un plan de coordination de lexcution du PCA ?
f. Les informations du PCA sont-elles classifies et leur diffusion est-elle contrle (habilitations dfinies) ?

6. Maintien en condition oprationnelle


a. Les changements du SI, des locaux, de lorganisation fonctionnelle, sont-ils rpercuts dans le PCA ?
b. Disposez-vous de processus de contrle autres que les tests techniques et exercices de validation ?
c. Y a-t-il un processus de formation continue du personnel de lorganisme ?
d. Y a-t-il lissue des tests et exercices un retour dexprience et un plan damlioration du PCA ?
e. Le plan de validation prvoit-il une progressivit des tests et exercices sur plusieurs annes ?
f. Y a-t-il des exercices de validation inopins ou avec un minimum de prparation ?

7. Pilotage dexcution du PCA


a. Tous les dcideurs de la cellule de crise dcisionnelle sont-ils entrans au pilotage de crise ?
b. Y a-t-il des critres daide la dcision pour dclencher ou non le PCA ?
c. Les communications interne et externe sont-elles prpares par type de scnarios de risques ?

8. Degr dimplication du personnel impliqu dans le PCA


a. Toutes les parties prenantes (interne et externe) du PCA sont-elles formes, entranes, et savent-elles
ce quelles doivent faire en cas de besoin ?
b. Tous les intervenants sont-ils en nombre suffisant en permanence (7j/7, 24h/24) ?
c. La formation des personnes a-t-elle t prvue ?

Les critres daudit du Systme de Management de la Continuit dActivit (SMCA)


La gestion de la continuit dactivit est un processus de capacit de rponse efficace prservant les intrts de ses
management holistique qui identifie les menaces potentielles principales parties prenantes, sa rputation, sa marque et ses
pour un organisme ainsi que les impacts que ces menaces, activits productrices de valeur (norme ISO 22301 Systme de
si elles se concrtisent, peuvent avoir sur les oprations lies Management de la Continuit dActivit).
lactivit de lorganisme. Ce mme processus fournit un
Les critres dvaluation du SMCA sont classs selon les
cadre pour construire la rsilience de lorganisme avec une
thmes de la Roue de Deming :

3
Oui Non
1. Plan (planifier)
a. Y a-t-il un primtre dfini pour le SMCA ?
b. Y a-t-il un engagement de la Direction (sponsoring) ?
c. Le SMCA fait-il lobjet dune politique de lorganisme ?
d. Les exigences lgales et rglementaires sont-elles prises en compte ?
e. Les ressources projet (Responsable PCA, Correspondant PCA, contributeurs) sont-elles dfinies ?

2. Do (mettre en uvre)
a. Avez-vous mis en uvre un plan de communication interne et externe ?
b. Le BIA et la stratgie de continuit sont-ils raliss ?
c. Lanalyse et le traitement des risques en termes dimpacts ont-ils t raliss ?
d. Le Groupe de pilotage de la continuit est-il constitu ?
e. Le PCA est-il construit ?

3. Check (vrifier)
a. A-t-il t mis en uvre un processus de contrle du PCA ?
b. Les exercices sont-ils raliss conformment la politique de continuit ?
c. Les comptences des personnes en charge du PCA sont-elles values priodiquement ?
d. Y a-t-il un plan de suivi des indicateurs de performance du PCA ?
e. Un processus daudit interne existe-t-il ?

4. Act (agir/ajuster)
a. La rvision du SMCA prend-t-elle en compte les carts constats entre le Do et le Check ?
b. Un plan damlioration continue existe-t-il ?

Les critres daudit des services rendus aux clients, selon la norme ISAE 3402,
au regard du PCA

La norme ISAE 3402 (International Standard on Assurance En pratique, il existe deux types de rapports :
Engagements) offre aux entreprises de services qui sont
Un rapport de type I, dans lequel lauditeur vrifie la bonne
soumises la loi Sarbanes-Oxley (ou dautres lois de description des contrles et leur adquation par rapport aux
scurit financire), la possibilit de certifier la conformit de objectifs fixs. Ce rapport est effectu une fois par an, un
leur organisation aux exigences rglementaires. Cette norme moment donn ;
est porte par lIAASB (International Auditing and Assurance
Un rapport de type II, dont lobjectif est de vrifier lefficacit
Standards Board), organisme qui fait lui-mme partie de lIFAC
oprationnelle des contrles dcrits dans le rapport de type I,
(International Federation of Accountants).
sur une priode de six mois (en gnral).
Le recours la norme ISAE 3402 sinscrit dans un processus Ce dernier rapport comprend quatre sections :
comprenant plusieurs tapes. Lentreprise doit dabord
formaliser prcisment son dispositif de contrle interne, ses 1. Le rapport de lauditeur proprement dit,
objectifs de contrle et les contrles associs, puis tablir un 2. La description des contrles,
document dcrivant lensemble de ce dispositif. Cest sur la
base de ce document que lauditeur rdigera son rapport. 3. La description des tests effectus par lauditeur ainsi que
leurs rsultats,
4. Autres informations fournies par lentreprise prestataire de
services (facultatif).

4
La certification ISAE 3402 de type II est donc la certification la Extrait des recommandations de lAICPA (American Institute of
plus complte. Elle intgre non seulement un audit au moment Certified Public Accountants) :
de la certification, mais ensuite des contrles rguliers pour
Si une entreprise prestataire de services souhaite dcrire son
sassurer que les procdures mises en place restent bien
PCA, elle doit le faire dans la section 4 (Autres informations
appliques. Pour chaque service audit, une grille de contrle
fournies par lentreprise prestataire de services), car un plan
a t mise en place avec une liste des objectifs de contrle,
nest pas un contrle.
des activits contrles, des plans de tests, des observations
et recommandations.

Les diffrents sous-ensembles du PCA

PCA
PGC

PSI PRA-I PRA-M PCO


PCS

IT Mtier
Un plan de continuit dactivit (PCA) est constitu de 6 sous-ensembles : PGC, PCS et PSI, PCO.

Sigle Intitul Primtre Objectif


Assurer la rsilience
PCA Plan de Continuit dActivit Organisme
de lorganisme
Assurer le fonctionnement
PCO Plan de Continuit des Oprations Activits mtier critiques
acceptable des activits critiques
Partie(s) de lorganisme Protection et disponibilit
PCS Plan de Continuit des Services
concerne(s) par la crise des ressources
Partie(s) de lorganisme Assurer une gestion matrise
PGC Plan de Gestion de Crise
concerne(s) par la crise du pilotage des plans
Assurer le secours des
PSI Plan de Secours Informatique Le Systme dInformation
fonctions centrales du SI
Plan de Reprise dActivit Reprise de lactivit du
PRA-I Le Systme dInformation
- Informatique SI aprs interruption
PRA-M Plan de Reprise dActivit - Mtier Activits mtier critiques Rendre lactivit mtier

5
3. Conclusion
Laudit de la continuit dactivit couvre, outre les ripostes La nouvelle norme ISO 22301 prsente bien des avantages
prvues par les scnarios de risques (PCA), le management pour lorganisme certifi :
et lorganisation de la continuit dactivit. Il offre une

Elle sintgre aisment aux autres systmes de
vision globale de la prparation et du fonctionnement de
management prsents dans lorganisme,
lorganisme en cas de sinistre, car il interroge sur :
Elle linscrit dans un processus damlioration continue
la criticit des processus mtier,
en questionnant sur ladaptabilit du systme face aux
la couverture des procdures de continuit dactivit, nouveaux enjeux,
la mise jour de ces procdures face aux nouveaux 
Elle cre un rapport de confiance entre les parties
contextes et rfrentiels. prenantes et ledit organisme,
Laudit interne, qui sert rassurer la Direction sur la bonne 
Elle permet dtayer les rponses aux appels doffre
matrise de ses risques et la rsilience de lorganisme, doit lorsque la problmatique de la continuit dactivit est
tre associ un audit externe qui lui est complmentaire. A aborde.

Rdaction : Groupe de Travail PRA-PCA - Pilotes Franois Tte - CCA, Pascal Antier - ADP GSI - Cration Fred.lameche - www.anousdejouer.fr
ce titre, il a le regard tourn vers les interactions extrieures,
Il est nanmoins important de signaler que les auditeurs
car il atteste de la scurisation des activits auprs les parties
nmettent quune recommandation de certification, laquelle
prenantes et permet, en cas de conformit du Systme de
nest prononce que par un organisme certificateur habilit.
Management, dobtenir une certification ISO 22301 (scurit
socitale et management de la continuit dactivit).

Annexe et liens utiles


Dfinition des termes employs : Lexique structur de la 
Guide pour raliser un Plan de Continuit dActivit,
continuit dactivit, version 3, du Club de la Continuit SGDSN, 2013 (www.sgdsn.gouv.fr/site_article128.html)
dActivit (www.clubpca.eu)
ISAE 3402 (www.isae3402.com)

Club des Responsables dInfrastructures et de Production


24 rue Erlanger 75016 Paris - contact@crip-asso.fr www.crip-asso.fr

Club de la Continuit dActivit


73 rue Anatole France 92300 Levallois Perret - contact@clubpca.eu www.clubpca.eu

En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le
prsent ouvrage que ce soit mcanique ou lectronique, intgralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP.
6