Chapitre 3 Planification de la continuité des activités

Planification de la continuité des activités

 Évaluation des risques pour les processus métier

 Minimiser l'impact des perturbations

 Maintenir la continuité de la capacité à effectuer des tâches commerciales critiques

 Principales étapes:

o Portée et planification du projet

o Analyse d'impact sur les entreprises

o Planification de la continuité

o Approbation et mise en œuvre

Portée et planification du projet

 Analyse de l'organisation commerciale

 Sélection de l'équipe BCP

 Besoins en ressources

 Exigences légales et réglementaires

Aperçu

Analyse de l'organisation commerciale

 Identifier tous les départements

 Identifier les services critiques

 Identifier les équipes de sécurité d'entreprise

 Identifier les cadres supérieurs et les personnes clés

Sélection de l'équipe BCP

 Besoin de membres de chaque département / division

 Inclure les membres de:

o IL

o La cyber-sécurité

o La haute direction

o Sécurité physique et installations

o Juridique et RP

Besoins en ressources

 Développement BCP
  Test, formation et maintenance BCP

 Implémentation BCP

 Principalement du personnel, mais peut inclure l'allocation des ressources informatiques et

physiques

Exigences légales et réglementaires

 Lois ou réglementations fédérales, étatiques et locales

 Services d'urgence

 Réglementations de l'industrie

 Lois spécifiques au pays

 Accords de Niveau de Service

Analyse d'impact sur les entreprises

 Prise de décision quantitative vs prise de décision qualitative

 Identifier les priorités

 Identification des risques

 Évaluation de la probabilité

 Évaluation de l'impact

 Priorisation des ressources

Aperçu

Identifier les priorités

 Hiérarchisation critique des processus métier

 Évaluer par département, puis par organisation

 Attribuer un AV (valeur d'actif) à chaque processus

 Déterminer:

o MTD (temps d'arrêt maximal tolérable)

o MTO (panne maximale tolérable)

 Choisissez un RTO (objectif de temps de récupération)

Identification des risques

 Risques spécifiques à l'inventaire

 Naturel et artificiel

 Logique et physique et social

 Ne négligez pas le cloud

  Obtenez des commentaires de tous les départements

Évaluation de la probabilité

 Déterminer la fréquence d'occurrence

 Établir un ARO (taux d'occurrence annualisé)

 Basé sur l'histoire, l'expérience et les experts

Évaluation de l'impact

 Évaluer les conséquences d'une violation

 EF (facteur d'exposition)

 SLE (espérance de perte unique)

o SLE = AV x EF

 ALE (espérance de perte annualisée)

o ALE = SLE x ARO

 Tenez compte des impacts non monétaires

Priorisation des ressources

 La plus grande ALE est la plus grande préoccupation de risque

 Combinez les priorités qualitatives avec les priorités quantitatives

 Travaillez d'abord à traiter chaque élément à partir de la plus grande valeur ALE

Planification de la continuité

 Stratégie de développement

 Dispositions et processus

 Approbation du plan

 Mise en œuvre du plan

 Formation et éducation

Aperçu

Stratégie de développement

 Pont entre l'artisanat BIA et BCP

 Déterminer les risques à traiter dans ce délai d'élaboration du PCA

 Déterminer les risques acceptables par rapport à ceux qui nécessitent une atténuation

 Engager des ressources suffisantes pour résoudre les priorités

Dispositions et processus

 Gens
  Bâtiment et installations

o Dispositions de durcissement

o Sites alternatifs

 Infrastructure

o Systèmes de durcissement physique

o Systèmes alternatifs

Approbation du plan

 Approbation de la direction de haut niveau

 Éduquer les cadres supérieurs sur les concepts et les détails du plan

 L'approbation de la haute direction établit la crédibilité du plan dans toute l'organisation

Mise en œuvre du plan

 Définir un calendrier de mise en œuvre

 Utiliser les ressources de mise en œuvre allouées

 Atteindre les objectifs de processus et de provisionnement

 Mettre en œuvre le programme de maintenance BCP

Formation et éducation

 Attribuer les responsabilités

 Briefing de présentation du plan

 Formation dédiée pour ceux qui ont des responsabilités assignées

 Une personne suppléante ou remplaçante pour chaque poste

Documentation BCP

 Objectifs de la planification de la continuité

 Déclaration d'importance

 Énoncé des priorités

 Déclaration de responsabilité organisationnelle

 Déclaration d'urgence et calendrier

 L'évaluation des risques

 Acceptation / atténuation des risques

 Programme de l'état civil

 Directives d'intervention d'urgence

 Entretien
  Tests et exercices

Aperçu

Objectifs de la planification de la continuité

 Fixer des objectifs

 Assurer le fonctionnement continu de l'entreprise face à une situation d'urgence

 Répondre aux besoins organisationnels

Déclaration d'importance

 Reflète la criticité du BCP

 Divulgué dans une note à tous les employés

 Doit être signé par le PDG pour éviter la résistance à la conformité

Énoncé des priorités

 Reflète directement les priorités de BCP conçues

 Inclure une évaluation des priorités

 Mettre l'accent sur l'importance du fonctionnement continu des fonctions commerciales en

cas d'urgence

Déclaration de responsabilité organisationnelle

 La continuité des affaires est la responsabilité de tous

 Renforce l'engagement de l'organisation envers la BCP

 Informe les individus de l'attente d'aider et de soutenir

Déclaration d'urgence et calendrier

 Souligne la priorité de mise en œuvre

 Définit le calendrier de déploiement

L'évaluation des risques

 Un récapitulatif du processus décisionnel de la BCP

 Résumé de la BIA

 Divulgue les résultats d'analyses quantitatives et qualitatives

Acceptation / atténuation des risques

 Identifie les risques jugés acceptables

 Identifie les risques jugés inacceptables

o Énumérer les dispositions de gestion des risques

o Définir les processus et les réponses

 o Définir comment le risque est réduit ou géré

Programme de l'état civil

 Déterminer où les enregistrements critiques seront stockés

 Définir des procédures de sauvegarde des enregistrements critiques

 Enregistrements critiques d'identité

 Le numérique et le papier doivent être considérés

 Les registres d'état civil sont ceux nécessaires pour reconstruire l'organisation en cas de
catastrophe

Directives d'intervention d'urgence

 Définir les responsabilités en cas d'urgence

 Détails de l'activation des éléments BCP

 Procédures de réponse immédiate

 Individus à notifier de l'incident

 Procédures de réponse secondaire

 L'objectif est de minimiser le temps de réponse

Entretien

 BCP est un document vivant

 Le BCP doit être périodiquement mis à jour

 Des changements drastiques peuvent nécessiter une refonte complète et une refonte

 Pratiquez un bon contrôle de version

 Inclure le BCP dans les descriptions de poste / responsabilités

Tests et exercices

 Établir un programme de test formalisé

 Former le personnel à ses tâches et responsabilités

 Voir les tests de reprise après sinistre au chapitre 18

Conclusion

 Lire l'essentiel de l'examen

 Revoir le chapitre

 Effectuer les laboratoires écrits

 Répondez aux questions d'examen