Mettez en Place Un Plan de Continuité D'activité (PCA) : Cours Préparé Par GBEGBE KILOKO Fred Julus Paterson

Mettez en place un plan de continuité d'activité (PCA)
Cours Préparé par GBEGBE KILOKO Fred Julus Paterson

1-Découvrez l'importance de la continuité d'activité pour votre activité.........................4
Depuis quand parle-t-on de continuité d’activité ?........................................................................4
Ça n’arrive pas qu’aux autres !......................................................................................................4
Des préoccupations qui touchent les entreprises............................................................................5
Une seule solution : adopter une posture proactive pour anticiper et se préparer au maximum. . .5
En résumé.......................................................................................................................................6
2-Définissez la continuité d'activité..........................................................................................6
Identifiez ce qui relève de la continuité d’activité...........................................................................6
Découvrez le plan de continuité d’activité, ou PCA.......................................................................7
Différenciez gestion de crise et PCA..............................................................................................8
Différenciez la continuité d’activité de la reprise d’activité.........................................................10
En résumé.....................................................................................................................................10
3-Appuyez-vous sur une méthodologie éprouvée : la norme ISO 22301.......................11
Identifiez les objectifs du système de management de la continuité d’activité, ou SMCA............11
Découvrez la norme certifiante du système de management de la continuité d’activité : ISO
22301............................................................................................................................................11
Appuyez-vous sur la roue de Deming...........................................................................................12
En résumé.....................................................................................................................................13
4- Assurez-vous du soutien des parties prenantes de votre entreprise........................13
Gagnez le soutien de votre Direction générale.............................................................................13
Démarrez la mise en place de votre SMCA..................................................................................14
En résumé.....................................................................................................................................15
5-Formez et sensibilisez les acteurs à la continuité d'activité.........................................15
Notez les différences entre sensibiliser et former.........................................................................15
Démarrez votre démarche de formation et sensibilisation du bon pied........................................16
Lancez votre plan de sensibilisation.............................................................................................16
Lancez votre plan de formation....................................................................................................17
Évaluez et améliorez en continu le programme de développement des compétences....................17
En résumé.....................................................................................................................................17
6-Dressez le BIA, le bilan d'impact sur votre activité................................................................18
Découvrez le bilan d’impact sur l’activité ou BIA........................................................................18
Élaborez un BIA en cinq étapes...................................................................................................20
En résumé.....................................................................................................................................25
7-Appréciez les risques qui menacent la continuité de votre activité............................26
Appréciez les risques qui menacent votre entreprise....................................................................26
Pour aller plus vite.......................................................................................................................28
En résumé.....................................................................................................................................29
8-Déterminez votre stratégie de continuité d'activité................................................................30
Les solutions de prévention..........................................................................................................31
Les solutions de détection de l’événement perturbateur...............................................................31
Les solutions de protection, maintien et/ou reprise des activités prioritaires...............................31
Composez votre stratégie..............................................................................................................34
En résumé.....................................................................................................................................36
9-Rédigez votre plan de continuité d'activité.......................................................................36
Découvrez le plan de continuité d’activité (PCA).........................................................................36
Rédigez votre PCA........................................................................................................................37
Découvrez les différents types de plans........................................................................................38
Formalisez vos plans....................................................................................................................41
Comprenez la nécessité de gérer tous ces plans avec un logiciel spécialisé.................................41
En résumé.....................................................................................................................................42
10-Testez régulièrement votre plan de continuité d'activité.............................................43
Découvrez la différence entre les tests et les exercices.................................................................43
Validez votre PCA de façon progressive.......................................................................................43
Atteignez une validation probante en suivant ces 3 règles d'or....................................................44
Découvrez les types d’exercices de validation..............................................................................45
En résumé.....................................................................................................................................48
11-Gérez les situations de crise de votre entreprise..........................................................48
Prévoyez des cellules de crise.......................................................................................................48
Découvrez comment s’effectue la remontée d’alerte d’un événement perturbateur......................50
Outillez-vous de moyens et d'outils adéquats................................................................................51
Communiquer en situation de crise : une action essentielle.........................................................51
En résumé....................................................................................................................................52
12-Maintenez votre plan de continuité d'activité dans le temps......................................52
Validez la maîtrise et l’efficacité de votre SMCA (système de management de la continuité
d’activité).....................................................................................................................................52
Procédez avec méthode................................................................................................................53
Maintenez également en condition opérationnelle votre plan de continuité d’activité.................53
Mettez en place une démarche itérative et d’amélioration continue.............................................54
Mettez en œuvre le MCO (maintien en condition opérationnelle)................................................54
Préparez des actions de sensibilisation post MCO.......................................................................56
En résumé.....................................................................................................................................57
1-Découvrez l'importance de la continuité d'activité pour votre activité
Je vous propose dans cette première partie de découvrir les enjeux de la continuité d'activité : en
quoi c'est un sujet important pour votre entreprise, ce qui se cache spécifiquement derrière ce terme
de continuité d'activité, la méthodologie éprouvée sur laquelle vous allez pouvoir vous appuyer et
enfin, un élément clé avant de commencer quoi que ce soit : comment obtenir le sponsor des parties
prenantes. C'est parti !
Depuis quand parle-t-on de continuité d’activité ?
Depuis longtemps ! Même si de nombreuses entreprises ne sont pas encore matures
sur le sujet, c'est en fait une préoccupation qui date ! Pour vous donner une idée,
Voltaire et Rousseau évoquaient déjà la continuité d’activité au sujet du tremblement
de terre de Lisbonne en 1755.
Mais c'est surtout suite aux événements de mai 1968, qui ont bloqué la France
pendant un mois, que la continuité d’activité a été perçue comme importante pour les
entreprises. Trois grandes entreprises (Renault, BP et Philips) ont à cette période
mis en place un site mutualisé de secours informatique.
D’autres événements perturbateurs ont suivi : l’incendie du siège du Crédit Lyonnais

en 1996, le passage de l’an 2000, la pandémie grippale… À chaque événement, les
entreprises ont pris conscience du besoin. Elles se sont lancées dans la continuité
d’activité.
Ça n’arrive pas qu’aux autres !

Aujourd’hui, votre entreprise est vulnérable. Elle est soumise à des risques perçus
mais aussi non perçus (ce qu'on appelle des risques émergents). Ces risques
peuvent souvent engendrer des interruptions de service, qui sont de moins en moins
admises par les clients et qui peuvent mettre en péril la santé de votre entreprise.
De quoi parle-t-on quand on parle de risques ?

Bonne question ! Les risques sont nombreux ; vous trouverez ici les types majeurs
de risques :
 risque lié au dérèglement climatique : tempête, séisme, inondation fluviale,

submersion marine, foudre… ;
 risque humain involontaire ou volontaire : erreur humaine, absence d’une
compétence clé non redondée, vol de matériel, dégradation volontaire… ;
 risque environnemental : incendie, accident nucléaire engendrant des
nuages radioactifs dont l’origine peut venir du monde entier, black-out
électrique, attentats, dégât des eaux avec destruction de matériel… ;
 risque de défaillance d'infrastructures clés : distribution d'électricité, gaz,
eau… ;
 risque lié aux systèmes d’information : panne informatique non résolue
dans le temps imparti, coupure de fibre optique par une pelleteuse sur la voie
publique, impossibilité de restaurer des fichiers à cause de sauvegardes de
recours non intègres… ;
 cyberrisque : déni de service, chiffrement de données avec une demande de
rançon… ;
 risque systémique : défaillance de fournisseurs ou de fournisseurs de
fournisseurs. Le fournisseur de rang n étant souvent non connu… ;
 risque social ou politique : grève, blocage des moyens de transport,
impossibilité de se déplacer, changement de régime politique engendrant des
dérèglements… ;
 risque pandémique : grippe, variole, ou plus actuellement, le coronavirus,
par exemple.
Des préoccupations qui touchent les entreprises

AGCS (Allianz Global Corporate & Specialty) produit chaque année un classement
des risques en France et dans le monde. En 2020, l’enquête a été effectuée auprès
de 2 700 experts dans 100 pays.
Les risques majeurs pour la France en 2020. Source AGCS

Vous constaterez que les cyberincidents prennent la tête du palmarès cette année.
Une seule solution : adopter une posture proactive pour anticiper et se préparer au maximum
Face à ces risques divers et variés, vous comprenez qu’il est nécessaire et important
de préparer des réponses pour y faire face. C’est l’objectif de la continuité
d’activité que vous allez découvrir dans les chapitres suivants.
Ces réponses peuvent prendre différentes formes, et votre entreprise a

probablement déjà quelques idées de mesures ou actions à mettre en œuvre en cas
de nécessité.
Je vous invite dès maintenant à vous poser quelques questions :

 Êtes-vous déjà doté d’un ou plusieurs éléments de plan de continuité d’activité
(PCA) ?
 S'ils existent, que pensez-vous des divers dispositifs prévus chez vous ?
 Tiennent-ils compte de votre contexte de risques ?
 Privilégient-ils correctement ce qui, pour votre métier, est prioritaire ?
 Proposent-ils des réponses adaptées techniquement et financièrement à vos
objectifs ?
 Vous permettent-ils de décider sous sinistre ?
 Sont-ils à jour et efficaces ?
 Vos personnels les connaissent-ils ?
 Bref, vous inspirent-ils confiance et crédibilité ?
Si vous avez répondu "je ne sais pas" ou "non" à l'une de ces questions, vous êtes
au bon endroit pour en apprendre plus sur la continuité d'activité, et vous assurer
que votre entreprise est préparée au maximum à une urgence. Commençons tout de
suite !
En résumé
 La continuité d'activité n'est pas un sujet nouveau, mais elle est de plus en
plus nécessaire suite à l'essor des risques.
 De nouveaux risques ressortent, notamment le risque de cyberattaque.
 Votre entreprise est vulnérable ; il ne s'agit pas de savoir si elle
l'est mais quand elle le sera.
2-Définissez la continuité d'activité
Rentrons maintenant en détail dans le monde de la continuité d’activité. Comment se rattache-

t-elle à la résilience de votre entreprise et comment se différencie-t-elle de la gestion de
crise ? Quelle est la différence entre urgence et crise ? Qu’est-ce qu’un plan de continuité
d’activité PCA ? Quelle est la différence entre la reprise d’activité et la continuité
d’activité ?
Découvrons tout cela ensemble !
Identifiez ce qui relève de la continuité d’activité
La continuité d’activité consiste à anticiper l’imprévisible, à prévoir l’incertain, à installer

une culture de la réaction face aux divers événements perturbateurs qui peuvent survenir
dans votre entreprise.
Elle vous donne les outils pour réagir, en conformité avec les réglementations et les normes,
aux événements qui peuvent frapper votre entreprise, des plus courants : panne électrique,
incendie, problèmes de transport, cyberattaques… aux plus improbables et dévastateurs :
tornades, inondations, pandémies…
La norme ISO 22300 2019 définit la continuité d'activité par une capacité de l'entreprise à
poursuivre, après une perturbation, la livraison ou la fourniture de produits ou de services à
des niveaux prédéfinis acceptables.
La norme apporte deux notions importantes :
1. La notion de gravité qui dépend du type d’événement perturbateur.

2. La notion de mode de fonctionnement dégradé.
Euh... vous pouvez m'en dire plus ?
La gravité
En analysant le type d'événement qui vient perturber votre fonctionnement, vous allez pouvoir
qualifier sa gravité.
Un conseil : ne vous intéressez qu’aux événements perturbateurs non maîtrisables dans un

délai défini comme grave.
Un événement perturbateur courant et non majeur, par exemple un bug informatique ou une
élévation de température dans une salle informatique, sera traité dans le cadre du
fonctionnement quotidien et non dans le cadre de la continuité d’activité.
Si l’événement perturbateur ne peut pas être maîtrisé ou maîtrisable dans un délai
relativement court et risque d’avoir de lourdes conséquences, il rentre alors dans le domaine
de la continuité d’activité.
Vous verrez le traitement de la gravité dans le chapitre dédié Rédigez votre plan de continuité
d’activité.
Le mode de fonctionnement dégradé
La reprise d’activité n’est pas instantanée. Elle implique l’activation de solutions et de

moyens de secours. Les activités redémarrent progressivement en commençant par les plus
prioritaires, avec un nombre réduit de positions de travail et de moyens palliatifs. Il s’ensuit
un fonctionnement dégradé des activités prioritaires, qui engendre généralement une
réduction de la productivité (nombre d’opérations traitées).
Vous allez découvrir dans le schéma suivant les différentes étapes, à la suite de la survenance
d’un événement perturbateur, pour revenir à une situation normale.
Le mode de fonctionnement dégradé
Les activités de l’entreprise sont suspendues pendant le temps nécessaire à l'activation des
solutions et moyens de secours. Ceux-ci étant opérationnels, l’entreprise fonctionne de
manière dégradée.
Nous verrons dans le chapitre Dressez le BIA : le bilan d'impact sur votre activité, la
démarche pour déterminer la durée du fonctionnement dégradé et le niveau de dégradation.
Découvrez le plan de continuité d’activité, ou PCA
Le PCA est le bras armé de la continuité d’activité. Dans un contexte d'urgence, il importe

de faire en sorte que les conséquences des perturbations qui peuvent toucher votre entreprise
ne lui soient pas fatales. Le PCA pose donc la question : que faut-il avoir prévu « avant » pour
continuer tout ou partie de l’activité « après » la survenance de l’événement ?
Voici sa définition officielle :
"Un plan de continuité d’activité (PCA) est un ensemble de mesures visant à assurer, selon
divers scénarios de crises, y compris face à des chocs extrêmes et le cas échéant de façon
temporaire, en mode dégradé, des prestations de services essentiels de l’entreprise puis la
reprise planifiée des activités."
Source : Journal officiel de la République française du 26 février 2004
Différenciez gestion de crise et PCA
Pour pouvoir différencier gestion de crise et plan de continuité d'activité, je vous propose
d'abord de vous attarder sur une autre comparaison : la crise vs l'urgence.
Distinguez l'urgence de la crise
Pour éclaircir ces deux concepts, prenons l’exemple de l’accident aérien du vol 154 de l’US
Airways le 15 janvier 2009 au-dessus de New York. L'Airbus A320 après le décollage percute
un groupe d’oiseaux. Cela provoque la perte de puissance des réacteurs et oblige le pilote à
réagir rapidement.
À ce moment-là, il y a urgence mais il n’y a pas de crise, car un plan/une procédure

existe. Il faut atterrir d’urgence. Tout est prévu par la tour de contrôle pour faire atterrir
l’avion.
Mais le pilote constate que l’avion vole à une altitude trop basse. Il va s’écraser dans les tours
de Manhattan. Le pilote n’a que trois minutes pour réagir. Il décide d'abandonner le plan/la
procédure. Il y a crise à présent. N'ayant pas de solution prévue, le pilote conçoit un nouveau
plan : l’amerrissage d'urgence sur le fleuve Hudson, face à Manhattan. Le vol a duré cinq
minutes huit secondes après son décollage. L'accident n'a fait aucune victime.
Alors, vous voyez mieux la différence entre l'urgence et la crise ?
L’urgence est une situation inacceptable en termes de délai, mais pour laquelle une procédure
existe.
La crise est un événement ou une situation sans précédent ou extraordinaire qui menace une
entreprise et exige une réponse stratégique, adaptative et rapide afin de préserver sa viabilité
et son intégrité.
Lors d'une crise :
 le degré d'incertitude de l'événement peut être élevé ;

 l'événement peut dépasser les moyens ou la capacité de réponse de l'organisme ;
 il n'existe aucun plan adéquat ou approprié pour traiter l'événement, de sorte qu'une
approche flexible et dynamique est nécessaire.
Le plan de continuité d'activité intervient en situation d'urgence. Nous parlons de crise

lorsque les plans de continuité d’activité sont dépassés ou non concernés par la situation
constatée.
La continuité d’activité a pour vocation de réduire les situations de crise en situation

d’urgence. Elle anticipe la survenance d’un événement perturbateur en prévoyant et mettant
en place un plan de continuité d’activité.
Comment ça se passe, concrètement ?
Suite à la survenance de l’événement perturbateur, la remontée d’alerte et l’analyse de

l’événement sont déclenchées.
Prenons l’exemple d’une coupure de l’alimentation électrique d’un data center où aucun plan
de continuité n'aurait été prévu. Les groupes électrogènes n’ont pas démarré. Il y a
incertitude quant à la reprise de l’alimentation électrique. S'il y a certitude de coupure de
l’alimentation électrique supérieure à deux heures, par exemple, ou si après une demi-heure
ouvrée d’analyse/intervention, il n’est pas certain de redémarrer en deux heures, vous êtes
en crise. Il vous faut établir un plan de continuité d’activité pour pouvoir passer de la crise à
l'urgence (et vous perdez donc du temps, car vous n'aviez pas prévu de PCA).
Voici un schéma qui récapitule la différence entre crise et urgence (donc PCA) :
La différence entre crise et urgence
Découvrez des exemples de gestion d'incidents

Un incendie dans des locaux amiantés
Une PME est située dans un immeuble de quatre étages dans le centre de Paris. Des travaux
de nuit sur l’alimentation électrique de l’immeuble dans les parkings en sous-sol ont provoqué
un incendie vite circonscrit par les pompiers. Malheureusement, la présence d’amiante a été
constatée. La préfecture de police a interdit l’accès de l’immeuble et ordonné le désamiantage.
Les locaux sont restés inaccessibles pendant six mois.
Du côté de la continuité d'activité : rien n’était prévu pour traiter ce cas. Nous sommes dans
la gestion de crise. La reprise d’activité minimum a eu lieu au bout d’une semaine.
Quels sont les impacts ?
 Un gros impact sur l’image de la marque.

 Un retard des travaux.
 Du chômage technique.
Un incendie dans une salle hébergeant des batteries dans un data center
Ce grand data center possède deux blocs totalement isolés. Chaque bloc héberge des centaines
de salles informatiques. Le data center est très bien géré et possède plusieurs certifications.
Un court-circuit s’est produit à la suite d’une erreur humaine dans un local de batteries. Il s’en
est suivi un incendie dans la salle. Le court-circuit électrique s’est propagé dans une salle
informatique de l’autre bloc, provoquant un autre incendie. Les experts pensent que le courant
électrique s’est propagé par le sol, à l’instar de la foudre.
Du côté de la continuité d'activité : nous sommes ici en situation d'urgence. Parmi les
centaines d’entreprises hébergées, mon client a activé son plan de continuité d’activité. Le
plan étant validé régulièrement, la reprise d’activité a eu lieu dans les délais prévus.
Comme vous pouvez le voir, pour des sinistres ayant la même cause (incendie), ce qui
différencie la situation d'urgence à celle de crise, c'est bien ce qui avait été prévu en amont. Et
on voit bien qu'avec un plan efficace, on peut rapidement réduire les risques des sinistres.
Différenciez la continuité d’activité de la reprise d’activité
Vous avez probablement déjà entendu ces deux expressions, souvent utilisées l'une pour
l'autre ! Alors qu'en est-il ?
La continuité d’activité garantit que l'entreprise continue de fonctionner malgré les menaces
ou les risques potentiels qui peuvent survenir.
La reprise d’activité fait partie de la continuité d’activité. Elle restaure seulement les
technologies.
Voici deux exemples d'actions liées à la reprise d'activité :
1. Pour le secours de l’informatique, cela peut consister à reprendre l’activité sur un site
dédié. En fonction des délais de reprise d’activité, cela peut correspondre à équiper ce
site de secours en matériel, à installer les logiciels, à restaurer les données et à basculer
le réseau.
2. Pour le secours des positions de travail sur un site de repli du personnel, la reprise
d’activité consiste à équiper ces locaux de postes de travail, de les mettre à niveau et
de se connecter sur le réseau d’entreprise.
Découvrez un exemple de réduction d'une situation de crise en situation d'urgence

maîtrisée grâce à un PCA, dans la vidéo ci-dessous. ⬇️
En résumé
 La continuité d’activité a pour vocation de réduire une situation de crise en situation

d'urgence.
 Elle ne s’intéresse qu’aux événements perturbateurs non maîtrisables dans un délai
défini comme grave.
 Le plan de continuité d'activité est l'ensemble des mesures qui permettent de sortir
d'une situation d'urgence pour rétablir l'activité au plus vite, souvent en mode
dégradé.
Dans le chapitre suivant, je vous propose de découvrir en détail la norme ISO 22301, qui va
vous aider à organiser la mise en place de votre PCA !
3-Appuyez-vous sur une méthodologie éprouvée : la norme ISO 22301
Vous avez découvert dans le chapitre précédent comment définir la continuité d’activité pour

votre entreprise. Pour gérer la continuité d’activité, un outil vous sera particulièrement
utile : le système de management de la continuité d’activité, ou SMCA. Il est présenté en
détail dans la norme ISO dédiée ! Regardons cela ensemble !
Identifiez les objectifs du système de management de la continuité d’activité, ou SMCA
Un système de management est un ensemble de processus et d’activités ayant chacun un

objectif.
Chaque activité est décrite par une procédure. Les processus du système de management sont
de deux types :
 les processus de management qui gèrent l’affectation de ressources et leur

planification ;
 et les processus opérationnels.
Sous l’impulsion et le contrôle de la Direction, le système de management de la continuité

d’activité (SMCA) permet de mettre en place des réponses face aux diverses situations
d’interruption partielle ou totale, effective ou potentielle des activités de l’entreprise.
Ces réponses sont adaptées aux situations et tiennent compte des priorités et exigences des
métiers. Elles aboutissent à des actions suivies, dont un plan de continuité d’activité (PCA)
opérationnel et vérifié.
Découvrez la norme certifiante du système de management de la continuité d’activité : ISO 22301
ISO 22301 est une norme qui spécifie les exigences pour planifier, établir, mettre en
œuvre, exploiter, surveiller, revoir, maintenir et améliorer en continu un système de
management de la continuité d’activité.
Elle utilise le mot « doit » plutôt que « devrait » pour indiquer que c'est un cahier des
charges qui décrit les actions spécifiques que l'entreprise doit entreprendre afin d'être
conforme à la norme. Le cahier des charges est ainsi auditable et donc certifiable.
La norme certifiante ISO 22301 s’appuie comme toutes les autres normes de cette série
223xxx sur la norme ISO 22300.
Appuyez-vous sur la roue de Deming
Le système de management de la continuité d’activité s’appuie sur la roue de Deming. La

démarche, connue sous l’abréviation PDCA, vise une amélioration continue du système par le
déploiement en 4 phases :
1. Plan : dans un domaine particulier, on planifie les actions à mettre en œuvre.

2. Do : la phase suivante consiste à passer à l’action, c’est la phase opérationnelle qui
permet d’avancer vers la cible fixée précédemment.
3. Check : cette étape consiste à évaluer les écarts entre les 2 premières phases.
4. Act : cette phase permet de combler les écarts par des actions correctives.
L
es phases Plan, Do, Check, Act
Le SMCA prend donc en entrée les exigences et les attentes des parties prenantes, et il produit
les actions et processus nécessaires aux résultats qui satisfont leurs exigences et leurs attentes.
Les éléments de chaque phase du PDCA

En résumé
 Pour mettre en place un système de management de la continuité d’activité (SMCA),

appuyez-vous sur la norme certifiante ISO 22301.
 La norme certifiante ISO 22301 et d’autres normes afférentes vous assurent de
bénéficier des meilleures conditions de réussite de la mise en place de votre SMCA.
 La certification d’une partie des activités de votre entreprise est une démarche
progressive qui vous assure une reconnaissance de vos clients, fournisseurs, et des
régulateurs.
Maintenant que vous en savez plus sur le SMCA et la norme ISO 22301, je vous propose,
avant de commencer tout projet de continuité d'activité, de vous assurer que vous êtes
soutenu par votre entreprise : le sponsor est la clé de votre réussite !
4- Assurez-vous du soutien des parties prenantes de votre entreprise
Vous avez découvert dans le chapitre précédent le système de management de la continuité

d’activité selon la norme ISO 22301. Il vous reste maintenant à convaincre votre leadership
de soutenir votre démarche ! Sans leur appui, vous aurez grande difficulté à mettre en place
quoi que ce soit.
Gagnez le soutien de votre Direction générale
Tout d'abord, vous faites peut-être partie des chanceux qui travaillent dans une entreprise
assujettie à une réglementation obligeant à avoir des dispositifs de continuité d’activité :
 les opérateurs d’importance vitale (OIV) ;

 les opérateurs de service essentiel (OSE) ;
 les banques ;
 les assurances.
Ou bien, peut-être avez-vous des clients particulièrement consciencieux qui vous demandent
directement de prouver que vos plans de continuité sont établis ! Dans ce cas, vous n'aurez
aucune difficulté à convaincre la Direction ; c'est même elle qui viendra vous demander des
nouvelles de votre PCA.
Dans toutes les autres cas de figure, pour que votre Direction générale décide de la mise en
place du système de management de la continuité d’activité, il faut qu’elle soit persuadée de
son intérêt. Elle doit comprendre les risques pouvant impacter votre entreprise et les
conséquences de toute nature que pourrait engendrer l’arrêt de ses activités.
Pour cela, n'hésitez pas à lui exposer des exemples de sinistres qui se sont déjà déroulés dans
des entreprises voisines ou du même secteur d'activité.
Vous pouvez également souligner les conséquences d'un sinistre :
 une perte d’image ;

 une perte financière ;
 un non-respect des contrats et de la réglementation ;
 des pertes d’actifs impactant les actionnaires de l’entreprise.
Vous pouvez illustrer votre propos en montrant à votre Direction générale tous les types de
risques qui peuvent impacter les actifs nécessaires au fonctionnement de votre entreprise.
Découvrez quelques conseils pour convaincre votre Direction générale, dans la vidéo
suivante. ⬇️
Démarrez la mise en place de votre SMCA
Si vous avez pu convaincre votre Direction générale, vous allez pouvoir lancer le début de la
mise en place du SMCA de votre entreprise. Un des premiers points importants est de rédiger
et faire valider la politique de continuité d’activité de l’entreprise, par la Direction
générale.
Rédigez votre politique de continuité
D'abord, le document de politique doit en quelques lignes expliquer ce qu'est la continuité

d’activité. Vous devez inclure ensuite les points suivants :
1. Prendre en compte le contexte et l’environnement de l’entreprise.

2. Exprimer clairement une volonté de la Direction générale en termes d'enjeux associés
à la continuité, comme par exemple : les pertes financières, la détérioration de l'image
en cas d'interruption d'activité, la violation d'engagements contractuels, le non-respect
de la réglementation applicable.
3. Attribuer des responsabilités : qui fait quoi ? Qui décide ? Qui contrôle ? Nous
détaillerons les rôles et responsabilités dans les chapitres suivants.
4. Affecter des ressources pour mettre en place des PCA ; en particulier, faire nommer le
RPCA : le responsable du plan de continuité d’activité, et ses adjoints, par la
Direction.
Impliquez des parties prenantes internes et externes
La Direction générale étant convaincue, son leadership vous facilitera l’implication des
parties prenantes internes et externes. Vous devez demander à votre Direction générale de
lancer la mise en place du système de management de la continuité d’activité, en adressant
une note d'intention à l’ensemble des parties prenantes. Cette note donnant son intention :
 de mettre en place le système de management de la continuité d’activité pour

produire des plans de continuité d’activité opérationnels ;
 de nommer un responsable de la continuité d’activité prenant en charge la
responsabilité des plans de continuité d’activité de votre entreprise (idéalement, vous
pouvez vous porter volontaire !) ;
 de lui allouer les ressources/moyens nécessaires pour effectuer cette nouvelle
mission.
Cette note identifie des parties prenantes. Vous devrez les impliquer et leur préciser leurs
rôles dans la mise en place du système de management de la continuité d’activité – SMCA.
Impliquez vos parties prenantes internes
Vous trouverez les rôles détaillés de chaque partie prenante interne dans le système de
management de la continuité d’activité dans l'annexe suivante, disponible en version PDF ou
en document ODT.
Impliquez vos parties prenantes externes
Les parties prenantes les plus importantes sont les clients, les fournisseurs, les prestataires, les
employés, les actionnaires et la société civile, les médias à la suite de l’activation du PCA,
etc. Pour les trois premiers, des clauses de continuité d’activité peuvent être prévues dans les
contrats. Quant aux employés, une formation et une préparation doivent être organisées.
En résumé
 Le soutien de votre Direction générale est essentiel pour entreprendre un SMCA.
 Grâce à la note d'intention, votre Direction pourra démontrer sa volonté d'action, la
personne responsable et les ressources allouées, et prévenir l'ensemble des parties
prenantes.
 C'est ensuite à vous d'être diplomate et bon communicant pour intégrer ces parties
prenantes : leur implication est cruciale pour la réussite de votre projet.
Vous avez vu les grands enjeux de la continuité d'activité et les étapes préliminaires avant de
vous lancer ! Répondez maintenant à quelques questions pour tester vos connaissances. Nous
nous retrouvons ensuite pour la phase de préparation de votre plan de continuité d'activité.
5-Formez et sensibilisez les acteurs à la continuité d'activité
Vous avez découvert dans la première partie du cours le contexte et les enjeux de la
continuité d’activité. Vous avez convaincu votre Direction générale. La mise en place de votre
système de management de la continuité d’activité a démarré par la validation d’une
politique de continuité et la désignation des parties prenantes internes et externes. Vous
allez devoir les sensibiliser et les former.
À la fin de ce chapitre, vous aurez compris la nécessité de :
 sensibiliser le personnel de votre entreprise à intégrer les principes de la continuité

d’activité en cas d’événement perturbateur majeur ;
 former les personnes ayant un rôle réel pour assurer la continuité d’activité de votre
entreprise au niveau de sa mise en œuvre et de son amélioration continue.
Notez les différences entre sensibiliser et former
 La sensibilisation a pour objet d'attirer l'attention et de faire évoluer les habitudes. La

sensibilisation est destinée à toucher les émotions et les comportements.
 La formation est destinée à acquérir des compétences, c’est-à-dire des aptitudes à
mettre en pratique du savoir, du savoir-faire et du savoir-être.
Notez que la formation et la sensibilisation sont à différencier de la communication, qui a

pour rôle de déterminer les messages à transmettre.
Démarrez votre démarche de formation et sensibilisation du bon pied
Tout d’abord, avant de démarrer la sensibilisation et la formation, commencez par ces deux
points importants :
1. Adoptez un vocabulaire commun de termes ayant une définition admise pour
l’ensemble de l’entreprise. Les chapitres 3 des normes ISO 22301 et ISO 22300 et le
lexique structuré de la continuité d’activité du CCA Club de la Continuité
d’Activité proposent des définitions.
2. Organisez une réunion de lancement du projet de mise en place du système de
management de la continuité d’activité. Il est important qu’un membre de la Direction
générale soit présent. Ce sera le sponsor du projet. La réunion précise les objectifs et
les modalités : objectif, planning, rôles des personnes impliquées.
Lancez votre plan de sensibilisation
Les objectifs de votre programme de sensibilisation pour vos parties prenantes sont de :
 Prendre conscience de son propre rôle durant des événements perturbateurs.
En répondant par exemple aux questions suivantes :
 Comment être au courant de l’évolution de la situation ?

 Comment se signaler à son supérieur hiérarchique ?
 Que faire ? Rentrer chez soi et attendre des consignes ? Se rendre sur le site de repli du
personnel pour reprendre l’activité ?
 Prendre conscience de l’amélioration permanente du système de management de

la continuité d’activité.
Par exemple, si un salarié constate qu’une application n’est pas secourue, il doit le signaler à
sa Direction.
 Prendre conscience de son implication à toute non-conformité aux exigences

requises par le système de management de la continuité d’activité.
Par exemple, si un salarié constate qu’un nouvel embauché n’a pas été sensibilisé à la
continuité d’activité, il doit le signaler à sa Direction.
Comment puis-je faire pour sensibiliser mes collègues ?
Il existe différents moyens de sensibiliser vos collègues ; en voici quelques-uns :
 des réunions spécifiques de sensibilisation ;

 un message ludique régulier sur l’intranet de l’entreprise ;
 des vidéos sur l’intranet de l’entreprise, montrant le dernier exercice de validation ;
 des informations partagées dans le livret d’accueil de chaque nouvel embauché.
Lancez votre plan de formation
Vous devez vous conformer à ce que préconise la norme ISO 22301. Vous devez :
 déterminer les compétences nécessaires à acquérir ;

 vous assurer que les personnes choisies sont compétentes sur la base d'une formation
initiale ou professionnelle et d’une expérience appropriée ;
 le cas échéant, mener des actions pour acquérir les compétences nécessaires et évaluer
l'efficacité de ces actions ;
 conserver des informations documentées appropriées comme preuves de ces
compétences.
Comment dois-je procéder pour mettre en place mon plan de formation ?
Je vous conseille de former en priorité le responsable du plan de continuité d’activité, ou

RPCA, et son suppléant. L’idéal est de les former dans le cadre d’une certification à la
norme 22301. La formation dure en général quatre jours. Elle est suivie d’un examen
certificateur de trois heures.
Formez ensuite toutes les parties prenantes. Pour chacun des rôles, une formation doit être
dispensée. Il est préférable de former les personnes au moment où elles en auront besoin.
Par exemple, pour le bilan d’impact sur l’activité, vous formerez les « métiers » et le Business
Relationship Manager (BRM) au moment des interviews.
N'hésitez pas à reprendre le tableau des parties prenantes, disponible en version PDF ou en
document ODT.
N’oubliez pas de former les suppléants de chaque partie prenante.
Évaluez et améliorez en continu le programme de développement des compétences
Le but de l'évaluation est de confirmer que les objectifs en matière de compétence ont été
atteints, aussi bien au niveau de l'entreprise qu’à titre individuel ; c’est-à-dire que le
programme de formation a été efficace. Au-delà de la validation de ces compétences, c'est
leur mise en pratique qui est essentielle ! Vous pourrez, par exemple, faire cette évaluation de
compétences lors des exercices de validation des plans de continuité d’activité.
Découvrez dans la vidéo suivante mon retour d'expérience sur le risque humain. ⬇️
En résumé
 Un vocabulaire commun et une réunion de lancement avec le sponsor du projet

vont vous aider à partir du bon pied.
 Formation et sensibilisation sont les deux éléments clés pour vous assurer que votre
PCA soit appliqué efficacement.
 Soyez rigoureux dans vos plans de formation et de sensibilisation, pour vous assurer
que les parties prenantes soient bien formées et aptes à agir lors d'un sinistre.
6-Dressez le BIA, le bilan d'impact sur votre activité
Dans les chapitres précédents, vous avez défini vos intentions de vous lancer dans une
démarche de continuité d’activité. La Direction générale a donné son accord pour démarrer
votre plan de continuité d’activité. Je vous propose maintenant de travailler sur une étape
essentielle de la démarche : le bilan d’impact sur l’activité ou BIA (ou en anglais, Business
Impact Analysis). Découvrons ensemble ce qui se cache derrière ce terme !
Découvrez le bilan d’impact sur l’activité ou BIA
Quelles sont les activités prioritaires suite à la survenance d’un événement perturbateur ?
Pour démarrer, vous devez comprendre les produits et les services clés de votre entreprise et
leurs processus pour les livrer. Les objectifs du bilan d’impact sur l’activité est de répondre
aux questions suivantes :
 Quels sont les priorités et les délais de reprise d’activité ?

 Quels sont les ressources/moyens nécessaires à ces activités ?
 Quelles sont ses dépendances internes et externes, autrement dit, en cas
d’interruption, quelles sont les activités prioritaires à reprendre, et dans quel ordre ?
La véracité des résultats du BIA est primordiale pour obtenir un PCA correspondant aux
besoins de votre entreprise.
Il y a quelques années, j’ai réalisé un bilan d’impact sur l’activité dans une entreprise de
distribution de thé. J’ai pris en compte les activités logistique, informatique, de ressources
humaines, financière, commerciale, etc. J’ai omis le marketing, en supposant que cela n’était
pas une activité prioritaire pour ce métier de distribution. Heureusement, l’erreur a été
corrigée lors de la validation des activités critiques. Sinon, le BIA aurait été faux et le PCA
inefficace.
Pour chaque activité, le BIA évalue trois paramètres :
 le délai maximal d’interruption admissible (DMIA). Par exemple 4 heures, 24

heures, etc. Le DMIA classe les activités par priorité de reprise d’activité ;
 la PMDT, c’est-à-dire la perte maximale de données tolérable. Par exemple,
aucune perte de données, 24 heures de perte de données, etc. Cela dépend de la
dernière prise de sauvegarde de recours externalisée nécessaire à la reprise
d’activité ;
 l’OMCA, c’est-à-dire l’objectif minimal de continuité d’activité. Par exemple,
l’activité peut travailler avec la moitié de l’effectif nominal à la fin du DMIA qui
marque le début de la reprise d’activité de l’activité.
Le schéma ci-dessous illustre la position dans le temps du délai maximal d’interruption

admissible et de la perte maximale de données tolérable, par rapport à la survenance d’un
événement perturbateur.
L
e DMIA et la PMDT
Pour qualifier les activités prioritaires, vous devez justifier le DMIA, la PMDT et l’OMCA en
mesurant les impacts en termes de :
 perte financière ;
 perte d’image ;
 perte de productivité liée à la désorganisation ;
 pénalités contractuelles ou réglementaires ;
 etc.
Pour ces activités prioritaires, le BIA doit déterminer également les dépendances et les
ressources /moyens nécessaires à ces activités, y compris les fournisseurs et autres parties
intéressées.
Vous verrez dans le chapitre suivant comment vont être appréciés les risques pouvant
impacter les ressources/moyens et les parties intéressées nécessaires à ces activités.
En synthèse, l’objectif du BIA est de :
1. Obtenir une compréhension des produits et services clés de l’entreprise, ainsi que
des activités qui permettent de les livrer.
2. Déterminer les priorités et les délais de reprise des activités.
3. Identifier les ressources/moyens et les dépendances nécessaires à la continuité
d’activité.
4. Identifier les dépendances (internes et externes, dont les fournisseurs) nécessaires à la
continuité et à la reprise des activités.
Élaborez un BIA en cinq étapes
Vous avez compris l’importance du bilan d’impact sur l’activité, mais par où commencer ? Je
vous propose une démarche en cinq étapes qui va vous aider à produire un BIA :
1. Déterminer la totalité des activités de l’entreprise.

2. Déterminer un référentiel de qualification des impacts.
3. Évaluer les impacts d’une interruption des activités.
4. Déterminer les ressources/moyens nécessaires aux activités, et leurs dépendances.
5. Faire valider les résultats par la Direction générale.
Étape 1 : Déterminez la totalité des activités de l’entreprise
Vous partez en général de la cartographie des processus qui se décompose en sous-processus

et en activités. La cartographie doit prendre en compte :
 les processus qui concourent directement à la fourniture de produits et services ;
 les processus qui supportent leur cœur de métier et forment l’infrastructure de
l’entreprise : les achats, les ressources humaines, l’informatique, la comptabilité, etc.
La Direction générale peut réduire dans un premier temps le BIA à un périmètre d’activité
considéré par elle comme prioritaire. Vous allez donc travailler sur ce périmètre validé, en y
incluant les flux et les parties intéressées internes et externes.
À la fin de cette étape, vous obtenez en résultat un inventaire des activités sur lequel vous
allez travailler.
Étape 2 : Déterminez un référentiel de qualification des impacts
Vous devez qualifier un référentiel unique de comparaison de la gravité des impacts. Il va

vous permettre de classer l’ensemble des activités de l’entreprise par priorité. Ce référentiel
de qualification des impacts doit être validé par la Direction générale.
Il est important d’utiliser un nombre pair de niveaux d’impact pour être plus discriminant. Un
nombre impair de niveaux d’impact incite à choisir un impact médian.
Un exemple de référentiel est montré ci-dessous.
Niveau 3 :
Type Niveau 1 : Niveau 2 : Niveau 4 :
Description
d’impact Mineur Considérable Catastrophique
Majeur
Manque à
gagner
2 000 K€
Perte Pénalité de Perte < 500 500 K€ <perte< Perte > 10 000
<perte< 10 000
financière retard K€ 2 000 K€ K€
K€
Perte de
trésorerie
Faibles
Nuisances Nuisances
Perte de nuisances Nuisances
significatives significatives
confiance nécessitant significatives
nécessitant nécessitant
Perte d’image quelques nécessitant plus
quelques quelques mois
Perte de jours pour d’un an pour
semaines pour pour être
clientèle être être résorbées
être résorbées résorbées
résorbées
Rupture du
processus
décisionnel
Désorganisation
Désorganisation
Désorganisation durable de
Faible significative Désorganisation
Perte de liée au plusieurs
nuisance limitée à un durable de
productivité fonctionnement services, dont
interne service traitant l’entreprise
dégradé celui traitant
l’activité
l’activité
Surcharge pour
rattraper le
retard
Remarque
des autorités
Lettre
d’inspection,
Non-respect des d’avertissement,
Pénalité audit
obligations sanctions Suspension Retrait
contractuelle
contractuelles, d’agrément d’agrément
réglementaire Litige traité
réglementaires Assignation de
dans un
l’entreprise
cadre
amiable
Vous pouvez utiliser les deux premières colonnes dans votre entreprise. La qualification du
niveau d’impact dépend ensuite du contexte de votre entreprise, et est à modifier.
À la fin de cette étape, vous obtenez en résultat le référentiel de qualification des impacts
validé par la Direction générale. Vous pourrez ainsi comparer équitablement les impacts sur
chaque activité.
Étape 3 : Évaluez les impacts d’une interruption des activités
Une fois votre périmètre et votre référentiel de qualification des niveaux d’impact élaborés,
vous allez pouvoir évaluer chacune des activités en leur associant des types et des niveaux
d’impact.
Pour cette étape, détaillons ensemble le quand, le qui et le comment.
Quand faire une évaluation des impacts ?

L’évaluation des impacts est faite en tenant compte des possibilités de fonctionnement
dégradé. Il est nécessaire de se situer au moment d’une échéance importante, pour
maximaliser l’impact.
Vous pouvez par exemple procéder à cette évaluation le jour du déclenchement mensuel du
paiement des salaires. Certain font allusion à loi de MURPHY : tout ce qui est susceptible
d'aller mal, ira mal. On constate souvent que cela arrive au pire moment.
Qui évalue les impacts ?
L’évaluation des impacts est faite avec le responsable de l’activité et ses adjoints
opérationnels.
Comment évaluent-ils les impacts ?
Vous pouvez collecter les données en menant des interviews, par envoi de questionnaire, ou
par atelier regroupant plusieurs responsables d’activité. L’interview préparée par l’envoi d’un
ordre du jour est préférable. Le compte rendu de la réunion doit être validé par les personnes
interviewées.
Dans tous les cas, vous devez également faire valider par le directeur de l’activité les
résultats transmis par les répondants . Celui-ci fa une vision plus complète du
fonctionnement de l’activité.
À la fin de cette étape, vous obtenez en résultat, pour chaque activité ainsi analysée, ses
DMIA, PMDT et OMCA, les ressources/moyens nécessaires, et les dépendances, dont les
parties intéressées.
En les classant par DMIA croissant, vous en déduisez les « activités prioritaires » et ainsi
l’ordre de redémarrage souhaité des activités, avec les délais.
Quelle est l’heure de début du DMIA ? Quelle est l’heure de fin du DMIA ?
Vous devez faire préciser ces deux points. Le début démarre-t-il au moment du constat du
sinistre ou au moment de l’activation du PCA ? Qui déclare qu’une activité est redémarrée ?
En général, il faut plusieurs éléments : reprise d’activité de plusieurs applications/services
informatiques, contrôles du fonctionnement de l’activité, etc.
Un exemple de résultats
Dans les deux tableaux ci-dessous, vous trouvez un exemple de résultat du BIA d’une
Direction des ressources humaines. L’OMCA ne figure pas dans le premier tableau. Vous le
trouverez dans le tableau suivant. Il est matérialisé par un nombre de positions de travail
cumulé à rendre opérationnelles en fonction du temps.
Les impacts DMIA et PMDT des activités RH
La montée en charge des positions de repli
Ces deux tableaux existent de façon détaillée en version téléchargeable et accessible dans ce
document OpenDocument dédié.
Étape 4 : Déterminez les ressources/moyens nécessaires aux activités et leurs dépendances
Les activités prioritaires ayant été déterminées, vous devez maintenant demander pour ces
activités quels sont les exigences et besoins en termes de ressources (postes de travail,
applications informatique, moyens matériels, fournisseurs ou partenaires externes, etc.) pour
un mode de fonctionnement jugé acceptable – qui n’est pas forcément le mode nominal. Ce
dernier est le mode de fonctionnement tel qu’il était lors de la survenance de l’événement
perturbateur.
Vous trouverez ci-dessous la suite de l’exemple des activités d’une Direction des ressources
humaines. Tout d'abord, les ressources/moyens nécessaires à l’activité.
Moyens : Application informatique Autres moyens

Gestion du personnel Téléphonie
Logiciel de paye Tampon encreur
GED Chéquier
Messagerie Contrat de travail papier
MS Office
Ensuite, voici les dépendances nécessaires à l’activité.
Activités liées Parties intéressées

Comptabilité pour émission des virements Banque pour envoi des virements
Édition des bulletins de paie
Notez que dans l’exemple de la Direction des ressources humaines, l’activité a besoin pour
travailler d’une autre activité, la comptabilité, et de deux parties intéressées externes.
Étape 5 : Faites valider les résultats par la Direction générale
Vous allez ensuite devoir présenter les résultats du bilan d’impact sur l’activité de chaque
activité à la Direction générale pour validation.
La Direction générale a une vision beaucoup plus globale de votre entreprise. Elle peut donc
corriger en augmentant les DMIA, chaque responsable d’activité ayant tendance à se
valoriser.
Vous trouverez ci-dessous un exemple de tableau regroupant le BIA de toutes les activités de
l’entreprise classées par DMIA.
Exemple des résultats du BIA présentés à la Direction générale d'une entreprise
En résumé
 Pour effectuer un BIA, vous devez garder en tête les questions suivantes :
o Quelles sont vos activités critiques ?
o Quelles sont leurs durées d’interruption maximales ?
o Quels sont les niveaux de dégradation de service acceptables ?
o Quels sont les ressources/moyens nécessaires pour fonctionner, dont les parties
intéressées ?
 À la fin de ce BIA, vous disposez de plusieurs éléments :

o la liste de vos activités prioritaires à redémarrer en cas d’arrêt, validée par la
Direction générale ;
o l’explicitation et la justification des besoins de continuité d’activité
(contractuelles, réglementaires, d'image, etc.) ;
o l’indication des ressources minimales nécessaires pour satisfaire aux
exigences de continuité d’activité ;
o la liste des activités liées et des parties intéressées.
7-Appréciez les risques qui menacent la continuité de votre activité
À quels risques d’interruption mon entreprise est-elle exposée ?

Vous devez identifier et apprécier les risques d’interruption possibles de vos activités pour y
faire face. Leur connaissance permet d’identifier et de documenter les actions possibles pour
réduire les risques et connaître vos scénarios de menace les plus impactants face auxquels
vous devrez prévoir une réponse.
Appréciez les risques qui menacent votre entreprise
L’appréciation du risque implique les processus :
 d’identification des menaces et des vulnérabilités internes et externes ;

 d’identification de la vraisemblance et de l’impact d’un événement découlant de ces
menaces, lié à vos vulnérabilités.
Une menace est une cause potentielle d’un incident indésirable susceptible de porter
préjudice à votre entreprise.
Le processus d’appréciation des risques comporte quatre étapes – en vous focalisant sur les
risques qui pourraient interrompre vos activités :
1. Identification des risques.

2. Analyse.
3. Évaluation.
4. Identification des traitements.
Ce processus d’appréciation des risques doit être continu. Vous devrez chaque année prendre
en compte toutes évolutions potentielles (produits, contexte, demande client, normes et
règlementations, site et zone géographique, etc.).
Étape 1 : Identification des risques : constituez un portefeuille de risques d’interruption de vos

activités
Le portefeuille de risques peut être totalement spécifique à l’entreprise, mais il paraît en

général préférable (plus simple, plus facile à partager…) de recourir à un portefeuille
générique, classique, comme par exemple le portefeuille suivant :
 types de ressources exposées à risques : bâtiment et infrastructure, informatique,

RH, outils et flux de production industrielle et de pilotage (ex. : centre de commande),
réseaux (transports, énergie, télécoms, eau, électricité), prestataires et fournisseurs
critiques (logistique, supply chain), IoT Internet des Objets… ;
 Types de risques « majeurs » : naturels (inondation, séisme, aléa climatique),
pandémie, accident industriel proche (sites SEVESO, transport de matière dangereuse,
installation nucléaire…), cybermenace, mouvements sociaux, terrorisme.
Ces risques sont en partie interdépendants (une inondation peut affecter les installations, le
personnel, les fournisseurs et provoquer une coupure électrique…).
Étape 2 - Analyse : élaborez des « scénarios » de risques
En tenant compte de votre contexte, vous devez décrire concrètement le déroulement des
événements et la série des effets conduisant à l’interruption d’activité.
Cette analyse permet de trier effectivement ce qui peut se produire, et donc déterminer les
scénarios de risque ayant les conséquences les plus indésirables sur vos activités et les
moyens utilisés.
Par exemple, vous pouvez identifier les scénarios de risques suivants :
 R1 : Bâtiment impraticable ;

 R2 : Site informatique indisponible ;
 R3 : Cyberattaque ;
 R4 : Fournisseur défaillant ;
 R5 : Inondation fluviale ;
 R6 : Indisponibilité massive de ressources humaines ;
 R7 : Mouvement social ;
 R8 : Coupure alimentation électrique ;
 R9 : Coupure physique de fibre ;
 R10 : Interdiction préfectorale d’accès dans les locaux ;
 etc.
Étape 3 - Évaluation : déterminez le niveau de criticité des risques
Tout risque présente des conséquences nocives portant notamment sur des moyens qui sont
nécessaires à vos activités. Par ailleurs, l’événement perturbateur est plus ou moins
vraisemblable : il possède une probabilité de se produire.
Vous devez positionner dans une matrice de risques les scénarios analysés à l’étape 2, avec
des jeux de couleurs et de typographie matérialisant des niveaux de criticité ainsi obtenus (par
exemple du rouge gras = le plus grave au vert normal = le moins grave).
Matrice des risques
Le document est téléchargeable en version accessible, dans ce document OpenDocument

(ODT) dédié.
Vous pourrez ainsi choisir, parmi les risques recensés et cotés, ceux qu'il convient de traiter
en priorité, en fonction de leur criticité :
 à traiter immédiatement (rouge, gras) ;

 à traiter à court/moyen terme (orange, italique) ;
 acceptable en l’état (vert, normal).
Vous pourrez ainsi identifier les risques qui nécessitent un traitement urgent. L’objectif
premier est de sortir ceux de la zone rouge dès que possible, et de réduire ceux de la zone
orange.
Vous devez suivre l’évolution des risques dont le traitement est moins prioritaire ou qui sont
jugés acceptables ou supportables (afin de rester dans le vert ou le jaune). Ce travail est à
refaire chaque année.
Étape 4 – Identification des traitements : Choisissez les mesures de traitement des risques
Vous devez prévoir des actions pour mettre sous contrôle les risques ayant un caractère de
criticité élevé. En continuité d’activité, le traitement du risque se distingue par :
 les actions ou mesures préventives, en amont, pour empêcher la survenance d’un

risque. Vous allez limiter les causes de survenance du risque. Les causes pouvant être
naturelles, accidentelles ou malveillantes.
Par exemple : vous allez installer les lieux de stockage hors de la zone inondable, acquérir un
générateur d’alimentation électrique et son alimentation périodique, redonder les serveurs
informatiques, redonder des compétences RH clés… ;
 Les actions ou mesures réactives, en aval, à prendre en cas de survenance de

l’événement perturbateur en limitant les conséquences.
Par exemple : vous allez prévoir d’activer un secours informatique distant, activer un site de
repli pour avoir des positions de travail à distance, mobiliser des moyens palliatifs, etc. ; mais
vous devrez vous y préparer dès maintenant pour pouvoir le faire quand le risque se réalisera.
À ce stade, vous devez identifier les traitements proportionnés aux objectifs de continuité. Il
est recommandé d’y indiquer une idée du coût, du délai et de la faisabilité.
Dans le chapitre suivant, vous allez développer ces traitements et décider d’une stratégie de
continuité en confrontant les risques aux exigences des métiers déterminées et validées dans
le chapitre précédent.
Pour aller plus vite
Si vous n'avez que peu de temps pour analyser vos risques, vous devez au minimum être
conscient de quelques risques principaux qui pèsent sur votre entreprise, et des actions
pratiques susceptibles d’être prises pour pouvoir les mettre sous contrôle.
Il n’est pas nécessaire d’aller dans des méthodes sophistiquées et complexes : une rigueur
minimale doublée de l’avis des opérationnels de terrain peut suffire. Un formalisme par
tableau est utile (« carte des quatre couleurs »).
Il est intéressant de prendre connaissance des données et enseignements disponibles, de la

pratique des entreprises proches (confrères, voisins, concurrents …), ainsi que des données
disponibles sur les risques auprès des institutionnels (organismes publics, professionnels).
Les dossiers qui peuvent vous aider :

 le dossier départemental sur les risques majeurs (DDRM) : informations
essentielles sur les risques naturels et technologiques majeurs du département ;
consultable gratuitement sur le site de la préfecture ;
 le dossier d’information communal sur les risques majeurs (DICRIM) :
informations sur les risques et les mesures/actions ; consultable en mairie ;
 le plan communal de sauvegarde (PCS) pour une commune soumise à un risque ;
 les plans de prévention de risques majeurs (PPRM) ;
 les plans de prévention des risques naturels (PPRN) qui réglementent dans les
zones concernées l'utilisation des sols, en fonction des risques naturels existants.
Découvrez dans cette vidéo un exemple d'entreprise qui a pu gagner du temps

considérablement grâce à son analyse de risques. ⬇️
En résumé
 L'analyse de risques vous permet d'avoir une vision globale et structurée de vos
risques d’interruption, assortie d’un diagnostic partageable.
 La liste des traitements possibles de ces risques avec des indications de priorités
vous permettra de gagner en temps et en efficacité.
8-Déterminez votre stratégie de continuité d'activité
Maintenant que vos risques sont mieux cernés et que vos activités prioritaires sont identifiées,
vous devez choisir une stratégie pour être prêt à dérouler un plan suite à la survenance d’un
événement perturbateur, parmi un panel de solutions pouvant être :
 des solutions de prévention ou de réduction de risque issues de l’appréciation des
risques que vous décidez de traiter ;
 des solutions de détection et de remontée d’alerte ;
 des solutions de protection, de maintien et/ou reprise des activités prioritaires,
activités déterminées lors du bilan d’impact sur l’activité (BIA), avec les niveaux de
service acceptables.
Votre rôle ici est trouver un équilibre entre les risques, les besoins de continuité d’activité et
les coûts.
Équilibre entre risques, besoins et coûts
Vous devrez également faire valider cette stratégie par la Direction générale qui décidera en
fonction de certains points ; en particulier :
 L'appétence au risque : cherchez-vous à réduire vos risques ou acceptez-vous de

vivre avec ?
 Le choix des priorités : que décidez-vous pour vos activités prioritaires (issues du
BIA) ? Validez-vous les délais maximaux d’interruption admissibles demandés par les
responsables (les DMIA) ? Quel niveau de reprise vous paraît acceptable ?
 Le choix de solutions : Avec quels moyens (site de repli des positions de travail
critiques, site de secours informatique, constitution de stocks de secours, etc.), quels
effectifs et quelle montée en charge de positions de travail prévoyez-vous de mettre en
place ?
 Le choix de partenaires : Allez-vous faire appel à des prestataires de solution de repli
des positions de travail, de solution de secours informatique ?
 Le choix financier : Quel budget allez-vous consacrer à cela ? Quel planning ?
Quelles priorités ?
Le budget comprend des coûts directs et indirects : projet, assistance, secours informatique,
site de repli des positions de travail, solutions spécifiques, implication des collaborateurs,
assurances, communication, outils de gestion de la crise et de la continuité d’activité, maintien
en condition opérationnelle des PCA, etc. Prenez donc bien l'ensemble des coûts en compte
avant de faire votre choix, afin d'éviter de mauvaises surprises !
Vous trouverez ci-dessous les différents types de solutions de continuité d’activité. Pour bâtir
votre stratégie, vous devrez choisir un panel cohérent de ces solutions.
Les solutions de prévention
Les solutions de prévention sont mises en œuvre avant la survenance de l’événement

perturbateur. Elles ont pour objectif de réduire sa probabilité de survenance. Elles
fonctionnent de manière proactive et doivent faire l’objet d’amélioration continue.
Vous trouverez ci-dessous quelques exemples classiques de mesures de prévention :
 les systèmes de contrôle d’accès dans un bâtiment ;

 le secours de l’alimentation électrique par des onduleurs et des groupes électrogènes ;
 la mise à jour régulière des logiciels de sécurité ;
 l'achat préventif de pompes de relevage, de dispositifs d’étanchéité temporaires et
amovibles pour pallier une inondation ;
 etc.
Les solutions de détection de l’événement perturbateur
Les solutions de détection sont installées avant la survenance de l’événement perturbateur.

Elles peuvent réduire l’impact en le détectant rapidement, permettant ainsi de lancer
rapidement une remontée d’alerte.
Vous trouverez ci-dessous quelques exemples de mesures de détection :
 installer des détecteurs de température, de fumée, de feu, d’intrusion physique ;

 implémenter un Security Operation Center (SOC), centre de supervision et
d'administration de la sécurité qui remonte les cyberattaques ;
 effectuer une veille active sur certains risques (Vigicrues, Météo France, contact avec
la préfecture, etc.).
Les remontées d’alarme d’origine physique sont en en général centralisées dans une gestion
technique centralisée (GTC) d’un bâtiment, en relation avec un PC sécurité.
Les solutions de protection, maintien et/ou reprise des activités prioritaires
Les solutions de protection sont préparées et mises en place avant la survenance de

l’événement perturbateur. Pour être opérationnelles, ces mesures doivent être validées
régulièrement.
La principale solution de protection est la mise en place d’un plan de continuité d’activité
utilisant :
 des solutions de secours informatique ;

 des sites de repli des positions de travail.
Les solutions de secours
Reprendre l’activité, c’est basculer les infrastructures techniques vers un site de secours.
Aujourd’hui, nombreuses sont les solutions techniques existantes, pour répondre
concrètement à toutes les exigences de délai de reprise d’activité issues du BIA. Elles
correspondent globalement à trois concepts de base : les secours à froid, actif-passif ou
actif-actif. Détaillons cela ensemble !
Le secours dit « à froid »
Le site de secours n’est pas directement utilisable au quotidien ; en cas d’activation, les
moyens techniques du site de secours doivent être mis en œuvre, les serveurs remontés (et mis
à jour) et les données restaurées à partir des sauvegardes de recours. Le délai de reprise
d’activité est au minimum de 48 heures, dépendant de la durée de restauration des
sauvegardes.
Le secours dit « actif-passif »
Dans ce cas, le site de secours est opérationnel au quotidien, tenu à jour en permanence, les
données sont répliquées (en temps réel ou pas). En cas d’activation, la bascule technique peut
être rapide car les moyens informatiques sont « en veille » et activables moyennant des
actions de démarrage et de basculement du réseau. Le délai de reprise d’activité est de l’ordre
de 24 heures.
Le secours dit « actif- actif »
Les deux sites sont en production (en répartition de charge) et sont le secours l’un de l’autre.
Le fait d’être en « production » implique qu’ils sont tenus à jour en permanence, que les
données sont répliquées en temps réel. En cas d’activation du PCA, la bascule technique peut
être très rapide. Le délai de reprise d’activité peut être inférieur à 4 heures.
Découvrez les recommandations pour ces solutions de secours

Faites attention à la distance entre les deux sites
La réplication synchrone des données entre les deux sites n’est possible techniquement qu’à
faible distance (environ 50 km maximum), liée à la vitesse de la lumière dans le verre. Elle
peut être onéreuse. Cette solution ne répond pas aux sinistres régionaux qui rendraient
indisponibles en même temps ces deux sites proches. Il faut noter que plusieurs entreprises
s’affranchissent de ce sinistre régional par la mise en œuvre d’une solution à distance (par
exemple > 250 km) « à froid » ou « active – passive », décrites précédemment.
Bien entendu, ces différentes solutions peuvent également être mixées, pour répondre aux
différents enjeux, aux exigences de continuité d’activité déterminées par le BIA, et aux
moyens disponibles (humains et financiers).
Faites attention à la corruption de données sur le site de production initial
La réplication sur le site de secours peut transmettre instantanément une corruption de

données sur ce site de secours lui-même, dont les données ne sont alors plus réutilisables. Un
retour arrière à une situation non corrompue est alors forcément nécessaire à partir d’un
niveau de sauvegarde adéquat. C’est l’objet de sauvegardes de recours qui sont à
différencier des sauvegardes d’exploitation nécessaires pour restaurer un fichier particulier, et
des sauvegardes d’archivage nécessaires pour conserver des données à des moments précis, à
des fins de preuves légales ou réglementaires.
Retenez l’usage des sauvegardes de « recours »
Elles ont pour objectif de faire face à un sinistre informatique majeur. Elles doivent contenir
des images complètes et fiables du système d’information, en vue de pouvoir le reconstruire
en partant de zéro : données, applications, fichiers de configuration, procédures techniques,
carnet d’exploitation, etc.
Sauvegarder c’est bien, restaurer c’est mieux
Les sauvegardes de recours doivent être fiables et régulièrement éprouvées. Des tests
techniques et fonctionnels de restauration partiels ou complets doivent être réalisés
régulièrement, pour s’assurer de leur complétude et de leur intégrité.
Faites attention aux cyberattaques qui chiffrent les données et dont les auteurs demandent une
rançon. Des cas de chiffrement des données du site de production et des sauvegardes de
recours ont été constatés.
Quelques dernières bonnes pratiques :
 Vous devez éviter de dégrader les systèmes de contrôle et de sécurité. Pour le

traitement des opérations manipulant des fonds, il est nécessaire de renforcer les
mesures de sécurité, les opérations pouvant être faites en dehors des sécurités
normales.
 Vous pouvez couvrir les dommages de cette dégradation de fonctionnement par une
assurance "perte d’exploitation".
Les solutions de repli
Après avoir découvert les solutions de secours informatique, voyons maintenant les
principales solutions de repli des positions de travail.
Les solutions de repli consistent en des moyens alternatifs situés dans d’autres locaux non
soumis aux mêmes risques. Elles sont de deux types : repli de niveau 1 ou de niveau 2.
Repli de niveau 1 (opérationnel au mieux sous 4 heures, en général de 24 à 48 heures)
Ce site de repli est destiné aux collaborateurs impliqués dans les activités les plus critiques.
Le site de repli ne doit pas être soumis aux mêmes risques que le site à secourir. Il n’y a pas
de distance réglementaire. Le site de repli nécessitant le déplacement du personnel ne doit pas
être trop loin. D’où un arbitrage entre les risques à couvrir et la facilité d’accès. Par exemple :
 des positions de repli louées contractuellement à une société spécialisée ;

 des camions équipés en bureaux déplacés sur le site à secourir dans un délai de 48
heures ouvrées, en France métropolitaine. La société PODIOCOM met à disposition
une semi-remorque se déployant pour héberger de 12 à 120 personnes ;
 le travail occasionnel à distance (TOAD) : le repli peut être chez soi. Cette solution
n’est possible que pour certaines fonctions de l’entreprise. Cela nécessite l’utilisation
de positions de travail fournies par l’entreprise, avec les sécurités adéquates ;
 des salles de formation, salles de réunion, locaux dans un autre bâtiment de
l’entreprise ou du groupe (réquisitionnés après la survenance de l’évènement
déclencheur).
Repli de niveau 2 (mis en place après le déclenchement du PCA)
Il complète le repli dès que possible. La localisation de ces sites est identifiée, tous les ans,
pour servir de site de repli.
Une fois rendus opérationnels sous un minimum d’un mois, ces sites accueilleront
progressivement la totalité des personnels de l’entreprise. C'est par exemple :
 des locaux mobiles modulaires, par exemple ALGECO. Ils sont opérationnels sous
quinze jours dans un endroit préparé à l’avance (électricité, réseau) ;
 un accord de repli mutuel formalisé par un contrat avec une entreprise amie.
Composez votre stratégie
Ayant appréhendé les différents types de solutions, vous allez maintenant élaborer votre
stratégie de continuité d’activité.
Vous devez réaliser un cahier des charges comprenant :
 une étude technique : l’ensemble des solutions doit faire l’objet d’une étude de
faisabilité technique au regard des délais exprimés dans le BIA ;
 une étude financière : l’ensemble des solutions internes (charge jour/homme des
collaborateurs) et externes doit faire l’objet d’une évaluation chiffrée :
o pour les coûts externes, ce chiffrage doit comprendre les investissements
initiaux et les coûts récurrents de maintenance de la solution,
o les coûts liés au déclenchement du PCA doivent également être pris en compte
lorsqu’ils peuvent être évalués ;
 une étude des avantages et des inconvénients pour chacune des solutions :
o facilité et délai de mise en œuvre,
o capacité à évoluer,
o facilité de maintien en condition opérationnelle,
o facilité à être testée/validée.
Vous pouvez être amené à conclure des contrats avec des fournisseurs spécialisés, ou des
accords contractuels de réciprocité avec des confrères (site de secours informatique, site de
repli).
Vous devez évaluer les risques et prendre les mesures adéquates pour vous assurer que la
solution souscrite avec vos fournisseurs reste opérationnelle en cas d’événement perturbateur
pouvant l’impacter. Vous devez évidemment choisir des fournisseurs non soumis aux mêmes
risques.
Une évaluation régulière de la capacité de continuité d’activité doit être effectuée. Vous
devez :
 demander que vos fournisseurs soient certifiés ISO 22301 ;

 auditer vos fournisseurs ;
 obtenir des preuves vérifiées de la viabilité des plans de continuité d’activité des
fournisseurs clés, si possible avec des indicateurs mesurables.
Pour terminer en illustrant ce chapitre, reprenons l’exemple du BIA de la DRH vu dans le

chapitre 2.2, Le BIA, et dans le chapitre 2.3, L’appréciation des risques.
L’activité la plus critique doit reprendre à H + 4 avec une position de travail. Les autres
activités à J + 1 avec treize positions de travail.
Les scénarios de risques à traiter en priorité (risque élevé et probabilité d’occurrence forte)
sont :
1. R1 : bâtiment impraticable.

2. R3 : cyberattaque.
La stratégie de continuité d’activité décidée par la Direction générale est donc :
 R1 : bâtiment impraticable. Les solutions prévention sont suffisantes. Il est décidé de :
o mettre en place une solution de protection : le repli dans le site de formation de
l’entreprise qui sera réquisitionné. Les locaux du site de repli et ceux de la
DRH ne sont pas soumis aux mêmes risques ;
 R3 : cyberattaque. Il est décidé de :
o renforcer la prévention par un ensemble de mesures, par exemple la
sensibilisation de l’ensemble du personnel,
o mettre en place un Security Operation Center (SOC), centre de supervision et
d'administration de la sécurité qui remonte les cyberattaques,
o renforcer la protection en commençant par contrôler fonctionnellement tous les
mois, au minimum, les sauvegardes de recours utilisées suite à un sinistre
informatique.
En résumé
Vous devez arbitrer entre différents types de solutions pour former votre stratégie :
 des solutions de prévention ou de réduction de risque issues de l’appréciation des

risques que vous décidez de traiter ;
 des solutions de détection et de remontée d’alerte ;
 des solutions de protection, de maintien et/ou reprise des activités prioritaires,
activités déterminées lors du bilan d’impact sur l’activité (BIA), avec les niveaux de
service acceptables.
9-Rédigez votre plan de continuité d'activité
Ces solutions vont être mises en place. Cela n’est pas suffisant. Par suite d’un événement,
votre entreprise est paralysée, des procédures intégrées dans des plans doivent être rédigées,
pour guider les intervenants. Il est nécessaire que vous disposiez :
 de procédures (qui fait quoi, quand, comment et où ?) suffisamment détaillées pour

bien avancer, mais suffisamment souples pour pouvoir être adaptées au contexte de
l’évènement perturbateur (agilité) ;
 d’un plan regroupant ces procédures, qui serve de guide pour toutes les étapes de la
continuité et de la reprise d’activité, de la gestion de crise au retour à une situation
normale.
Découvrez le plan de continuité d’activité (PCA)

Le PCA est un ensemble de procédures documentées servant de guide aux entreprises pour
répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la suite
d’une perturbation (norme ISO 22301).
Vous rencontrerez fréquemment le terme PCA dans les entreprises en France. La

réglementation bancaire utilise le terme PUPA : plan d’urgence et de poursuite de l’activité,
depuis 2014.
Un PUPA, plan d’urgence et de poursuite de l’activité, est un ensemble de mesures visant à

assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le
cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou
d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la
reprise planifiée des activités, et à limiter ses pertes (définition de l’arrêté du 3 novembre
2014).
Comment dois-je procéder ?
Il convient de mettre en œuvre des procédures qui doivent globalement contenir :
 les rôles et responsabilités (personnes responsables ayant un rôle désigné) ;

 la manière de se coordonner et de communiquer (entre personnes et cellules de
crise) ;
 la manière de déclencher tel ou tel secours (qui contacter ? quoi dire ?) ;
 des actions de protection (des personnels, biens, etc.) de limitation des dégâts ;
 une coordination opérationnelle avec les parties prenantes, dont les clients les plus
impactés ;
 la manière de planifier et effectuer la reprise des activités prioritaires ;
 des indications techniques nécessaires (mode opératoire).
Ces procédures sont regroupées dans des plans séquencés dans un PCA. Il est en général
élaboré par scénario de risque. L’ensemble des PCA constitue le PCA de l’entreprise.
Rédigez votre PCA
Le schéma ci-dessous illustre un exemple d’enchaînement des différents plans d’un PCA
correspondant au cas d’un événement perturbateur rendant impraticable un siège social
hébergeant un site informatique et des activités critiques, par exemple. Seul le contenu du
plan est important, peu importe le nom qui lui est attribué. Voici l'ensemble des plans associés
au plan de continuité d'activité :
 plan Ressources humaines ;

 plan d’urgence ;
 plan de gestion de crise ;
 plan de communication de crise ;
 plan de reprise d’activité IT ;
 plan d’activation opérationnelle du repli ;
 plan de continuité des opérations ;
 plan de retour à une situation normale.
L'ensemble des plans associés au plan de continuité d'activité
Chaque plan se décompose en un enchaînement d’actions à exécuter. Chaque action est

décrite par une procédure illustrée si besoin par un ou plusieurs modes opératoires.
Découvrez d’abord le contenu de chacun de ces plans. Vous découvrirez dans un paragraphe
ci-dessous comment rédiger des procédures et des modes opératoires.
Découvrez les différents types de plans
Découvrez le plan Ressources humaines
Vous devez déterminer avant la survenance de l’événement perturbateur le traitement des

problématiques d’astreinte, de travail à distance, de pointage des heures de travail, de travail
au-delà des heures légales, de travail en horaires non ouvrables, etc.
Découvrez le plan d’urgence
Les entreprises ont la responsabilité directe de la sauvegarde et de la protection des employés,

sous-traitants, visiteurs/clients lorsqu’un incident entraîne un risque sur leur vie. Une attention
particulière devra être prêtée, lors de la survenance d’incidents, aux personnes à mobilité
réduite ou présentant d'autres situations spécifiques (par exemple, incapacité provisoire due à
une blessure).
En France, la sécurité à l’intérieur d’une entreprise est réglementée : signal d’alarme, issue de
secours signalée quoi qu’il arrive, évacuation ou non contrôlée par des membres du personnel
formés, points de ralliement, exercices réguliers d’évacuation, contrôle de l’évacuation totale
des locaux, pointage du personnel évacué, etc.
Découvrez le plan de gestion et de crise
Vous ne vous intéressez ici qu’à la gestion de crise dans le cadre du PCA, c’est-à-dire quand
l’événement perturbateur a été prévu, ou peut se rapporter à un cas prévu.
L’objectif de ce plan est de décrire les actions de la gestion de crise dans le cadre du PCA,
depuis l’alerte jusqu’au retour à une situation normale.
Le plan de gestion de crise doit formaliser les procédures et les fiches réflexes suivantes :
 le traitement de la remontée d’alerte ;

 la mobilisation des cellules de crise décisionnelles et opérationnelles. Nous verrons
leurs rôle et composition dans le troisième chapitre de cette partie ;
 les critères de prise de décision pour activer ou non le PCA ;
 le pilotage de l’exécution des plans du PCA ;
 les décisions du contenu de la communication interne et externe. La communication
sera faite dans le plan suivant (le plan de communication) ;
 la main courante actant chronologiquement les informations reçues, les décisions
prises, le suivi de leur réalisation ;
 l’annuaire de crise.
Ce plan sera repris et détaillé dans le chapitre 3.3 : Gérez vos situations de crise.
Découvrez le plan de communication
Il doit s’intégrer dans la communication de crise existante de l’entreprise, pour d’autres types
de crises ne nécessitant pas le déclenchement des plans de continuité.
Ce plan de communication est à rédiger avec le responsable de la communication. Les

messages types par cible doivent être validés par la Direction générale. Ils seront décidés et
actualisés par la cellule de crise décisionnelle.
Spécifiquement, le plan de communication doit comporter des procédures de communication

comprenant des communiqués types à destination :
 des collaborateurs ;
 des IRP, CHSCT, CE ;
 des clients ;
 des fournisseurs ;
 des médias ;
 des organismes de tutelle ;
 des collectivités locales, etc.
Les dispositifs de communication sont à choisir par type de communication interne ou

externe : Internet, intranet, conférence de presse, communiqué, télévision, cascade d’appels
téléphoniques, serveurs vocaux interactifs (SVI), numéros verts, etc.
Découvrez le plan de reprise d’activité IT
En cas d’indisponibilité du système d’information, quelle qu’en soit la cause, pour une durée
indéterminée, des milliers de traitements en cours ont été arrêtés brutalement, d’autres
peuvent éventuellement continuer à fonctionner.
Le plan de reprise d’activité doit décrire toutes les étapes de la reprise d’activité dépendant de
la solution choisie au chapitre précédent.
Les principales étapes sont : activation du site de secours, restauration des données s’il y a
lieu, reprise des applications entre elles, contrôles fonctionnels, reroutage des réseaux.
Découvrez le plan d’activation opérationnelle
Ce plan regroupe les procédures pour assurer la mise en place opérationnelle des positions de
travail sur le site de repli : approvisionnement en matériel, activation des positions de travail,
restauration des applications, contrôles fonctionnels.
L’objectif de ce document est de décrire les différentes actions à mener par les informaticiens
à compter du déclenchement du PCA, pour que chaque entité critique puisse redémarrer ses
activités critiques dans les délais prévus.
Découvrez le plan de continuité opérationnelle
Ce plan, pour chaque direction, décrit les procédures de continuité utilisant les solutions et les
moyens prévus. Les procédures de continuité remplacent les procédures de fonctionnement
normal pour poursuivre l’activité des processus sinistrés. Il s’agit de décrire les modalités de
fonctionnement des processus dans un environnement dégradé prévu par le BIA.
Les objectifs de ce plan sont les suivants :
 communiquer les consignes aux collaborateurs après le déclenchement du PCA ;

 déployer les collaborateurs concernés sur le site de repli ;
 assurer la continuité de l’activité et rattraper le retard éventuel ;
 formaliser les modes dégradés de fonctionnement ;
 informer les contacts essentiels de la situation, selon la stratégie de communication qui
aura été définie.
Découvrez le plan de retour à une situation normale
Ce plan n’est pas aussi détaillé que les autres plans. Il fournit des informations à suivre, en
fonction des différents cas d’événements perturbateurs, pour revenir à une situation normale.
Ce ne sera pas toujours la solution nominale d’avant le sinistre. Par exemple, en cas de
destruction d’un bâtiment, il n’est pas certain de revenir dans le même bâtiment.
Formalisez vos plans
Comment dois-je rédiger les procédures et leurs modes opératoires ?
Ces procédures font ou peuvent faire référence à des modes opératoires décrivant précisément
l’action à réaliser.
Vous trouverez ci-dessous un exemple de procédure formalisée dans un tableau de tâches à
exécuter. La procédure peut faire référence à des modes opératoires contenant des éléments
plus précis tels que : modes d’emploi, schémas, modèles, images fixes, vidéos, etc.
N° Quoi Qui Fait ?

Valider le bon fonctionnement de votre position de travail
1 (connexion au poste de travail par identifiant-mot de passe, Collaborateurs Oui/non
téléphone, imprimante).
Valider le bon fonctionnement de l’ensemble des applications
2 Collaborateurs Oui/non
nécessaires à la reprise des activités. Voir mode opératoire.
Faire un état des lieux des activités critiques en cours : le sinistre
ayant pu provoquer un arrêt brutal de ces dernières, il se peut
3 que certaines tâches en cours dans les instants précédant le Collaborateurs Oui/non
sinistre n’aient pas été enregistrées et soient donc perdues. Voir
mode opératoire.
Notez un conseil important : les procédures et leurs modes opératoires sont écrits par des
personnes compétentes. Vous devrez vérifier qu’ils sont compréhensibles et utilisables par la
personne également compétente qui ne les a pas écrits. C’est l’objet des tests et exercices de
validation que nous verrons dans le chapitre suivant.
Comprenez la nécessité de gérer tous ces plans avec un logiciel spécialisé
Word ou Excel ne sont pas toujours suffisants pour faciliter la gestion du PCA. Un logiciel
spécialisé peut être nécessaire. Il est indispensable de constituer un référentiel Continuité
d’activité gérant les dépendances entre processus, locaux, applications et ressources
informatiques. Un événement perturbateur impactant l’un de ces éléments proposera les plans
pour y répondre.
Le référentiel de continuité d'activité qui gère les dépendances
Ce type de logiciel permet différentes choses, sous réserve d’être habilité :
Pendant la phase de mise en œuvre du PCA
Ce type de logiciel permet de :

 gérer des plans modèles types par scénario de risques ;
 faciliter la conception modulaire des plans nécessaires pour gérer les différents
scénarios de risque ;
 faciliter le maintien en condition opérationnelle ;
 faciliter le contrôle des mises à jour des plans du PCA.
Pendant un exercice ou à la suite d’une activation du PCA
Il permet également de :
 avoir accès immédiatement aux plans concernés par le sinistre ;

 avoir accès à toutes les informations nécessaires à jour ;
 pouvoir piloter l’exercice, voire la reprise d’activité en temps réel.
Le logiciel RVR Parad développé par Devoteam répond à ces fonctionnalités, mais il en existe
de nombreux autres. Vous trouverez par exemple la fonctionnalité de formaliser le plan sous
forme de Gantt, nécessaire pour piloter l’exécution du plan en exercice ou en réel. Chacune
des actions du plan est exécutée au fur et à mesure, en fonction de l’ordonnancement.
L'instant précis de la reprise d’activité est ainsi évalué à tout moment.
En résumé
 L'ensemble des procédures doivent être coordonnées et à jour et forment ainsi le

PCA : le plan de continuité d'activité.
 Leur formalisation doit être compréhensible de tous et rédigées de la même façon le
plus possible, pour faciliter leur cohérence.
 Utiliser un logiciel qui intègre l'ensemble de ces plans permet de centraliser
l'information.
10-Testez régulièrement votre plan de continuité d'activité
Votre PCA existe, il va falloir maintenant le mettre à l’épreuve de la réalité par des tests et
exercices de validation périodiques.
Découvrez la différence entre les tests et les exercices
Les tests vérifient des dispositifs techniques, tandis que les exercices entraînent les
collaborateurs.
Les tests sont donc par exemple la disponibilité de ressources, la restauration des données, le
reroutage de la téléphonie (bascule des serveurs, bascule des clusters, bascule du réseau…).
Les exercices entraînent les collaborateurs à réaliser ce qu’est la continuité d’activité, en

s’appuyant sur l’organisation de crise, la documentation et les outils correspondants. La mise
en situation doit être la plus proche possible des impacts de l’événement perturbateur.
Par exemple : comment allez-vous valider que les activités critiques puissent continuer leurs
activités sur le site de repli ? Tout d’abord, vous devrez faire des tests techniques du
fonctionnement des positions de travail sur le site de repli (connexion des positions de travail,
accès aux applications, reroutage de la téléphonie, fonctionnement des imprimantes, test de
charge…). Ces tests sont faits par les informaticiens sans la présence des utilisateurs métiers.
Une fois les tests satisfaisants, vous pourrez organiser le premier exercice de validation avec
la présence d’une partie des utilisateurs métiers avec leurs positions de travail critiques. Puis
d’autres exercices réguliers seront planifiés, en se rapprochant le plus près possible d’une
situation réelle.
Validez votre PCA de façon progressive
La validation d’un PCA se fait progressivement, par une campagne pluriannuelle de

validation comprenant une suite de tests et d’exercices avec de moins en moins de
préparation. Pour y arriver, nous vous proposons de prendre en compte successivement trois
objectifs, en définissant les niveaux à atteindre progressivement en trois temps :
Objectifs Temps Niveau à atteindre

 Tester techniquement tous les moyens de continuité prévus
 Vérifier la restauration complète des données
Amélioration des  Former tous les acteurs concernés par le PCA
T1
plans  Réaliser un exercice d’intégration du PCA sur les activités
les plus critiques d’une direction de l’entreprise
 Impliquer progressivement tous les acteurs nécessaires au

fonctionnement réel du PCA
 Réaliser des exercices d’intégration du PCA sur un
Préparation maximum d’activités critiques concernées par tous les
T2
progressive événements perturbateurs pris en compte
 Intégrer progressivement la dimension réelle, en limitant de
plus en plus la préparation
Visibilité T3  Réaliser des exercices d’intégration du PCA sur toutes les

activités critiques concernées par tous les événements
perturbateurs pris en compte
 Faire intervenir les fournisseurs de prestations essentielles
extérieure externalisées
 Participer à des exercices concernant des événements
régionaux de grande ampleur
Ces tests et exercices doivent être probants.
Avoir un PCA validé par un exercice probant, c’est avoir confiance en lui, et donc garantir la
résilience de l’entreprise, rassurant toutes les parties prenantes internes et externes.
Un exercice probant, c’est :
 un périmètre d’activités critiques et un niveau de services conformes aux besoins

exprimés dans les BIA validés par la Direction générale ;
 une évolution progressive vers une préparation limitée, pouvant tendre vers un
exercice inopiné ;
 des conditions de reprise les plus proches d’un cas réel.
Atteignez une validation probante en suivant ces 3 règles d'or
Un exercice ne peut pas être probant à 100 %. Il serait trop risqué de mettre en péril
l’entreprise en simulant un événement perturbateur, à un moment ou dans des conditions
hautement critiques. Quelques règles simples permettent de s’en rapprocher.
Règle #1 : Installer un filet de sécurité
 Avoir vérifié les prérequis et effectué les tests techniques nécessaires avant l’exercice
probant.
 Vérifier que les sauvegardes informatiques spécifiques à l’exercice ont été effectuées,
pour des retours arrière certains.
 Avoir l’aval de la Direction générale sur les risques encourus.
 Avoir l’aval des directions des activités critiques pour les périodes propices.
 Limiter au maximum les erreurs humaines par des validations collégiales, etc.
Règle #2 : Opter pour des validations progressives
 Commencer par identifier ce que l’on veut valider.

 Faire un ensemble de tests/exercices sur des périmètres cohérents bien définis.
 Progresser ensuite sur des ensembles et des volumes plus importants.
 Valider l’organisation cible prévue en cas de crise.
 Multiplier les exercices dans des conditions diverses, avec des personnes différentes
(titulaires et suppléantes).
 Progresser vers des exercices inopinés, en limitant progressivement les préparations.
Règle #3 : Impliquer la Direction générale
 La Direction générale doit valider les événements perturbateurs à traiter, sur

propositions du directeur des risques et/ou du responsable du plan de continuité
d’activité, eu égard aux vulnérabilités identifiées pour l’entreprise, ou face à certains
risques émergents.
 La Direction générale doit valider les conditions de réalisation des exercices : simulés
ou réels, préparés ou inopinés, à quelles dates ? Sur quelles durées ? Sur quels
périmètres ?
Découvrez les types d’exercices de validation
Ils peuvent être préparés ou inopinés. Ils peuvent simuler le fonctionnement des activités ou
mettre en situation de travail réel.
Exercice simulé Exercice réel

La date de l’exercice est connue de tous
La date de l’exercice est connue de tous
les participants.
les participants.
Exercice
Pas d’arrêt de fonctionnement
L’entreprise fonctionne réellement sur le
préparé opérationnel. Le PCA est validé sans
site de repli des positions de travail et/ou
impact sur le fonctionnement de
sur le site de secours informatique.
l’entreprise.
La date de l’exercice est inconnue de la
La date de l’exercice est inconnue de la
plupart des participants.
plupart des participants.
Exercice
Pas d’arrêt de fonctionnement
L’entreprise fonctionne réellement sur le
inopiné opérationnel. Le PCA est validé sans
site de repli des positions de travail et/ou
impact sur le fonctionnement de
sur le site de secours informatique.
l’entreprise.
Un seul exercice n’est pas suffisant. Vous devez maintenant élaborer votre campagne de
validation pluriannuelle.
Pour l’élaborer, vous devez prendre en compte ces quatre types d’exercices. Vous devez faire
preuve à la fois d’ambition, mais également de clairvoyance dans la nature et l’ampleur des
exercices proposés. En effet, se montrer trop ambitieux pourrait mener à un échec de
l’exercice, et mettre à mal la démarche de management de la continuité d’activité dans
l’entreprise. Les exercices réels et inopinés ne doivent pas être disproportionnés par rapport à
l’objectif de validation.
Dans la plupart des pays dont la France, il n’y a pas de réglementation quant à la fréquence
annuelle des exercices. Beaucoup d’entreprises réalisent seulement un exercice par an, ce qui
est souvent insuffisant. Une campagne de validation doit prévoir sur plusieurs années la liste
des tests et exercices à réaliser. Ces validations régulières permettent d’entraîner
progressivement tous les exécutants, en ne prenant pas à chaque fois les mêmes.
Pour être « efficaces », les résultats d’un test ou d’un exercice doivent mettre en évidence des
améliorations. Dans le cas contraire, l’objectif poursuivi est trop limité.
Ci-dessous, vous trouverez un tableau proposant un exemple d’une campagne de validation

ciblée sur un événement perturbateur : bâtiment impraticable.
Date Nº Type Objectif

- Validation de la connexion des postes de travail du site de
repli
XXXX 1 Test technique
- Tests de reroutage de la téléphonie sur le site de repli du
siège
- Entraînement de la cellule de crise décisionnelle pour
déclencher le PCA, avec jeu de rôle simulant des
Exercice simulé
XXXX 2 événements liés à la reprise d’activité
préparé
- Fonctionnement d’une direction sur un site de repli
- Validation des équipements des salles de réunion des
XXXY 3 Test technique
cellules de crise
- Validation de la remontée d’alerte
Exercice simulé - Réunions de la cellule de crise décisionnelle et de la

XXXY 4
préparé cellule de crise opérationnelle
- Fonctionnement de plusieurs directions sur un site de repli

XXXZ 5 Test technique - Tests de reroutage du courrier sur le site de repli
- Réunion de la cellule de crise décisionnelle avec jeu de
Exercice réel rôle pour l'entraîner à décider l’activation du PCA
XXXZ 6
préparé
- Fonctionnement d’autres directions sur un site de repli
- Réunion de la cellule de crise décisionnelle avec jeu de
Exercice réel avec rôle pour l'entraîner à décider l’activation du PCA
XXXZZ 7
préparation limitée
- Fonctionnement d’autres directions sur un site de repli
Les exercices sont progressifs et de difficulté croissante. Cependant, la planification des

exercices doit couvrir l’ensemble du périmètre (activités critiques et événements
perturbateurs) et doit assurer la non-régression.
Comment m'y prendre pour réaliser un exercice ?
Les étapes d’exécution d’un exercice de validation de tout ou partie d’un PCA se
décomposent en trois parties :
1- Préparation 2- Déroulement 3- Retour d’expérience

 Définir les objectifs
de l’exercice
 Qualifier le  Recueillir les
périmètre : activités, informations des
parties prenantes…  Mettre en place le pilotage participants lors d’un
 Définir un scénario de l’exercice : suivi, débriefing à chaud
simulant un contrôle, communication,  Faire un débriefing à
évènement observation froid en présentant le
perturbateur  Enregistrer le suivi dans compte rendu de
 Communiquer sur une main courante l’exercice
l’exercice  Recueillir des preuves et  Diffuser les résultats
 Réaliser des tests des résultats de l’exercice et mener les plans
techniques d’action de mise à
préparatoires niveau
 Élaborer le planning
de l’exercice
Vous trouverez ci-dessous une liste de points de qualification d’un exercice :

1. Le périmètre est-il adéquat aux niveaux de services négociés avec les directions
métiers ?
2. L’événement perturbateur pris en compte était-il réaliste (par exemple : ce cas peut-il
arriver ?) ? A-t-il été validé par la direction des risques ou son équivalent ?
3. Les conditions d’arrêt simulant l’événement perturbateur comportaient-elles assez
d’éléments aléatoires pour être proches d’un cas réel ?
4. L’exercice a-t-il eu une préparation limitée ?
5. Les conditions de reprise d’activité observées sont-elles conformes aux conditions
attendues par les directions métiers ?
6. L’entraînement des décideurs et des opérationnels (internes et externes) est-il
suffisant ?
7. Est-ce que les dernières mises à jour de l’environnement ont été prises en compte et
testées dans le PCA ?
8. Les exercices ont-ils été « rejoués » par des personnes différentes ? En effet, les
procédures écrites doivent toutes être réexécutables par des personnes compétentes,
mais ne les ayant pas écrites, ni déjà utilisées.
9. Les conditions de « stress » des participants étaient-elles adéquates ?
10. La durée de l’exercice a-t-elle été suffisante pour caractériser un événement
perturbateur réaliste ?
11. L’exercice a-t-il produit des preuves auditables ? Ont-elles été conservées ?
12. L’exercice a-t-il été surveillé par des observateurs internes ou externes indépendants ?
En résumé
 Pour qu’un PCA soit opérationnel, il doit être testé de façon progressive.
 Des tests (techniques) et des exercices (humains) doivent être effectués.
 Plus le PCA fait l’objet d’exercices qui tendent vers un caractère probant, plus la
confiance s’installe, participant à l’accroissement de son niveau de maturité et donc à
l’atteinte de plus de résilience.
11-Gérez les situations de crise de votre entreprise
Prévoyez des cellules de crise
Pour que vous puissiez piloter la continuité d’activité, une organisation ad hoc de crise est
nécessaire. Elle agit dans le cadre de la délégation de compétences et des pouvoirs définie par
la Direction générale. L’expérience montre qu’il est nécessaire de prévoir deux types de
cellules de crise : une cellule de crise décisionnelle (CCD) et une ou des cellules de crise
opérationnelles (CCO).
La CCD a une vision métiers et décide de l’activation ou non du PCA, sur avis de la CCO qui
a une vision technique. Dès lors que la décision a été prise, la CCO exécute, informe et rend
compte à la CCD. Seule la CCD communique en interne et en externe.
L'organisation des cellules de crise
La cellule de crise décisionnelle (CCD)
La CCD est composée des membres de la Direction générale, des directions métiers,
Informatique, Risques, Communication, Ressources humaines, du responsable du plan de
continuité d’activité (RPCA), du responsable de la sécurité des systèmes d’information
(RSSI), etc. Sa composition est variable en fonction de l’événement perturbateur.
Par exemple, suite à une cyberattaque avec chiffrement des données et demande de rançon, la
CCD sera étoffée par des juristes, un négociateur, un DPO délégué à la protection des données
liée au RGPD, règlement nᵒ 2016/679, dit Règlement général sur la protection des données.
La ou les cellule(s) de crise opérationnelle(s) (CCO)
La CCO est composée des différents centres de compétences IT (production, système,

réseau, data bases, infrastructure…), des représentants des services généraux (logistique), du
RPCA, et pour chaque direction métier concernée par l’événement perturbateur, des
correspondants du PCA.
Pour gérer une crise efficacement, vous devez avoir décidé avant la survenance de
l’événement perturbateur :
 qui va activer la gestion de crise ;

 comment on s'organise (décision, anticipation, main courante…) ;
 quelles sont les obligations et les responsabilités des cellules de crise ;
 quels sont les compétences, les suppléants, la préparation, l'entraînement ;
 quelle stratégie de gestion de crise adopter ;
 quelle stratégie de communication interne et externe prévoir ;
 quelle logistique de crise mettre en place (salle de réunion, moyens de communication,
main courante, fiches réflexes…).
Découvrez dans la vidéo suivante comment la cellule de crise doit effectuer l'arbitrage

des décisions dans des situations en tension. ⬇️
Découvrez comment s’effectue la remontée d’alerte d’un événement perturbateur
Une veille régulière sur l’actualité pouvant générer une éventuelle alerte (risque) pour votre
entreprise est réalisée au sein de chaque direction concernée (Météo France, Vigiecrues…).
Pour assurer la transmission de l’événement à un organe de décision, trois niveaux ont été
prévus, pour alerter, qualifier et décider.
Niveau 1 : Incident -> Traitement du signalement
Tout incident significatif constaté est signalé, en fonction du type d’événement, à

l’informatique, aux moyens généraux ou à la DRH. Un état des lieux/diagnostic de l’incident
est réalisé par la direction concernée.
 Si l’incident peut être maîtrisé ou maîtrisable dans un délai relativement court, la

direction concernée traite la situation.
 Si l’incident ne peut être maîtrisé ou maîtrisable dans un délai relativement court et
risque d’avoir de lourdes conséquences sur l’entreprise, la direction concernée alerte
immédiatement leur Directeur.
Vous trouverez ci-dessous des qualifications des seuils d’alerte pour décider du passage du
niveau 1 au niveau 2.
Niveau 2 : Incident perturbateur -> Qualification et traitement
Le directeur en charge du traitement de l’incident fait appel, si besoin, à d’autres directeurs

concernés et au responsable de la continuité d’activité (RPCA). Il s’agit de :
 qualifier les conséquences de l’incident perturbateur en termes d’impacts sur

l’activité ;
 informer, si besoin, le Directeur général ;
 évaluer les conséquences sur l’interruption des activités (ne devant pas dépasser, pour
les activités les plus critiques, leur durée maximale d’interruption admissible).
Il pourra alors :
 soit proposer l’activation du PCA ou des solutions de contournement : passage en

niveau 3 en convoquant le CCD ;
 soit traiter l’incident en restant au niveau 2.
Dans tous les cas, il mettra en place les premières mesures d’information auprès du personnel
concerné directement.
Niveau 3 : Événement perturbateur -> Décision
Les membres de la CCD doivent prendre connaissance de la situation et des solutions

proposées par les personnes du niveau 2, afin de décider le plus rapidement possible des
actions à entreprendre pour assurer la reprise des activités critiques dans le délai
correspondant à leur durée maximale d’interruption admissible définie dans le BIA, dont
l’activation du PCA.
Ils ne doivent pas s’intéresser à la cause, mais seulement s’occuper des conséquences des
impacts.
C'est ensuite leur responsabilité de :
 mobiliser les personnes concernées par le PCA (interne et externe) à hauteur de

l’événement ;
 décider du contenu des informations à communiquer en interne et en externe ;
 anticiper les actions à prévoir pour maîtriser la situation dans les jours à venir.
Outillez-vous de moyens et d'outils adéquats
Vous devez disposer des moyens et outils de gestion de crise suivants :
 des outils de mobilisation des intervenants ;

 deux salles de crise situées dans des lieux différents non soumis aux mêmes risques ;
 plusieurs moyens de communication intercellules de crise (messagerie nominale et de
secours, call conférence, SMS…),
 les annuaires des parties prenantes (problématique des numéros de téléphone privés) ;
 les moyens et règles de communication (confidentialité, authentification, traçabilité) ;
 une main courante enregistrant les décisions prises et leur suivi ;
 un suivi des informations concernant l’entreprise : radio, télévision, réseaux sociaux…
;
 les fiches réflexe listant les points essentiels à traiter.
Communiquer en situation de crise : une action essentielle
En situation de crise, la communication est essentielle. Vous devez vous y préparer.
Avant la crise
 Définir la politique de communication.

 Identifier les cibles (médias, partenaires, fournisseurs, clients, organismes de tutelle,
collectivités locales…).
 Préparer des messages/communiqués de presse à transmettre. Ils seront modifiés par la
CCD, avant diffusion.
 S’entraîner à répondre à tous types de situation.
 Définir les canaux d’information à utiliser : réunion, numéro vert, messagerie, réseaux
sociaux.
En période de crise
 Appliquer la politique de communication.

 Veiller à la cohérence de l’information.
 Faire passer des messages clairs et appropriés.
 Jouer la transparence :
o un refus d’information peut être interprété comme un aveu ;
o un manque d’explication peut faire propager des rumeurs.
Vous devrez entraîner vos cellules de crise par des exercices de gestion de crise. Les cellules
de crise doivent être entraînées par des exercices de gestion de crise pour :
 valider les dispositifs : mobilisation, salles de réunion, dispositifs, fiches réflexes ;

 valider le fonctionnement des cellules de crise en simulant le déroulement de la crise
par des stimuli ;
 s’entraîner à décider dans l’incertitude.
Des réunions de retour d’expérience à chaud et à froid mettent à niveau le plan de gestion de
crise.
En résumé
 L’aspect décisionnel est séparé de l’aspect opérationnel, d’où deux types de cellules de
crise : une CCD (cellule de crise décisionnelle) et une ou des CCO (cellules de crise
opérationnelles).
 La communication de crise est sous la responsabilité de la CCD.
 La gestion de crise nécessaire au PCA doit s’intégrer à la gestion quotidienne des
incidents.
 La gestion de crise se décompose en trois phases : l’alerte, la crise proprement dite, et
la sortie de crise qui se termine par un bilan.
12-Maintenez votre plan de continuité d'activité dans le temps
Validez la maîtrise et l’efficacité de votre SMCA (système de management de la continuité

d’activité)
Vous devez être en mesure de piloter votre système de management de la continuité

d’activité, afin d’obtenir les résultats attendus en matière de continuité. Sous votre initiative et
dans le cadre de votre politique de continuité d’activité, diverses actions ont été lancées dans
l’entreprise pour assurer la continuité d’activité.
Il faut donc mettre en place ce qui est nécessaire pour voir rapidement où l’on en est, et ce
qu’il faut éventuellement corriger.
Vous devez fournir à votre Direction générale – c’est une exigence de la norme ISO 22301 –
des moyens d’information ; par exemple :
 des indicateurs ciblés mis en place, mesurés et présentés régulièrement. Par exemple :
nombre de personnes formées, nombre de personnes sensibilisées, nombre d’exercices
;
 des revues diverses et leurs comptes rendus (réunion post audit interne…) ;
 des retours sur événements (résultats des tests et exercices, pannes ou interruptions
vécues…) ;
 des rapports d’audits internes (nombre de non-conformités majeures relevées…).
Procédez avec méthode
Pour mettre en œuvre cette maintenance efficace de votre SMCA, voici quelques conseils :
 Mettez en place quelques indicateurs correspondant à vos craintes : nombre de BIA

réalisés ou mis à jour dans une année ? Nombre d’exercices réalisés ? Taux de succès
des exercices ? Nombre de risques connus et traités ? Nombre de personnes
sensibilisées ? Nombre de personnes formées ?
 Faites réaliser un audit interne à base de questions sur chaque clause de la norme
ISO 22301.
 Mobilisez le contrôle interne et articulez le SMCA en lien avec la Direction générale
et la direction des risques.
 Réservez dans vos réunions de Direction générale un point d’ordre du jour sur la
continuité d’activité, où vous passez en revue les indicateurs, les événements de type
interruption et les résultats d’audit. Lors de cette réunion, la Direction générale peut
éventuellement décider d’actions de réorientation et de correction.
Maintenez également en condition opérationnelle votre plan de continuité d’activité
Après la construction et la mise à l’épreuve du plan de continuité d’activité, il s’avère

indispensable pour votre entreprise de s’assurer que ce dispositif demeure opérationnel dans
le temps, afin d’être toujours efficace lors de la survenance d’un événement perturbateur.
Le maintien en condition opérationnelle (MCO) peut se définir comme un processus

récurrent de mise à jour et d’amélioration continue du plan de continuité d’activité.
Quelques exemples fréquemment constatés lors d’un exercice qui met en évidence que le
maintien en condition opérationnelle du PCA n’a pas été réalisé :
 des numéros de téléphone erronés ;

 des capacités de position de travail sur un site de repli trop faibles. Des
déménagements d’activité d’un bâtiment dans un autre ayant modifié le nombre de
position de travail à secourir pour ce bâtiment ;
 de nouvelles applications informatiques internes ou externes non prises en compte
dans le plan de continuité d’activité ;
 une dépendance d’un fournisseur externe non prise en compte dans le plan de
continuité d’activité.
Mettez en place une démarche itérative et d’amélioration continue
Face aux changements, multiples et rapides, susceptibles d’impacter les entreprises, il s’avère
indispensable de prévoir la répercussion de ces éventuels changements dans le PCA, avec
pour objectif que celui-ci reste toujours une riposte pertinente et efficace en cas d’événement
perturbateur.
Afin de pouvoir identifier de façon exhaustive les changements ayant un impact sur
l’entreprise, il est incontournable de mettre en place des campagnes formelles et régulières
de revue du dispositif de continuité.
La planification et la réalisation de ces revues de mise à jour, appelées campagnes de

maintien en condition opérationnelle, vont donner à la Direction générale de l’entreprise
l’assurance que le PCA demeure adéquat et opérationnel dans le temps. Ces campagnes de
MCO devant être couplées avec des exercices de validation.
Ces travaux de MCO sont communément reconnus comme chronophages, mais il semble
impossible de s’en dispenser au risque de favoriser l’obsolescence du PCA, compte tenu de la
vitesse des changements actuels (organisation, risques, besoin de continuité d’activité,
logiciels, solutions de continuité, réglementation…). Il est d’ailleurs utile d’inscrire le
principe et la fréquence des campagnes de MCO dans la politique de continuité, document
stratégique validé au plus haut niveau de l’entreprise.
Vous pouvez retenir, au minimum, une planification annuelle des campagnes de MCO.
En fonction de la taille de l’entreprise, de la fréquence des changements structurants ou

encore de sa maturité sur le PCA, une revue de MCO peut même être envisagée à une
fréquence semestrielle, ce qui serait optimal. Le responsable PCA a également pour mission
d’anticiper une remise à jour du dispositif, en dehors de toute campagne de MCO, si celle-ci
s’avère décisive face à des changements significatifs dans l’entreprise qui impacteraient
largement le PCA existant.
Les campagnes de MCO s’inscrivent pleinement dans la démarche d’amélioration continue

du système de management de la continuité d’activité de l’entreprise au sens de la norme
ISO 22301. Ces campagnes s’avèrent en effet, parfois, l’occasion d’identifier des axes
d’amélioration importants, à la suite par exemple de conclusions d’audit, de l’émergence de
nouvelles pratiques plus performantes, de nouveaux enjeux internes, ou encore de nouvelles
sous-traitances.
C’est ainsi qu’au-delà d’être un outil classique incontournable de mise à jour, les campagnes
de MCO participent également à la montée en puissance des performances et de l’efficacité
même du PCA, ce qui est loin d’être négligeable.
Mettez en œuvre le MCO (maintien en condition opérationnelle)
Un périmètre large
Chaque campagne de MCO doit concerner l’ensemble des procédures de continuité sans
aucune exception. Afin d’être parfaitement exhaustif dans le processus de mise à jour, il faut
veiller à ce que chaque nouvelle procédure de continuité soit intégrée automatiquement dans
le périmètre de la prochaine campagne de MCO.
Les changements à prendre en compte
La nature des changements à prendre en considération dans une campagne de MCO est très
variée :
 Des évolutions structurelles ou relatives au domaine d’activité (réorganisation, fusion,

création de nouvelles entités ou produits…), un changement de l’activité, la création
d’une nouvelle entité ou encore un changement de stratégie d’entreprise doivent
impérativement générer très rapidement une étude approfondie de l’impact de ces
changements sur le PCA.
Il s’impose alors non seulement de créer de nouvelles procédures, mais également de procéder
à une mise en cohérence avec les procédures et solutions de continuité existantes, tout en
restant en phase avec les orientations stratégiques de l’entreprise.
 Changements au niveau de la gouvernance.

 Capitalisation sur des événements vécus par l’entreprise (retours d’expérience).
 Changements d’environnement ou de localisation.
 Au-delà des modalités pratiques d’un simple déménagement, un changement de
localisation doit nécessairement engendrer une étude liée au nouvel environnement et
aux risques associés (corrélation avec les risques majeurs identifiés par la préfecture).
 Évolution des ressources humaines (masse salariale globale, personnes clés,
correspondants PCA).
 Évolution des besoins de continuité exprimés par l’entreprise : on parle de revue des
activités vitales.
Il s'agit de refaire l’étude de qualification des activités vitales eu égard à diverses évolutions
pour confirmer ou infirmer les activités identifiées comme vitales, ainsi que l’expression du
besoin de continuité.
Le cas particulier du MCO du plan de reprise d’activité informatique
Le plan de reprise d’activité informatique ne peut pas évidemment rester figé dans le temps. Il
suit et prend en compte tous les changements qui concernent le système d’information : les
mises à jour des logiciels systèmes, les évolutions de l’infrastructure, les livraisons
applicatives, etc.
Le MCO doit être intégré dans le processus de changement informatique pour s’assurer que :
 Les nouvelles applications aient une architecture conforme à la solution de reprise

d’activité prévue pour leur besoin de continuité ;
 Les nouvelles applications aient des sauvegardes de recours testées
fonctionnellement ;;
 Les applications soient opérationnelles sur les deux sites, et en conformité avec les
délais de reprise exprimés ;
 La documentation afférente des plans, les procédures et leurs modes opératoires soient
mis à jour.
La « non-satisfaction » de ces contrôles doit bloquer la mise en production ou faire remonter

une alerte.
Préparez des actions de sensibilisation post MCO
Une campagne de MCO est une occasion intéressante pour lancer différentes actions de
communication et de sensibilisation sur le PCA.
Un point de situation auprès de la Direction générale
Dès lors que la campagne de MCO induit des changements significatifs dans le PCA, un point
de situation auprès de la Direction générale est incontournable. En effet, la Direction, en tant
que commanditaire du PCA, doit obtenir du responsable PCA une information régulière pour
disposer d’une vision complète et à jour du PCA.
Une sensibilisation des correspondants PCA
Dans le cadre d’une pédagogie et d’une sensibilisation continues au PCA, le MCO s’impose
comme un moment clé. C’est effectivement à la fois le moment de former les nouveaux
correspondants PCA sur le sujet de la continuité, mais aussi l’occasion de maintenir une
mobilisation de l’ensemble des acteurs PCA en les informant des éventuels changements, et
en effectuant si besoin des remises à niveau.
Une campagne d’exercices ou de tests PCA
À l’issue d’une campagne de MCO, certaines procédures opérationnelles peuvent voir le jour
ou subir des modifications importantes. C’est alors le moment de mettre en place un exercice
PCA ou encore un test technique PCA. En effet, un dispositif de continuité ne peut être
considéré comme opérationnel que lorsqu’il a été mis à l’épreuve d’un exercice qui va en
révéler l’efficience ou les besoins d’ajustements nécessaires. Dans l’élaboration d’une
procédure, la réalisation de tests peut s’avérer importante pour valider ou amender certains
choix purement techniques.
Pour terminer, prenez en compte les bonnes pratiques suivantes
L’expérience montre :
 qu’il est utile de prendre en compte le MCO dans la conception et la mise en œuvre du
PCA ;
 que le MCO du PCA est véritablement l’affaire de tous. La sensibilisation des parties
prenantes est absolument nécessaire.
En résumé
 Le MCO du PCA s’avère avoir aujourd’hui une place centrale dans le cycle de vie du
PCA.
 De par son ampleur et sa régularité, il va à la fois :
o permettre de s’assurer de l’efficacité permanente du dispositif ;
o être un outil de sensibilisation ;
o mais également être source de réflexion pour tendre à l’amélioration continue
du dispositif, dans le cadre du système de management de la continuité.
Voilà, ce cours est terminé ! Félicitations pour vos efforts et être arrivé jusqu'au bout ! Vous
avez pu y apprendre à :
 identifier les enjeux de la continuité d'activité ;

 préparer un plan de continuité d'activité (PCA) ;
 le mettre en œuvre de façon opérationnelle.

Mettez en Place Un Plan de Continuité D'activité (PCA) : Cours Préparé Par GBEGBE KILOKO Fred Julus Paterson

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mettez en Place Un Plan de Continuité D'activité (PCA) : Cours Préparé Par GBEGBE KILOKO Fred Julus Paterson

Transféré par

Droits d'auteur :

Formats disponibles

Mettez en place un plan de continuité d'activité (PCA)

Cours Préparé par GBEGBE KILOKO Fred Julus Paterson

D’autres événements perturbateurs ont suivi : l’incendie du siège du Crédit Lyonnais

Ça n’arrive pas qu’aux autres !

De quoi parle-t-on quand on parle de risques ?

 risque lié au dérèglement climatique : tempête, séisme, inondation fluviale,

Des préoccupations qui touchent les entreprises

Les risques majeurs pour la France en 2020. Source AGCS

Ces réponses peuvent prendre différentes formes, et votre entreprise a

Je vous invite dès maintenant à vous poser quelques questions :

2-Définissez la continuité d'activité

Rentrons maintenant en détail dans le monde de la continuité d’activité. Comment se rattache-

Découvrons tout cela ensemble !

Identifiez ce qui relève de la continuité d’activité

La continuité d’activité consiste à anticiper l’imprévisible, à prévoir l’incertain, à installer

La norme apporte deux notions importantes :

1. La notion de gravité qui dépend du type d’événement perturbateur.

Euh... vous pouvez m'en dire plus ?

Un conseil : ne vous intéressez qu’aux événements perturbateurs non maîtrisables dans un

Le mode de fonctionnement dégradé

La reprise d’activité n’est pas instantanée. Elle implique l’activation de solutions et de

Le mode de fonctionnement dégradé

Découvrez le plan de continuité d’activité, ou PCA

Le PCA est le bras armé de la continuité d’activité. Dans un contexte d'urgence, il importe

Source : Journal officiel de la République française du 26 février 2004

Différenciez gestion de crise et PCA

Distinguez l'urgence de la crise

À ce moment-là, il y a urgence mais il n’y a pas de crise, car un plan/une procédure

Alors, vous voyez mieux la différence entre l'urgence et la crise ?

Lors d'une crise :

 le degré d'incertitude de l'événement peut être élevé ;

Le plan de continuité d'activité intervient en situation d'urgence. Nous parlons de crise

La continuité d’activité a pour vocation de réduire les situations de crise en situation

Suite à la survenance de l’événement perturbateur, la remontée d’alerte et l’analyse de

La différence entre crise et urgence

Découvrez des exemples de gestion d'incidents

Quels sont les impacts ?

 Un gros impact sur l’image de la marque.

Différenciez la continuité d’activité de la reprise d’activité

Voici deux exemples d'actions liées à la reprise d'activité :

Découvrez un exemple de réduction d'une situation de crise en situation d'urgence

 La continuité d’activité a pour vocation de réduire une situation de crise en situation

Vous avez découvert dans le chapitre précédent comment définir la continuité d’activité pour

Identifiez les objectifs du système de management de la continuité d’activité, ou SMCA

Un système de management est un ensemble de processus et d’activités ayant chacun un

 les processus de management qui gèrent l’affectation de ressources et leur

Sous l’impulsion et le contrôle de la Direction, le système de management de la continuité

Découvrez la norme certifiante du système de management de la continuité d’activité : ISO 22301

Le système de management de la continuité d’activité s’appuie sur la roue de Deming. La

1. Plan : dans un domaine particulier, on planifie les actions à mettre en œuvre.

Les éléments de chaque phase du PDCA

 Pour mettre en place un système de management de la continuité d’activité (SMCA),

4- Assurez-vous du soutien des parties prenantes de votre entreprise

Vous avez découvert dans le chapitre précédent le système de management de la continuité

Gagnez le soutien de votre Direction générale

 les opérateurs d’importance vitale (OIV) ;

Vous pouvez également souligner les conséquences d'un sinistre :

 une perte d’image ;

Démarrez la mise en place de votre SMCA

Rédigez votre politique de continuité

D'abord, le document de politique doit en quelques lignes expliquer ce qu'est la continuité

1. Prendre en compte le contexte et l’environnement de l’entreprise.

Impliquez des parties prenantes internes et externes