Plan de continuité d'activité (informatique) - Définition

Exercices et maintenance

Le plan doit être régulièrement essayé au cours d’exercices. Un exercice peut être une simple revue des procédures, éventuellement un jeu de rôles entre les équipes de pilotage. Un exercice peut aussi être mené en grandeur réelle, mais peut se limiter à la reprise d’une ressource (par exemple, le serveur principal), ou à une seule fonction du plan (par exemple, la procédure d’intervention immédiate). Le but de l’exercice est multiple :

• Vérifier que les procédures permettent d'assurer la continuité d'activité
• Vérifier que le plan est complet et réalisable
• Maintenir un niveau de compétence suffisant parmi les équipes de pilotage
• Évaluer la résistance au stress des équipes de pilotage

Un plan doit aussi être revu et mis à jour régulièrement (au moins une fois par an) pour tenir compte de l’évolution de la technologie et des objectifs de l’entreprise. La seule façon efficace de mettre à jour le PCA est d'en sous traiter la maintenance aux métiers afin qu'il soit réactualisé à chaque réunion mensuelle de service.

Développement du plan

Le plan de reprise contient les informations suivantes :

• La composition et le rôle des "équipes de pilotage du plan de reprise". Ces équipes se situent au niveau stratégique :

1. les dirigeants qui ont autorité pour engager des dépenses,
2. le porte-parole en charge des contacts avec les tiers : la presse, les clients et les fournisseurs, etc.,
3. au niveau tactique, les responsables qui coordonnent les actions,
4. au niveau opérationnel, les hommes de terrain qui travaillent sur le site sinistré et sur le site de remplacement.

La composition de ces équipes doit être connue et à jour, ainsi que les personnes de remplacement et les moyens de les prévenir. Les membres des équipes doivent recevoir une formation.

• Les procédures qui mettent la stratégie en œuvre. Ceci inclut les procédures d’intervention immédiate (qui prévenir ? qui peut démarrer le plan et sur quels critères ? où les équipes doivent-elles se réunir ? etc.),
• Les procédures pour rétablir les services essentiels, y compris le rôle des prestataires externes
• Les procédures doivent être accessibles aux membres des équipes de pilotage, même en cas d’indisponibilité des bâtiments.

Plan de Continuité d'Activité ou Plan de Secours Informatique ?

Le Plan de Continuité d'Activité décrit dans cet article n'est en réalité que le volet informatique d'un Plan de Continuité d'Activité complet d'entreprise. Il s'apparente donc à un Plan de Secours Informatique. Un Plan de Continuité d'Activité (ou "Business Continuity Plan") ne se limite pas à la continuité du système d'information, il prend également en compte le repli des utilisateurs, le risque sanitaire (pandémie, grippe aviaire), l'organisation permettant la gestion de crise (astreintes, cellules de crise ...), la communication de crise, des mesures de contournement pour les métiers, les fonctions transverses (RH, logistique, etc.).

Si l'on prend l'exemple d'une banque dont l'informatique est hébergée sur un site distant et qui voit sa salle des marchés détruite par un incendie, celle-ci déclenchera son Plan de Continuité d'Activité en repliant ses équipes sur un site de secours. Ce site de secours est constitué de positions de travail (le terme "position" représente un bureau, un ou deux écrans, une unité centrale, un téléphone), sur lesquels les utilisateurs pourront poursuivre leur activité : leur numéro de téléphone est transféré sur leur position de secours, l'image de leur poste informatique aura été reconstruite, ils disposeront des lignes de communication nécessaires (réseau interne et externe), le site de secours utilisateur est lui-même relié au site d'hébergement informatique (ou au site de secours si celui-ci est également impacté par le sinistre). Pour que le redémarrage informatique soit exploitable par les utilisateurs du système, les aspects techniques doivent être croisés avec l'organisation humaine.