Plan de Continuité d’Activité pour les PME/PMI de la région Centre O O Ou u ut

Plan de Continuité d’Activité pour les PME/PMI de la région Centre O O Ou u ut t ti i il l l h m m mé é ét t th ho o od d do o ol l lo o og g gi i iq q qu u ue e e Outil méthodologique - PCA région Centre - 2010 Avertissement Ce document n'a pas été soumis à la procédure d'homologation et ne peut être en aucun cas assimilé à une norme française. Son utilisation est volontaire. Le présent document représente le consensus obtenu par un groupe d'acteurs individuels ou collectifs et identifiés dans ce document. Ce document, présenté, rédigé et mis en point à l'initiative d'AFNOR, constitue une œuvre collective au sens du Code de la Propriété Intellectuelle. Le présent document bénéficie de la protection des dispositions du Livre 1er du Code de la Propriété Intellectuelle relatif à la propriété littéraire et artistique. Toute reproduction sous quelque forme que ce soit est une contrefaçon et toute contrefaçon est un délit. Page 2 sur 36 Outil méthodologique - PCA région Centre - 2010 Avant‐propos En réponse à l’appel à projets de la DIRECCTE (ex DRIRE) du Centre PME/PMI et TIC : Vers Un Système Informatique Efficace, Fiable Et Sécurisé, la délégation régionale Centre d’AFNOR propose une action collective qui a pour objet de valider et de diffuser aux PME/PMI du Centre des bonnes pratiques et des méthodes pour l’élaboration d’un Plan de Continuité d’Activité (PCA) dans le cadre de sinistres ou de situations à risques. Cette action collective s’inscrit dans une logique d’accompagnement de la mise en œuvre de technologies d’information et de communication au sein des entreprises et plus particulièrement des petites et moyennes organisations. L'ensemble de ce projet est présenté et expliqué à l'occasion du colloque régional le 30 septembre 2010 à Orléans. Page 3 sur 36 Outil méthodologique - PCA région Centre - 2010 REMERCIEMENTS La réalisation de ce document a été rendu possible grâce à l'investissement et à la collaboration des personnes suivantes : Céline HUAULT (succédant à Pierre HAUTEVILLE) DIRECCTE Centre Jean‐François LEGENDRE Nicolas SCUTO Frédéric SOLBES AFNOR Normalisation Pascal JAY Anne YOUF AFNOR région Centre Georges NOVO Jean‐Marc RIGAULT ARTENAY CEREALS Pierre GELINEAU AUBRILA Emmanuel FILLON FILLON TECHNOLOGIES Olga GUITTON MEDEF CENTRE Patrick ALBERT (succédant à Marie‐Laure CAZAURAN) ORYALIS Julie JEUFFRAULT Adeline MEREY Isabelle MERLET SAINT MICHEL CONTRES Laetitia DAUXERRE Philippe MERCIER TPC‐45 Bruno Hamon Président de la plate‐forme PCA nationale Page 4 sur 36 Outil méthodologique - PCA région Centre - 2010 SOMMAIRE 1. LE CONTEXTE DU PCA.........................................................................................8 1.1. Domaine d'application .................................................................................... 8 1.2. Contexte normatif........................................................................................... 9 1.3. Termes et définitions .................................................................................... 11 1.4. Enjeux du PCA pour les PME/PMI.................................................................. 13 2. METHODES ET PROCEDURES ............................................................................14 2.1. Planifier l'étude du diagnostic....................................................................... 16 2.2. Formaliser la rédaction du projet .................................................................. 17 3. REDIGER LE PCA................................................................................................21 3.1. Le diagnostic ................................................................................................. 21 3.2. L'Analyse des écarts ...................................................................................... 25 3.3. Formaliser les exigences................................................................................ 27 3.4. Le PCA opérationnel...................................................................................... 29 4. RECOMMANDATIONS ......................................................................................35 Page 5 sur 36 Outil méthodologique - PCA région Centre - 2010 ‘ TABLES DES ILLUSTRATIONS Modèle 1 : Exemple d’organisation du "PCA – Référentiel de Bonnes Pratiques".....................9 Modèle 2 : Modèle de cycle de vie des données ....................................................................14 Modèle 3 : Etapes du diagnostic ...........................................................................................15 Modèle 4 : Le plan d'action stratégique ................................................................................19 Modèle 5 : Le plan d'action opérationnel ..............................................................................19 Modèle 6 : Représentation du plan d'action..........................................................................20 Modèle 7 : Analyse des écarts – Etude de cas : informatique de gestion................................25 Modèle 8 : Exemple de matrice des écarts ............................................................................26 Modèle 9 : Des enjeux aux exigences ....................................................................................27 Modèle 10 : Interaction entre la DSI et les services pour les enjeux de priorité 1 ...................28 Modèle 11 : Quand activer un PCA ? .....................................................................................29 Modèle 12 : Processus de gestion d'un PCA...........................................................................30 Page 6 sur 36 Outil méthodologique - PCA région Centre - 2010 ‘ DOCUMENTS DE REFERENCE  Documents publics – Référentiel de Bonnes Pratiques BP Z74‐700, Février 2007 (en cours de révision pour fin 2010). – Convention DIRECCTE (ex DRIRE) région Centre.  Documents de référence disponibles à l'achat – BS 25999‐1:2006 « Code of practice for business continuity management » – BS 25999‐2:2007 "Specification for business continuity management". – ISO PAS 22399:2007 "Sécurité sociétale – Lignes directrices pour être préparé à un incident et gestion de continuité opérationnelle". – ISO 9001‐2008 " Systèmes de management de la qualité – Exigences". – ISO/CEI série 27000 "Technologies de l'information – Techniques de sécurité". – ISO/CEI Guide 73:2009 "Management du risque — Vocabulaire — Principes directeurs pour l'utilisation dans les normes". – ISO/IEC 27001 pour les PME – Conseils pratiques (Guide ISO/IEC ‐ ISBN 978‐92‐67‐ 20517‐5) Page 7 sur 36 Outil méthodologique - PCA région Centre - 2010 1. LE CONTEXTE DU PCA 1.1. Domaine d'application Les grandes entreprises sont les premières à avoir pris conscience de l’importance de savoir gérer des situations à risques par rapport à leur système d’information par le fait même de leur type d'organisation dite "étendue" (filiales et partenaires multiples nécessitant des échanges d'information fréquents dans un environnement tendant vers l'interopérabilité). Dans ce cadre économique nécessitant une information globalisée, l'ensemble des acteurs économiques de la chaine de valeur est incité, voire obligé par un donneur d'ordre, à déployer des moyens de communication compatibles sous peine d'être isolé. Mais l'augmentation de la multiplicité et l'ouverture des supports d'échanges d'informations rend de fait ces organisations beaucoup plus sensibles à des dysfonctionnements (exemples : panne du système informatique, piratage des données) et impose la mise en place d'une stratégie de continuité d'activité (d'aucun parle de résilience). Enjeu d'une véritable politique dans les grandes entreprises (secteur aéronautique, automobile, agro‐alimentaire…), un tel déploiement de moyens est difficilement envisageable pour une PME/PMI structurellement autonome où les moyens humains sont comptés et visent prioritairement la productivité à court terme. Aussi, un accompagnement est nécessaire pour les aider à envisager des éléments de réponses opérationnels à opposer à des risques potentiels. La continuité d’activité est issue de leurs réflexions stratégiques. A ce jour, sans incitation d’aucune sorte, les PME/PMI ignorent pour la plupart l’intérêt de mettre en place et de maintenir opérationnel un PCA. Plus généralement, elles engagent peu de réflexion sur leurs risques en matière de systèmes d’information au sens large du terme. La démarche en matière de sécurité de l’information et de protection des données de l’entreprise est en général embryonnaire et non structurée en termes de bénéfices/coûts/impacts. Il convient par les financements publics d’aider un petit nombre de PME/PMI à « montrer l’exemple » pour favoriser un effet d’entraînement. L’action collective présentée par AFNOR propose, sur la base d’une expérimentation auprès de 10 PME/PMI de la région Centre, d’élaborer, de valider puis de mettre à disposition de toutes les PME/PMI de la région Centre une méthode de formalisation et d’évaluation des Plans de Continuité des Activités (PCA). Cette méthode de formalisation pourra inspirer d'autres groupements d'intérêts économiques régionaux en France. Page 8 sur 36 Outil méthodologique - PCA région Centre - 2010 1.2. Contexte normatif Jusqu’à ce jour, il n’existait aucune norme indiquant le niveau de fiabilité entre l’analyse des besoins utilisateurs et la solution choisie et implémentée par une organisation pour rétablir son activité après un sinistre. Un premier travail a été réalisé en 2006, mais certaines de ses caractéristiques sont difficilement intégrables en l'état, principalement parce qu'elles s'adressent à de grandes entreprises étendues (exemple : services et production décentralisés, outils informatiques sur‐mesure, sous‐traitance étendue, filiales à l'étranger…). Le schéma ci‐après illustre néanmoins de manière claire ce que pourrait être le processus de gestion organisationnelle d'un PCA au sein d'une organisation professionnelle. Modèle 1 : Exemple d’organisation du "PCA – Référentiel de Bonnes Pratiques" C CO OP PI IL L Comité de Pilotage (Communication, Stratégie, Logistique, Ressources Humaines) P PC CO O Plan de continuité des Opérations P PC CI IT T Plan de Continuité / Reprise Informatique & Télécoms Informatique & Télécoms Moyens Moyens de production Transverses Ainsi, si l'on souhaite impliquer l'ensemble des entreprises, d'ailleurs, pour certaines, partenaires de ces grands groupes, il convient d'adapter ce référentiel aux besoins des petites et moyennes entreprises. Page 9 sur 36 Outil méthodologique - PCA région Centre - 2010 Un Plan de Continuité d’Activité pourra couvrir, par exemple, des aspects touchant à l’environnement même de l’implantation d’un ou de plusieurs sites, à l’organisation dans sa globalité, à un département, aux processus métiers, à une application, en cas d’indisponibilité provisoire ou permanente du service aux utilisateurs. Page 10 sur 36 Outil méthodologique - PCA région Centre - 2010 1.3. Termes et définitions En complément des documents normatifs référencés page 7, voici quelques termes et expression utilisés dans ce document. CCO Cellule de Crise Opérationnelle CODIR Groupe Comité de Direction Groupe DMIA Durée Maximale d'Interruption Admissible PCA Plan de Continuité d'Activité PCIT Plan de Continuité Informatique et Télécommunication. PCO Plan de Continuité Opérationnel PDMA Perte de Données Maximale Admissible PRA Plan de Reprise d’Activité Cycle de vie des données (voir § 2‐ Méthodes et procédures) 1. Production des données Cette étape comprend toutes les activités liées uploads/Geographie/ guide-afnor-sur-la-mise-en-oeuvre-dun-plan-de-continuit-des-activits-pca.pdf

Tags
Administrationcentre région données outil méthodologique
Documents similaires
  • 71
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager