Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

GUIDE ADENIUM PLAN DE CONTINUITE D’ACTIVITE (PCA) 2018 Élaborer son Plan de Con

GUIDE ADENIUM PLAN DE CONTINUITE D’ACTIVITE (PCA) 2018 Élaborer son Plan de Continuité d’Activités (PCA) selon la norme ISO 22301 Adenium SAS www.adenium.fr +33 (0)1 40 33 76 88 adenium@adenium.fr Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 2 sur 20 Copyright 2018 © ADENIUM Sommaire Introduction ..................................................................................................................... 4 Élaborer son PCA .............................................................................................................. 6 I. Initialisation du projet .................................................................................................... 6 1. Compréhension de l’organisation et de son contexte ............................................. 6 2. Définition d’un périmètre ........................................................................................ 6 3. Obtenir l’implication et l’engagement de la Direction ............................................ 7 4. Politique et objectifs du PCA .................................................................................... 7 5. Mise à disposition des ressources ........................................................................... 7 6. Compétences ........................................................................................................... 8 7. Contrôle et gestion documentaire ........................................................................... 8 II. Synthèse des besoins en continuité ............................................................................... 8 1. Cartographie des risques ......................................................................................... 8 a) Définitions ............................................................................................................ 8 b) Exemple de méthode d’évaluation ...................................................................... 9 2. Business Impact Analysis (BIA) ............................................................................... 10 a) Les objectifs d’un BIA ......................................................................................... 10 b) Les étapes du BIA ............................................................................................... 10 III. Mise en œuvre du PCA .............................................................................................. 11 1. Gestion de crise et stratégies de continuité .......................................................... 11 2. Stratégies de traitement des risques ..................................................................... 12 3. Plan de continuité d’activités ................................................................................. 12 IV. Amélioration continue ............................................................................................... 12 1. Exercices et test ..................................................................................................... 12 2. Mesure, surveillance et évaluation du SMCA ........................................................ 13 3. Révision du SMCA .................................................................................................. 13 4. Audit interne .......................................................................................................... 14 5. Amélioration continue ........................................................................................... 14 Cas particuliers ............................................................................................................... 15 I. PCA inondation ............................................................................................................. 15 1. Introduction ........................................................................................................... 15 2. Analyse du danger .................................................................................................. 15 3. Veille information crue .......................................................................................... 16 II. PCA Pandémie .............................................................................................................. 16 Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 3 sur 20 Copyright 2018 © ADENIUM 1. Introduction ........................................................................................................... 16 2. Mesures spécifiques............................................................................................... 17 3. Barrières Sanitaires ................................................................................................ 18 Présentation Adenium .................................................................................................... 19 1. Qui sommes-nous ?................................................................................................ 19 2. Notre valeur ajoutée .............................................................................................. 20 3. Contacts utiles ........................................................................................................ 20 Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 4 sur 20 Copyright 2018 © ADENIUM Introduction La norme BS-25999 a pendant longtemps fait écho aux demandes du marché pour une standardisation des processus de management de la continuité d’activités. La parution de la norme ISO 22301 en mai 2012 fournit une base supplémentaire pour la compréhension, le développement et la mise en œuvre d’un processus de continuité d’activités dans une organisation. Ainsi, ces documents fournissent une structure et des spécifications pour focaliser l’attention sur les secteurs les plus critiques de l’organisation, en s’attachant à une approche « holistique » de la gestion du risque d’interruption de l’activité. Les normes « Business Continuity » décrivent le cycle de vie continu d’un SMCA, le définissant comme un programme continuellement en évolution (cf. figure 1). Elles appliquent le cycle PDCA (Plan-Do-Check-Act) pour définir, mettre en œuvre, contrôler, maintenir et améliorer le système de management de continuité d’activités de l’organisation. Le management de la continuité d’activités implique la gestion de la reprise d’activités, en cas d’interruption, et la gestion du processus dans son ensemble par la formation des acteurs concernés, des exercices et des révisions, assurant l’opérationnalité et la mise à jour du PCA. BS 25999 / ISO 22301 : quelles différences ? La base des deux normes est identique (politique, analyse de risques, BIA, stratégie…) Si la BS 25999-2 traitait déjà de système de management, la norme ISO 22301 vient y mettre l’accent en donnant une plus grande importance aux objectifs, suivi de la performance et aux indicateurs. La norme ISO 22301 vient également détailler certains sujets de la BS 25999 : plusieurs clauses concernent le BIA, les plans de reconstruction… Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 5 sur 20 Copyright 2018 © ADENIUM La mise en place d’un PCA conforme à la norme BS 25999 est gage d’un PCA opérationnel et efficace. Construit sur les mêmes principes que la norme ISO 22301, il est tout à fait auditable au regard de cette nouvelle norme internationale et légitime et positionne la continuité des activités dans les organisations. Figure 1 : Amélioration continue du PCA Le cycle PDCA est l’assurance que le plan de continuité d’activités soit efficacement géré et amélioré, ceci s’appliquant à toutes les composantes du cycle de vie du PCA (cf. figure 1). Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 6 sur 20 Copyright 2018 © ADENIUM Élaborer son PCA Initialisation du projet 1. Compréhension de l’organisation et de son contexte Avant de commencer un projet PCA il est indispensable de comprendre l’organisation : son activité, ses objectifs, ses valeurs, sa stratégie, son environnement interne et externe. Cette première étape doit permettre : - de définir un PCA cohérent avec la stratégie de l’organisation, - d’identifier les relations avec les parties prenantes (clients, fournisseurs, autorités administratives…), - de lister les besoins et attentes de ces parties prenantes, - de lister les exigences légales, réglementaires et contractuelles ayant un lien avec la continuité d’activités - de définir les facteurs internes et externes qui peuvent influencer le PCA, 2. Définition d’un périmètre Définir le périmètre est un préalable indispensable à la mise en œuvre d’un SMCA. Avec un périmètre organisationnel, fonctionnel et physique clair il est plus facile d’obtenir l’appui de la Direction et de commencer à mobiliser les parties concernées. Toutes exclusions du périmètre doit être justifiée. Le périmètre organisationnel représente les directions, services, filiales pris en compte. Le périmètre fonctionnel concerne les produits et/ou services concernés (souvent liés au périmètre organisationnel). Le périmètre physique regroupe tous les emplacements physiques, à la fois internes et externes, qui sont inclus dans le SMCA. Une fois le périmètre identifié et clairement délimité il convient de le communiquer dans l’organisation. Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 7 sur 20 Copyright 2018 © ADENIUM 3. Obtenir l’implication et l’engagement de la Direction Toute réussite d’un projet SMCA est assujettie à une forte implication de la Direction. L’engagement de la Direction peut s’obtenir de différentes façon (liste non exhaustive) : - participation de la Direction au Comité de Pilotage SMCA, - signature de la politique SMCA par le top management, - allocation des ressources pour le projet, - le PCA est directement rattaché à la Direction Générale, - le « sponsor » du projet SMCA est un membre de la Direction. 4. Politique et objectifs du PCA La Direction de l’organisation doit établir et démontrer son adhésion à la politique de continuité d’activités. Cette politique doit inclure ou faire référence : - aux objectifs de continuité d’activités de l’organisation, - au périmètre du plan de continuité d’activités, en précisant les exclusions. En plus de recevoir l’adhésion de la Direction de l’organisation, cette politique de continuité d’activités doit : - être communiquée à toute personne travaillant pour, ou en lien étroit avec l’organisation, - être révisée à intervalles réguliers ou lorsqu’un changement significatif intervient dans l’organisation. La définition du périmètre et des objectifs doit intégrer les points suivants : - exigences pour la continuité d’activités, - objectifs organisationnels et obligations, - niveaux de risques acceptables, - devoirs statutaires, réglementaires et contractuels, - intérêts des parties prenantes. 5. Mise à disposition des ressources L’organisation doit déterminer et mettre à disposition les ressources nécessaires pour établir, mettre en œuvre et maintenir le SMCA. L’organisation des acteurs du PCA et leur rôle au sein du plan doivent être définis et documentés. La Direction de l’organisation doit désigner un responsable en charge de la politique PCA et de sa diffusion. D’autres personnes doivent être désignées pour gérer le suivi et la maintenance du SMCA. Les principaux bénéfices de l’Engagement de la Direction  Affectation optimale des ressources  Identification des actifs critiques  Légitimité du projet SMCA  Autorité et crédibilité au chef de projet (facilite les entretiens)  Processus et plan de continuité d’activité vérifiés et mesurés. Sept. 2018 Guide Adenium – Élaborer son PCA selon la norme ISO 22301 8 sur 20 Copyright 2018 © ADENIUM 6. Compétences L’organisation doit s’assurer que l’ensemble des acteurs désignés du PCA dispose des compétences nécessaires pour assumer le rôle qui leur est assigné. Cela implique de : - déterminer les compétences de ces personnels, - assurer leur formation spécifique au PCA, - s’assurer des résultats de ces formations, - d’assurer des mises à jour régulières des niveaux de compétences dans le cadre du PCA. 7. Contrôle et gestion documentaire Concernant la documentation, des contrôles doivent être établis pour s’assurer : - qu'elle reste lisible, aisément identifiable et traçable, - qu’elle est stockée, protégée et disponible. Ces contrôles doivent également permettre de s’assurer que : - les documents ont été approuvés et validés, - les documents ont été révisés, mis à jour et revalidés, - les mises à jour et modifications apportées sont identifiables, - les documents d’origine externe sont identifiés et leur diffusion contrôlée, - les documents devenus obsolètes sont retirés ou clairement identifiés par rapport aux documents maintenus. Synthèse des besoins en continuité 1. Cartographie des risques L’analyse des risques doit uploads/Management/ elaborer-pca-iso22301-v5.pdf