PCA ou Plan de Continuité d’Activité : Par quoi commencer pour en établir un ?

Comment démarrer un PCA ?

En tant que Responsable de la Sécurité Informatique ou équivalent, c’est à vous que votre entreprise demande d’établir un PCA, un Plan de Continuité d’Activité.

Brusquement, une inondation est venue bloquer l’accès aux locaux, ou bien une entreprise voisine a eu une coupure de courant ou d’accès à Internet alors qu’elle utilise le Cloud et votre chef d’établissement s’inquiète de ce qui pourrait arriver dans son entreprise.

Lorsqu’un projet de cette envergure se déclenche, c’est un peu la panique à bord : Par quoi commencer ?

Commencer par faire comprendre aux décideurs que ce processus est un processus de longue haleine, bien que vous ayez des idées qui vous viennent immédiatement à l’esprit.

Bien qu’il existe des normes de sécurité ISO pour plusieurs sujets et diverses méthodes, chaque processus de développement du manuel PCA, en tant que tel, est différent d’une entreprise à l’autre en raison des besoins parfois très différents,  ainsi que je l’explique dans cet article.

PCA et PRA : même combat ?

Certaines mesures peuvent être communes entre un PCA et un PRA, bien qu’elles soient généralement différentes.

La plupart des mesures d’un PCA sont préventives et d’une action immédiate en cas d’indisponibilité de tout ou partie du système d’information alors que celles d’un PRA sont curatives et de plus grandes ampleurs en cas de sinistre.

Première ébauche

Une première ébauche par étape est décrite dans cet autre article : c’est une démarche par étape que je vous propose et qui est universelle; C’est ce qu’il y a de plus standard.

Je vous recommande d’être le plus pragmatique possible. Cherchez les questions et vous trouverez facilement les réponses, puis vous établirez la liste des mesures à prendre ainsi que leurs coûts et délais de mise en place.

Premières questions

Tout d’abord, quel est le secteur d’activité de cet établissement ?

Les besoins sont différents d’un secteur à l’autre.

Par exemple, si vous travaillez avec des produits dans l’ultra froid ou si vous proposez uniquement des services à vos clients, les besoins de protections et de mesures de continuité d’activité sont complètement différentes.

Quels sont l’environnement et la position géographique de l’établissement ?

Les conditions sismiques et météorologiques influent sur les risques à couvrir. Trop chaud, trop froid, trop humide, trop sec, trop remuant, trop loin de tout, etc.

Que se passerait-il, si … ? ou que s’est-il passé quand … ?

Futur ou Passé, votre expérience et celles des autres du même secteur professionnel ou secteur géographique, va vous donner l’occasion de trouver les bonnes questions.

Utilisez des méthodes de brainstorming ou remue-méninges ou autres Méthodes et outils de résolution de problèmes.

Philippe Garin, plus de 20 ans manager en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Définitions de PRA et de PCA
PCA : des besoins très différents
Redémarrer après une panne

Conditions pour restaurer ses données
Schéma général d’un PRA
Protection de la salle informatique : Les mesures

Autres Informatique, Management, Organisation, Sécurité :

Récapitulatif 14 Informatique
Récapitulatif 14 Management
Récapitulatif 14 Organisation
Récapitulatif 14 Sécurité

PCA Plan de continuité d’activité : des besoins très différents

Le PCA est unique et personnalisé

Le Plan de Continuité d’Activité pour une entreprise ou une organisation est obligatoirement unique et personnalisé.
Même les entreprises d’un même secteur professionnel, avec un établissement dans la même zone géographique, de même taille et avec des produits similaires ont chacune des PCA différents.

Chaque entreprise a ses priorités, ce qui est important pour une entreprise peut être différent de ce qui est important pour une autre entreprise.

Exemple, pour une entreprise de distribution

C’est le client qui passe à la caisse, dépose ses produits, ses produits sont enregistrés, figurent sur la facture et le client part après avoir payé sa facture.

Dans un tel cas de figure, le plan de continuité, comme le PRA ou Plan de Reprise d’Activité, doivent répondre immédiatement en cas de sinistre,

• soit par une solution informatique de secours qui prend le relais immédiatement et automatiquement,
• soit par une procédure dégradée, c’est-à-dire que la facture est faite manuellement, quitte à créer une procédure pour saisir manuellement (au lieu de la caisse enregistreuse) la sortie de stock, le prix de chaque produit, le montant de la facture, le mode de paiement, etc.

Exemple, pour une entreprise qui fabrique des produits sur mesure

Lorsque les produits sont de très haute technicité, l’entreprise a besoin impérativement de pouvoir établir des devis avec tous les documents techniques en pièces jointes issus de calculs mathématiques compliqués et longs, et de dessins techniques de CAO (Conception assistée par ordinateur).

Il est évident que, dans un tel environnement, la sécurité par des disques en RAID 1 doit être mis en place sur les machines de calcul, qu’un SAN soit mis en place pour les sauvegardes et qu’au moins une machine de même puissance soit disponible en permanence en guise de machine de remplacement.

RAID 1

Le RAID 1 est la duplication immédiate et automatique d’un disque interne d’un ordinateur sur un autre disque, de telle façon qu’il existe toujours une version non endommagée des données en cas de problème physique sur l’un des deux disques. Il s’agit d’une solution de sécurité du poste de travail.

SAN

Le SAN est un système qui permet aussi une duplication du disque dur d’un PC, sur un disque externe, placé généralement dans une salle informatique. Le SAN permet la duplication de disques durs de plusieurs PC d’un réseau informatique local.

Les mesures propres à chacun

Selon les priorités que l’entreprise définit et le budget que la Direction accorde, les mesures de protection et de continuité de l’activité sont différentes.

Elles seront différentes aussi en raison de l’évaluation des risques auxquels l’organisation est soumise.

Si la rigueur et la fermeté manquent dans l’application des mesures préventives de sécurité, alors le risque de pannes, de casses, de vol augmentera d’autant.

• Sans charte informatique, tous les abus sont possibles.
• Sans contrat d’assurance, les coûts seront augmentés.
• Sans réunion d’information pour le personnel, les consignes seront moins prises au sérieux.

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :

Inscrivez-moi à la Newsletter (recommandé)

Nom Prénom(obligatoire)

Email(obligatoire)

Soumettre

Δ

En complément :

Sauvegarde : Premiers pas vers la Reprise d’Activité (PRA)
Pare-feu : Documenter les responsabilités et les procédures
Sécurité informatique : 1 milliard de dollars volé

Liste de mesures de sécurité informatique
Menace – Vulnérabilité – Risque
Redémarrer après une panne : 74% des entreprises sont mal préparées

Autres Sécurité et Informatique :

Récapitulatif 12 Informatique
Récapitulatif 12 Sécurité