Préface de Monique TINAS - Business Continuity Officer au sein du groupe BPCE - Présidente du Club de la Continuité d’Activité

La résilience organisationnelle est devenue une préoccupation essentielle pour toutes les entreprises, indépendamment de leur taille ou de leur envergure, car elles font face à des défis de plus en plus complexes. Les cyberattaques se multiplient dans tous les secteurs et la pandémie récente a montré à quel point une crise peut impacter tous les aspects de la société. Dans ce contexte, le Système de Management de la Continuité d’Activité (SMCA), sujet au cœur de cet ouvrage, est une solution de choix pour mieux se préparer à de futures épreuves.   

Cet ouvrage propose de retracer les grandes étapes qui ont conduit à la création du SMCA, tout en assimilant les définitions essentielles pour bien appréhender le contexte actuel. L’auteur explique de manière accessible les normes et réglementations mondiales et nationales qui jouent un rôle essentiel dans la mise en place d'un SMCA efficace.   

L'ouvrage explore ensuite les méthodes les plus performantes pour définir, concevoir et mettre en œuvre un SMCA. La méthode SMCA de Resilient Shield Consulting, qui se conforme aux meilleures pratiques, notamment celles de l’ISO 22301, est particulièrement détaillée. Cette méthode couvre l'ensemble du cycle de vie de la gestion de la continuité d'activité, allant de la conception du SMCA à la rédaction de la politique de continuité, en passant par les dispositions pour assurer l'engagement de la direction et du leadership. Le Bilan d’Impact sur l’Activité (BIA) est un élément central de la méthode, minutieusement détaillé dans cet ouvrage. De même, l'Analyse des Risques est étudiée en détail, permettant ainsi de répondre aux différents scénarios de crise en concevant des stratégies appropriées.   

L’ouvrage devient ensuite une mine d’informations pratiques sur les plans de continuité d’activité (PCA) qui formalisent ces stratégies. Il couvre en détail les principales variantes, telles que le plan de continuité du Système d’Information et le Plan de gestion des incidents et des crises, tout en les illustrant avec des exemples concrets.   

Enfin, pour garantir l'efficacité du SMCA, des méthodes indispensables telles que les exercices, les audits, la formation et le maintien en conditions opérationnelles sont explorées en profondeur. 

Introduction

1. 1. Un peu d’histoire
   1. 1.1 Émergence du management
   2. 1.2 Le Disaster Recovery Journal (DRJ)
   3. 1.3 Le Disaster Recovery Institute (International) : la référence
   4. 1.4 Le Business Continuity Institute
   5. 1.5 L’euro et l’an 2000
   6. 1.6 911
   7. 1.7 Canicule de 2003
   8. 1.8 La crise financière mondiale de 2008
   9. 1.9 Fukushima
   10. 1.10 Les vagues terroristes de 2015
   11. 1.11 La crise du Covid-19
   12. 1.12 La guerre en Ukraine
2. 2. Les concepts de base
   1. 2.1 ISO 22301
   2. 2.2 Les organismes
   3. 2.3 La continuité d'activité
   4. 2.4 La gestion de la continuité d'activité
   5. 2.5 La résilience
   6. 2.6 Les menaces
   7. 2.7 Les plans de continuité d'activité (PCA)
   8. 2.8 Les exercices PCA

Normes, méthodologies et réglementations

1. 1. Le panorama complet
2. 2. Les normes
   1. 2.1 Les normes ISO 22301 et ISO 22313
   2. 2.2 Les normes sur la résilience : ISO 22316 et ISO 22336
      1. 2.2.1 ISO 22316
      2. 2.2.2 ISO 22336
   3. 2.3 Les autres normes de la série ISO 22300
      1. 2.3.1 ISO 223xx
      2. 2.3.2 ISO 22317
   4. 2.4 La norme ISO 27001
   5. 2.5 Les autres normes ISO
   6. 2.6 Les normes du NIST
   7. 2.7 Les standards européens
   8. 2.8 Les normes françaises
3. 3. Les méthodologies
   1. 3.1 La méthode du DRII : l'approche professionnelle pour la continuité d'activité
   2. 3.2 La continuité d'activité selon le BCI
   3. 3.3 ITIL et la gestion de la continuité d'activité
   4. 3.4 Gouvernance et continuité d'activité selon COBIT 2019
   5. 3.5 La méthode PCA du Secrétariat général de la défense et de la sécurité nationale (SGDSN)
4. 4. Les réglementations
   1. 4.1 Réglementation européenne
   2. 4.2 Réglementation française
   3. 4.3 Réglementation bancaire
      1. 4.3.1 Bâle III et la résilience
      2. 4.3.2 ACPR
   4. 4.4 Réglementation dans les assurances
      1. 4.4.1 Solvabilité II
      2. 4.4.2 Les normes de l'IAIS
      3. 4.4.3 L'AMRAE
5. 5. La bonne approche pour s'en sortir

Le SMCA

1. 1. Le système de management : définition et principes
2. 2. La roue de Deming
3. 3. Les différents systèmes de management
4. 4. Le système de management appliqué à la continuité d'activité
5. 5. La politique de continuité d'activité
6. 6. Le leadership
7. 7. Comment concevoir un SMCA ?
8. 8. Exemple de structure SMCA

Méthode SMCA de Resilient Shield Consulting

1. 1. Historique de la méthode
2. 2. Description de la méthode SMCA
   1. 2.1 Vue d'ensemble
      1. 2.1.1 La phase "Planifier"
      2. 2.1.2 Première bonne pratique : le PPT
      3. 2.1.3 Deuxième bonne pratique : le reengineering
      4. 2.1.4 Troisième bonne pratique : une gestion de programme guidée par la politique PCA et le leadership
      5. 2.1.5 La phase "Développer"
      6. 2.1.6 Quatrième bonne pratique : le BIA avant tout
      7. 2.1.7 Cinquième bonne pratique : quatre types de plans
      8. 2.1.8 Sixième bonne pratique : quatre types d'exercices
3. 3. Aspects de notre méthode SMCA hors ISO 22301
   1. 3.1 Septième bonne pratique : transformation des besoins en scénarii
   2. 3.2 Huitième bonne pratique : le cahier des charges
   3. 3.3 Neuvième bonne pratique : la fabrication de la solution
   4. 3.4 Dixième bonne pratique : piloter le SMCA
4. 4. Utilisation de la méthode

Bonnes pratiques de gestion de projet

1. 1. Nécessité de la gestion de projet
2. 2. Définitions et références en gestion de projet
   1. 2.1 Définition d'un projet
   2. 2.2 Les normes ISO
   3. 2.3 PM Body of Knowledge (PMBok)
   4. 2.4 PRINCE2
   5. 2.5 Scrum et autres méthodes agiles
3. 3. La gestion de programme
4. 4. Le périmètre du projet
   1. 4.1 Définition
   2. 4.2 Périmètre physique, géographique et organisationnel
   3. 4.3 Périmètre logique
   4. 4.4 Périmètre humain
   5. 4.5 Périmètre temporel
   6. 4.6 Périmètre financier
5. 5. Aspects budgétaires
6. 6. Objectifs, livrables et activités
7. 7. Organisation du projet
   1. 7.1 Le sponsor du projet
   2. 7.2 Le chef de projet
   3. 7.3 Le comité de pilotage
   4. 7.4 L'équipe de gestion de projet
8. 8. Les procédures de gestion de projet
9. 9. Formaliser le projet
10. 10. Application de la gestion de projet au SMCA
    1. 10.1 Recommandation n° 1 : des réunions efficaces
       1. 10.1.1 Types de réunions
       2. 10.1.2 Réunion de travail
       3. 10.1.3 Réunion d'information
       4. 10.1.4 Réunion de coordination
    2. 10.2 Recommandation n° 2 : une méthode pragmatique
    3. 10.3 Recommandation n° 3 : une approche de prototypage
    4. 10.4 Recommandation n° 4 : capitalisez sur les "quick wins"
    5. 10.5 Recommandation n° 5 : faites appel aux bons outils
    6. 10.6 Recommandation n° 6 : ne sous-estimez pas les tâches
    7. 10.7 Recommandation n° 7 : gérez le cycle et le projet

Le bilan d'impact sur les activités (BIA)

1. 1. Définitions préliminaires
   1. 1.1 Quelques définitions pour comprendre le BIA
      1. 1.1.1 Les activités
      2. 1.1.2 L’impact
      3. 1.1.3 Maximum Acceptable Outage (MAO) - durée maximale d’interruption acceptable (DMIA)
      4. 1.1.4 Maximum Tolerable Period of Disruption (MTPD) - durée maximale tolérable de perturbation (DMTP)
      5. 1.1.5 Minimum Business Continuity Objectives (MBCO) - objectif minimal de continuité d'activité (OMCA)
      6. 1.1.6 Recovery Time Objective (RTO) - objectif de délai de reprise
      7. 1.1.7 Recovery Point Objective (RPO) - point de récupération des données
   2. 1.2 Le bilan d'impact sur l'activité
2. 2. Principes fondamentaux du BIA
   1. 2.1 Principes généraux
   2. 2.2 Rôles et responsabilités
   3. 2.3 Engagement de la direction et leadership
   4. 2.4 Facteurs clés de succès du BIA
   5. 2.5 La gestion du projet BIA
   6. 2.6 Le BIA initial
   7. 2.7 Priorisation des produits et services
   8. 2.8 Les impacts
3. 3. Approche du Business Continuity Institute
   1. 3.1 Vue d'ensemble
   2. 3.2 Les hypothèses de construction
   3. 3.3 Le BIA initial
   4. 3.4 Le BIA produits et services
   5. 3.5 Le BIA processus
   6. 3.6 Le BIA activité
4. 4. Bonnes pratiques et recommandations sur le BIA
   1. 4.1 Les techniques de récolte d'information
   2. 4.2 Le questionnaire BIA
   3. 4.3 L'analyse
   4. 4.4 Ne visez pas trop haut
   5. 4.5 Des échelles de temps pertinentes
   6. 4.6 Des entretiens efficaces
   7. 4.7 Des ateliers de travail utiles

L'analyse des risques

1. 1. L'analyse des risques dans le contexte de la continuité
2. 2. Une définition du risque
3. 3. Les actifs
4. 4. Les menaces
5. 5. Objectifs et exigences de l'analyse de risques
6. 6. Choisir sa méthode d'analyse des risques
   1. 6.1 Mehari
   2. 6.2 EBIOS
   3. 6.3 OCTAVE
   4. 6.4 Arbres de défaillance, arbres d'événements et papillon
   5. 6.5 Réseaux de Bayes
   6. 6.6 AMDEC
   7. 6.7 Toutes les méthodes d'analyse des risques en une section
7. 7. Une méthode suffisante pour l'analyse des risques
   1. 7.1 Quelle méthode choisir ?
   2. 7.2 Méthode simplifiée d’analyse des risques

Stratégies de continuité d'activité

1. 1. Qu'est-ce qu'une stratégie ?
2. 2. Principes des stratégies de continuité d’activité
   1. 2.1 Ne rien faire
   2. 2.2 La diversification
   3. 2.3 La réplication
   4. 2.4 Site de repli ou site de secours
   5. 2.5 L’acquisition post-incident
   6. 2.6 La sous-traitance
      1. 2.6.1 Redondance des ressources
      2. 2.6.2 Expertise spécialisée
      3. 2.6.3 Flexibilité et capacité d'adaptation
      4. 2.6.4 Gestion des risques
      5. 2.6.5 Prérequis importants
   7. 2.7 L’assurance
3. 3. Une approche plus universelle
4. 4. Méthode de conception des stratégies de continuité d’activité
5. 5. Quelques erreurs à éviter
   1. 5.1 Tout miser sur le télétravail
   2. 5.2 Copier les tactiques des autres
   3. 5.3 Écarter les scénarii peu probables

Le plan de continuité d'activité (PCA)

1. 1. Introduction
2. 2. Contenu du PCA
   1. 2.1 Description du contenu
   2. 2.2 Format type
3. 3. Les procédures PCA
   1. 3.1 Liste (quasi) complète
   2. 3.2 Exemples de procédures PCA
      1. 3.2.1 Procédure d'activation du plan de continuité d'activité
      2. 3.2.2 Procédure de gestion des incidents
      3. 3.2.3 Procédure de fonctionnement en mode dégradé
4. 4. Structure PCA proposée par Resilient Shield
5. 5. Processus de conception du PCA
6. 6. Exemple de PCA comptabilité
   1. 6.1 Page de garde
   2. 6.2 Introduction
      1. 6.2.1 Objectif du plan de continuité
      2. 6.2.2 Portée du plan
   3. 6.3 Évaluation des risques et des impacts
      1. 6.3.1 Identification des risques
      2. 6.3.2 Évaluation des impacts potentiels
   4. 6.4 Responsabilités et rôles
      1. 6.4.1 Responsabilités de l'équipe de continuité
      2. 6.4.2 Membres clés de l'équipe de continuité
   5. 6.5 Équipements et moyens
      1. 6.5.1 Site de repli
      2. 6.5.2 Télétravail
   6. 6.6 Actions de rétablissement
      1. 6.6.1 Rétablissement du système comptable
      2. 6.6.2 Maintien de la comptabilité quotidienne
   7. 6.7 Communication externe
      1. 6.7.1 Points de contact désignés
      2. 6.7.2 Mise à jour régulière des parties prenantes
      3. 6.7.3 Consignes de communication
   8. 6.8 Formation et sensibilisation
      1. 6.8.1 Formation du personnel
   9. 6.9 Exercices et tests
      1. 6.9.1 Exercices de simulation

Continuité IT

1. 1. Les stratégies de continuité IT
   1. 1.1 Redondance entre centres de données
   2. 1.2 Salle de secours informatique
      1. 1.2.1 La salle informatique
      2. 1.2.2 Les niveaux Tier de l'Uptime Institute
      3. 1.2.3 Salle de secours à froid
      4. 1.2.4 Salle de secours tiède
      5. 1.2.5 Salle de secours à chaud
      6. 1.2.6 Le bon choix
   3. 1.3 Redondance de réseau
   4. 1.4 Sauvegarde et restauration
      1. 1.4.1 Principes
      2. 1.4.2 Les fournisseurs de solutions de sauvegarde
      3. 1.4.3 Sauvegarde en ligne ou dans le cloud
   5. 1.5 La virtualisation
   6. 1.6 Solutions "as a Service"
   7. 1.7 La reprise mobile après sinistre
   8. 1.8 Des infrastructures résilientes
      1. 1.8.1 Stratégie de cluster
      2. 1.8.2 Équilibrage de charge
      3. 1.8.3 Le mirroring
      4. 1.8.4 Réplication synchrone/asynchrone
      5. 1.8.5 La time machine
      6. 1.8.6 La tolérance aux pannes
      7. 1.8.7 Stockage réseau (NAS, SAN)
      8. 1.8.8 La continuité des bases de données
2. 2. Les sites de repli
3. 3. Les plans de la continuité IT
   1. 3.1 Définition du PRA
   2. 3.2 Les autres plans de secours informatiques
4. 4. La structure du PRA
5. 5. Niveau de détail du PRA
6. 6. L'équipe PRA
7. 7. Rédiger les procédures du PRA

Plan de gestion des incidents et des crises

1. 1. Concepts clés
   1. 1.1 L'incident
   2. 1.2 La gestion des incidents
      1. 1.2.1 Identification et enregistrement des incidents
      2. 1.2.2 Classification et priorisation des incidents
      3. 1.2.3 Diagnostic et résolution initiale
      4. 1.2.4 Escalade et notification
      5. 1.2.5 Investigation et résolution
      6. 1.2.6 Suivi et communication
      7. 1.2.7 Clôture de l'incident
   3. 1.3 De l'incident à la crise
   4. 1.4 La cellule de crise
   5. 1.5 La salle de crise
2. 2. Exemple de plan de gestion de crise
   1. 2.1 Page de garde
   2. 2.2 Introduction et objectifs du plan de gestion de crise
      1. 2.2.1 Présentation de l'entreprise XYZ et de ses activités principales
      2. 2.2.2 Objectifs du plan de gestion de crise
   3. 2.3 Structure de gestion de crise
      1. 2.3.1 Cellule de crise
      2. 2.3.2 Annuaire de cellule de crise
   4. 2.4 Identification des risques et des scénarios de crise
      1. 2.4.1 Scénario d'incendie dans les locaux de l'entreprise
      2. 2.4.2 Scénario de cyberattaque paralysant le système informatique
      3. 2.4.3 Scénario de pandémie entraînant des fermetures et des restrictions de déplacement
   5. 2.5 Système d'alerte interne
      1. 2.5.1 Canaux de communication multiples
      2. 2.5.2 Procédure d'alerte
   6. 2.6 Gestion des ressources
   7. 2.7 Communication et relations publiques
      1. 2.7.1 Principes
      2. 2.7.2 Méthode
      3. 2.7.3 Ce qu'il faut faire et ce qu'il ne faut pas faire
      4. 2.7.4 Exemple de plan de communication de crise
   8. 2.8 Gestion des actions et des décisions
   9. 2.9 Formation, exercices et tests

Les exercices de continuité d'activité

1. 1. Les exercices sont-ils nécessaires ?
2. 2. Les différents types d'exercices
   1. 2.1 Les exercices de relecture
   2. 2.2 La simulation sur documents
   3. 2.3 La simulation annoncée sur périmètre restreint
   4. 2.4 La simulation annoncée sur périmètre étendu
   5. 2.5 La simulation avec partenaires
   6. 2.6 La simulation non annoncée
   7. 2.7 La situation réelle
3. 3. La conception d'un plan d'exercices
   1. 3.1 La mise en scène de l'exercice
      1. 3.1.1 Le scénario
      2. 3.1.2 La mise en scène
      3. 3.1.3 Le script
      4. 3.1.4 Exemple de script
   2. 3.2 Les acteurs et l'équipe de tournage
      1. 3.2.1 Les organisateurs
      2. 3.2.2 Les acteurs
      3. 3.2.3 De vrais acteurs
      4. 3.2.4 L'équipe technique
   3. 3.3 La planification
4. 4. Silence ! On tourne
   1. 4.1 Contrôler les dérives
   2. 4.2 Gérer les situations de blocage
   3. 4.3 Enregistrement de l'exercice
   4. 4.4 Documenter les événements et les résultats
5. 5. Le rapport d'exercices et son utilisation
6. 6. Plan d'exercices PCA

Maintien en conditions opérationnelles du SMCA

1. 1. La maintenance ou les maintenances ?
2. 2. La maintenance préventive
3. 3. La maintenance corrective
4. 4. La maintenance prédictive
5. 5. La maintenance conditionnelle
6. 6. Tableaux de bord et KPI
   1. 6.1 Principes
   2. 6.2 Exemples de KPI
7. 7. Processus et plan de maintenance type
   1. 7.1 Processus
   2. 7.2 Plan de maintenance type

Audit SMCA et revue de direction

1. 1. Généralités sur l’audit
2. 2. Audit du SMCA
3. 3. Rapport d'audit SMCA
4. 4. Techniques d'audit
   1. 4.1 Revue documentaire
   2. 4.2 Entretiens - Explorer les pratiques et les défis
   3. 4.3 Observation sur site
   4. 4.4 Échantillonnage
   5. 4.5 Analyse comparative
   6. 4.6 Test de scénarios
5. 5. Intégration dans le plan d'audit
6. 6. Application des techniques d'audit
7. 7. Revue de direction

Formation et sensibilisation au SMCA

1. 1. Les nécessités imposées par la norme et les méthodes
   1. 1.1 Formation et sensibilisation : quelles différences ?
   2. 1.2 ISO 22301 et formation
   3. 1.3 La formation SMCA dans les méthodologies
      1. 1.3.1 La formation selon le BCI
      2. 1.3.2 La position du DRII
2. 2. La planification de la sensibilisation et de la formation
   1. 2.1 Planification de la sensibilisation au SMCA
   2. 2.2 Planification de la formation au SMCA
3. 3. Les supports
   1. 3.1 Supports de sensibilisation
   2. 3.2 Supports de formation
   3. 3.3 Thèmes de sensibilisation ou de formation

La résilience

1. 1. Une brève histoire de la résilience
   1. 1.1 La résilience des matériaux : rebondir face aux contraintes
   2. 1.2 La résilience en psychologie
   3. 1.3 La résilience en écologie
   4. 1.4 La résilience communautaire
   5. 1.5 La résilience en ingénierie
   6. 1.6 La résilience organisationnelle
2. 2. Les modèles de résilience organisationnelle
   1. 2.1 Le modèle du CERT
   2. 2.2 La norme ISO 22316
   3. 2.3 La norme BS 65000
3. 3. Une nouvelle approche de la résilience
   1. 3.1 La résilience en tant que SMI
      1. 3.1.1 Le concept de SMI
      2. 3.1.2 Le SMRO
   2. 3.2 Similitudes entre résilience organisationnelle et humaine
   3. 3.3 L'agilité
   4. 3.4 Vers une nouvelle méthodologie
      1. 3.4.1 Périmètre de la résilience
      2. 3.4.2 Management de la résilience
      3. 3.4.3 Création du cadre de la résilience

Perspectives

1. 1. Vous êtes prêt
2. 2. L'outillage du SMCA
3. 3. L'évolution des normes sur la résilience
4. 4. Le SMCA, l'Intelligence Artificielle et la réalité virtuelle
5. 5. La gestion de la continuité de la chaîne logistique
6. 6. La cyber-résilience

Conclusion

1. 1. La boucle est bouclée
2. 2. Et pourtant
3.  
4.  
5.  
6.  
7. Bibliographie
8. Index