Les exercices de continuité d'activité
Les exercices sont-ils nécessaires ?
Les exercices dans la méthodologie
Nous avons tous en commun le souvenir de ces exercices de grammaire ou de mathématiques qui ont marqué notre passage à l’école. La plupart des élèves se sont posé au moins une fois dans leur scolarité la question de l’utilité de ces exercices. Bien plus tard, nous percevons le bénéfice de ces exercices dans notre vie d’adulte.
Nous savons donc que ces exercices apportent plusieurs profits à celui qui les applique. Les exercices de continuité d’activité sont considérés de la même manière dans l’entreprise. Ils nous coûtent de l’argent et du temps. Nous avons donc tendance à mettre en doute la pertinence des exercices pour consacrer notre énergie à des activités plus lucratives. Ce serait une erreur majeure que de renoncer aux exercices de continuité d’activité car ils sont indispensables :
1 - La validation des plans et des procédures : il est évident que la première version du plan de continuité d’activité reste théorique tant qu’elle n’a pas été mise en application. Il ne serait pas raisonnable de laisser une incertitude sur le fonctionnement des procédures de continuité jusqu’à...
Les différents types d’exercices
Nous associons très souvent la simulation à la notion d’exercice. C’est assez vrai dans le cas de la gestion de la continuité d’activité.
Le principe de l’exercice est basé sur la mise en situation des acteurs clés. Ceux-ci doivent appliquer les procédures appropriées et utiliser les équipements comme il le faut pour assurer leur mission.
Nous constatons dans la pratique que la préparation, l’exécution et l’exploitation des résultats d’un exercice de simulation peuvent nécessiter une charge de travail importante. C’est encore plus vrai si nous appliquons cet exercice à un périmètre étendu de l’organisme. Il n’est pas toujours nécessaire d’effectuer une telle dépense pour obtenir des résultats. Au contraire, une simulation effectuée sur la toute première version d’une procédure a toutes les chances de se terminer prématurément. Pour ces raisons, nous avons créé différentes modalités d’exercices qui sont appropriées selon le niveau de maturité des procédures testées.
Les différents types d’exercices suivent une chronologie qui évolue dans le même sens que leur complexité :
1 - Les exercices de relecture.
2 - La simulation sur documents.
3 - La simulation annoncée sur périmètre restreint.
4 - La simulation annoncée sur périmètre étendu.
5 - La simulation avec partenaires.
6 - La simulation non annoncée.
7 - La situation réelle.
Il est généralement conseillé d’effectuer la montée en charge selon cet ordre chronologique pour un périmètre d’exercice donné. En effet, plus nous montons en gamme et plus la préparation de l’exercice est coûteuse. Les conséquences en cas d’échec de l’exercice sont également de plus en plus importantes. C’est pourquoi il est sage d’éliminer au départ tous les dysfonctionnements qui existent grâce à une méthode basique mais simple. Puis les simulations peuvent être de plus en plus réalistes tout en ayant de bonnes...
La conception d’un plan d’exercices
Vous avez compris maintenant que l’exercice du plan de continuité a de nombreux points communs avec le tournage d’un film. L’improvisation n’a pas sa place dans ce processus, la préparation prend du temps et doit être rigoureuse. Tout ce qui arrive apparemment par hasard et sans qu’on s’y attende dans le scénario est en fait le fruit d’un long travail où tous les risques sont écartés. Ce chapitre concerne les éléments clés de cette préparation.
1. La mise en scène de l’exercice
a. Le scénario
Nous devons obéir à certaines règles pour concevoir un exercice efficace. L’une des plus importantes est le réalisme du scénario. Notre impératif est de mettre les acteurs de l’exercice face à une situation plausible. Un séisme qui détruit le siège de l’entreprise situé dans le quartier de la Défense, en région parisienne, n’est absolument pas crédible. Nous avons forcé le trait dans cet exemple mais toute erreur de scénario est potentiellement détectable. Vous pouvez compter sur un de vos collègues pour exprimer son désaccord avec le scénario au plus mauvais moment, c’est-à-dire en pleine action.
Nous disposons de trois sources d’information importantes pour concevoir et étoffer un scénario de crise efficace :
-
L’analyse des risques : tout événement de départ qui ne se trouve pas dans votre analyse des risques doit, a priori, être éliminé de la liste. L’analyse des risques d’une société parisienne devrait considérer le tsunami comme un hors sujet. Nous vous conseillons donc de prévoir une suite d’événements qui soit cohérente avec les risques envisagés.
-
L’historique de l’entreprise : le passé de l’organisme comporte probablement des événements qui "auraient pu tourner à la catastrophe". La chance a voulu que tout le monde s’en sorte mais l’entreprise a vécu une situation dangereuse. Nous vous invitons à réfléchir sur cet incident et à imaginer un scénario...
Silence ! On tourne
Lorsque vient le moment de mettre en œuvre l’exercice de simulation, il est impératif de rester vigilant et de contrôler en permanence son déroulement. Cela permet de s’assurer que les choses se passent comme prévu et d’identifier toute dérive éventuelle. Voici quelques points importants à prendre en compte.
Tout est prêt. On tourne la simulation
1. Contrôler les dérives
Pendant l’exercice, il est possible que les événements ne se déroulent pas exactement comme prévu dans le script. Il peut y avoir des changements de timing où un événement se produit avant ou après la date initialement prévue. Dans de tels cas, il est essentiel d’ajuster la simulation en conséquence pour maintenir sa cohérence et sa logique.
De même, il se peut qu’un événement qui semblait pertinent sur le papier ne le soit plus dans le contexte de la simulation. Dans de telles situations, il est important d’évaluer la pertinence de l’événement et de prendre des décisions éclairées pour maintenir la fluidité de l’exercice.
Attention, nous vous recommandons une certaine souplesse dans la gestion des étapes de l’exercice. Cependant, il est important de se tenir le plus possible à ce qui a été planifié. Nous répétons...
Le rapport d’exercices et son utilisation
Tout exercice du plan de continuité d’activité doit faire l’objet d’un rapport d’exercice. Il arrive régulièrement que des entreprises fassent un exercice sans compiler les notes enregistrées dans un rapport formel. C’est du temps de perdu car l’exercice n’apporte pas toute la valeur ajoutée attendue. Il permet d’entraîner les équipes, mais, sans rapport à la clé, l’exercice ne renforce pas la performance du PCA.
Nous avons élaboré un plan d’exercices type pour le script que nous vous avons expliqué précédemment. Vous verrez en fin de rapport que le compte rendu est important mais que les remerciements aux participants le sont tout autant. Voici ce que cela donne :
Rapport d’exercice de simulation de cyberattaque pour la banque XYZ
Auteur : S. Hesschentier
Date : 21/10/2023
Version : 1.0
Liste de diffusion : Mme A, M. B, Mme C et M. D
I. Introduction
Cet exercice de simulation a été organisé dans le but de tester la résilience et l’efficacité du plan de continuité d’activité (PCA) de la banque face à une cyberattaque. L’objectif principal était d’identifier les forces et les faiblesses du PCA existant, d’améliorer les processus de réponse à une attaque et de renforcer la sécurité de l’entreprise.
II. Description de l’exercice
L’exercice de simulation s’est déroulé sur une période de deux jours. Le scénario fictif impliquait une cyberattaque visant à paralyser la salle des marchés de la banque. Les différentes étapes du scénario étaient basées sur le script préalablement élaboré, comprenant des événements clés, des réponses attendues du PCA et des résultats escomptés.
Voir annexe 1 pour les détails.
III. Équipes chargées de l’exercice
Plusieurs équipes...
Plan d’exercices PCA
Le plan d’exercices pour le plan de continuité d’activité (PCA) repose sur une approche similaire à celle utilisée dans le développement de logiciels. Comme un logiciel est composé de modules et de sous-modules, le PCA peut également être décomposé en plusieurs niveaux, allant des plans stratégiques et tactiques jusqu’aux procédures et modes opératoires.
Cette approche, connue sous le nom de modèle en V, est largement utilisée dans les tests logiciels et a été adaptée au contexte du PCA en raison de la similarité de l’architecture. Elle suit une démarche ascendante, en commençant par tester les plus petits composants, appelés tests unitaires, afin de vérifier leur bon fonctionnement individuel. Ensuite, des tests d’intégration sont réalisés pour évaluer l’interaction entre les différents composants et modules. Ce processus se poursuit jusqu’à ce que le PCA soit testé dans son ensemble, en effectuant des tests de stress et de recette pour valider pleinement son fonctionnement.
Pour définir le plan d’exercices du PCA, les étapes suivantes sont simplifiées et recommandées :
-
1. Revoir attentivement le dispositif de continuité d’activité...