La vision de Cyber Academy
Le BCM est la discipline qui identifie les menaces pesant sur vos opérations critiques, puis conçoit les plans et procédures pour les maintenir en activité en cas de perturbation. Ce n'est pas un projet ponctuel. L'équipe BCM qui tient lors d'un incident réel est celle qui a conduit un exercice sur table il y a quatre mois et consigné ce qui a échoué.
Ce que couvre réellement le management de la continuité d'activité
Le management de la continuité d'activité est la discipline de gestion qui maintient en fonctionnement les activités les plus importantes d'une organisation, ou les rétablit rapidement, lorsqu'un événement perturbe son fonctionnement. Le déclencheur peut être un incident cyber, la défaillance d'un fournisseur, une inondation, une coupure d'électricité ou une pandémie. La menace n'a pas besoin d'être prévue par son nom. Ce qui compte, c'est que l'activité qu'elle paralyserait ait été identifiée, hiérarchisée et dotée d'un plan testé permettant de la rétablir dans un délai acceptable.
Le périmètre est volontairement large. Le management de la continuité d'activité s'intéresse aux personnes, aux locaux, à la technologie, aux fournisseurs et à l'information, et pas seulement au parc informatique. C'est la première chose qui le distingue du plan de reprise après sinistre, le sous-ensemble centré sur l'informatique qui concerne le rétablissement de l'infrastructure, des applications et des données. Une banque peut rétablir chaque serveur et rester incapable de fonctionner parce que le centre d'appels n'a nulle part où s'installer et que le tiers qui valorise ses opérations est hors service. Le management de la continuité d'activité a la responsabilité de cette vue d'ensemble.
C'est également un cycle continu, et non un projet avec une date de fin. Les plans deviennent obsolètes dès qu'une organisation se réorganise, adopte un nouveau système ou intègre un nouveau fournisseur critique. Les équipes qui sont à la hauteur lors d'un incident réel sont celles qui ont récemment répété un scénario et consigné ce qui a échoué, puis l'ont corrigé avant la prochaine session.
Le cycle de vie fondamental du management de la continuité d'activité
La plupart des programmes suivent une séquence reconnaissable, reflétée dans la norme internationale ISO 22301 :
- Bilan d'impact sur l'activité. L'étude structurée qui classe chaque activité selon la gravité de l'impact de l'interruption dans le temps et produit les objectifs de rétablissement.
- Appréciation du risque. Identifier les menaces et les vulnérabilités les plus susceptibles de perturber les activités prioritaires.
- Stratégie et solutions. Choisir comment maintenir les activités en fonctionnement ou les rétablir : sites de repli, solutions de contournement, redondance, diversification des fournisseurs.
- Plans et procédures. Rédiger le plan de continuité d'activité, la structure de réponse aux incidents et les guides opératoires de rétablissement que les équipes utiliseront réellement sous pression.
- Exercices et revue. Exercices sur table et tests grandeur nature, retours d'expérience après incident et audits qui réinjectent les corrections dans le cycle.
La place du management de la continuité d'activité dans le paysage réglementaire
La continuité est passée de la bonne pratique à l'obligation supervisée dans plusieurs secteurs. ISO 22301 spécifie les exigences relatives à un système de management de la continuité d'activité certifiable et constitue la référence à laquelle s'alignent la plupart des organisations. Dans l'Union européenne, le Digital Operational Resilience Act fixe des attentes en matière de continuité et de tests pour les entités financières, et la directive NIS 2 impose des mesures de continuité d'activité, y compris la sauvegarde et la gestion de crise, aux opérateurs des secteurs essentiels et importants.
La certification n'est pas obligatoire pour bien mener le management de la continuité d'activité, mais elle donne aux auditeurs, aux régulateurs et aux grands clients un socle reconnu. Qu'un programme vise ou non un certificat, les mêmes disciplines s'appliquent : connaître ses activités critiques, fixer des objectifs de rétablissement défendables, rédiger des plans utilisables et prouver qu'ils fonctionnent en les testant.
Frequently asked questions
01Quelle est la différence entre la continuité d'activité et la reprise après sinistre ?
La reprise après sinistre est le sous-ensemble de la continuité d'activité centré sur l'informatique, qui rétablit l'infrastructure, les applications et les données. La continuité d'activité est plus large : elle couvre les personnes, les locaux, les fournisseurs et les processus, en plus de la technologie, de sorte que l'ensemble de l'organisation puisse continuer à fonctionner.
02La certification ISO 22301 est-elle requise pour le management de la continuité d'activité ?
Non. ISO 22301 est la norme internationale par rapport à laquelle vous pouvez certifier un système de management de la continuité d'activité, mais bien mener le management de la continuité d'activité ne requiert pas de certificat. La certification donne aux régulateurs et aux clients un socle reconnu et est de plus en plus attendue dans les secteurs réglementés.
03D'où viennent le RTO et le RPO dans un programme de management de la continuité d'activité ?
Ce sont des résultats du bilan d'impact sur l'activité. Le RTO est la durée maximale pendant laquelle un processus peut être indisponible avant un préjudice inacceptable, et le RPO est la perte de données maximale tolérable mesurée dans le temps. Les deux doivent être validés par les responsables métier, et non fixés par l'informatique seule.
04À quelle fréquence les plans de continuité d'activité doivent-ils être testés ?
Testez régulièrement plutôt qu'annuellement. Les exercices sur table sont peu coûteux et rapides et révèlent des lacunes que les revues documentaires manquent ; de nombreux programmes les organisent donc chaque trimestre et les complètent par des tests de rétablissement grandeur nature périodiques.
05Qui devrait être responsable du management de la continuité d'activité dans une organisation ?
La responsabilité incombe à la direction générale, car les décisions de continuité sont des décisions métier portant sur l'indisponibilité acceptable et l'investissement. Un coordinateur ou un responsable de la continuité d'activité pilote le cycle de vie, mais chaque activité critique a besoin d'un responsable qui valide ses objectifs de rétablissement et son plan.