Le PCA, indispensable aux infrastructures critiques

Introduction

Nous avons vu, il y a peu, comment établir un DRP (Disaster Recovery Plan) un plan de recouvrement de l’activité après une catastrophe, dans nos contrées géographiquement favorisées, le plus souvent une cyberattaque.

Le Business Continuity Plan (BCP) ou le plan de continuité des activités, est son complément pour les entreprises ou les institutions qui ne peuvent se permettre une coupure d’activité prolongée, car si le DRP répare, il ne supplée pas…

Origines et histoire

Les prémices du Business Continuity Plan remontent aux années 1960 et 1970, une période où l'essor de l'informatique industrielle imposait aux entreprises de réfléchir aux moyens de protéger leurs systèmes et données, encore peu connectés.

À ses débuts, la démarche se concentrait sur le DRP déjà évoqué précédemment, avec des acteurs pionniers comme IBM ou HP, qui mettaient en place des solutions pour pallier les défaillances des infrastructures informatiques, encore percluses de nombreux défauts de jeunesse.

Au fil des décennies, le concept s'est progressivement élargi au-delà des seules problématiques informatiques, car la technique n’est pas seule en cause, loin de là.

La prise de conscience des risques globaux, combinée à l'apparition de nouvelles menaces, notamment les cyberattaques issues des réseaux, amena les organisations à intégrer dans leur réflexion la continuité de l'ensemble de leurs processus critiques.

L'approche globale

Durant les années 1980 et 1990, le BCP connaît une transformation notable :

• Élargissement du périmètre de la continuité : alors que les premières pratiques se focalisaient sur la protection des systèmes informatiques, la nécessité de maintenir l’ensemble des opérations commerciales s’impose rapidement.

• Standardisation et professionnalisation : l’élaboration de normes internationales, telles que l’ISO 17799 (introduite en 1995) a marqué une étape importante en structurant le management de la sécurité de l’information et en intégrant des exigences spécifiques en matière de continuité des opérations.

Ces phases de transformation illustrent comment les enseignements tirés des crises passées ont façonné l'approche moderne, intégrant à la fois des dimensions techniques et stratégiques, mais aussi humaines, pour mieux anticiper et réagir aux perturbations majeures d’un ensemble de systèmes complexes.

Composantes clés d'un PCA

Un plan de continuité des activités repose, au minimum, sur une structuration en trois grandes étapes, qui forment un cycle vertueux si elles sont respectées :

• L'analyse de vulnérabilité et l'évaluation des risques : comme toujours, la première phase consiste à identifier les menaces potentielles et à évaluer leur impact sur les fonctions de l'entreprise. Cette analyse permet de déterminer le niveau de criticité des activités et, surtout, de fixer des objectifs en termes de temps d'indisponibilité acceptable.

• Les mesures préventives : à partir de l'analyse, un plan de traitement des risques est élaboré. Ce plan détaille l'ensemble des actions à entreprendre pour maintenir l’organisation sous un seuil de vulnérabilité critique, notamment à travers des dispositifs de sauvegarde, des redondances et des solutions de sécurité renforcées, mais aussi un entrainement adapté du personnel.

• Le plan de rétablissement ou plan de survie : la dernière étape décrit précisément les procédures opérationnelles à activer en cas de crise. Elle vise à rétablir rapidement les fonctions essentielles, en mobilisant les ressources matérielles, humaines et techniques pour assurer une reprise progressive, voire immédiate, des activités.

Normes et prévention

L'évolution du PCA fut largement influencée par le développement de normes et de cadres de référence internationaux, spécialement créés pour les grandes entreprises et les institutions :

• ISO 22301 : publié pour la première fois en 2012, ce standard propose un cadre complet pour la gestion de la continuité des activités, en insistant sur l'importance de la redondance et de la préparation aux incidents, deux points clés de la résilience.

• Directives du Business Continuity Institute (BCI) : L'établissement de cet organisme en 1994 a contribué à professionnaliser la discipline, en proposant des lignes directrices et des formations spécifiques pour accompagner les organisations dans la mise en œuvre de leur PCA3.

• À noter qu’en suisse, l'autorité fédérale de surveillance des marchés financiers (FINMA) impose certaines exigences en matière de Business Continuity Management (BCM) notamment pour les acteurs des marchés financiers. Ces recommandations incluent des standards minimaux obligatoires, comme l'analyse d'impact sur les activités (Business Impact Analysis) et les tests de continuité, aussi nommés tests de résilience sur incident.

Ces cadres normatifs sont essentiels pour assurer une cohérence dans la démarche de continuité, et pour permettre aux grandes entreprises d'adopter des pratiques éprouvées au niveau international.

Pour les plus petites structures, qui n’auront pas les budgets nécessaires au strict respect de ces très exigeantes normes cadres, le DRP comme le PCA peuvent toujours être réduits et adaptés aux moyens disponibles, mais en aucun cas ignorés…

Perspectives

Actuellement, le paysage des risques est plus mouvant que jamais. Les entreprises doivent faire face à des menaces de plus en plus diversifiées, voire sophistiquées :

• Cybermenaces : les plus immédiates, l’augmentation massive des attaques informatiques pousse à intégrer des stratégies de cybersécurité adéquates dans le PCA.

• Changements climatiques et catastrophes naturelles : les événements climatiques extrêmes exigent une préparation renforcée pour garantir la continuité des opérations, notamment dans des secteurs essentiels comme l’énergie, la santé, les communications et les transports.

• Évolutions technologiques : la digitalisation croissante des processus et la dépendance aux technologies de l’information, mais aussi à l’électricité, imposent une veille constante et une adaptation régulière des plans de continuité.

Enfin, comme tous les plans d’urgence, pour rester pertinent et efficace, le PCA doit être régulièrement révisé, testé et mis à jour afin de répondre aux nouvelles menaces et d’intégrer les meilleures pratiques issues des retours d’expérience, des exercices, et des avancées technologiques, notamment.

Conclusion

Le Business Continuity Plan (BCP) est beaucoup plus qu’un simple dispositif de sauvegarde des systèmes informatiques : il incarne une stratégie globale de résilience organisationnelle de l’entreprise, véritable signature invisible de confiance.

L’ignorer, c’est prendre le risque d’une cessation brutale des activités, avec une date de retour à la normale inconnue, si retour à la normale il y a, car c’est dans les périodes de crise que la confiance réputationnelle d’une entreprise peut se renforcer, ou s’évanouir en quelques heures…