Ce qui se passe en l’absence d’un plan de continuité testé
La plupart des organisations disposent d’un plan de continuité des activités uniquement sur le papier. Beaucoup n’en ont qu’une version formelle, produite pour répondre à un audit de conformité : jamais testée, ne reflétant pas la réalité opérationnelle actuelle, et avec des procédures d’activation qui ne seraient probablement pas suivies en situation de crise réelle.
Lorsqu’une perturbation survient, l’absence d’objectifs validés de RTO et de RPO, des rôles de gestion de crise mal définis et des procédures de reprise informatique non testées entraînent des temps d’arrêt prolongés, des pertes financières qui s’accumulent heure par heure et un impact réputationnel durable, bien au-delà de l’incident lui-même.
Pour les organisations soumises à la circulaire FINMA 2023/1, au règlement DORA ou aux exigences de certification ISO 22301, un plan de continuité non testé constitue également un manquement réglementaire direct, avec des conséquences en matière d’audit et de supervision, indépendamment de la survenue d’un incident réel.
Périmètre des services
Ce que couvre le service de continuité des activités
Analyse d’impact sur l’activité (BIA)
Une campagne structurée d’analyse d’impact sur l’activité (BIA) visant à identifier et prioriser les processus métiers critiques, à quantifier l’impact financier et opérationnel d’une interruption sur des horizons temporels définis, et à définir pour chaque fonction critique les objectifs de durée maximale d’interruption acceptable (MTD), de temps de reprise (RTO) et de point de reprise des données (RPO).
Alignement réglementaire
Cartographie explicite des exigences de la norme ISO 22301, des obligations de résilience opérationnelle de la circulaire FINMA 2023/1 et des exigences de continuité ICT du règlement DORA, pour les entités financières concernées.
Profil de continuité des activités
Un profil structuré de continuité des activités document la posture de résilience de l’organisation à travers l’ensemble des actifs, systèmes et processus critiques, servant de document de référence continu pour la gestion de la continuité et les revues réglementaires.
Plan de continuité des activités (PCA)
Conception et élaboration du plan de continuité des activités complet : structure d’activation organisationnelle, procédures d’escalade, protocoles de communication de crise et stratégies de reprise documentées pour chaque processus critique.
Plan de reprise après sinistre (DRP)
DRP technique aligné avec le PCA, définissant des procédures de reprise étape par étape pour les systèmes IT, l’infrastructure et les données, avec des objectifs de RTO et RPO validés par niveau de criticité des systèmes.
Organisation de crise et exercices
Définition de la structure de gestion de crise, rôles des membres de la cellule, protocoles de communication et prise de décision, validée par des exercices de type tabletop et opérationnels. Pour un programme complet d’exercices de crise, voir également le service de gestion de crise.
Processus
De l’inventaire des actifs à une capacité de reprise testée
1 Périmètre et identification des actifs critiques
Cartographier les processus critiques de l’organisation, les systèmes, les dépendances en personnel et les relations avec les tiers.
2 Analyse d’impact sur l’activité
Quantifier l’impact financier, opérationnel, juridique et réputationnel d’une interruption sur des horizons temporels standardisés pour chaque fonction critique.
3 Élaboration de la stratégie
Concevoir des stratégies de reprise pour chaque fonction critique sur la base des résultats de la BIA. Orientation pour des compromis explicites coût-bénéfice entre rapidité de reprise et niveau d’investissement.
4. Documentation du PCA et du DRP
Produire des plans complets et structurés avec procédures d’activation, attribution claire des rôles, scripts de communication et étapes techniques de reprise.
5. Tests et validation
Réaliser des exercices de type tabletop, des tests de reprise IT et des simulations opérationnelles afin de valider l’efficacité des plans et d’identifier les axes d’amélioration avant qu’un événement réel ne survienne.
Résultats
Ce que vous recevez
- Profil de continuité des activités documentant l’ensemble de la posture de résilience organisationnelle
- Analyse d’impact sur l’activité complète, avec MTD, RTO et RPO par fonction critique
- Plan de continuité des activités, avec procédures d’activation, rôles et protocoles de communication
- Plan de reprise après sinistre, avec procédures techniques de reprise et objectifs RTO et RPO validés
- Rapport d’exercice, avec enseignements structurés et plan d’amélioration formel
Conforme et testé opérationnellement
Nos livrables PCA et DRP sont conforment aux exigences de contrôle réglementaire. Les clients soumis à la FINMA reçoivent une documentation structurée selon les exigences de la circulaire FINMA 2023/1. Les entités financières soumises à DORA reçoivent une documentation de résilience alignée sur les obligations de continuité ICT et des résultats des analyses d’impact des activités soumises à DORA. Tous les plans incluent un contrôle de version, des cycles de revue annuels définis et des dossiers de preuves structurés pour la présentation lors des audits externes.
Prochaine étape
Évaluez votre posture de continuité des activités
Nous proposons une consultation initiale permettant d'établir votre maturité en continuité d'activités afin d’évaluer l’état actuel de votre plan, d’identifier les écarts principaux et de proposer une approche pragmatique de mise en œuvre et de réalisation des tests. Cette consultation est généralement réalisée sous forme d’atelier structuré d’une demi-journée.