« Plan de continuité d’activité » : pourquoi est-il important ?
Le système d’information d’un prestataire est un élément essentiel. Dans le cadre de l’externalisation de l’un de vos services, assurez-vous que votre partenaire possède un plan de continuité d’activité (BCP – Business Continuity Plan en anglais) en cas de menace informatique, problème de réseau, d’infrastructure, panne électrique, panne matérielle ou de catastrophe naturelle.
L’importance de mettre en place un PCA
Avec la dématérialisation des données, la sécurité de ces dernières est indéniablement devenue un enjeu majeur. Toute défaillance du système informatique de votre prestataire peut avoir des conséquences graves, pouvant dans certains cas mettre en danger l’activité de votre entreprise.
Votre prestataire a tout intérêt à avoir pensé à la survenue de ces risques, notamment avec une solution destinée à sauvegarder les données dont il dispose. Pour cela, il doit avoir mis en place un plan de Continuité d’Activité (PCA), qui inclut un plan de redressement et de rétablissement de sa mission. Ce plan doit être à jour, solide, testé en permanence et compréhensible. Ressources humaines et techniques font partie de l’équation.
Le PCA a donc pour mission de permettre à l’entreprise de limiter tous les impacts qui peuvent être causés par l’interruption de son activité. C’est un secret pour personne, dans l’univers de l’externalisation, où le système d’information compose le nerf central, une interruption d’activité peut rapidement survenir, avec des conséquences relativement lourdes pour la « victime » et surtout ses clients, autrement dit, vous !
Comprendre comment va être traité le risque d’indisponibilité
Interrogez votre prestataire en toute franchise quant à sa méthode pour réduire les risques d’indisponibilité :
- L’accepte-t-il quitte à ce que cela impacte son entreprise, ses clients et leur rentabilité respective ?
- A-t-il prévu d’arrêter ou de ne pas lancer sa prestation dans le cadre d’une menace potentiellement élevée ?
- Possède-t-il une alternative afin qu’il puisse transférer son activité ou se protéger (autres bureaux, assurance, etc.) ?
- Possède-t-il une marche à suivre bien établie qui permette de traiter le risque en amont, afin de réduire toute possibilité ?
- A-t-il mis en place un PCA (Plan de Continuité d’Activité) ou PRA (Plan de Retour à l’Activité) afin de limiter les impacts d’un quelconque incident ?
De quelles conséquences s’agit-il ?
- Financières : le temps, c’est de l’argent pour reprendre le vieil adage, aussi, en cas d’interruption d’activité, la facture peut s’élever à plusieurs millions d’euros dans les cas les plus complexes.
- Satisfaction client : l’image et la réputation d’une entreprise tiennent parfois à peu de choses… Un service interrompu peut nuire à la satisfaction des clients.
- En interne : employés, prestataires, direction, l’interruption d’activité n’est jamais sans conséquence sur le déroulement normal d’une organisation.
- Juridiques : en tant que prestataire, une entreprise doit légalement pouvoir respecter ses obligations envers son client, sous peine d’être pénalisé financièrement, sans parler de sa réputation.
Comprendre la mise en place d’un « Plan de continuité d’activité »
La continuité d’activité représente des enjeux importants pour le prestataire, aussi, il doit penser, organiser sa démarche, sans laisser aucune place à l’improvisation. S’il choisit de créer son Plan de continuité d’activité en interne, il devra pouvoir compter sur des salariés formés et compétents, capables de prendre en main cette démarche pointue et technique afin d’élaborer un plan pour gérer la perturbation avec un objectif de temps de récupération.
Tout commence par la mise en place de trois bases essentielles :
- Une cellule de crise,
- Des moyens,
- Des procédures à activer en cas d’incident afin d’assurer la continuité ou la reprise de l’activité
Le but de cet ensemble est de déterminer :
- Les enjeux, besoins, exigences quant à la disponibilité des données et de processus critiques,
- L’ordre d’importance des actifs et des informations de son entreprise,
- Les risques dont peut souffrir son système d’information
Il s’agira ensuite de décortiquer, d’analyser et d’exploiter les différents éléments suivants :
- Les fournisseurs clés : vérifier l’engagement contractuel, s’il possède un pool de fournisseurs relais, s’il est capable de réinternaliser son activité.
- Les sites de substitution : le prestataire doit avoir la possibilité de proposer un relayage vers un ou plusieurs sites de substitution, afin notamment de sauvegarde les données.
- Les ressources informatiques et télécoms : le prestataire doit avoir mis en place des procédures ainsi que des stratégies qui vont lui permettre de gérer ses ressources humaines et techniques en cas d’urgence.
- Les ressources humaines : le prestataire doit avoir mis en place des procédures RH afin d’assurer la continuité de service en cas de menace d’arrêt de son activité pour cause exceptionnelle.
- Des documents écrits : le prestataire doit être à même de fournir à son client des documents écrits qui explicitent clairement ses mesures appliquées en cas de problème.
Bon à savoir :
Votre prestataire doit également mettre en place des procédures de test pour s’assurer de leur efficacité durant une éventuelle panne.
Ces procédures doivent être constamment revues afin d’être à jour.
L’équipe dédiée à la continuité de l’activité doit, elle aussi, être formée et testée, mais également effectuer des simulations qui reposent sur le plan et les stratégies décidés.
Pour résumer
Dans le cadre d’une externalisation, l’entreprise cliente a tout intérêt à vérifier auprès du prestataire choisi si ce dernier a bien mis en place un Plan de continuité d’activité, car il en va de la pérennité, mais également de la rentabilité des deux parties.
Ce processus est certes long à mettre en place, demandant une maintenance permanente, il va permettre au prestataire d’offrir un système de prévention et de récupération de données lorsqu’une menace potentielle survient (informatique, climatique, etc.).
Le Plan de continuité d’activité sert à protéger tous les acteurs d’une externalisation, aussi, il doit être solide, testé et amélioré en permanence pour s’assurer qu’aucune faille identifiable ne subsiste dans un système sensible.
Leave a Reply
Want to join the discussion?Feel free to contribute!