Pour gérer vos consentements :
Categories: CloudSécurité

Caroline Le Donche (Provadys) : Les PCA sont-ils vraiment efficaces ?

Au-delà des contraintes règlementaires, la mise en place d’un Plan de Continuité d’Activité (PCA) répond à un objectif purement opérationnel : il doit permettre à une entreprise de pouvoir faire face à tout évènement de nature à affecter le fonctionnement «normal» de ses activités critiques.

Aussi, le déclenchement d’un PCA survient uniquement dans des circonstances « extraordinaires » ou « exceptionnelles » ; circonstances pendant lesquelles les membres de la cellule de crise doivent avoir toute confiance dans les moyens qui sont mis à leur disposition.

Caroline Le Donche, consultante de Provadys

Plusieurs questions se posent alors : comment, dans ces circonstances, et plus largement à tout moment, maintenir ce niveau de confiance ? Quels sont les critères sur lesquels se reposer et qui permettent de l’évaluer ?

La maturité

La notion de « maturité » permet de répondre à ces questions. Or, il n’existe à ce jour aucune méthodologie efficace permettant d’évaluer la maturité d’un dispositif de continuité d’activité ; même si l’on peut en mesurer l’efficacité. Elle peut, en effet, être évaluée lors de tests ou lors d’un déclenchement (face à une situation particulière).

La maturité, quant à elle, relève plus de la capacité à garantir l’efficacité et la fiabilité des dispositifs de continuité.

En l’absence de modèle normalisé pour l’évaluation de la maturité des dispositifs de continuité d’activité, il est possible de s’inspirer du modèle CMMI (Capability Maturity Model Integration). Le CMMI est un modèle de référence qui définit un ensemble structuré de bonnes pratiques ainsi qu’une échelle de mesure de la maturité à cinq niveaux transposable de la manière suivante:

  • Niveau 1 : « Initial » / Initial – Le dispositif de continuité ne repose que sur les compétences et connaissances des collaborateurs.
  • Niveau 2 : « Piloté » / Managed – Les principales phases du dispositif de continuité sont implémentées et formalisées.
  • Niveau 3 : « Standardisé » / Defined – Le premier cycle ISO 22301 est effectué ; la culture de la continuité d’activité se développe.
  • Niveau 4 : « Quantifié » / Quantitatively managed – Un processus de MCO (Maintien en Condition Opérationnelle) est défini et formalisé ; une surveillance permanente est mise en place.
  • Niveau 5 : « Optimisé » / Optimizing – L’ensemble du dispositif de continuité d’activité (projet PCA et processus MCO) est piloté et fait l’objet d’une surveillance permanente.

Les critères de maturité

Une fois les niveaux de maturité définis, il est nécessaire de déterminer des critères de maturité pertinents qui nous permettront d’évaluer et de suivre la maturité du dispositif de continuité dans le temps.

Ces critères peuvent alors se définir selon des axes organisationnel (existence d’un budget, identification des acteurs et des rôles associés, etc.), méthodologique et opérationnel (réalisation et formalisation des phases essentielles du projet PCA, test des solutions de secours mises en place, etc.), et documentaire (réalisation et formalisation des principaux livrables PCA, intégration de la notion de continuité d’activité dans les kits d’accueil des nouveaux arrivants, etc).

La tableau de bord

Il est alors possible, via l’utilisation de questionnaires basés sur des questions fermées et des descriptions de situation, de juger la maturité des dispositifs de continuité, mais aussi de les modéliser graphiquement donnant ainsi la possibilité d’en suivre l’évolution dans le temps et d’alimenter un tableau de bord.

Ce tableau de bord permet de piloter, apprécier et faire progresser le niveau de maturité. La valorisation de la « maturité » renforcera la confiance dans le dispositif de continuité et impliquera davantage les différents acteurs pour la mise en œuvre d’un processus d’amélioration continue.


Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes

Recent Posts

Ce qui change avec la version 2024 du référentiel d’écoconception de services numériques

Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…

2 heures ago

Microsoft x Mistral AI : l’Autorité britannique de la concurrence renonce à enquêter

Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…

5 heures ago

MFA obligatoire sur Azure : ce que prépare Microsoft

À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…

9 heures ago

Informatique quantique : Pasqal vend un premier ordinateur en Arabie Saoudite

La pépite française de l'informatique quantique Pasqal va installer un ordinateur quantique de 200 qubits…

10 heures ago

Incident « sans précédent » chez Google Cloud : que s’est-il passé ?

Le fonds de pension australien UniSuper a vu son abonnement Google Cloud supprimé - et…

11 heures ago

GPT-4o : où, quand et pour qui ?

OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.

3 jours ago