Guide de bonnes

pratiques
Édition 2018
Le guide global des bonnes pratiques
en matière de continuité d’activité.

Management
du risque Communication

Gestion des
Gestion des ANALY installations
urgences SE
N
TIO
VALIDA

CONC

INTÉGRATION
Santé et Sécurité de
sécurité l’information
EPTIO

E
N

MM

SE
M
I

EN
PO

ΠUVRE
RA

IT G Sécurité
L

IQ
UE RO physique
Gestion ET GE EP
de crise S TI O N D Ressources
humaines

Cycle de vie de la gestion

de la continuité d’activité (GCA)
Améliorer la résilience organisationnelle
 Voici comment utiliser ces lignes directrices.
Chaque étape du cycle de vie de la gestion de la continuité d’activité est
une pratique professionnelle dotée de sa propre icône et de sa couleur et
dont le titre figure sur le côté droit de chaque page, pour aider le lecteur
à naviguer entre les sections.

PP1 - Politique et gestion du programme

PP2 - Intégration

PP3 - Analyse

PP4 - Conception

PP5 - Mise en œuvre

PP6 - Validation

Chaque pratique professionnelle contient les sections récurrentes

suivantes qui ont également leur propre icône.

Principes généraux

Concepts et hypothèses

Processus

Méthodes et techniques

Résultats et revues

2
 Icône conseils et astuces : ces conseils et astuces sont
donnés par des praticiens d’expérience.
Veuillez noter : Aucune question de l’examen menant à la
qualification CBCI ne portera sur les conseils et astuces.

DOCUMENT PROTÉGÉ PAR DROIT D’AUTEUR

VO I C I C O M M EN T UT I L I SER C E S L I GN E S DIRE C TRI CES

Copyright © The Business Continuity Institute/The BCI Forum Limited. Publié
en 2017. Tous droits réservés.

ISBN : 978 9 9932110 8 9

British National Library

Cette publication a été légalement déposée à la British National Library.

Aucune partie de cette publication ne peut être copiée, enregistrée dans un

système de récupération ou transmise sous quelque forme ou par quelque
moyen que ce soit, notamment par des moyens électroniques ou mécaniques,
par photocopie, par enregistrement ou d’une autre manière. Cette publication
imprimée ne peut être prêtée, revendue, louée ou cédée d’une autre manière
dans quelque reliure ou couverture que ce soit autre que celle dans laquelle
elle est publiée, sans le consentement préalable écrit du Business Continuity
Institute, obtenu aux coordonnées ci-après :

BCI Copyright
bci@[Link]
10-11 Southview Park, Marsack Street, Caversham, Berkshire, RG4 5AF, UK
[Link]

3
 Sommaire
Introduction 6
Remerciements 9
Glossaire 10

PP1 - Politique et gestion du programme 12

Établir la politique de continuité d’activité 14
Définir le domaine d’application du programme de continuité d’activité 17
Établir la gouvernance 19
Attribution des rôles et responsabilités 21
Programme de continuité d’activité 23

PP2 - Intégration 26
Comprendre et influencer la culture organisationnelle 28
Compétences et habiletés 31

PP3 - Analyse 36
Bilan d’impact sur l’activité (BIA) 38
BIA initial 44
BIA produits et services 45
BIA processus 46
BIA activités 48
Appréciation du risque et des menaces 50

Gestion des
urgences

Management
du risque Santé et
sécurité
Communication

4
 PP4 - Conception 54
Concevoir des solutions de continuité d’activité 56
Mesures d’atténuation des risques et des menaces 66

PP5 - Mise en œuvre 68

Structure de réponse 70
Élaborer et gérer les plans 76
Plans stratégiques 80
Plans tactiques 82
Plans opérationnels 84

PP6 - Validation 86
Élaborer un programme d’exercices 88
Élaborer un exercice 91
Maintenance 95
Revue 98

Sécurité de Sécurité
l’information physique
Gestion Ressources
de crise humaines

Gestion des
installations

5
 BCI Guide de bonnes pratiques Édition 2018

Introduction Guide de bonnes pratiques du Business

Continuity Institute – Édition 2018
Bienvenue dans le guide global exhaustif Qu’est-ce que la continuité d’activité?
de bonnes pratiques en matière de La continuité d’activité est le pivot de la construction et de
continuité d’activité. l’amélioration de la résilience des organisations. Il s’agit d’une
méthodologie éprouvée qu’une organisation doit adopter dans le
La continuité d’activité (CA) continue d’évoluer à mesure que sa cadre de son approche globale de management du risque et des
valeur est reconnue par un public plus large. En 2018, le monde menaces. La gestion de la continuité d’activité permet d’établir les
est toujours confronté à des changements socio-économiques et priorités d’une organisation et de trouver des solutions pour faire
géopolitiques. Les organisations devraient répondre et s’adapter face aux menaces perturbatrices. Cette compréhension favorise la
à des défis bien connus comme la prédominance croissante de la conception et la mise en œuvre de plans qui visent à protéger et
technologie et de l’Internet, de même qu’aux nouvelles menaces à poursuivre les activités de création de valeur d’une organisation
perturbatrices liées à la mondialisation du terrorisme et à en cas de perturbation. Un programme de continuité d’activité
l’augmentation rapide des menaces informatiques. Dans ce contexte efficace soutient les objectifs stratégiques de l’organisation et
exigeant, la continuité d’activité est de plus en plus pertinente. renforce de manière proactive la capacité de poursuivre les activités
L’adoption et l’acceptation plus larges de la norme internationale commerciales en cas de perturbation. Il comprend la détection des
de gestion de la continuité d’activité (ISO 22301:2012) par des risques et des menaces, la création de structures de réponse et
organisations du monde entier et la publication de normes connexes de plans pour faire face aux incidents et aux crises, et favorise la
comme les Lignes directrices pour le bilan d’impact sur l’activité validation et l’amélioration continue. Le programme est souple, ce
(BIA) (ISO/TS 22317:2015) témoignent de la demande continue en qui lui permet de s’adapter à l’évolution du contexte d’exploitation
conseils sur la continuité d’activité. La prise de conscience croissante interne et externe, et il fournit une valeur mesurable à l’organisation.
de l’importance d’améliorer la résilience organisationnelle renforce La continuité d’activité est pertinente et applicable à tous les secteurs
la valeur de la mise en place de capacités efficaces en continuité et à toutes les organisations, sans égard à leur taille, complexité, type
d’activité et est au cœur des objectifs du BCI. et emplacement.

À propos du BCI Qu’est-ce que le GBP du BCI?

Fondé en 1994, le BCI a défini un ensemble de pratiques qui Le Guide de bonnes pratiques (GBP) du BCI est devenu le guide
permettent à chaque personne de démontrer ses capacités mondial principal pour les professionnels de la continuité d’activité
individuelles en matière de gestion de la continuité d’activité. Ces depuis sa première publication en 2001. C’est le manuel de référence
pratiques professionnelles constituent les étapes du cycle de vie de de premier choix pour quiconque ayant besoin de se renseigner à
la gestion de la continuité d’activité et sont décrites dans le Guide de propos de la continuité d’activité dans le cadre de ses rôles et ses
bonnes pratiques du BCI. responsabilités en matière de résilience.

Le BCI est la principale association professionnelle au monde chargée Le cycle de vie de la gestion de la continuité d’activité fournit un
d’améliorer la résilience organisationnelle en renforçant la capacité cadre conçu pour structurer l’approche de la continuité d’activité.
de continuité d’activité et le perfectionnement professionnel de
Le GBP décrit non seulement ce que les praticiens devraient faire,
personnes réparties partout dans le monde.
mais il leur indique pourquoi et comment le faire. Dans ce guide, des
La vision du BCI est un monde où toutes les organisations, conseils, des astuces et des exemples ont été ajoutés pour mieux
collectivités et sociétés seront plus résilientes. situer le lecteur. La version PDF de ce guide comporte des liens
vers des sources externes qui permettent d’obtenir des conseils et
Les valeurs fondamentales du BCI sont le professionnalisme, la
ressources supplémentaires.
fiabilité et l’inclusion.
Le GBP constitue le fondement du programme de formation primé de
Le BCI repose sur le principe de la professionnalisation de la
classe mondiale du BCI. Il est dispensé par les partenaires du BCI et
pratique de la continuité d’activité et continue d’être la source de
par les instructeurs qu’il a approuvés.
renseignements fiables à propos de tous les aspects de la théorie et
de la pratique de la continuité d’activité pour les professionnels. Il Le GBP énonce le contenu de l’examen de certification du BCI (CBCI)
offre également un éventail de ressources en ligne au [Link]. menant à la qualification CBCI, reconnue mondialement.
org. Le BCI a révisé le Guide de bonnes pratiques dans le cadre de
La qualification CBCI est une porte d’entrée aux niveaux plus élevés
son processus d’amélioration continue et d’expansion soutenue de
d’adhésion au BCI. Les établissements d’enseignement supérieur,
ses connaissances afin de s’assurer qu’il demeure pertinent pour les
notamment les universités, utilisent le GBP dans le cadre des
professionnels partout dans le monde.
programmes de premier, deuxième et troisième cycle et dans le cadre
de la formation continue. Le GBP est reconnu, par les professionnels
œuvrant au sein d’organisations partout dans le monde, comme étant
les pratiques exemplaires en continuité d’activité.
6
 © The Business Continuity Institute, 2019

À qui s’adresse le GBP de BCI?

Le GBP ne s’adresse pas seulement aux personnes en quête de Le GBP du BCI s’appuie sur les exigences de la norme ISO pour
certification professionnelle. En tant que corpus de connaissances, définir les connaissances que les personnes devraient posséder
le GBP est utilisé comme une source d’information pour les concernant la manière d’aborder la gestion de la continuité
programmes de formation à la continuité d’activité et pour les d’activité et pour décrire les principales étapes de l’élaboration,
campagnes de sensibilisation à l’intention de toute personne de la mise en œuvre et de la gestion d’un programme de
qui a besoin de mieux comprendre le sujet. Le GBP est utile continuité d’activité couronné de succès. La connaissance et la
pour quiconque joue un rôle dans la continuité d’activité et la compréhension des six pratiques professionnelles au cœur du
résilience, y compris les personnes qui travaillent dans plusieurs GBP peuvent mener à une certification individuelle et à un titre
domaines : management du risque, sécurité de l’information, professionnel.
sécurité physique, gestion des urgences, gestion des installations,
Le GBP est élaboré par plusieurs des principaux experts reconnus
santé et sécurité et ressources humaines.
mondialement qui ont également contribué à l’élaboration de
normes nationales et internationales. Les publications sont
harmonisées et complémentaires. Elles visent deux objectifs
Quelle est la différence entre différents, mais elles constituent des éléments tout aussi
importants et essentiels de la boîte à outils des professionnels
le GBP du BCI et les normes?

I N TRO DU C T I ON
de la continuité d’activité et de la résilience. Le langage utilisé
La norme internationale de gestion de la continuité d’activité diffère légèrement, mais toutes les actions et tous les concepts
(ISO 22301:2012) établit les exigences relatives à un système de fondamentaux sont harmonisés. Les termes utilisés sont définis
management de la continuité d’activité pour les organisations. dans le glossaire du GBP; des termes supplémentaires sont fournis
Les organisations peuvent choisir de demander, à un organisme dans le glossaire du BCI et du Disaster Recovery Journal (DRJ),
de normalisation reconnu, la certification ISO pour son système accessibles sur le site Web du BCI. Les personnes qui souhaitent
de management de la continuité d’activité. se renseigner à propos de la continuité d’activité peuvent être
certaines d’avoir accès, par l’entremise du GBP, à des pratiques
reconnues à l’échelle internationale.

ANALY
SE
N
TIO
VALIDA

CONCE

INTÉGRATION
PTI
ON

E
MM

SE
M
I

EN
PO

ΠUVRE
RA

IT
OG
L

IQ
UE R
ET GE EP
S TI O N D

7
 BCI Guide de bonnes pratiques Édition 2018

Comment le GBP a-t-il été créé?

Le GBP a été créé en regroupant les connaissances partagées et la Cycle de vie de la gestion de la
vaste expérience de plus de soixante bénévoles de plus de douze pays, continuité d’activité : Construire la
représentant un vaste éventail de secteurs. Ce groupe diversifié, qui
comprend des membres et des non-membres du BCI, a formulé des
résilience organisationnelle.
observations sur la version 2013 du GBP, lesquelles ont constitué la
base des mises à jour et des ajouts à l’origine de cette version.

Quels sont les avantages du GBP? ANALY

SE
Les personnes qui souhaitent obtenir un titre international reconnu

N
TIO
en matière de continuité d’activité et devenir membres certifiés du

VALIDA
BCI doivent démontrer leurs compétences dans les six pratiques
professionnelles. L’examen de certification du BCI (CBCI) teste la
connaissance de la matière du Guide de bonnes pratiques pour ces six

CO
pratiques professionnelles.
INTÉGRATION

NCE
Les candidats qui réussissent l’examen se voient accorder une

PTI
ON

E
attestation de réussite CBCI, ce qui signifie qu’ils connaissent les

MM
SE

M
meilleures pratiques en continuité d’activité et qu’ils deviendront

I
EN
PO ΠUVRE

RA
membres du Business Continuity Institute. La certification CBCI IT
n’est que le début. Les personnes sont encouragées à progresser L IQ O G
UE PR
vers des catégories de certification supérieures pour témoigner de ET GE E
leurs compétences techniques et professionnelles. Les employeurs S TI O N D
demandent de plus en plus les titres professionnels du BCI pour les
personnes qui cherchent une promotion ou qui souhaitent se lancer
dans le secteur ou changer de carrière dans le secteur. Il est prouvé Pratiques professionnelles 2018
que les qualifications CBCI, DBCI, AMBCI, MBCI, AFBCI et FBCI du Pratiques de gestion
BCI se traduisent par des salaires plus élevés et des perspectives de
PP1 - Politique et gestion du programme
carrière améliorées.
PP2 - Intégration
Les organisations capables de démontrer la compétence de leurs
employés dans des rôles de continuité d’activité bénéficient d’une
Pratiques techniques
meilleure réputation et, dans certains secteurs, peuvent se conformer
aux exigences légales et réglementaires. PP3 - Analyse
PP4 - Conception
Avoir recours à ce Guide de bonnes pratiques et embaucher des
personnes compétentes pour gérer et mettre en œuvre la continuité PP5 - Mise en œuvre
d’activité permet aux organisations d’être mieux protégées contre les PP6 - Validation
perturbations et mieux préparées à celles-ci.

Qu’est-ce qui a changé depuis

le GBP 2013?
L’édition 2018 du GBP reflète l’évolution constante de la gestion de la L’idée dominante de cette version du GBP s’est transformée à
continuité d’activité en tant que discipline. mesure que les pratiques en matière de continuité d’activité se sont
établies et qu’un plus grand nombre d’organisations se sont dotées
Cette version révisée conserve les six pratiques professionnelles qui
de programmes intégrés. L’édition 2018 donne des conseils aux
constituent les étapes du cycle de vie de la gestion de la continuité
professionnels de la continuité d’activité qui examinent ou révisent
d’activité et qui sont au cœur des bonnes pratiques. Les six pratiques
un programme existant; elle est aussi pertinente pour ceux qui
professionnelles sont subdivisées en deux pratiques de gestion et en
lancent un nouveau programme de continuité.
quatre pratiques techniques.
Plusieurs autres modifications ont été apportées à l’édition 2018 pour
aider le lecteur à comprendre et à naviguer. Ce sont notamment les
suivantes :

8
 © The Business Continuity Institute, 2019

• Une importance plus grande est accordée au moment où les

professionnels de la continuité d’activité peuvent et devraient Remerciements
collaborer avec les professionnels d’autres domaines de gestion
Le Guide de bonnes pratiques 2018 est une version révisée de
pour construire des organisations plus résilientes, et à la manière
la version de 2013 et prend appui sur les versions antérieures
dont ils le font.
de 2010, 2008, 2007, 2005 et 2001. Les objectifs sont les
• Les références aux chaînes d’approvisionnement et aux suivants :
prestataires de services externalisés sont mentionnées dans ce
• Reconnaître les changements pertinents dans le domaine
guide et ne constituent plus une section distincte.
de la gestion de la continuité d’activité.
• Des précisions sont données concernant l’appréciation du risque
• S’assurer que les bonnes pratiques globales du BCI restent
et sur la manière dont le management du risque est liée à la
harmonisées avec les normes internationales pertinentes.
continuité d’activité.
• S’assurer que le GBP demeure pertinent sur le plan
• Dans les directives, le nombre de renvois aux autres étapes du
international.
cycle de vie, aux autres publications du BCI et aux normes ISO
est augmenté. Le BCI souhaite remercier les personnes suivantes pour leur
contribution à ce projet :
• Des renvois à des sources d’information supplémentaires pour
approfondir les lectures et les conseils. Chefs des groupes de travail :
Chris Oliver FBCI, Lynda Vongyer AFBCI, Brian Zawada FBCI,
• De nombreux exemples, astuces et conseils sont partagés par
Mohan Menon AFBCI, Matthias Rosenberg FBCI et
les professionnels du secteur pour mieux comprendre le contexte
Kenny Seow MBCI.
des concepts présentés à chaque étape du cycle de vie.
Bénévoles :
Pour refléter l’évolution du domaine de la continuité d’activité,
Alberto Mattia MBCI, Anton Wroblewski MBCI, Brigitte Theuma
la terminologie utilisée dans l’édition 2018 a été soigneusement

I N TRO DU C T I ON
MBCI, Charlie Maclean-Bristol FBCI, Des O’Callaghan FBCI, Ian
étudiée et, dans la plupart des cas, le BCI a adopté les termes et
Charters FBCI, John Worthington, Marc Decaffmeyer MBCI,
définitions des normes ISO. Par exemple, « activités prioritaires »
Mel Gosling FBCI, Nathaniel Forbes MBCI, Norman Powell
remplace « activités les plus urgentes », « activités critiques », «
MBCI, Rudy Muls MBCI, Malcolm Brooke, Gianna Detoni FBCI,
activités principales » et « activités importantes ». Ce changement
Alex van Os de Man MBCI, David Window MBCI, Iain Taylor
a été effectué par souci de cohérence avec les spécifications
Hon FBCI, James Royds Hon FBCI, Jim Burtles Hon FBCI, Kevin
techniques internationales relatives au bilan d’impact sur l’activité
Shaughnessy MBCI, Michael Crooymans MBCI, Saul Midler
(ISO/TS 22317:2015).
FBCI, Malin Lundkvist MBCI, Rina Bhakta, Chris Green Hon
Dans d’autres cas, en l’absence d’une définition équivalente dans FBCI, Jon Castle AMBCI, Paul Breed MBCI, Frederik Linde CBCI,
les normes ISO, l’édition de 2018 propose sa propre définition par Hassan Mashhadi, Shane McMahon AMBCI, Zech Wong MBCI,
un souci de clarté et d’amélioration de la compréhension. Adam Barrett MBCI, Ron Miller MBCI, Chris Bakowski AFBCI,
Par exemple : Wasim Malik AFBCI, Tim Rippon MBCI, Nalin Wijetilleke AFBCI,
Tim Janes Hon FBCI, David Parsons Hon FBCI, Matthew Coffey
• Le terme « continuité » est utilisé partout dans l’édition de 2018
AFBCI, Brendan Jones MBCI, David Porter AMBCI, Henri Haenni
du GBP et devrait être interprété comme un terme collectif
MBCI, Julie Goddard MBCI, Louise Perkins, Rebecca Robinson
comprenant la réponse, le rétablissement et la reprise des
AMBCI, Reginald Atta-Kesson MBCI, Nashikta Authar AMBCI,
activités touchées par la perturbation.
Heather Merchan MBCI, David Danher AFBCI, Margaret Millett
• Le bilan d’impact sur l’activité décrit à l’étape « analyse » du MBCI, Kimberly Hirsch MBCI, Raymond Ee MBCI, Paul Trebilcock
cycle de vie de la gestion de la continuité d’activité énonce FBCI, Toby Marriner MBCI et Robert Grosso Ciponte MBCI.
les exigences en matière de continuité d’activité et donne des
L’équipe de rédaction du GBP 2018 du bureau central
renseignements qui permettent de trouver les solutions de
du BCI:
continuité d’activité les plus appropriées.
Deborah Higgins FBCI – rédactrice en chef
• L’utilisation antérieure de l’expression « stratégies de continuité Lesley Grimes FBCI – rédactrice technique adjointe
d’activité » à l’étape « conception » du cycle de vie de la gestion Anne Greenish – rédactrice adjointe
de la continuité d’activité a créé une certaine confusion avec les
Des remerciements particuliers à Tim Janes Hon FBCI pour son
stratégies sur le plan organisationnel. Par conséquent, l’expression
apport et ses conseils supplémentaires.
« solutions de continuité d’activité » est adoptée dans la version
2018 du GBP. La reproduction d’extraits des normes ISO 22301:2012 et ISO/
TS 22317:2015 a été autorisée par BSI. On peut se procurer
• Les exigences en matière de continuité d’activité sont définies
les normes britanniques en format PDF ou papier auprès du
comme suit : délais, ressources et capacités nécessaires pour
magasin en ligne de BSI ([Link]/Shop) ou en
continuer à fournir les produits, services, processus et activités
format papier auprès du service à la clientèle de BSI :
prioritaires à la suite d’une perturbation.
Tél. : +44 (0)20 8996 9001;
• Dans cette édition, on fait une distinction nette entre la gestion Courrier électronique : cservices@[Link].
des incidents et des crises et les niveaux de réponse et de
Les avantages réservés aux membres du BCI comprennent un
capacité requis. Ce concept est présenté à l’étape de politique
rabais sur diverses normes auxquelles on peut accéder par
et gestion de programme, traité en détail à l’étape de la mise
l’entremise du site Web du BCI.
en œuvre et mentionné dans l’ensemble du document.
9
 BCI Guide de bonnes pratiques Édition 2018

Glossaire

Terme Définition Source

Une ou plusieurs tâches entreprises par une organisation à l’appui d’un ou de plusieurs
Activité ou activités GBP 2018
produits et services.
Activités auxquelles la priorité doit être donnée à la suite d'un incident afin d'en atténuer
Activités prioritaires ISO 22300 : 2012
les impacts.
Amélioration continue Activité récurrente visant à améliorer les performances. ISO 22301:2012
L’analyse est la pratique professionnelle dans le cycle de vie de la gestion de la continuité
Analyse (PP3) d’activité qui passe en revue et qui évalue une organisation selon ses objectifs, son GBP 2018
fonctionnement et les contraintes de son environnement.
Appréciation du risque Ensemble du processus d'identification, d'analyse et d'évaluation du risque. ISO/IEC Guide 73
Processus systématique, indépendant et documenté permettant d'obtenir des preuves
Audit d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les ISO 22301:2012
critères d'audit sont satisfaits.
Bilan d’impact sur l’activité Processus d'analyse des activités et de l'effet qu'une perturbation de l'activité peut avoir
ISO 22300:2012
(BIA) sur elles.
Aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les
Compétence ISO 22301:2012
résultats escomptés.
Pratique professionnelle du cycle de vie de la gestion de la continuité d’activité qui
Conception (PP4) permet de trouver et de choisir les solutions qui définissent la manière dont la continuité GBP 2018
sera assurée en cas d’incident.
Capacité de l'organisation à poursuivre, après un incident perturbateur, la livraison de
Continuité d’activité (CA) ISO 22300:2012
produits ou la fourniture de services à des niveaux prédéfinis acceptables.
Situation associée à un niveau d'incertitude élevé qui perturbe les principales activités et/
Crise ISO 22300:2012
ou nuit à la crédibilité d'une organisation et nécessite une action urgente.
Les valeurs, attitudes et comportements d’une organisation qui contribuent à créer
Culture organisationnelle ISO 22316 : 2017
l’environnement social et psychologique unique dans lequel elle exerce ses activités.
Cycle de vie de la gestion de la Le cycle continu d’activités du programme de continuité d’activité qui améliore la
GBP 2013
continuité d’activité (GCA) résilience organisationnelle.
Acte consistant à déclarer que les dispositions en matière de continuité d'activité d'une
Déclenchement organisation doivent être mises en œuvre afin de poursuivre la livraison de produits clés ISO 22301:2012
ou la prestation de services clés.
Personne ou groupe de personnes qui dirige et contrôle une organisation au plus haut
Direction ISO 22301 :2012
niveau.
Durée maximale Temps nécessaire pour que les impacts défavorables pouvant résulter de la non-fourniture
d’interruption acceptable d’un produit/service ou de la non-réalisation d’une activité, deviennent inacceptables. ISO 22301:2012
(DMIA) Voir aussi DMPT.
Temps nécessaire pour que les impacts défavorables pouvant résulter de la non-fourniture
Durée maximale tolérable
d’un produit/service ou de la non-réalisation d’une activité, deviennent inacceptables. ISO 22301:2012
de perturbation (DMTP)
Voir aussi DMIA.
Processus visant à se former, évaluer, mettre en pratique et améliorer les performances au
Exercice ISO 22301:2012
sein d'une organisation.
Exigences en matière de Délais, ressources et capacités nécessaires pour continuer de fournir les produits, services,
GBP 2018
continuité d’activité processus et activités prioritaires à la suite d’une perturbation.
Processus de gestion holistique qui identifie les menaces potentielles pour une
organisation ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent
Gestion de la continuité avoir sur les opérations liées à l'activité de l'organisation, et qui fournit un cadre pour
ISO 22301:2012
d’activité construire la résilience de l'organisation avec une capacité de réponse efficace préservant
les intérêts de ses principales parties intéressées, sa réputation, sa marque et ses activités
productrices de valeur.
Situation qui peut être, ou conduire à, une perturbation, une perte, une urgence ou
Incident ISO 22300:2012
une crise.
Pratique professionnelle qui définit la manière d’intégrer l’ensemble des connaissances et
Intégration (PP2) GBP 2018
des pratiques de la continuité d’activité dans les activités courantes de l’organisation.
Management du risque Activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque. ISO/IEC Guide 73

10
 © The Business Continuity Institute, 2019

Term Definition Source

Cause potentielle d'un incident indésirable susceptible de porter préjudice à des
Menace ISO 22300 :2012
individus, à un système ou une organisation, à l'environnement ou à la communauté.
Pratique professionnelle du cycle de vie de la gestion de la continuité d’activité qui
met en œuvre les solutions convenues à l’étape de la conception. La mise en œuvre
Mise en œuvre (PP5) GBP 2018
comprend également l’élaboration de plans de continuité d’activité et d’une structure de
réponse.
Objectif de délai de Durée après un incident durant laquelle un produit ou un service doit être rétabli, ou une
ISO 22301 : 2012
rétablissement (RTO) activité doit être rétablie, ou des ressources doivent être rétablies.
Objectif minimal de
Niveau minimal de services et/ou de produits acceptable par l'organisation pour
continuité d’activité ISO 22301 :2012
atteindre ses objectifs métier pendant une période de perturbation.
(OMCA)
Personne ou groupe de personnes ayant leur propre structure fonctionnelle avec des
Organisation ISO 22301 : 2012
responsabilités, autorités et relations en vue d'atteindre ses objectifs.
Personne ou organisation qui peut avoir une incidence sur, être affectée ou se sentir
Partie intéressée ISO 22301:2012
affectée par une décision ou une activité.
Personnel Personnes travaillant pour l'organisation et sous le contrôle de celle-ci. ISO 22301 : 2012
Procédures documentées servant de guide aux organisations pour répondre, rétablir,
Plan de continuité
reprendre et retrouver un niveau de fonctionnement prédéfini à la suite d'une ISO 22301:2012
d’activité (PCA)
perturbation.
Point de récupération Point à partir duquel les informations utilisées par une activité doivent être restaurées
ISO 22301 : 2012
des données (RPO) afin de permettre son fonctionnement au rétablissement.

G L O SSAI RE
Intentions et orientations d'une organisation, telles qu'elles sont officiellement
Politique ISO 22301 : 2012
formulées par sa direction.
La politique et gestion du programme est la pratique professionnelle qui permet d’établir
la politique de l’organisation en matière de continuité d’activité. Elle définit la manière
dont cette politique doit être mise en œuvre, aux termes d’un cycle continu d’activités
Politique et gestion du dans le cadre d’un programme de continuité d’activité.
GBP 2018
programme (PP1) La politique et gestion du programme est la pratique professionnelle qui permet
d’élaborer la politique de l’organisation en matière de continuité d’activité. Elle définit
la manière dont cette politique doit être mise en œuvre, par le biais d’un cycle continu
d’activités dans le cadre d’un programme de continuité d’activité.
Ensemble d'activités corrélées ou interactives qui transforment des éléments d'entrée en
Processus ISO 22301 : 2012
éléments de sortie.
Résultats fournis par une organisation au bénéfice de ses clients, ses destinataires et les
Produits et services ISO 22301 : 2012
parties intéressées.
Processus continu de management et de gouvernance soutenu par la Direction et doté
Programme de
de ressources appropriées pour mettre en œuvre et maintenir le management de la ISO 22301:2012
continuité d’activité
continuité d'activité.
Résilience
Capacité d’une organisation de répondre et s'adapter à un environnement dynamique. ISO 22316 : 2017
organisationnelle
Ensemble des biens, du personnel, des compétences, des informations, de la technologie
(y compris l'usine et ses équipements), des locaux et des fournitures et informations
Ressources ISO 22301 :2012
(qu'elles soient électroniques ou non) dont doit disposer une organisation, au moment
requis, pour fonctionner et atteindre son objectif.
Risque Effet de l'incertitude sur l'atteinte des objectifs. ISO/IEC Guide 73
Système de
management de la Partie du système de management global qui établit, met en œuvre, opère, contrôle,
ISO 22301:2012
continuité d’activité révise, maintient et améliore la continuité d'activité.
(SMCA)
Test Exercice visant à obtenir un résultat positif/négatif attendu et mesurable ISO 22300 :2012
Pratique professionnelle du cycle de vie de la gestion de la continuité d’activité qui
confirme que le programme de continuité d’activité atteint les objectifs définis dans le
Validation (PP6) GBP 2018
cadre de la politique et que les plans et procédures en place sont efficaces. La validation
comprend les exercices, la maintenance et les revues.

11
 BCI Guide de bonnes pratiques Édition 2018

ANALY
SE
N
TIO
VALIDA

CONC

INTÉGRATION
EPTIO

E
MM
N

SE
M
I

EN
PO

LIT
RA

ΠUVRE
IQ
U ROG
E ET
GESTION D UP

12
 © 2019 The Business Continuity Institute

Pratiques professionnelles du BCI

PP1
Politique et gestion du programme

P P2 - EM B ED DI NG B U SI N ESS C O N TINU I TY
La politique et gestion du programme est la pratique professionnelle qui permet d’élaborer
la politique de l’organisation en matière de continuité d’activité. Elle définit la manière dont
cette politique doit être mise en œuvre, par le biais d’un cycle continu d’activités dans le
cadre d’un programme de continuité d’activité.

Cette étape du cycle de vie de la gestion de la continuité d’activité nécessite l’action de la

Direction, son soutien et son engagement à mettre en place, rédiger et passer en revue la
politique en matière de continuité d’activité et le programme utilisé pour la mettre en œuvre.

13
 BCI Guide de bonnes pratiques Édition 2018

Introduction
La continuité d’activité est un domaine clé de la gestion Ces activités sont exercées conformément au cycle de vie de la
qui renforce et améliore la résilience des organisations. Un gestion de la continuité d’activité.
programme de continuité d’activité efficace est essentiel pour
Bien que le programme de continuité d’activité soit mis en
toute organisation qui cherche à développer et à parfaire sa
œuvre et intégré aux activités courantes, il est important pour
résilience.
une organisation d’avoir la capacité de gérer un incident ou
La politique de continuité d’activité est le document clé qui une crise. Si une telle capacité n’est pas en place au moment
définit l’objectif, le contexte, le domaine d’application et la de la mise en œuvre initiale d’un programme de continuité
gouvernance du programme de continuité d’activité. d’activité, une structure et un plan provisoires devraient
être mis en place afin de s’assurer que l’organisation puisse
Le programme de continuité d’activité est un cycle continu
répondre en cas d’incident.
d’activités qui met en œuvre la politique.

Dans une organisation complexe ou de grande taille, où l’élaboration d’un programme de continuité d’activité complet peut
prendre plusieurs mois, une structure et un plan de réponse provisoires peuvent constituer une mesure temporaire raisonnable.
Il faudra peut-être effectuer un BIA initial afin d’établir les grandes priorités organisationnelles, de produire un plan de continuité
d’activité au niveau stratégique et de mener un bref exercice de discussion. Ces mesures provisoires peuvent ensuite être examinées et
développées dans le cadre du programme de continuité d’activité complet.

Établir la politique de continuité d’activité

La politique énonce les intentions et les orientations d’une • La manière dont l’organisation abordera la continuité d’activité et
organisation, telles qu’elles sont officiellement formulées par sa dont le programme sera structuré et soutenu par des ressources
Direction. (Source : ISO 22301 :2012) devrait être définie dans la politique.

La politique de continuité d’activité définit les limites et les • Pour fournir une gouvernance et un leadership efficaces, la Direction
exigences du programme de continuité d’activité et indique les devrait approuver et soutenir la politique.
raisons pour lesquelles il est mis en œuvre. Elle définit les principes
directeurs qui guident l’organisation et selon lesquels elle évalue sa • La politique devrait indiquer de quelle manière elle soutient les
performance. Elle définit également la manière dont l’organisation objectifs stratégiques de l’organisation et les autres politiques
devrait construire et maintenir le programme afin de continuer à pertinentes.
fournir des produits et services en cas d’incident.
• La politique devrait être adaptée à la taille, à la complexité et au
type de l’organisation et harmonisée avec la culture et le contexte
d’exploitation de celle-ci.
Principes généraux
• La politique devrait énoncer toutes les normes ou toutes les
La politique de continuité d’activité fournit les principes directeurs directives utilisées comme référence pour le programme de
qui guident la conception et la construction du programme de continuité d’activité.
continuité d’activité. La politique sert d’énoncé pour communiquer
les principes de l’organisation aux parties intéressées. Comme • La politique devrait être communiquée et mise à la disposition de
son but principal est de communiquer, elle doit être courte, claire, toutes les parties intéressées.
précise et directe.

Les principes généraux ci-après devraient être pris en compte

au moment de créer ou de passer en revue une politique de Une politique longue et compliquée constituera un
continuité d’activité : obstacle à la communication efficace et à l’intégration
de la continuité d’activité. La politique doit se concentrer sur ce
• L’orientation stratégique à partir de laquelle le programme de que l’organisation fera, et non sur le « comment ».
continuité d’activité sera mis en œuvre devrait être énoncée dans
la politique.

14
 © The Business Continuity Institute, 2019

Concepts et hypothèses Méthodes et techniques

• Après la création ou la revue de la politique, un Les méthodes et les techniques suivantes devraient être prises en
programme d’activités en continu doit être établi compte au moment d’établir la politique de continuité d’activité :
pour instaurer la politique.
• Contrôler la diffusion de la politique en s’assurant que la
• S’il y a lieu, le professionnel de la continuité d’activité version diffusée est la bonne.
doit travailler avec les personnes qui, dans l’organisation,
sont chargées de créer des politiques, si approprié. • Utiliser un modèle ou une politique existante
(pour autant qu’il en existe dans l’organisation).

PP1 - PO LI T I Q UE E T G EST I ON DU PROG RA M M E

L’utilisation de la méthodologie de gestion de
projet permet à l’organisation de mettre en
place et de maintenir une gestion efficace de la continuité
d’activité. Il est également important d’adopter une
méthode adaptée à l’organisation. Si une méthode existe
Processus déjà dans l’organisation, il est conseillé de l’adopter.

1.
Les étapes Convenir de la
nécessaires à définition et des
l’élaboration d’une objectifs de
politique de continuité la continuité
d’activité efficace sont d’activité au sein de 3.
les suivantes : l’organisation Définir les normes ou
2. les lignes directrices qui
Convenir du domaine serviront de référence pour
d’application du le programme de continuité
programme de d’activité de l’organisation
continuité d’activité et convenir de ces normes
ou lignes directrices

6.
Examiner l’ébauche de la
politique en tenant compte des
4.
normes et méthodes actuelles 5. Effectuer une analyse
Rédiger la nouvelle des lacunes entre la
de l’organisation relatives
politique ou la politique actuelle de
aux domaines de gestion
politique révisée l’organisation et toute
connexes. Repérer les doublons
nouvelle exigence, le
et rechercher les occasions de
cas échéant
collaboration, s’il y a lieu

7. 8.
Diffuser l’ébauche Modifier l’ébauche 10.
de la politique à des de la politique, au 9. S’assurer que la
fins de consultation besoin, à partir des Faciliter politique approuvée
auprès de la Direction commentaires recueillis l’approbation et est communiquée
et des autres parties dans le cadre de la la validation de à toutes les parties
intéressées. consultation. la politique par la intéressées
Direction.

15
 BCI Guide de bonnes pratiques Édition 2018

Résultats et revues
La politique de continuité d’activité doit comporter les La politique de continuité d’activité doit être passée en revue
éléments suivants : régulièrement, à des intervalles préalablement convenus, ou à la
suite de changements significatifs, notamment les suivants :
• Une définition de la continuité d’activité à utiliser dans
l’organisation. • Un changement dans l’approche de l’organisation vis-à-vis du risque
pouvant être provoqué par un incident ou un changement.
• Un énoncé de gouvernance et d’engagement envers la politique.
• Un changement dans la conjoncture du marché.
• Une définition des objectifs et du domaine d’application du
programme de continuité d’activité. • Une acquisition, une fusion ou une cession.

• Les rôles et responsabilités dans le cadre du programme de • Une modification des produits ou services
continuité d’activité, y compris la capacité de réponse aux (y compris ceux qui sont externalisés).
incidents.
• Un changement dans les exigences légales ou réglementaires.
• Un renvoi aux politiques, normes et exigences légales et
réglementaires applicables.
Les modifications ci-dessus peuvent mener à une revue à toutes
• Une liste des parties intéressées. les étapes du cycle de vie de la gestion de la continuité d’activité.

• Les méthodes et la fréquence convenues aux fins de mesure et Durant la revue ou l’audit d’une politique de continuité d’activité, les
de revue de toutes les étapes du cycle de vie de la continuité éléments ci-après devraient être démontrés :
d’activité.
• La Direction s’est assurée que la politique est communiquée dans
• Les méthodes convenues d’approbation et de communication de toute l’organisation.
la politique et de toutes les activités du programme.
• La politique est efficace.

• La politique indique clairement les résultats mesurables du

programme de continuité d’activité.

• La Direction s’engage de façon claire à remplir toutes les exigences

internes et externes applicables dans le domaine d’application du
programme.

• Il existe un engagement clair, continu et documenté en faveur de la

continuité d’activité et de l’amélioration continue.

• Des occasions d’adaptation au changement peuvent être décelées.

16
 © The Business Continuity Institute, 2019

Définir le domaine d’application du programme

de continuité d’activité
La politique de continuité d’activité doit définir clairement le Concepts et hypothèses
domaine d’application du programme de continuité d’activité.
Pour définir le domaine d’application, il faut prendre en compte les • Le domaine d’application du programme de continuité
produits et services de l’organisation à exclure ou à inclure dans d’activité devrait être établi avant de procéder à l’analyse, à
le programme. L’étape de l’analyse devrait permettre d’énoncer la conception, à la mise en œuvre et à la validation du cycle
les exigences en matière de continuité d’activité et peut aider à de vie de la gestion de la continuité d’activité et doit être
modifier le domaine d’application du programme. passé en revue à des intervalles préalablement convenus.

• Le domaine d’application est généralement défini par rapport

PP1 - PO LI T I Q UE E T G EST I ON DU PROG RA M M E

aux produits et services, mais la localisation peut également
Principes généraux être utilisée pour limiter le domaine d’application, ce qui
permet au programme d’inclure ou d’exclure certains lieux
Les principes généraux suivants devraient être pris en compte et sites.
au moment d’établir le domaine d’application du programme
de continuité d’activité dans le cadre de la mise en œuvre de la • Il peut arriver qu’une organisation décide de commencer
politique de continuité d’activité : la mise en œuvre initiale du programme de continuité
d’activité sur la base d’une priorité convenue pour un produit
• La définition du domaine d’application du programme permet ou un service donné, par exemple en raison d’une exigence
de bien comprendre les domaines de l’organisation qui devraient réglementaire, d’une demande du client, d’une certification
être inclus et ceux qui devraient être exclus. Elle fait en sorte que par rapport à une norme ou d’un résultat d’audit. Dans ce cas,
le programme de continuité d’activité et les activités associées l’ensemble de l’organisation devra inclure toutes les activités
soient axés sur les priorités de l’organisation et garantit que liées à ce produit ou service dans le domaine d’application.
le programme utilise au mieux les ressources disponibles, par
exemple le budget alloué. • Lorsqu’un fournisseur externe participe à la livraison d’un
produit ou d’un service visé par le programme, ce fournisseur
• Il est essentiel de bien comprendre la stratégie, les objectifs, la et ses chaînes d’approvisionnement devraient également
culture, le contexte d’exploitation et l’approche en matière de être inclus. Cela s’applique également aux technologies de
risque de l’organisation pour évaluer le domaine d’application l’information et de la communication (TIC) et aux ressources.
du programme. À cette étape, l’implication en amont des autres
services ou professionnels concernés, comme la gouvernance • Au moment d’établir le domaine d’application du programme,
d’entreprise, les risques d’entreprise et la sécurité, est importante il importe de prendre en compte l’ampleur maximale des
et devrait également permettre d’éviter les chevauchements dommages, pertes ou perturbations qui pourrait affecter
ou les conflits. Cette vision globale de l’organisation et la l’organisation. Il est recommandé d’établir une capacité de
collaboration avec d’autres personnes à cette étape seront gestion de crise et que celle-ci puisse être mobilisée en cas de
essentielles à la réussite de la mise en œuvre de la politique et du perturbation dépassant ce domaine d’application.
programme de continuité d’activité et à la résilience globale de
l’organisation.

• Compréhension des activités externalisées et des fournisseurs de

produits et services.

• Compréhension du programme de continuité d’activité en tant

que processus continu. Le programme peut être mis en œuvre par
étapes en se concentrant sur certaines parties de l’organisation
et, par la suite, continuer avec d’autres parties. Cette approche de
mise en œuvre par étapes a l’avantage de réduire la complexité,
les coûts et l’ampleur. Le fait de limiter le domaine d’application
initial du programme de continuité d’activité permet d’approcher
la mise en œuvre par étapes et facilite le management du risque à
travers l’organisation.

17
 BCI Guide de bonnes pratiques Édition 2018

Processus
4.
2. Examiner les exigences
Définir et documenter des politiques connexes
avec suffisamment de comme celles en
Le processus qui détail les produits et matière de sécurité
permet d’établir le services visés. de l’information et de
domaine d’application santé et sécurité.
du programme de
continuité d’activité 3.
est le suivant :
1. Examiner les exigences relatives
Mettre en place un à la livraison des produits et services
groupe ou une équipe de de l’organisation et aux activités connexes
pilotage qui doit superviser en tenant compte de la stratégie, des
et conseiller, de même que objectifs, de la culture et des contraintes
faire des recommandations légales et réglementaires de l’organisation
à la Direction. (y compris les produits, services et
activités fournis par des prestataires
de services externalisés, le cas
échéant).

Les produits et services sont définis comme étant des « résultats fournis par une organisation au bénéfice de ses clients, ses destinataires
et les parties intéressées (par exemple des articles manufacturés, une assurance automobile et des soins infirmiers communautaires) ».
(Source : ISO 22301 :2012)

Ci-après, des exemples de produits et services :

produit ou gamme de assurance collecte des déchets (pour paie; logistique (pour assistance téléphonique
produits manufacturés; automobile; une municipalité ou un un distributeur); (pour un fournisseur de
gouvernement local); logiciels).

La décision d’inclure certains produits ou services dans le • Les pertes financières.

domaine d’application peut être motivée par ce qui suit :
• Les parties intéressées susceptibles d’être touchées par la perte du
• Les produits qui contribuent de manière significative à la produit ou service, par exemple, un médicament fabriqué par une seule
réputation, aux revenus ou au succès de l’organisation. organisation.

• Une exigence contractuelle du client. • L’atteinte à la réputation à cause d’un incident ou de la cessation des
produits ou services de l’organisation.
• Une exigence légale ou réglementaire.
• L’incidence sur les exigences légales ou réglementaires.
• Les menaces physiques, par exemple la proximité d’autres
installations industrielles comme une usine de fabrication de • Les besoins et attentes des clients et autres parties intéressées.
produits chimiques ou un risque d’inondation.
Les raisons qui amènent à exclure un produit ou un service et la solution
de rechange à la perte de ce produit ou service devraient être consignées
Les raisons qui amènent à exclure du domaine d’application un
et approuvées par la Direction. Il importe également que le risque pour
produit ou un service sont les suivantes, entre autres :
l’organisation soit parfaitement compris et géré (cette notion est abordée
• la fin de la vie utile approche (le produit ou service serait plus loin dans l’étape d’analyse). Au moment de passer en revue une
abandonné en cas de perturbation). politique et un programme existants, le domaine d’application devrait
être réexaminé pour tenir compte de tout changement qui pourrait
• les marges ou volumes faibles (le produit ou service serait être survenu dans la stratégie globale ou le contexte d’exploitation de
abandonné ou confié à un fournisseur externe en cas de l’organisation. Les produits et services qui ne sont pas inclus dans le
perturbation). domaine d’application devraient être gérés en dehors du programme
de continuité d’activité. La Direction doit comprendre pleinement les
Au moment de décider d’exclure un produit ou un service, les conséquences de ces choix et documenter et approuver les décisions
enjeux suivants devraient être pris en compte : qu’elle pourrait prendre dans le cadre de son processus de gouvernance.
18
 © The Business Continuity Institute, 2019

Méthodes et techniques
Les méthodes et techniques utilisées pour décider comment Une appréciation détaillée des risques est effectuée à l’étape
définir le domaine d’application du programme de continuité de l’analyse du cycle de vie de la gestion de la continuité
d’activité comprennent les suivantes : d’activité. Ces renseignements et ceux qui résultent des activités
d’exploration de l’horizon peuvent apporter une contribution
• L’analyse coût-bénéfice. utile à la définition et à la clarification du domaine d’application
du programme.
• L’analyse des forces, faiblesses, opportunités et menaces.
Le professionnel de la continuité d’activité doit collaborer
• L’analyse comparative par rapport aux normes et lignes
avec d’autres professionnels de son organisation et de
directrices.
l’extérieur de son organisation si ces méthodes et techniques
• Les techniques d’analyse de marché. sont déjà utilisées, par exemple, le management du risque,
l’approvisionnement, l’audit et autres. Dans le cas des

PP1 - PO LI T I Q UE E T G EST I ON DU PROG RA M M E

• Le bilan d’impact sur l’activité (BIA) et l’appréciation du risque organisations qui n’ont pas la capacité de mettre en œuvre ces
(s’ils ont déjà été effectués). méthodes recommandées, il pourrait être nécessaire de faire
appel à un fournisseur de services externe.

Résultats et revues
Il en résulte un domaine d’application clairement défini pour le Le domaine d’application du programme de continuité d’activité
programme de continuité d’activité, qui peut être validé afin de doit être revu régulièrement, à des intervalles préalablement
garantir que les objectifs de la politique de continuité d’activité convenus ou à la suite d’un changement important tel que défini
sont atteints. dans la politique de continuité d’activité.

Établir la gouvernance
L’établissement de la gouvernance pour la continuité d’activité Concepts et hypothèses
permet d’obtenir un point central de responsabilité pour la
mise en œuvre et le suivi continu des activités de l’organisation, La gouvernance pour la continuité d’activité est
conformément à la politique de continuité d’activité. principalement axée sur ce qui suit :

• Assurer la supervision et le soutien du programme de

continuité d’activité, y compris fournir des ressources
Principes généraux adéquates et approuver le budget.

Les activités de gouvernance devraient comprendre la • S’assurer que le programme de continuité d’activité est
surveillance et la mesure des progrès par rapport aux indicateurs harmonisé avec les objectifs de l’organisation.
de performance clés afin de confirmer que la politique et le
programme de continuité d’activité sont mis en œuvre de • S’assurer que le programme de continuité d’activité est
manière efficace et harmonisés avec les objectifs et la stratégie conforme à la politique de continuité d’activité et aux
de l’organisation. exigences légales et réglementaires applicables.

Il existe plusieurs sources de conseils à l’intention des • Surveiller et passer en revue régulièrement le programme
professionnels concernant la manière d’élaborer, gérer, mettre de continuité d’activité afin de s’assurer que les exigences
en œuvre et réviser un programme de continuité d’activité. La sont remplies.
norme internationale de gestion de la continuité d’activité (ISO
• Soutenir l’amélioration continue.
22301 :2012) énonce les processus de gestion et de gouvernance
qui permettent d’opérer, contrôler, réviser et améliorer La politique de continuité d’activité doit définir clairement
continuellement le système de management de la continuité la manière dont l’organisation supervisera le programme de
d’activité. continuité d’activité et dont elle s’engagera envers celui-
ci. La continuité d’activité doit être harmonisée avec les
Les exigences en matière de gouvernance de la continuité
domaines de gestion connexes comme le management du
d’activité sont également énoncées dans des normes nationales
risque, la sécurité de l’information et la sécurité physique,
ou internationales, dans des lois, dans des règlements ou
dans le cadre de l’approche globale visant à gérer les risques
dans des lignes directrices propres au secteur d’activité.
et les menaces et à améliorer la résilience organisationnelle.
Les règlements dans certains secteurs peuvent exiger une
démonstration officielle de l’efficacité de la gestion de la
continuité d’activité à la Direction de l’organisation.
19
 BCI Good Practice Guidelines 2018 Edition

2.
Processus Une définition claire du pouvoir
et des responsabilités en matière
de continuité d’activité :
• Supervision de la Direction et les
responsabilités de celle-ci.
Établir une 1.
Une compréhension de la • Adoption de la gestion de
gouvernance pour la
structure organisationnelle, la continuité d’activité.
continuité d’activité
comprend : des exigences, des rôles et
responsabilités ainsi que des liens
hiérarchiques afin d’appuyer la mise
en œuvre et la gestion continue
de la politique et du
programme de continuité
d’activité.

3.
Une définition des principaux
6. indicateurs de performance pour la
L’harmonisation validation du programme de continuité d’activité.
de la gouvernance
Exemples de mesures de haut niveau :
du programme de
continuité d’activité avec • Exercices annuels à l’échelle de l’organisation
le cadre de gouvernance dans le cadre du programme d’exercices de
global de l’organisation. 4. l’organisation.
Une définition des types • Revue annuelle des plans
de décisions, de risques, de continuité d’activité.
d’événements, d’investissements
et des autres questions • Revue de Direction annuelle (la
importantes liées à la gestion validation du programme de continuité
de la continuité d’activité qui d’activité est abordée à PP6).
5.
Un aperçu du type devraient être communiqués
et de la fréquence à la Direction.
des rapports et des
communications à
la Direction qui sont
requis.

Méthodes et techniques
La Direction doit s’assurer de communiquer l’importance de la • S’assurer que des personnes entreprennent des activités pour que le
continuité d’activité et de la politique de continuité d’activité. programme de continuité d’activité soit efficace.

Le leadership et l’engagement vis-à-vis la politique et le

programme de continuité d’activité peuvent être obtenus Les rôles et responsabilités liés à la continuité d’activité
au moyen des méthodes et techniques suivantes : devraient être inclus dans les descriptions d’emploi et
dans les évaluations de rendement des employés.
• Reconnaître et communiquer le besoin de continuité d’activité
en tant que domaine clé de la gestion dans le but d’améliorer la
résilience organisationnelle. • Fournir les ressources nécessaires à la mise en œuvre de la politique
tout au long du cycle d’activités du programme de continuité
• S’assurer que la politique et le programme de continuité d’activité d’activité.
sont harmonisés avec les objectifs de l’organisation.
• Diriger et soutenir l’amélioration continue du programme
• S’assurer que le programme de continuité d’activité produit les de continuité d’activité, par exemple au moyen de revues et
résultats attendus et remplit les exigences énoncées dans la d’autoévaluations.
politique.
• Fournir une orientation et des conseils afin d’intégrer la continuité
• Maintenir le soutien de la politique et du programme de continuité d’activité à la routine habituelle de l’organisation.
d’activité.

20
 © The Business Continuity Institute, 2019

Résultats et revues • Le moment où le contrôle et les mesures devraient être

exécutés.
En définissant la gouvernance au moment d’établir la politique
de continuité d’activité, la Direction doit dès le départ participer • Le moment où les résultats du contrôle et des mesures
pleinement et assumer la responsabilité de la performance et de devraient être analysés et évalués.
l’efficacité du programme de continuité.

La Direction doit s’assurer que la politique de continuité Pour y arriver, la Direction doit faire ce qui suit :
d’activité précise le mesurage nécessaire pour assurer
l’efficacité du programme de continuité d’activité. Les méthodes • Agir pour remédier aux faiblesses ou aux lacunes dans les
appropriées font partie de l’étape de validation du cycle de vie objectifs du programme de continuité d’activité.
de la gestion de la continuité d’activité et sont incluses dans le
• Surveiller l’efficacité du programme.
programme de continuité d’activité.

PP1 - PO LI T I Q UE E T G EST I ON DU PROG RA M M E

• S’assurer que les renseignements pertinents sont conservés
La Direction de l’organisation devrait convenir comme preuve des résultats.
de ce qui suit :
La gouvernance de la politique et du programme de continuité
• Ce qui doit être mesuré et contrôlé. d’activité doit être révisée régulièrement, à des intervalles
préalablement convenus ou à la suite d’un changement
• Comment s’y prendre.
important tel que défini dans la politique de continuité
• Les méthodes à utiliser pour contrôler, mesurer, d’activité.
analyser et évaluer.

Attribution des rôles et responsabilités

Un programme de continuité d’activité efficace est tributaire Elle doit aussi s’assurer que les personnes jouent leur rôle
de la définition claire et précoce des rôles, des responsabilités correctement dans l’organisation. Quand les personnes se voient
associées et des paliers d’autorité requis pour gérer le attribuer des responsabilités en matière de continuité d’activité
programme. Ceux-ci auront été définis dans la politique de en plus de leur rôle actuel, les nouvelles responsabilités devraient
continuité d’activité. être ajoutées à la description de leur poste et communiquées à
toutes les parties intéressées. Le rendement de ces personnes
doit être mesuré à l’étape de la validation du cycle de vie de la
gestion de la continuité d’activité.
Principes généraux
L’objectif d’attribuer des rôles et responsabilités est de s’assurer
que les tâches exigées pour mettre en œuvre et maintenir Concepts et hypothèses
le programme de continuité d’activité sont confiées à des
personnes précises et compétentes dont le rendement peut Les rôles et responsabilités devraient être attribués à des
être évalué et dont les besoins en formation supplémentaires personnes qui ont les compétences souhaitées et disposent du
peuvent être décelés. Les exigences en matière de formation et pouvoir approprié au rôle qui leur est attribué.
de compétences applicables aux professionnels de la continuité
d’activité et au programme plus large sont traitées à PP2. En attribuant à un membre de la Direction la responsabilité
globale de la continuité d’activité et de son efficacité,
La Direction doit attribuer des responsabilités et pouvoirs aux l’organisation garantit ce qui suit :
équipes ou aux personnes désignées pour s’assurer que des
procédures appropriées sont adoptées et correctement mises • La continuité d’activité est reconnue comme étant une activité
en œuvre conformément aux exigences de la politique. Elle doit clé dans l’organisation.
également s’assurer que ces rôles sont communiqués aux parties
• La mise en œuvre sera réalisée grâce à la collaboration avec
intéressées.
d’autres fonctions connexes.

• Des rôles et responsabilités appropriés pour les interventions

seront définis selon les compétences.

21
 BCI Good Practice Guidelines 2018 Edition

1.
Un groupe de
Processus pilotage de la
D’autres personnes continuité d’activité
ou équipes peuvent chargé de fournir 2.
Une personne compétente devrait
être affectées à la des conseils, des Des équipes qui
être désignée pour gérer la mise orientations et de la
gestion et à l’exécution répondront en cas
en œuvre de la politique et du supervision.
du programme de d’incident et qui
programme de continuité d’activité. continuité d’activité. pourront contribuer
Selon la taille de l’organisation, ce rôle Entre autres : à l’élaboration des
peut être à temps plein ou à temps plans de réponse.
partiel.

Méthodes et techniques

Le tableau ci-après définit les habiletés et compétences requises pour les rôles établis dans le cadre du programme de
continuité d’activité :
Tableau 1
Rôle Responsabilité
Direction Jouer un rôle de leader, s’engager et consacrer des ressources dans le cadre de la gouvernance.

Superviser, conseiller et gérer le programme de continuité d’activité, formuler des recommandations

Groupe de pilotage
et présenter des rapports à la Direction.

Responsable du plan de continuité S’assurer que le plan de continuité d’activité reflète correctement la capacité de continuité d’activité
d’activité de l’organisation.

Professionnel de la continuité Élaborer et mettre en place un programme de continuité d’activité efficace, y compris la facilitation et
d’activité la coordination des plans dans l’ensemble de l’organisation.

Personnel de gestion d’incidents Répondre en cas d’incident ou de crise.

Communiquer les conséquences des changements dans le service, qui sont susceptibles d’avoir une
incidence sur le programme de continuité d’activité.
Représentant du service Recueillir des renseignements aux fins du BIA.
Élaborer, mettre en œuvre et tenir à jour des plans pour son service au nom du responsable du plan.
Exécuter des exercices et y participer.

Pour une meilleure efficacité, bien connaître le programme de continuité d’activité et ses rôles et ses
responsabilités lors d’incidents.
Reconnaître un incident ou une crise.
Alerter les intervenants en situation d’incident ou de crise (y compris les intervenants d’urgence, le
Tout le personnel cas échéant).
Remonter l’information à l’équipe de gestion des incidents ou des crises.
Répondre convenablement devant des menaces précises.
Répondre convenablement en cas d’évacuation du site.
Comprendre les plans pertinents et les rôles et responsabilités associés.

Agir lorsque c’est pertinent dans le cadre du programme de continuité d’activité ou en réponse à un
Parties intéressées
incident.

Des rôles et responsabilités devraient être attribués à d’autres

personnes en cas d’absence prévue ou imprévue. Les personnes chargées de la continuité d’activité
devraient détenir ou être en voie d’obtenir un
Des plans de relève devraient également être envisagés pour les titre professionnel d’un organisme professionnel pertinent
personnes qui ont des rôles et responsabilités précis, par exemple le (comme le Business Continuity Institute) pour poursuivre leur
personnel d’intervention en cas d’incident, les responsables des plans développement professionnel.
et les représentants des services.

22
 © The Business Continuity Institute, 2019

Résultats et revues
L’attribution de rôles et responsabilités dans le cadre de la • Des remplaçants pour chaque rôle défini.
politique et gestion du programme de continuité d’activité
produira les résultats suivants : • Les responsabilités comprises dans la description du poste de
chaque personne et communiquées aux parties intéressées.
• Des rôles et des responsabilités clairement définis confiés à des
personnes et à des équipes compétentes. Les rôles, responsabilités et pouvoirs attribués aux personnes
de même que les compétences devraient être évalués
• Un pouvoir approprié délégué selon le rôle. régulièrement, à des intervalles préalablement convenus ou à la
suite d’un changement important, comme il est décrit dans la
• Les rôles, responsabilités et pouvoirs sont documentés dans la politique de continuité d’activité.
politique de continuité d’activité.

PP1 - PO LI T I Q UE E T G EST I ON DU PROG RA M M E

Programme de continuité d’activité
Processus continu de gestion et de gouvernance soutenu par Concepts et hypothèses
la Direction et doté de ressources appropriées pour mettre en
œuvre et maintenir la gestion de la continuité d’activité. La mise en œuvre initiale du programme de continuité d’activité
(Source: ISO 22301 :2012) se déroulera probablement sous la forme de plusieurs projets et
bénéficiera du recours à une méthodologie de gestion de projet
Le programme de continuité d’activité sert à mettre en œuvre et d’une capacité de gestion de programme reconnus.
la politique de continuité d’activité une fois que le domaine
d’application, la gouvernance, les rôles et les responsabilités ont Plusieurs professionnels de la continuité d’activité et des
été définis. Une partie importante du programme consiste à personnes d’autres secteurs d’activité pourront prendre part au
gérer la documentation pour soutenir la mise en œuvre, programme de continuité d’activité selon la taille, la complexité
le cas échéant. et le type de l’organisation.

Dans une petite ou moyenne entreprise, la

Principes généraux gestion du programme de continuité d’activité
peut être confiée à une personne dans le cadre
Le programme de continuité d’activité est un processus continu de ses fonctions.
qui s’adapte à la nature changeante de l’environnement
opérationnel interne et externe d’une organisation.
D’autres politiques et programmes pertinents au sein de
La première mise en œuvre d’un programme devrait comporter
l’organisation devraient être identifiés et les occasions de
la réalisation de toutes les activités décrites dans le cycle de
collaboration devraient être examinées et coordonnées. Par
vie de la gestion de la continuité d’activité. Toutefois, les revues
exemple, le service des ressources humaines peut avoir des
qui seront ensuite apportées au programme représenteront
politiques applicables aux communications internes et le service
probablement une tâche moindre si les exigences de
des communications d’entreprise peut avoir conclu des ententes
l’organisation ne sont pas modifiées de manière significative.
prédéterminées pour la communication externe en raison d’une
Au moment de la mise en œuvre initiale, il faut prévoir exigence réglementaire ou d’une exigence d’un client. Celles-
suffisamment de temps pour entreprendre les activités à chaque ci devraient être identifiées et intégrées au programme de
étape du cycle de vie de la gestion de la continuité d’activité. continuité d’activité.

Un programme souple, complet et géré activement doit être mis La documentation d’un programme de continuité d’activité
en place pour s’assurer que l’organisation maintienne sa capacité vise trois objectifs :
de continuité d’activité et qu’elle continue de développer et
• Aider à gérer efficacement le programme de
d’améliorer sa résilience.
continuité d’activité.

• Démontrer la gestion efficace du programme.

• Permettre une réponse rapide et efficace en cas d’incident.

23
 BCI Good Practice Guidelines 2018 Edition

Processus
3.
Coordonner les
Pour mettre en œuvre et gérer le programme et atteindre les objectifs énoncés activités appropriées
dans la politique, il faut gérer de nombreuses tâches interdépendantes. dans l’organisation
(au besoin, adapter les
projets à l’intérieur du
programme).
1.
Élaborer le 2.
Le professionnel ou
programme Identifier les activités 4.
l’équipe de continuité appropriées pour le Gérer le changement
de continuité
d’activité, en programme en fonction et se coordonner
d’activité.
consultation avec la de chaque étape du cycle avec d’autres
Direction, devrait faire de vie de la gestion de la secteurs d’activité de
ce qui suit : continuité d’activité. l’organisation selon
les besoins.

6.
Gérer le
9. budget du
5.
Présenter 7. programme.
Promouvoir les avantages
régulièrement des Tenir à jour et du programme par la
rapports à la Direction gérer toute la communication et créer une
en mettant en évidence 8. documentation prise de conscience tant à
les problèmes S’assurer que les du programme. l’intérieur qu’à l’extérieur de
identifiés. exigences légales l’organisation. Cette prise de
et réglementaires conscience est abordée
pertinentes énoncées à PP2.
dans la politique ont été
prises en compte.

Méthodes et techniques
La méthodologie de gestion de projet est une approche utile • Relations avec les fournisseurs ou les prestataires de services
au moment de la mise en œuvre du programme de continuité externalisées.
d’activité. Une gestion de projet efficace augmentera les chances
de réussite du programme dans son ensemble, dans le respect des • Gestion financière et exigences budgétaires.
délais et des budgets convenus.
• Conseils en matière de lois et de règlements.
Exemples de projets effectués dans le cadre du programme de
continuité d’activité : • Audits internes et externes (s’il y a lieu).

• Élaborer et gérer un programme d’exercices. • Exigences liées aux revues et à la gestion du changement.

• Élaborer et réaliser des activités de formation et de sensibilisation. Les solutions logicielles de continuité d’activité peuvent être
considérées comme un outil utile pour prendre en charge le
• Choisir des fournisseurs qui seront chargés de fournir un produit programme de continuité d’activité. Un logiciel spécialisé peut
ou un service donné. offrir certains avantages lorsqu’il faut gérer un grand nombre de
documents et de projets. Il faut se rappeler que cette technologie,
Les éléments suivants devraient aussi être pris en compte dans de même que toute autre technologie choisie dans le cadre du
la gestion du programme : programme, peut entraîner des coûts récurrents liés aux licences,
à la maintenance et à la formation.
• Bonnes pratiques ou normes du secteur d’activité pertinentes liées
au domaine de la continuité d’activité.

• Autoévaluation par rapport à une norme, à une loi ou à un

règlement pertinent.

24
 © The Business Continuity Institute, 2019

Résultats et revues • Des exigences en matière de compétence et de tenue des

dossiers.
La gestion et la mise en œuvre d’un programme de continuité
d’activité a pour résultat le maintien de la capacité à • Des activités de formation et de sensibilisation.
continuer les activités et à renforcer et améliorer la résilience
• Des questionnaires et des renseignements au sujet du BIA.
organisationnelle grâce à une approche adaptable et complète.
• Une appréciation du risque.
Un programme de gestion de la continuité d’activité
comprend les éléments suivants : • Des documents à l’appui des solutions choisies en matière de
continuité d’activité.
• Une politique de continuité d’activité.
• Une structure de réponse.
• Une définition des objectifs de continuité d’activité pour
l’organisation.

PP1 - PO LI T I Q UE E T G EST I ON DU PROG RA M M E

• Des plans de continuité d’activité.

• Un domaine d’application clairement définie. • Des plans de gestion de crise.

• Une définition de l’engagement en matière de gouvernance et • Un programme d’exercices.

de leadership.
• Des rapports d’exercices.
• Des rôles et responsabilités.
• Des accords de niveau de service passés avec les clients et les
• Un renvoi aux politiques, normes et exigences légales et fournisseurs.
réglementaires applicables.
• Des contrats de services de rétablissement avec des
• L’identification des parties intéressées, y compris les prestataires de services externalisés, y compris pour les lieux
prestataires de services externalisés. de travail et la récupération.

• Une méthode de revue, de mesurage, d’approbation et de • Un programme et des rapports de maintenance et de revue.
communication.
La taille des documents du programme dépendra de la taille, de
• Un engagement budgétaire et un soutien financier permanents. la complexité et du type d’organisation.

Le programme de continuité d’activité doit être révisé

La documentation du programme de continuité d’activité régulièrement, à des intervalles préalablement convenus ou à la
doit comprendre ce qui suit : suite d’un changement important tel que défini dans la politique
de continuité d’activité.
• Une politique de continuité d’activité.

• Un programme d’activités dans le cadre de la continuité

d’activité.

• Des documents liés à la gestion de projet.

• Les ordres du jour, procès-verbaux et documents de suivi du

plan d’action des réunions de l’équipe de continuité d’activité.

25
 BCI Guide de bonnes pratiques Édition 2018

ANALY
SE
N
TIO
VALIDA

CONCE

INTÉGRATION
PTIO
N

SE
M
I

EN
ΠUVRE
E
PO

LIT
M

IQ A M
UE
ET G O GR
ES TIO N D E P R

26
 © 2019 The Business Continuity Institute

Pratiques professionnelles du BCI

PP2
Intégrer la continuité d’activité
L’intégration de la continuité d’activité est la pratique professionnelle qui définit comment
intégrer dans les activités courantes et dans la culture de l’organisation la sensibilisation à

P P2 - EM B ED DI NG B U SI N ESS C O N TINU I TY
la continuité d’activité et sa pratique. L’intégration de la continuité d’activité doit être une
approche collaborative entre les domaines de gestion connexes, dans le but d’améliorer la
résilience organisationnelle.

27
 BCI Guide de bonnes pratiques Édition 2018

Introduction
L’intégration de la continuité d’activité comporte les • S’assurer que les compétences et les habiletés requises sont
tâches suivantes : en place.

• Sensibiliser à la continuité d’activité en ayant recours à la • S’assurer que des opportunités de formation et
communication. d’apprentissage appropriées sont offertes.

• Encourager l’adhésion des parties intéressées.

Comprendre et influencer la culture organisationnelle

Les principes généraux suivants devraient être pris en compte au Bien qu’elle soit difficile à observer et à mesurer, la culture joue
moment d’élaborer ou de réviser l’approche visant à intégrer la un rôle important dans l’efficacité de l’intégration du programme
continuité d’activité dans la culture de l’organisation. de continuité d’activité et du niveau général de résilience
organisationnelle.

Pour réussir efficacement l’intégration d’un programme de continuité

Principes généraux d’activité, il faudra peut-être apporter des changements à la culture
de l’organisation.
L’intégration réussie de la continuité d’activité nécessite
une approche collaborative de la part de la Direction et du Si le programme de continuité d’activité est en démarrage, il est
professionnel de la continuité d’activité. important d’établir les priorités en matière de formation et de
sensibilisation. Par exemple, il faudra peut-être former en priorité
L’objectif de cette intégration est d’assurer que la continuité les personnes qui feront partie des équipes de réponse avant de
d’activité fasse partie des activités courantes de l’organisation. sensibiliser l’ensemble de l’organisation.
Les activités d’intégration de la continuité d’activité devraient Un programme existant nécessiterait un examen des activités
être harmonisées avec les objectifs stratégiques et la culture de d’intégration déjà en place. Par exemple, un changement de
l’organisation. propriétaire, une acquisition ou un changement au sein de la
Direction d’une organisation peut en modifier la culture, les objectifs
La continuité d’activité doit également être envisagée et intégrée
stratégiques et les activités.
aux pratiques de gestion de projets et de changements, le cas
échéant. Les activités d’intégration ne sont pas propres à la continuité
d’activité; d’autres domaines de gestion sont également intégrés de
Les habiletés et compétences requises pour mettre en œuvre la
manière similaire. Par exemple, la santé et la sécurité, la sécurité de
politique et le programme de continuité d’activité comprennent à
l’information et la protection des données font souvent partie des
la fois des compétences générales de gestion et des compétences
procédures d’accueil.
techniques.

Concepts et hypothèses
La culture organisationnelle peut se définir comme étant les
valeurs, attitudes et comportements d’une organisation qui
contribuent à créer l’environnement social et psychologique
unique dans lequel elle exerce ses activités.
(Source : ISO 22316 :2017)

La culture organisationnelle fait parfois référence à :

« la façon dont les choses se font ici ».

28
 © The Business Continuity Institute, 2019

Processus

2.
Les étapes suivantes Déterminer la meilleure
sont nécessaires pour façon de dialoguer avec
comprendre et influencer
la culture organisationnelle
1. les parties intéressées
Identifier les parties en comprenant leurs
et réussir l’intégration de principaux intérêts et
intéressées à
la continuité d’activité : priorités.
mobiliser au sein de

P P2 - I N TÉG R ER L A C O N TI N U IT É D ’ ACT I VITÉ

l’organisation.

3.
Ouvrir le dialogue avec
les parties intéressées
identifiées en utilisant les
canaux de communication
les plus appropriés.

4.
Utiliser, dans la mesure du
possible, les événements et canaux
de communication existants à
l’intérieur de l’organisation pour
communiquer les avantages et la
rentabilité d’un investissement
dans la continuité d’activité.

Il est utile de constituer un réseau de personnes

influentes au sein de l’organisation qui connaissent
les avantages de la continuité d’activité et de la résilience
organisationnelle. Ces personnes peuvent agir en tant que
promoteurs ou « champions » qui contribuent de manière
significative à l’intégration de la continuité d’activité. Dans
les organisations où de tels représentants existent dans des
domaines de gestion connexes, il peut également exister des
occasions de collaborer.

29
 BCI Good Practice Guidelines 2018 Edition

Méthodes et techniques
Le professionnel de la continuité d’activité doit aussi envisager
Selon la maturité du programme de continuité d’activité de et aborder comment soutenir, encourager et éduquer la
l’organisation, il y a plusieurs méthodes d’intégration efficaces Direction afin d’obtenir et conserver leur soutien d’une façon
qui, si elles ne sont pas déjà en place, devraient être envisagées: efficace. Il devrait aussi envisager d’élaborer des mesures de
sensibilisation à la continuité d’activité, notamment pour les
• Changer les attitudes et les comportements. Il peut être utile facteurs suivants :
d’énoncer les conséquences d’une action (ou d’une inaction) et
d’en souligner l’importance pour les objectifs métier immédiats • Changement dans les rôles et responsabilités.
ou le bien-être d’une personne. Par exemple, si une autre
organisation du même type située dans un lieu similaire a connu • Roulement important du personnel.
une perturbation ou un changement important et qu’elle a réagi
• Modification fréquente des processus administratifs.
avec un degré élevé de résilience, des leçons peuvent être tirées et
partagées. De même, si une organisation du même type située dans
• Un grand nombre d’acquisitions et d’externalisations.
un lieu similaire n’a pas agi, des leçons pourront également en être
tirées.
Dans toute organisation, le professionnel de la continuité d’activité
doit déployer des efforts constants, qui seront plus importants dans
• S’assurer que la continuité d’activité est prise en considération par
les environnements dynamiques.
la Direction lors de l’élaboration ou de la revue du plan stratégique.

Un exercice de continuité d’activité pertinent, soigneusement

• Ajouter la continuité d’activité à l’ordre du jour des réunions
délimité et mené en tenant compte des risques et menaces actuels
appropriées.
peut constituer une méthode efficace de sensibilisation et de
modification des attitudes et des comportements.
• Intégrer les plans de continuité d’activité dans les procédures
opérationnelles normalisées.
Les procédures d’urgence usuelles, tel que les tests d’alarme
d’incendie et les exercices d’évacuation ou de réponse en cas de
• Faire de la continuité d’activité une partie intégrante des
menace à la sécurité peuvent également être utilisées en tant
procédures d’accueil et d’intégration des employés.
qu’exercice de continuité d’activité. L’association d’exercices de
• Planifier les exercices de continuité d’activité durant les arrêts continuité d’activité à des événements connexes peut aider à
d’activités planifiés ou les périodes les moins occupées. démontrer la valeur et les avantages de la continuité d’activité. Les
organisations qui appartiennent à certains secteurs industriels ou
• S’assurer que les exigences en matière de continuité d’activité sont qui sont établies dans certaines régions peuvent être assujetties à
prises en compte dans la gestion de la chaîne d’approvisionnement. des exigences légales ou réglementaires. Celles-ci peuvent prendre
la forme de simples exercices d’évacuation en cas d’incendie ou
• S’assurer que la continuité d’activité soit prise en compte à l’étape d’exercices à grande échelle en collaboration avec les services
de la planification de tous les nouveaux produits et services. d’urgence et autres parties intéressées. Le professionnel de la
continuité d’activité devrait rechercher les occasions d’intégrer la
continuité d’activité à ces événements planifiés chaque fois que ce
sera possible.

Pour favoriser les changements de comportement,

supprimez le mot « incendie » des expressions «
alerte d’incendie », « commissaire aux incendies », « gardien
d’incendie » et « exercice d’incendie » lorsqu’elles sont
utilisées. Ce mot peut être remplacé par « évacuation ». Ces
expressions deviendraient donc « alerte d’évacuation », «
commissaire aux évacuations », « gardien d’évacuation » et «
exercice d’évacuation ». Les rôles, responsabilités, processus
et actions ne changent pas, mais chaque employé devra ainsi
reconnaître que son rôle n’est pas propre à un seul type de
perturbation. Une évacuation peut être déclenchée pour
plusieurs types de perturbations, pas seulement l’incendie.

30
 © The Business Continuity Institute, 2019

Compétences et habiletés
Le professionnel de la continuité d’activité et de la résilience, Principes généraux
ainsi que toutes les personnes qui ont un rôle et des
responsabilités en matière de continuité d’activité, devraient Le professionnel de la continuité d’activité et la Direction
avoir l’éducation, la formation et l’expérience requises pour devraient s’assurer que tous les membres du personnel (y
élaborer et mettre en œuvre la politique et le programme de compris les consultants externes et les autres parties intéressées)
continuité d’activité définis dans PP1. Pour garantir la bonne qui participent au programme de continuité d’activité ont
exécution du programme, le professionnel de la continuité le niveau de sensibilisation, d’éducation, de formation et
d’activité et la Direction devraient, au moment d’intégrer la d’expérience requis. Il peut s’agir aussi du personnel clé dans
continuité d’activité, avoir une bonne idée des compétences et la chaîne d’approvisionnement et de prestataires de services
habiletés exigées de chaque personne. externalisés.

P P2 - I N TÉG R ER L A C O N TI N U IT É D ’ ACT I VITÉ

Pour maintenir en place les capacités requises, il convient
également de prévoir des remplaçants en cas d’absence et de
planifier la relève.

Il est important que les remplaçants connaissent

leur rôle et leurs responsabilités, qu’ils soient
bien préparés et qu’ils participent aux activités
pertinentes du programme.
Sensibilisation Éducation Formation Expérience

Le tableau ci-après définit les compétences de base et de gestion générale exigées du professionnel de la continuité
d’activité :
Tableau 2
Pratiques
Compétences de base Compétences de gestion
professionnelles

Pratique de gestion
Compétences en gestion de projet et compréhension de
PP1 – Politique et
l’importance de l’amélioration continue
gestion du programme Compréhension du contexte
de l’organisation et de
l’environnement dans lequel il
Compréhension de la culture organisationnelle et de la
Pratique de gestion opère ainsi que son approche au
manière de l’influencer.
PP2 – Intégration de la management du risque.
continuité d’activité Connaissance des compétences requises pour la continuité
d’activité et des capacités de formation et de sensibilisation. Capacité de constituer une vue
d’ensemble de l’organisation.
Compétences analytiques liées au BIA, y compris la capacité
d’analyser l’information, d’identifier les problèmes et Capacité de comprendre et de
Pratique technique d’élaborer des solutions viables. collaborer avec le personnel des
PP3 - Analyse domaines de gestion connexes.
Compréhension de l’appréciation du risque et des mesures
d’atténuation.
Compétences efficaces en
communication et en relations
Pratique technique Capacité de concevoir et de choisir des solutions de continuité interpersonnelles.
PP4 - Conception appropriées à l’organisation. Compétences de négociation
et d’influence pour obtenir
et conserver le soutien et
Compréhension de la gestion des incidents et des crises, y l’engagement de la Direction.
Pratique technique compris l’intervention en cas d’urgence.
PP5 - Mise en œuvre Habileté de facilitation pour guider
Capacité de développer, mettre en œuvre et gérer des plans.
et diriger des ateliers, des séances
de planification, des réunions, de
Capacité de développer, gérer, coordonner et exécuter un la formation et des exercices afin
Pratique technique programme d’exercices. d’obtenir des résultats productifs.
PP6 - Validation Compétences en évaluation pour valider l’efficacité du
programme de continuité d’activité.

31
 BCI Guide de bonnes pratiques Édition 2018

Au moment de répondre à un incident, une organisation peut Concepts et hypothèses

avoir besoin de compétences supplémentaires autres que les
compétences et habiletés de base requises du professionnel de La Direction doit fournir les ressources appropriées afin de réaliser
la continuité d’activité, notamment les suivantes : toutes les activités de formation et de sensibilisation, en cours et
en continu, pour assurer le maintien des habiletés et compétences
• Coordination d’évacuation d’urgence. appropriées. Par exemple, les frais de licence annuels pour les
formations en ligne, le maintien des titres professionnels et la
• Sécurité.
formation continue du personnel concerné.
• Bien-être et premiers soins.
La démarche de l’organisation visant à recenser et mesurer les
• Gestion de crise et leadership. compétences devrait aussi servir à définir le perfectionnement
professionnel des personnes ayant des rôles et responsabilités en
• Continuité et rétablissement des services liés aux technologies de matière de continuité d’activité. Par exemple, une personne pourrait
l’information et de la communication (TIC). devoir suivre une formation particulière dans le cadre de son rôle,
détenir une qualification particulière ou avoir et conserver un titre
• Gestion des dégâts, récupération des actifs et restauration des
professionnel.
équipements.
Il se peut que l’organisation ait déjà des exigences en matière
• Communication externe et interne, dont la gestion des relations
de compétences et que celles-ci soient énoncées, par exemple,
publiques, de la marque et de la réputation.
dans les descriptions de poste. L’organisation devrait également
L’évaluation des compétences et des habiletés doit s’étendre à tous effectuer une analyse des besoins de formation et mettre en place
les entrepreneurs qui travaillent sur le site de l’organisation ou qui des activités d’apprentissage et de développement au sein du
fournissent des services en cas d’incident. service des ressources humaines ou du service de formation et de
perfectionnement. Si aucun processus de ce type n’est en place,
Le fait que les fournisseurs, les clients, les entrepreneurs et les l’organisation devra trouver les méthodes les plus appropriées pour
autres parties intéressées connaissent le programme de continuité développer, mesurer et documenter les habiletés et compétences du
d’activité d’une organisation peut susciter de la confiance et de personnel concerné en matière de continuité d’activité.
l’assurance tout en contribuant à bâtir la réputation. Toutefois,
comme certains renseignements de continuité d’activité
peuvent être délicats ou confidentiels, le professionnel de la
continuité d’activité et la Direction devraient convenir du type
de renseignements et du degré de détail qu’il convient de
communiquer aux parties intéressées. 2.
Déterminer les besoins de
formation et de sensibilisation et
définir les résultats d’apprentissage
escomptés pour toutes les
Processus personnes qui participent au
programme de continuité d’activité
1. (cela devrait comprendre la
Définir les compétences définition du niveau actuel de
et habiletés de toutes les sensibilisation ou de
Pour s’assurer personnes qui participent au compétence).
que le niveau approprié programme de continuité
de sensibilisation, d’activité en ayant recours
d’éducation et de formation à des exigences nouvelles
est instauré afin de réussir ou existantes adaptées à 3.
l’organisation. Concevoir et offrir
l’intégration, il convient
des activités de niveau
de prendre les mesures
approprié en matière
suivantes :
de formation et de
sensibilisation.
4.
Effectuer une évaluation
et produire un rapport sur
l’efficacité et l’amélioration
continue dans le cadre de la
production générale de rapports
abordées à l’étape de validation
du cycle de vie de la gestion de
la continuité d’activité.

32
 © The Business Continuity Institute, 2019

Méthodes et techniques

Il peut être approprié d’effectuer une analyse des besoins en L’analyse des lacunes ou autres méthodes alternatives
formation ou une analyse des lacunes propre au programme de peuvent mener aux conclusions suivantes :
continuité d’activité. Ces analyses peuvent aussi être intégrées à
une activité existante dans le cadre d’un programme plus vaste • Aucune activité de formation ou de sensibilisation n’est
d’apprentissage et de perfectionnement de l’organisation. requise.

Formation et sensibilisation • Des activités de formation ou de sensibilisation sont

nécessaires.
Les habiletés et compétences de toute personne qui joue un
rôle dans le programme de continuité d’activité devraient être • Des activités de formation et de sensibilisation approfondies
définies. Les personnes concernées peuvent ensuite être évaluées sont nécessaires.
selon leur niveau de compétence actuel, après quoi des exigences

P P2 - I N TÉG R ER L A C O N TI N U IT É D ’ ACT I VITÉ

• Le recrutement d’une personne expérimentée est nécessaire.
de formation et de sensibilisation supplémentaires pourront alors
être définies. Les exigences devraient correspondre au rôle de la • Des compétences spécifiques sont requises pour une courte
personne au sein du programme de continuité d’activité et à son période seulement et peuvent provenir d’un prestataire de
poste dans l’organisation. services externalisés.

Certaines organisations offrent une formation Des activités de formation et de sensibilisation devraient
modulaire sur l’intranet, ce qui permet au être planifiées ou revues, selon le cas, à la lumière des
personnel de seulement compléter les sections conclusions de l’analyse des lacunes. Voici quelques types
qui leur sont applicables. d’activités possibles :

• Activités de formation et de sensibilisation internes

Voici d’autres moyens de déterminer les besoins en (y compris des exercices, s’il y a lieu).
formation et sensibilisation :
• Options d’autoapprentissage.
• Revoir la documentation, y compris les politiques et procédures
• Séances de formation ou de sensibilisation externes.
existantes, les rapports d’incident et les comptes rendus des
précédents exercices de continuité d’activité. • Mentorat (offert aux membres certifiés du BCI).
• Recueillir les observations du personnel, y compris au moyen • Conférences, ateliers et séminaires.
d’entretiens avec la Direction.
• Cours académiques.
• Observer et passer en revue les méthodes de travail actuelles.

• Les rapports d’audit interne et externe, notamment les aspects

Il est important de documenter toute formation
non conformes qui pourraient avoir été signalés dans le cadre
suivie dans le cadre du programme de continuité
d’un processus de certification.
d’activité. Cette formation doit être consignée dans le
dossier de formation de la personne en question. Dans
certaines organisations, une rémunération supplémentaire
Une analyse des lacunes est généralement
ou une reconnaissance non pécuniaire est fournie aux
effectuée au début d’un projet. Elle permettra
membres des équipes sur appel.
d’évaluer ce qui est actuellement en place par rapport à
l’ensemble des exigences qui seront utilisées pour la
mise en œuvre.

33
 BCI Good Practice Guidelines 2018 Edition

La revue de compétences après les activités de formation et • Exigences des parties intéressées concernant l’accessibilité de
de sensibilisation peut être évaluée à l’aide des éléments l’information et des services, y compris la conformité aux normes
suivants : pertinentes.

• Tests oraux ou écrits.

Exemples de ressources pour les campagnes de formation et de
• Auto-évaluation. sensibilisation :
• Observation des individus ou des équipes. • Sites Web, blogues et groupes de médias sociaux traitants de la
continuité d’activité et à la résilience.
• Évaluation pendant l’encadrement ou le mentorat.
• Livres, journaux et autres publications du secteur d’activité.
• Participation à des exercices conçus pour évaluer la compétence.
• Conférences, ateliers, webinaires et séminaires.
• Encadrement de groupe.
• Forums et groupes de travail régionaux.
• Reconnaissance des qualifications académiques.
• Groupes de travail du secteur d’activité.
• Reconnaissance des titres professionnels et des activités
de perfectionnement professionnel continu, par exemple le Le contenu et la diffusion de toute communication visant à
programme CPD du BCI. sensibiliser les gens au programme de continuité d’activité devraient
être soigneusement examinés. La coordination et la collaboration
avec d’autres services et domaines sont recommandées afin de
Exemples de renseignements consignés à propos
s’assurer de la cohérence du message et d’une gestion efficace des
des compétences :
ressources. Par exemple, une réunion d’information combinée sur la
• Dossier de formation du personnel, notamment la participation à sécurité, la continuité d’activité et la santé et sécurité peut être plus
des cours, séminaires et conférences. informative et efficace que des réunions d’information distinctes.

• Formation et qualifications académiques. La communication doit être brève et pertinente, mais elle doit fournir
les moyens d’accéder à des sources d’informations supplémentaires.
• Expérience précédente pertinente.

• Compétences ou habilités démontrées pendant un entretien. Voici quelques sujets de communication propices à la
sensibilisation :
• Titres professionnels.
• Un rapport basé sur un exercice récent qui décrit le scénario et les
• Évaluations du personnel.
points d’apprentissage.

• Un test de reprise TIC effectué dans un site alternatif, pouvant

Les activités de formation et de sensibilisation devraient comporter une photo et les observations des participants.
prendre en compte ce qui suit :
• Des observations sur un incident récent qui a touché l’organisation.
• Tous changements dans les processus de l’organisation
• Des exemples d’incidents réels liés à la continuité d’activité.
susceptibles de modifier les priorités ou les opérations de
l’organisation.

• Lois ou règlements applicables au programme de continuité

d’activité.

• Tous changements dans les menaces réelles ou perçues et les

vulnérabilités.

34
 © The Business Continuity Institute, 2019

Résultats et revues

Résultats de l’intégration de la continuité d’activité : Le but de l’intégration de la continuité d’activité est

l’inclusion aux activités courantes de l’organisation. La
• Une amélioration du degré de résilience organisationnelle, continuité d’activité est une capacité essentielle et l’un des
mesurée par la réduction de l’impact et de la fréquence des domaines de la gestion qui doit être intégrée, coordonnée
incidents ou l’amélioration globale des interventions. et alignée aux autres domaines afin d’améliorer la résilience
organisationnelle. Il est essentiel que le professionnel de
• Une réduction des coûts liés aux incidents.
la continuité d’activité collabore avec des représentants
• La rétroaction des parties intéressées, plus particulièrement d’autres domaines associés à chaque étape du cycle de vie
du personnel et des clients, indique une plus grande confiance de la gestion de la continuité d’activité. La collaboration est
dans la capacité de l’organisation à gérer les perturbations avec particulièrement importante à cette étape du cycle de vie,
efficacité. où il existe de nombreuses occasions de communiquer les

P P2 - I N TÉG R ER L A C O N TI N U IT É D ’ ACT I VITÉ

avantages d’une démarche coordonnée d’évaluation et de
développement des capacités pour améliorer la résilience
Les résultats de l’intégration de la continuité d’activité organisationnelle.
peuvent être difficiles à quantifier. Toutefois, il est
recommandé d’identifier et d’utiliser les évaluations La démarche d’intégration du programme de continuité
de la performance. d’activité doit être passée en revue régulièrement, à des
intervalles préalablement convenus ou à la suite d’un
Exemples d’évaluation de la performance : changement important tel que défini dans la politique
de continuité d’activité.
• Le pourcentage de revue annuelle complétée.

• L’état de la revue des bilans d’impacts sur l’activité, par service.

• L’état des mises à jour planifiées du plan de continuité d’activité.

• La réalisation des plans de continuité d’activité dans les

délais prévus.

35
 BCI Guide de bonnes pratiques Édition 2018

ANALY
SE
N
TIO
VALIDA

CONC

INTÉGRATION
EPTIO

E
N
M

SE
MM
I

EN
PO

ŒUV
RA

IT RE
G
L

IQ O
UE PR
ET GE E
S TI O N D

36
 © 2019 The Business Continuity Institute

Pratiques professionnelles du BCI

PP3
Analyse

P P2 - EM B ED DI NG B U SI N ESS C O N TINU I TY
L’analyse est la pratique professionnelle dans le cycle de vie de la gestion de la continuité
d’activité qui passe en revue et évalue l’organisation afin d’identifier ses objectifs, son
fonctionnement et les contraintes de son environnement.

37
 BCI Guide de bonnes pratiques Édition 2018

Introduction
La technique principale utilisée pour l’analyse de la continuité évaluant les répercussions dans le temps d’une perturbation
d’activité d’une organisation est le bilan d’impact sur l’activité réelle ou éventuelle de cette activité sur la livraison de
(BIA). Le professionnel de la continuité d’activité a recours au produits et services.
BIA pour définir les exigences de l’organisation en matière de
Les exigences en matière de continuité d’activité peuvent
continuité d’activité. Il y a quatre types de BIA :
être définies comme étant les délais, ressources et capacités
• Le BIA initial. nécessaires pour continuer de fournir les produits, services,
processus et activités prioritaires à la suite d’une perturbation.
• Le BIA produits et services.
Une appréciation du risque doit être entreprise à cette étape
• Le BIA processus.
de sorte que les mesures d’atténuation puissent ensuite être
• Le BIA activités. identifiées à l’étape de la conception du cycle de vie de la
gestion de la continuité d’activité.
Il y a de nombreuses façons d’entreprendre un BIA. Les
organisations ne sont pas tenues d’effectuer les quatre Une compréhension approfondie de l’organisation peut être
types de BIA. Une combinaison de ce qui précède constitue acquise au moyen de ces techniques d’analyse et peut souvent
parfois l’approche la plus appropriée dépendant de la taille, révéler à la Direction des inefficacités et des possibilités
la complexité et du type d’organisation ainsi que le domaine d’amélioration. Cela peut fournir une excellente occasion
d’application du programme de continuité d’activité. de collaboration entre les domaines de gestion connexes en
vue d’améliorer la résilience. Il est donc important de bien
Le BIA définit les exigences en matière de continuité d’activité identifier les personnes invitées à contribuer aux BIA, qui ne
et fournit l’information permettant d’identifier les solutions seront pas uniquement des individus directement impliqués
de continuité d’activité les plus appropriées. Le BIA identifie dans les processus ou les activités.
l’urgence de chaque activité entreprise par l’organisation en

Bilan d’impact sur l’activité

Principes généraux
Les types de BIA fournissent progressivement de plus en plus de détails et de compréhension de l’organisation.
Voici les types de BIA qui peuvent être utilisés :

BIA initial : BIA produits BIA processus : BIA activités :

Fournit une analyse de haut et services : Trouver le ou les Identifier et définir les
niveau qui peut servir à Identifier et définir les processus requis pour la priorités entre les activités
élaborer un cadre pour les priorités entre les produits livraison des produits et qui fournissent les produits
BIA plus détaillés. Il peut et services et déterminer services prioritaires de et services prioritaires et
également servir à clarifier les exigences de l’organisation. déterminer les ressources
le domaine d’application du l’organisation en matière nécessaires pour assurer la
programme de continuité de continuité d’activité sur continuité de ces activités.
d’activité (ce qui n’est le plan stratégique.
généralement nécessaire
que la première fois qu’une
organisation fait un BIA).

Selon sa taille, sa complexité et son type, l’organisation peut choisir de combiner ces différents types de BIA.

38
 © The Business Continuity Institute, 2019

Concepts et hypothèses
Le BIA n’est pas une activité qui s’exerce qu’une seule fois ou en Dans ce contexte, le mot « inacceptable » désigne le moment
une seule étape. Au départ, il peut aider à préciser le domaine où l’organisation échouera ou ne parviendra plus à poursuivre
d’application du programme de continuité d’activité. Par la ses activités prioritaires.
suite, il devient une partie intégrante du cycle de vie en continu
visant à confirmer les exigences en matière de continuité Les effets défavorables sur l’organisation peuvent être de nature
d’activité, menant à l’identification et la sélection de solutions de financière, réputationnelle, légale ou réglementaire ou peuvent
continuité d’activité. Le BIA peut servir à poser des questions aux être liés au fait que l’organisation n’atteint pas ses objectifs
membres de la Direction concernant les objectifs et priorités de stratégiques.
l’organisation en matière de produits et services.
L’expression « objectif de délai de rétablissement » désigne
La BIA tient compte à la fois des produits et services fournis par la durée après un incident durant laquelle un produit ou un
une organisation et des processus, activités et dépendances qui service doit être repris, ou une activité doit être reprise, ou des
garantissent la livraison de ces produits et services. ressources doivent être rétablies. (Source : ISO 22301:2012)

• Les produits et services sont définis comme étant les La terminologie qu’une organisation utilise dans le BIA importe
« résultats fournis par une organisation au bénéfice de ses peu; il s’agit plutôt de savoir à quel moment la perturbation
clients, ses destinataires et les parties intéressées. » aura des conséquences inacceptables. Les mots « critique »,
(Source : ISO 22301 : 2012) « critique à la mission » et « clé » sont souvent utilisés pour
qualifier les produits et services, les processus, les activités
• Un processus est décrit comme un « ensemble d’activités et les ressources requises après un incident. Ces mots sont

P P 3 - A N ALYS E
corrélées ou interactives qui transforme des éléments d’entrée souvent compris comme voulant dire « important », mais cela
en éléments de sortie. » (Source : ISO 22301 : 2012) Un peut entraîner des malentendus et des exagérations lors de la
processus peut être divisé en un certain nombre d’activités. collecte de renseignements aux fins du BIA. On pourrait aussi
Par exemple, il peut viser la fabrication (de l’arrivée des aboutir à la supposition incorrecte que les plans ne sont pas
marchandises à leur livraison), la gestion des placements exigés pour des activités « non critiques » ou un personnel
ou la collecte des déchets. « non essentiel ». Il est donc recommandé de remplacer ces
expressions par « activités prioritaires », que l’on définit comme
• Une activité est définie comme étant une ou plusieurs tâches étant des « activités auxquelles la priorité doit être donnée à la
exécutées par, ou pour une organisation, qui réalise ou soutient suite d’un incident afin d’en atténuer les impacts ». Source : ISO
la livraison d’un ou plusieurs produits et services. Par exemple, 22301:2012)
effectuer un contrôle de la qualité, faire des visites à domicile,
émettre des factures et répondre à des appels par l’entremise Toute personne qui participe au déroulement d’une activité
d’un centre de service. (employés, entrepreneurs, bénévoles et autres) revêt de
l’importance à un moment donné. Toutefois, l’accent doit être
Le degré de détail auquel les activités devraient être analysées mis sur le personnel dont l’absence aurait des conséquences
dépend de leur complexité et de la durée maximale tolérable inacceptables immédiates ou quasi immédiates.
de perturbation (DMTP), de la durée maximale d’interruption
acceptable (DMIA) et des objectifs de délai de reprise (RTO). Il se peut que dans certaines organisations les renseignements
Les activités similaires peuvent être regroupées. soient sensibles au regard du marché ou du secteur d’activité
et qu’ils ne doivent pas être visibles pour le professionnel de la
Les expressions « durée maximale tolérable de perturbation » et continuité d’activité. Le fait de ne pas avoir ces renseignements
« durée maximale d’interruption acceptable » servent à décrire ne devrait pas empêcher la réalisation du BIA, mais pourrait
le « temps nécessaire pour que les impacts défavorables pouvant affecter la précision de ses résultats finaux et
résulter de la non-fourniture d’un produit/service ou de la non- devrait être indiqué dans les conclusions.
réalisation d’une activité, deviennent inacceptables ».
Source : ISO 22301: 2012)

39
 BCI Guide de bonnes pratiques Édition 2018

Processus
1.
Définir la priorité 2.
des produits et services Définir la priorité
de l’organisation en des processus nécessaires
établissant le DMTP à la livraison des produits
pour chacun. et services les plus urgents
Le processus
de l’organisation; au besoin,
du BIA se
définir les activités qui
résume comme
composent ces processus.
suit :

3.
Définir la priorité
des activités qui fournissent
les produits et services les
plus urgents et déterminer les
ressources nécessaires pour
s’assurer de la continuité de ces
activités à la suite d’un incident,
et leur interdépendance.

4.
Effectuer une
5. analyse finale ou un
Demander à la regroupement d’analyses,
Direction d’approuver ce qui devrait mener à
les résultats l’établissement des exigences
du BIA. en matière de continuité
d’activité.

Au moment d’effectuer un BIA, les éléments suivants • La méthode utilisée doit être suffisamment robuste pour garantir
devraient être pris en compte : que les renseignements sont recueillis de manière uniforme et
impartiale. Cette façon de faire permet de s’assurer qu’aucune
• Le domaine d’application du programme de continuité d’activité personne ne surestime ou ne sous-estime le caractère urgent de ses
pourrait être précisé, voire modifié, à la suite des conclusions activités.
initiales du BIA.
• Seuls des renseignements pertinents aux fins de l’analyse devraient
• La prévision des effets au fil du temps devrait démontrer à la être recueillis.
Direction à quelle rapidité l’organisation devrait répondre en cas
de perturbation. • Les impacts n’ont pas besoin d’être déterminés avec précision; ils
peuvent être estimés.
• Une approche uniforme d’exécution du BIA devrait être utilisée
dans toute l’organisation.

40
 © The Business Continuity Institute, 2019

Méthodes et techniques

Les méthodes utilisées pour effectuer le bilan d’impact sur les documents pertinents. Les documents peuvent fournir des
l’activité varient d’un secteur à l’autre et d’une organisation renseignements supplémentaires qui aideront à réaliser le BIA.
à l’autre.
Voici des exemples de documents à examiner
Selon sa taille, sa complexité et son type, l’organisation dans le cadre du BIA :
peut choisir de combiner les types de BIA.
Voici des exemples de ces combinaisons : • Renseignements tirés du BIA existants, s’il en est.

• Combiner un BIA produits et services et un BIA processus. • Plan stratégique de l’organisation.

• Effectuer un BIA produits et services et un BIA processus • Rapports annuels.

séparément. • Plans du service ou de l’unité fonctionnelle.
• Effectuer un BIA processus seulement. • Exigences légales ou réglementaires.
Quelle que soit la démarche choisie, les renseignements sont • Accords de niveau de service.
recueillis et enregistrés de la même manière.
• Appréciation du risque ou registres des risques.

Combiner les types d’analyse peut constituer Il existe toute une gamme de produits logiciels conçus pour
un moyen plus efficace d’obtenir une vue vous aider à effectuer un BIA. Bien qu’utiles, ils ne sont pas
d’ensemble des produits, services et processus clés. essentiels. Les principaux avantages de l’utilisation d’un outil
Cependant, une approche combinée peut rendre le processus logiciel sont les suivants :

P P 3 - A N ALYS E
du BIA complexe et difficile; il est donc important de choisir
l’approche la plus appropriée pour l’organisation. • Facilité de compilation des résultats.

• Stockage de l’information.
Les méthodes et techniques utilisées pour recueillir des
• Rapport automatisé des résultats.
renseignements aux fins du BIA comprennent les suivantes :
L’utilisation d’un logiciel ne supprime pas le besoin d’ateliers, de
• Ateliers.
questionnaires et d’entretiens avec le personnel concerné.
• Questionnaires.

• Entretiens. Évaluation des impacts pour déterminer

la DMTP et le RTO
Les ateliers peuvent servir à recueillir en personne des
renseignements auprès d’individus et d’équipes et donnent Les renseignements recueillis aux fins du BIA comprennent la
l’occasion de faire de la sensibilisation et d’intégrer la continuité liste de tous les produits et services, processus et activités, qui
d’activité. Des interdépendances peuvent être identifiées, des sont priorisés en déterminant la durée maximale tolérable de
problèmes soulevés et des solutions explorées. Cette méthode perturbation (DMTP).
peut permettre de recueillir des renseignements dans un délai
plus court que celui des autres méthodes. La DMTP a été atteinte lorsque le niveau de dommages
acceptable a été dépassé et que la défaillance de l’organisation
Les questionnaires peuvent servir à recueillir des renseignements est imminente.
auprès d’individus ou d’équipes sur papier ou par voie
électronique. Ils peuvent être conçus pour recueillir des Par exemple :
renseignements très détaillés et générer une grande quantité de
• La perte de clients vers des concurrents et difficulté pour
renseignements. Le recours à un logiciel pour collecter et analyser
l’organisation à attirer de nouveaux clients.
cette information de manière électronique constitue une
méthode qui convient aux moyennes et grandes organisations. • La réputation de l’organisation est tellement endommagée par
la défaillance de livraison ou la non-conformité aux lois ou aux
Les entretiens peuvent permettre d’obtenir des renseignements
règlements que les parties intéressées ne veulent plus y être
de bonne qualité, mais ils exigent beaucoup de temps et le degré
associées.
de détail de l’information peut varier. Le professionnel de la
continuité d’activité peut mener des entretiens pour discuter des • L’organisation est en faillite ou le sera bientôt en raison des
activités courantes, des besoins en ressources, des obligations et amendes, des pénalités, de la perte de revenus ou de la dépense
des impacts éventuels advenant qu’un incident vienne nuire à la des réserves financières.
capacité de l’organisation d’exécuter les processus et de fournir
des produits et services. • La pression externe des parties intéressées oblige à modifier
de manière importante la composition de la Direction ou la
Pour préparer les ateliers, questionnaires et entretiens, le stratégie de l’organisation.
professionnel de la continuité d’activité doit examiner tous
41
 BCI Good Practice Guidelines 2018 Edition

Les principaux facteurs dont il faut tenir compte pour estimer

la DMTP d’une perturbation de la livraison d’un produit ou Un contrat unique avec un prestataire de services
d’un service sont les suivants : externalisés, assorti de lourdes pénalités pour le
non-respect des délais, peut réduire la DMTP dans l’organisation
• Réduction de la valeur financière ou de la viabilité
pour la durée de ce contrat.
(à court ou à long terme).

• Atteinte à la réputation ou à la confiance des parties intéressées. La durée ou le temps de mise en œuvre du processus ou de l’activité
qui permet de fournir le produit ou service peut constituer un facteur
• Violation des exigences légales ou réglementaires.
significatif dans l’évaluation de la DMTP. Dans le cas des processus ou
• Défaut d’atteindre les objectifs stratégiques de l’organisation. activités qui exigent beaucoup de temps, il pourrait être nécessaire
de faire des hypothèses au moment de définir la DMTP. L’organisation
Dans le BIA, aucune tentative n’est faite pour quantifier l’impact doit déterminer à quel moment de l’activité la perturbation se
d’une perturbation sur les parties intéressées. On évalue plutôt produit et quelle partie du processus ou de l’activité doit être répétée.
l’impact que l’organisation subirait, par exemple, en cas de sanctions
financières ou de mauvaise publicité. Par exemple, une expérience de laboratoire peut devoir être reprise à
partir de zéro si elle est perturbée, tandis qu’un procédé de fabrication
Il est important de tenir compte des délais au moment d’établir peut reprendre à des points divers.
l’impact d’une perturbation sur la livraison de produits et de
services. La Direction devrait décider de ce qui est inacceptable pour La DMTP peut aussi être difficile à déterminer si le résultat de la
l’organisation en fonction de l’impact au fil du temps. perturbation est incertain.

Songez aux exemples suivants :

Pour certains produits et services, dans certains
• L’impact d’un délai dans le temps de réponse dans un centre des
secteurs d’activité, quelques minutes de
opérations d’urgence (COU) dépendra du fait qu’une urgence se
perturbation pourraient n’avoir aucun impact, quelques heures
produise ou non pendant la perturbation.
seraient tolérables, mais une durée supérieure à une semaine
pourrait entraîner la défaillance de l’entreprise. • L’impact d’une perturbation des activités de courtage d’une banque
peut être imprévisible, car les cours du marché peuvent fluctuer
pendant la période de perturbation.
Exemples d’impacts au fil du temps :

• Violation des exigences légales ou réglementaires : par exemple, La DMTP est généralement exprimée en minutes,
amendes et l’atteinte à la réputation résultant de l’omission de en heures, en jours, en semaines et en mois.
payer des dividendes dans les délais attendus.

• Impacts financiers : par exemple, perte de revenu commercial ou

problèmes de trésorerie causés par des paiements retardés, générant
des pénalités dues aux infractions contractuelles.

• Dégâts environnementaux : par exemple, fuites de produits

chimiques en raison de retards d’entretien ou de l’incapacité d’une
organisation à lancer des opérations de nettoyage, aboutissant à une
mauvaise publicité et à des pénalités financières.

• Contretemps sur de grands projets ou lancement d’un nouveau

produit : par exemple, retards sur un projet de développement
entraînant une perte de revenus directe.

• Occasions d’affaires pour des concurrents : par exemple, un

ministère qui échoue à fournir un service, cette fonction étant alors
externalisée à une société privée.

• Répercussions sur la santé d’une défaillance de service qui entraîne

une mauvaise publicité et des pénalités financières.

La variation de la demande de produits et services peut avoir une

incidence sur la DMTP et rendre celle-ci difficile à estimer. En pareil
cas, le BIA devrait surtout porter sur la perturbation des produits
ou services pendant les périodes de vulnérabilité. Mentionnons par
exemple la fluctuation des délais de livraison due à un changement
saisonnier de la demande, à une modification des exigences
réglementaires ou à la disponibilité limitée des ressources.

42
 © The Business Continuity Institute, 2019

Résultats et revues
Bien que la DMTP soit un concept de
planification important, la continuité d’activité
a pour objectif de concevoir et de mettre en œuvre Le résultat global de l’exécution des BIA à chaque niveau
des plans visant à assurer la continuité des produits et est de déterminer les exigences en matière de continuité
services de l’organisation avant que la DMTP ne soit d’activité, ce qui permet à l’organisation d’accroître sa
atteinte. Utilisez le BIA pour identifier les objectifs de capacité à fournir ses produits et services à des niveaux
délai de rétablissement (RTO) pour les produits, services, acceptables prédéfinis à la suite d’une perturbation.
activités et ressources prioritaires; cela permettra à
Le BIA doit être revu régulièrement, à des intervalles
l’organisation d’élaborer des solutions et des plans de
préalablement convenus ou à la suite d’un changement
continuité qui évitent d’atteindre la DMTP.
important tel que défini dans la politique de continuité
d’activité.

Le RTO doit toujours être inférieur à la DMTP. Le RTO pour une

ressource spécifique, par exemple un logiciel, est le RTO le plus
court des activités qui nécessitent cette ressource, à moins
qu’un autre processus ou qu’une solution de contournement
manuelle ne soit viable sans la ressource. Le BIA permet
d’établir le RTO dans le cadre des exigences de continuité
d’activité; toutefois, la solution la plus appropriée pour atteindre
le RTO est choisie à la phase de conception du cycle de vie de la
gestion de la continuité d’activité. En conséquence, il peut être
nécessaire de réviser le RTO selon la solution convenue et des

P P 3 - A N ALYS E
ressources accessibles à l’organisation.

Lorsque les activités et ressources prennent en

charge plusieurs produits et services, l’objectif de
délais de rétablissement (RTO) pris en compte est
le plus court.

L’élaboration des exigences de continuité d’activité devrait

prendre en compte plus que le délai de rétablissement décrit
par le RTO. Le BIA devrait également permettre d’établir le
niveau minimum de capacité à des moments précis. Un terme
commun utilisé pour décrire cette capacité est « objectif
minimal de continuité d’activité » (OMCA).

L’OMCA est le niveau minimal de services et/ou de produits

acceptable par l’organisation pour atteindre ses objectifs métier
pendant une perturbation. (Source : ISO 22301:2012)

Le niveau minimal défini peut être inférieur, égal ou supérieur

au niveau habituel et le produit ou service peut être fourni
selon une approche différente. L’OMCA devrait être atteint dans
un délai défini après une perturbation. Il peut être bon parfois
de fixer plusieurs OMCA dont les délais sont différents après
une perturbation et ce, pour chaque groupe de produit. Quand
l’OMCA est établi en se basant sur les prestataires de services
externalisés, l’objectif doit tenir compte des accords de niveau
de service et des exigences légales ou réglementaires.

43
 BCI Good Practice Guidelines 2018 Edition

BIA initial Processus

Le BIA initial définit l’organisation sur le plan des produits et services

et des processus. C’est une analyse à haut niveau qui peut servir Le processus
à élaborer un cadre aux fins des BIA plus détaillés et à préciser le d’élaboration d’un 1.
BIA initial doit Établir le mandat
domaine d’application du programme de continuité d’activité.
comprendre les et le domaine
Une telle analyse est généralement nécessaire la première fois qu’une tâches suivantes : d’application possible
du BIA initial.
organisation dresse un BIA. Toutefois, il sera peut-être utile de répéter
le BIA initial à la suite d’un changement important survenu dans
l’organisation ou si plusieurs années se sont écoulées depuis le
dernier BIA.

Le BIA initial répond à l’exigence d’amélioration continue du système 2.

ou du programme de gestion de la continuité d’activité. Cette Identifier les produits
technique améliore et affine en permanence les résultats du BIA jusqu’à et services qui peuvent
ce que celui-ci remplisse les objectifs de l’organisation. être regroupés dans
le but de simplifier la
L’objectif minimal du BIA initial est d’identifier les produits et services collecte et l’analyse des
et les processus d’une organisation. Les DMTP peuvent être estimées renseignements..
3.
plus tard dans le processus. Pour s’assurer de la réussite de la mise en Convenir des impacts
œuvre du programme de continuité d’activité, la réalisation en temps dont il faut tenir
utile d’un BIA initial à l’intérieur d’un délai convenable peut être plus compte, comme les
importante que la remise d’un BIA détaillé, si cela crée de la valeur pour impacts financiers et
l’organisation. ceux qui touchent la
réputation. 4.
Convenir et
documenter les
7. impacts au fil du
Identifier les responsables temps liés à la non-
de chaque processus, livraison de produits
comme des experts en et services.
la matière, qui pourront 6.
fournir de l’information Identifier les processus 5.
sur les processus qui permettent de fournir Estimer la DMTP
les produits ou services. de chaque
Ici, il faut prendre en produit et
compte les processus de service.
l’organisation et ceux
du service.
8.
9. Indiquer quand
Soumettre les et comment une
résultats à la perturbation du
Direction pour revue processus pourrait
et approbation. nuire à la livraison des
produits et services. Résultats et revues
Résultats du BIA initial :
• Une liste des produits et services de l’organisation
(regroupés lorsque c’est approprié).
• Les impacts au fil du temps liés à la non-livraison de produits et de
Le BIA initial doit prendre en compte certaines incidences
services.
particulières qui peuvent ne pas être entièrement comprises
par la Direction, notamment les suivantes : • La DMTP estimative pour les produits et services.

• Les retards et les problèmes de capacité. • Une liste des processus qui contribuent à la livraison des produits et
services et des responsables de ces processus.
• La durée ou le temps de mise en œuvre du processus.
• Une liste des dépendances des activités internes et externes.
• Les activités ou les processus non standard ou uniques difficiles • Une liste des produits, services, processus et activités qui ont été
à restaurer et susceptibles de nuire à la continuité du processus. exclus, avec la raison de cette exclusion.
44
 © The Business Continuity Institute, 2019

BIA produits et services Processus

Dans un BIA produits et services, l’organisation identifie ses

produits et services et détermine leur priorité. Le BIA produits Le processus
et services peut aussi servir à examiner et préciser le domaine d’élaboration du
d’application du programme de continuité d’activité sur le plan BIA produits et
des produits et services. services devrait
comprendre les
Le BIA produits et services peut servir à découvrir l’impact tâches suivantes : 1.
d’une perturbation avant la mise en œuvre d’un changement Réévaluer le domaine
organisationnel significatif. d’application du programme
de continuité d’activité
Voici des exemples de changements organisationnels incluant la revue de toutes
importants : les exclusions et prenant
en compte les nouveaux
• Lancement d’un nouveau produit ou service.
produits et services.
• Retrait d’un produit ou service existant.
• Relocalisation ou changement de lieu de l’organisation.
• Changement important dans les activités, la structure ou le 2.
nombre d’employés. Recueillir les
renseignements
• Remplacement d’un fournisseur important ou changement nécessaires à la

P P 3 - A N ALYS E
important dans un contrat d’externalisation. réalisation du BIA
produits et
Le BIA produits et services doit permettre à l’organisation de tirer services.
parti des changements pour améliorer sa capacité de continuité
de ses activités et accroître sa résilience.
3.
Comprendre
l’impact éventuel
des changements
5. 4.
importants dans
Attribuer des
Revue des impacts l’organisation ou dans
6. et des critères
produits et services
son environnement.
Documenter les à des groupes à des
qui permettent
impacts qu’aurait la fins d’analyse.
de déterminer
non-livraison d’une l’OMCA.
gamme de produits
ou de services.

7.
Estimer la DMTP
de chaque groupe
de produits ou de
services.
Résultats et revues
8.
Faire approuver les
résultats du BIA Les résultats du BIA produits et services sont :
produits et services
par la Direction. • Précision ou modification du domaine d’application du
programme de continuité d’activité.

• Liste des produits et services prioritaires de l’organisation.

9. • Évaluation des impacts au fil du temps.

Passer au BIA
processus.

45
 BCI Good Practice Guidelines 2018 Edition

BIA processus
Le BIA processus permet d’identifier les processus requis pour Processus
fournir les produits et services de l’organisation et d’évaluer l’impact 1.
Établir le domaine
qu’aurait une perturbation sur la livraison de ces produits et services.
d’application du
2.
Identifier les
Le BIA BIA processus.
responsables
processus doit
Ce sont généralement les organisations axées sur de chaque
comprendre
les processus, comme celles du secteur processus.
les tâches
manufacturier, qui dressent des BIA processus. Les suivantes :
organisations moins axées sur les processus peuvent décider
de ne pas faire de BIA processus et de passer directement au
BIA activités. Le domaine d’application du BIA
processus peut être établi au moyen des
groupes de produits et services définis
Le domaine d’application du BIA processus peut être lié à celui du BIA dans le BIA produits et services. S’il est
produits et services, qui examine les impacts d’une perturbation pour estimé que le BIA prendra trop de temps,
une ou plusieurs gammes de produits et services. le domaine d’application peut d’abord être
Une organisation peut décider de limiter le domaine d’application du limité à de plus petits groupes de
BIA processus aux processus qui concernent les produits et services produits et services; le reste pourra
prioritaires. être abordé dans un BIA futur.

Le BIA processus prend appui sur les résultats du BIA produits et

services. Il permet d’établir les délais importants qui peuvent être 3.
utilisés pour résumer les impacts de chaque processus. Le BIA Identifier les
processus devrait aussi aider à confirmer les résultats du BIA produits dépendances pour les
et services. processus qui permettent de
fournir les produits et services
Au moment de prendre en compte les impacts selon le temps prioritaires (peut être fait pour
4.
écoulé, les délais pourront être regroupés en intervalles de temps Identifier les employés
plusieurs services à la fois et
appropriés, par exemple
pour simplifier l’analyse, tel que 1 à 4 heures ou 4 à 12 heures. Le doit prendre en compte les
les experts, qui
nombre de groupes et leurs valeurs exactes varient d’un secteur à dépendances à l’échelle de
pourront donner des
l’autre. Dans certains secteurs, les impacts peuvent atteindre des l’organisation et du
renseignements sur
niveaux inacceptables en quelques minutes, tandis que dans d’autres, service).
le processus.
l’organisation peut ne pas subir d’impact inacceptable pour plusieurs
jours après une perturbation.
5.
Recueillir les
6. renseignements
Indiquer comment nécessaires à la
7. une perturbation du réalisation du BIA
La DMTP du groupe Définir le délai dans processus pourrait processus.
de produits servira lequel la perturbation nuire à la livraison des
de guide. du processus devient produits et services.
inacceptable et empêche
la livraison des produits
et services.

12.
8. Publier les
Définir les impacts résultats du BIA
que la Direction n’a processus.
10.
pas pris en compte, Obtenir la
comme les retards et 11.
confirmation du Obtenir l’appui de
les problèmes de responsable du processus la Direction pour les
capacité. 9. de l’exactitude des conclusions du BIA
Tenir compte de la renseignements processus.
durée ou du temps présentés dans le
de mise en œuvre BIA processus.
du processus.

46
 © The Business Continuity Institute, 2019

Résultats et revues

Résultats du BIA processus :

• Une liste des processus qui contribuent à la livraison des • La DMTP, RTO et RPO, s’il y a lieu, pour chaque processus.
produits et services prioritaires de l’organisation dans le
cadre du domaine d’application du programme de continuité • Une liste de tous les processus que l’organisation a externalisés
d’activité. et qui, par conséquent, présentent un risque accru. Des accords
de niveau de service et des revues plus fréquentes devraient
• Une liste des interdépendances entre les processus. être envisagés pour ces processus.

P P 3 - A N ALYS E

47
 BCI Good Practice Guidelines 2018 Edition

BIA activités
Le BIA activités permet d’identifier les activités qui contribuent au On présume souvent que les ressources nécessaires après une
processus ou aux processus qui fournissent directement les produits perturbation seront inférieures à celles utilisées pendant les activités
et services et de déterminer leur priorité. courantes, du moins pendant un certain temps. Toutefois, dans
certains cas, des ressources plus importantes que prévu peuvent être
Le BIA activités est l’outil qui permet à l’organisation de recueillir nécessaires pour gérer les retards.
des renseignements détaillés à propos des ressources requises
pour poursuivre les activités qui favorisent l’atteinte des objectifs Par exemple, dans un centre d’appels, des employés supplémentaires
stratégiques de l’organisation. pourraient être nécessaires pour gérer le volume d’appels croissant
après un incident, et les systèmes informatiques de soutien
Les dépendances vis-à-vis les fournisseurs externes et les prestataires pourraient nécessiter une plus grande capacité pour faire face au
de services externalisés peuvent être déterminées à ce niveau, nombre supplémentaire d’utilisateurs.
lors de la détermination des exigences de ressources. Il convient
généralement d’identifier des dépendances communes, par exemple L’organisation devrait aussi fixer des points de récupération des
les services publics (électricité, eau, télécommunications et autres) données (RPO) pour bien comprendre la manière dont une perte
pour l’activité, car elles affectent la plupart des processus. de données pourrait affecter le rétablissement et la disponibilité de
copies papier (s’il y a lieu).
Les renseignements suivants devraient être recueillis
aux fins du BIA activités : Le point de récupération des données (RPO) désigne le point à
partir duquel les informations utilisées par une activité doivent être
• Processus soutenus par l’activité (s’il y a lieu). restaurées afin de permettre son fonctionnement au rétablissement.
Il peut également être désigné en tant que « perte maximale de
• Méthodes opérationnelles de l’activité. données ». (Source : ISO 22301 : 2012)

• Durée ou temps de mise en œuvre de l’activité. Certaines activités ne peuvent tolérer aucune perte de données; alors
que certaines autres peuvent fonctionner correctement avec la perte
• Fluctuation de la demande ou périodes de pointe. de certaines données. Très peu d’activités peuvent fonctionner de
manière adéquate sans données, ou avec des données qui ne sont
• Facteurs pas encore découverts susceptibles d’avoir une incidence pas à jour. Il convient de reconnaître que différents utilisateurs de
sur la détermination des exigences en matière de continuité données peuvent nécessiter différents délais pour leurs RPO. Le RPO
d’activité, par exemple les retards ou les exigences légales et relatif à une information ou à un ensemble de données particulières
réglementaires de cette activité. est le RPO le plus court requis par tous les utilisateurs.

Les renseignements détaillés des exigences concernant les

ressources afin de poursuivre les activités sont regroupées
dans les catégories suivantes :

• « les personnes.

• les informations et les données.

• les bâtiments, l’environnement de travail et les utilités associées.

• les installations, les équipements et les consommables.

• les systèmes de technologies de l’information et de la

communication (TIC).

• le transport.

• le financement.

• les partenaires et fournisseurs ».

(Source : ISO 22301:2012)

48
 © The Business Continuity Institute, 2019

Le processus
Processus BIA activité doit
comprendre les 1.
tâches suivantes : Identifier et déterminer
la priorité des activités
qui contribuent au
processus ou aux
processus qui fournissent
les produits et services
prioritaires.

2.
Recueillir les renseignements
nécessaires à la réalisation du BIA
activités, notamment les suivants :
• compréhension des détails relatifs aux
activités et des informations sur les
interdépendances ; 3.
• compréhension des RTO Tenir compte de toutes
propres aux activités; les activités supplémentaires
susceptibles d’être générées

P P 3 - A N ALYS E
• liste des exigences en matière de ressources
pendant une perturbation,
pour poursuivre les activités au niveau
y compris la nécessité
convenu et à l’intérieur des
d’éliminer les retards.
DMTP et des RTO.

4.
Faire approuver
par le responsable de
5. l’activité l’exactitude
Obtenir l’appui
des renseignements.
de la Direction pour
les conclusions du
BIA activité.

Résultats et revues

Résultats du BIA activités :

• Une liste des activités qui contribuent aux processus et qui sont • Compréhension des ressources requises pour offrir le niveau de
nécessaires pour livrer les produits et services. service convenu.

• La DMTP et RTO ainsi que leur justification pour chaque activité, • RPO pour les données et les copies papier.
ce qui devrait déterminer les priorités des solutions liées à
chaque activité. • Documentation des interdépendances internes et externes pour
les activités prioritaires.
• Une liste des dépendances de chaque activité, interne et
externe.

49
 BCI Guide de bonnes pratiques Édition 2018

Appréciation du risque et des menaces

La gestion de la continuité d’activité est définie comme étant un Concepts et hypothèses
processus de gestion holistique qui identifie les menaces potentielles
pour une organisation ainsi que les impacts que ces menaces, si Si l’organisation est dotée d’une fonction de management du risque,
elles se concrétisent, peuvent avoir sur les opérations... (Source : ISO il se peut que des renseignements susceptibles de soutenir son
22301:2012) programme de continuité d’activité existent déjà. Le professionnel
de la continuité d’activité doit collaborer avec les professionnels
Le BIA évalue les impacts en fonction du temps que la non-livraison
du risque de l’organisation, s’il y a lieu. L’organisation ne doit pas
des produits et services aurait à la suite d’une perturbation et établit
nécessairement être dotée d’une fonction du management du risque
les exigences en matière de continuité d’activité.
pour réussir l’appréciation du risque dans le cadre d’un programme
Le professionnel de la continuité d’activité a recours à des techniques efficace de continuité d’activité.
d’appréciation du risque afin d’identifier les niveaux de risque
inacceptables et les points de défaillance uniques. Les renseignements L’appréciation du risque comprend généralement des méthodes qui
et les méthodes d’appréciation du risque qui servent à évaluer la permettent d’identifier, d’analyser et d’évaluer une gamme de risques
menace de perturbation permettent de concevoir des solutions pertinents pour l’organisation. Un pointage de risque est calculé au
efficaces en matière de continuité d’activité et des mesures moyen d’une formule basée sur la probabilité et l’impact.
d’atténuation. L’appréciation du risque est définie comme étant l’ensemble
des processus d’identification des risques, d’analyse du risque et
d’évaluation du risque. (Source : ISO Guide 73)
Principes généraux Les méthodes d’appréciation du risque peuvent être efficaces
À l’étape de l’analyse, le BIA est généralement effectué en premier au moment d’analyser les risques connus et prévus; toutefois, le
de sorte que l’appréciation du risque et des menaces ainsi que les professionnel de la continuité d’activité doit être conscient des
mesures d’atténuation puissent être axées sur les activités prioritaires limites des techniques d’appréciation du risque qui sont utilisées pour
de l’organisation et les ressources consacrées à ces activités. On évaluer les menaces et les causes des perturbations.
peut ainsi parvenir à maximiser les avantages d’un investissement et
En général, les perturbations importantes surviennent peu
réduire la fréquence ou l’impact des perturbations.
fréquemment; les estimations fondées sur la probabilité d’une
Le risque se définit comme étant « l’effet de l’incertitude sur menace sont donc fondées sur des ensembles de données et
l’atteinte des objectifs ». (Source : ISO Guide 73). d’information historique limités, ainsi que sur la période visée.
La menace se définit comme étant la cause potentielle d’un incident
indésirable susceptible de porter préjudice à des individus, à un
système ou un organisme, à l’environnement ou à la communauté. Les méthodes d’appréciation du risque prennent
ISO 22300 : 2012) généralement en compte des délais courts et
pertinents au processus de planification organisationnelle.
Les perturbations comme les éruptions volcaniques ou les
inondations qui se produisent une fois par siècle, qui sont des
événements peu fréquents à impacts élevés, peuvent ne pas
être prises en compte.

50
 © The Business Continuity Institute, 2019

Processus
L’appréciation du risque dans le cadre du programme de
continuité d’activité prend en compte le risque de perturbation
attribuable à diverses menaces. Ce Guide de bonnes pratiques fait
référence à ce processus comme l’appréciation du risque et des Principales étapes
menaces. d’une appréciation
du risque et des
Le professionnel de la continuité d’activité bénéficiera d’une menaces dans le cadre
bonne vue d’ensemble du management du risque et devra utiliser du programme de 1.
sa connaissance de l’organisation et de son environnement continuité d’activité : Dresser la liste des
pour décider du temps à dédier à l’appréciation du risque et menaces internes et
des menaces, ainsi que du niveau de détail qui convient à externes connues et
l’organisation. prévues.

Le professionnel de la continuité d’activité doit 2.

avoir accès aux renseignements énoncés dans Estimer l’impact
le registre des risques de l’organisation. Il doit collaborer de chaque menace
sur l’organisation.
avec le professionnel du management du risque ou avec le 3.
service, selon le cas. Déterminer la

P P 3 - A N ALYS E
probabilité qu’une
perturbation
De nombreuses organisations effectuent une exploration de survienne pour
l’horizon à des intervalles convenus. L’exploration de l’horizon chaque menace.
est une activité qui sert à surveiller et à identifier les menaces
potentielles d’une organisation et prend en compte les
4.
changements à long terme et les tendances sous-jacentes. Les
Calculer le pointage
renseignements obtenus grâce à l’exploration de l’horizon sont de risque pour chaque
utiles à l’étape de l’appréciation du risque dans le cadre du menace en combinant
programme de continuité d’activité. les pointages d’impact
et de probabilité.

L’organisation peut envisager d’utiliser un service

ou système de surveillance, des sites Web de
nouvelles et des médias sociaux dans le cadre de ses
activités d’exploration de l’horizon. 5.
Déterminer la
priorité des menaces
selon le pointage de
6. risque des activités
Identifier les zones prioritaires.
de risque inacceptables,
qui peuvent
comprendre des points
de défaillance uniques.
8.
Utiliser les renseignements
issus de l’appréciation du risque
et des menaces pour établir
les options d’atténuation à la 7.
phase de conception du cycle Communiquer
de vie de la gestion de les résultats aux
la continuité d’activité. parties intéressées
concernées.

Des exemples de matrices d’appréciation du risque sont présentés aux tableaux 3 et 4.

51
 BCI Good Practice Guidelines 2018 Edition

Les tableaux ci-après sont des exemples de matrices simples 3x3 d’appréciation du risque. De nombreuses organisations
utilisent des matrices plus détaillées (4x4 ou 5x5), qui peuvent produire des pointages de risque plus précis (par exemple,
extrême, élevé, moyen, faible).
Tableau 3.
Impact de la Durée Financier Réputationnel Santé et sécurité
perturbation

Note - Les catégories d’impact et les exemples doivent être précis et pertinents pour l’organisation.

3 - Majeur Plus de 5 jours Coût ou perte de Atteinte nationale à la Possibilité de blessures

revenu supérieur à réputation / perte du permanentes et de
1M$ soutien de la clientèle décès
ou de la collectivité

2 - Modéré De 2 à 5 jours Coût ou perte de Atteinte à la réputation Possibilité de blessures

revenu allant de ou perte du soutien graves (hospitalisation)
100 000 $ à 1 M $ de la clientèle ou de la
collectivité à l’échelle
régionale

1 - Mineur Jusqu’à 1 journée Coût ou perte de Atteinte à la réputation Possibilité de blessures

revenu de moins de ou perte du soutien mineures (arrêt de
100 000 $ de la clientèle ou de la travail)
collectivité à l’échelle
locale

Tableau 4.
Probabilité de perturbation 3 - Probable 2 - Possible 1 – Improbable

3 - Majeur Fréquent / au moins une Peu fréquent / une fois par Exceptionnel / une fois par
fois par période de 3 ans période de 10 ans période de 30 ans

La combinaison du pointage de probabilité avec le pointage d’impact pour chaque menace produit le pointage de risque
(élevé, moyen ou faible).

3 - Impact majeur Élevé Élevé Moyen

2 - Impact modéré Élevé Moyen Faible

1 - Impact mineur Moyen Faible Faible

Méthodes et techniques Les organisations souhaiteront peut-être utiliser les

sources de renseignements suivantes dans le cadre de
leur appréciation du risque :
Si l’organisation est dotée d’une fonction de
management du risque, il est conseillé de collaborer • Risques et menaces identifiés dans le cadre du BIA
avec les professionnels du risque afin d’adapter les processus.
méthodes d’appréciation du risque existantes au • Risques et menaces identifiés dans le cadre d’exercices
programme de continuité d’activité. précédents.
• Incidents antérieurs que l’organisation a vécus et qui sont
consignés dans le registre des risques ou dans d’autres
Les renseignements relatifs à l’appréciation du
rapports d’incident.
risque peuvent porter sur la fréquence et
l’impact des perturbations passées. On peut créer une • Incidents antérieurs vécus dans le secteur d’activité ou la
matrice de risques en regroupant les pointages d’impact région géographique.
dans des catégories d’impact qui se rapportent à • Renseignements ou rapports sur les menaces et
l’organisation, par exemple, financière, environnementale, perturbations passées.
réputationnelle, légale ou réglementaire. Il convient
de s’assurer que les évaluations d’impact décrivent • Activités d’exploration de l’horizon.
adéquatement les conséquences des perturbations. • Documents accessibles au public portant sur les dangers
locaux connus.

52
 © The Business Continuity Institute, 2019

Résultats et revues

Les résultats de l’appréciation du risque et des menaces • Une liste des mesures possibles qui permettent de réduire la
dans le cadre du programme de continuité d’activité sont : fréquence ou l’ampleur de l’impact des menaces prioritaires.

• Sensibilisation à la gamme de menaces potentielles Le processus d’appréciation du risque et des menaces peut
susceptibles de perturber les activités de l’organisation. être en continu, selon la taille, la complexité et le type de
l’organisation. Toutefois, les méthodes utilisées devraient être
• Une liste des menaces classées par ordre de priorité selon revues régulièrement, à des intervalles préalablement convenus
le risque de perturbation des activités de l’organisation. ou à la suite d’un changement important tel que défini dans la
politique de continuité d’activité.
• Une liste des risques inacceptables et des points de
défaillance uniques.

Analyse finale et regroupement de l’information

Après avoir dressé tous les BIA, il est recommandé d’effectuer

une analyse finale afin de regrouper l’information recueillie et de
finaliser les exigences en matière de continuité d’activité.

P P 3 - A N ALYS E
Cette analyse finale doit permettre de remettre en question
et de vérifier l’information pour s’assurer qu’elle est :

• Correcte, précise et fiable.

• Crédible et raisonnable.

• Cohérente, claire et reproduisible.

• Actuelle, à jour et disponible rapidement.

• Complète. (Source : ISO/TS 22317:2015)

Cette analyse finale et ce regroupement devraient produire

les résultats suivants :

• Confirmation des impacts au fil du temps.

• Examen et confirmation des dépendances et exigences en

matière de ressources.

• Regroupement des exigences en matière de ressources, par

exemple, entre les processus, les structures organisationnelles
ou les sites.

• Examen et confirmation des interdépendances entre les

processus et les activités et le lien qui existe entre elles et la
livraison de produits et services. (Source : ISO/TS 22317:2015)

Une fois l’information regroupée, le professionnel de la continuité

d’activité doit soumettre pour revue et approbation les résultats
du BIA à la Direction. Cela se fait généralement dans un rapport
sommaire du BIA afin de mettre en évidence les principales
conclusions et permettre la conception de solutions de continuité
d’activité et de mesures d’atténuation.

Le BIA doit être revu régulièrement, à des intervalles

préalablement convenus ou à la suite d’un changement
important tel que défini dans la politique de continuité d’activité.

53
 BCI Guide de bonnes pratiques Édition 2018

ANALY
SE
N
TIO
VALIDA

CONCE

INTÉGRATION
PTION

E
MM

SE
M
I

EN
PO

ΠUVRE
RA

IT G
L

IQ O
UE PR
ET GE E
S TI O N D

54
 © 2019 The Business Continuity Institute

Pratiques professionnelles du BCI

PP4
Conception

P P2 - EM B ED DI NG B U SI N ESS C O N TINU I TY
La conception est la pratique professionnelle du cycle de vie de la gestion de la continuité
d’activité qui identifie et choisit les solutions appropriées qui définissent la manière dont la
continuité et le rétablissement des activités seront assurées en cas de perturbation. L’étape
de l’analyse permet d’établir les exigences en matière de continuité d’activité et l’étape
de la conception permet de trouver les solutions à mettre en œuvre pour répondre à ces
besoins de la meilleure manière possible.

55
 BCI Guide de bonnes pratiques Édition 2018

Introduction
À cette étape du cycle de vie de la gestion de la continuité Dans le cas des organisations qui mettent en œuvre un
d’activité, le professionnel de la continuité d’activité devrait programme de continuité d’activité pour la première fois,
concevoir des solutions qui permettent à l’organisation de l’étape de la conception permet de recenser et de choisir
répondre en cas d’incident et de continuer d’exercer ses les solutions qui remplissent les exigences en matière de
activités prioritaires. continuité d’activité établies à l’étape de l’analyse.

Les exigences qui soutiennent la mise en œuvre de chaque Pour les programmes existants, l’étape de la conception doit
solution de continuité d’activité proposée sont établies et considérer les tâches suivantes :
les plus appropriées sont choisies en consultation avec la
• Passer en revue les solutions existantes pour s’assurer que
Direction. Certaines solutions dépendront des fournisseurs,
les options les plus appropriées et les plus rentables sont en
de leurs chaînes d’approvisionnement et des prestataires de
place.
services externalisés.
• Identifier et choisir les solutions nécessaires pour s’adapter
Une partie importante de cette étape du cycle de vie de
aux changements qui surviennent dans les activités
la gestion de la continuité d’activité consiste à regrouper
prioritaires ou aux impacts en fonction du temps identifiés
les solutions choisies pour s’assurer que les occasions de
à l’étape de l’analyse. Il s’agit par exemple d’un changement
collaboration à l’échelle de l’entreprise sont prises en compte
dans les exigences légales ou réglementaires auquel
avant de passer à l’étape de mise en œuvre.
l’organisation doit s’adapter.
Les mesures d’atténuation proactives sont conçues pour faire
• Maintenir ou améliorer la capacité.
face aux risques et menaces recensés à l’étape de l’analyse.
Des mesures d’atténuation peuvent être mises en œuvre pour
protéger l’organisation et réduire l’impact des perturbations
sur les activités prioritaires.

Concevoir des solutions de continuité d’activité

La conception de solutions qui permettent à une organisation Concepts et hypothèses
de poursuivre ses activités après une perturbation repose sur les
exigences en matière de continuité d’activité définies dans le BIA et Les organisations qui sont déjà dotées d’un programme de continuité
sur les résultats de l’appréciation du risque et des menaces. d’activité peuvent avoir conçu et mis en œuvre des solutions qui ne
sont plus pertinentes en raison de l’évolution des menaces.

Quelle que soit la solution conçue, il convient non seulement de

Principes généraux remplir les exigences en matière de continuité d’activité, mais
également de prendre en compte les interdépendances recensées, en
Les exigences en matière de continuité d’activité et les résultats de particulier lorsque les solutions reposent sur les fournisseurs et leurs
l’appréciation du risque et des menaces sont revus et des solutions de chaînes d’approvisionnement.
continuité d’activité appropriées sont conçues.
Par exemple, un fournisseur dont les équipements deviennent
Une fois les solutions conçues, la Direction doit convenir des solutions
indisponibles pourrait ne plus être en mesure de respecter le RTO
les plus appropriées et des projets devraient être amorcés pour mettre
ou de fournir le service. Sans accord de niveau de service, cette
en œuvre ces solutions.
indisponibilité pourrait ne pas être découverte tant que le plan de
On utilise souvent le rapport prix-performance et le rapport coût- continuité d’activité ne sera pas déclenché.
bénéfice pour guider la Direction au moment de choisir les solutions
les plus appropriées.
Des accords de niveau de service peuvent être
mis en place avec les fournisseurs afin de prendre en
Le choix des solutions peut également être influencé
charge les solutions choisies. Ces accords peuvent offrir une
par les exigences légales ou réglementaires ou par la
certaine assurance que l’organisation sera informée de tout
décision commerciale d’acquérir un avantage concurrentiel.
changement dans la chaîne d’approvisionnement afin d’éviter
les conséquences indésirables.

56
 © The Business Continuity Institute, 2019

Les organisations qui disposent d’un programme de continuité Lorsque des renseignements supplémentaires sont requis pour
d’activité et celles qui mettent en œuvre un programme pour la soutenir la prise de décisions, une analyse coûts-bénéfices peut
première fois disposeront probablement déjà d’un certain niveau être utilisée. L’analyse coûts-bénéfices permet d’obtenir des
de capacité de continuité. La conception ou la reconception renseignements détaillés sur les coûts de mise en œuvre et de
de solutions de continuité d’activité est nécessaire lorsque les maintenance de la solution et les compare aux bénéfices.
capacités de continuité actuelles ne répondent pas aux exigences
établies à l’étape d’analyse du cycle de vie de la gestion de la
continuité d’activité.
Si le coût n’était pas pris en considération, il
L’écart entre la capacité actuelle et les exigences en serait possible de concevoir et de mettre en
matière de continuité d’activité indique l’une ou l’autre des œuvre une solution ou une gamme de solutions parfaite.
possibilités suivantes : Dans la pratique, il y a toujours un compromis entre le
coût et la rapidité de rétablissement. En règle générale,
• Une lacune qui fait en sorte qu’une exigence n’est pas remplie, plus le RPO et le RTO sont courts, plus le coût de la
ce qui crée un risque opérationnel. solution est élevé. En conséquence de quoi l’objectif
doit être de s’assurer de trouver un équilibre entre ses
• Un surinvestissement qui fait en sorte que la capacité est
capacités de continuité et de reprise d’activité et des
supérieure à ce dont l’organisation a besoin. Cela peut présenter
coûts raisonnables et abordables selon ses budgets.
des opportunités pour réduire le coût et la complexité des
solutions existantes.

P P 4 - C ON C E P T IO N
Le professionnel de la continuité d’activité devrait trouver les
solutions potentielles à ces lacunes de concert avec les personnes
ayant un rôle dans le programme de continuité d’activité, par
exemple le groupe de pilotage de la continuité d’activité et
les représentants des services. Ce processus devrait comporter
un examen des leçons tirées de toute perturbation ou de tout
changement important dans l’organisation, dans le secteur
d’activité ou aux sites visés par le domaine d’application.

57
 BCI Guide de bonnes pratiques Édition 2018

Processus

1.
Identifier et
2.
documenter la capacité
Le processus de Identifier des solutions appropriées
de continuité existante
conception de qui permettent d’atteindre chaque
de l’organisation (si ce
solutions devrait RTO, RPO et OMCA.
n’est pas déjà fait).
comprendre les Cela pourrait inclure :
étapes suivantes : a. Trouver de nouvelles solutions qui comblent les
lacunes et répondent aux exigences en matière de
continuité d’activité.
b. Passer en revue les solutions existantes en
3. matière de continuité d’activité afin de vérifier si
Au besoin, adapter ces solutions sont les plus appropriées et les
les solutions selon un plus rentables. Cela peut impliquer une
niveau de rétablissement réduction de la capacité si celle-ci
par paliers. Cela peut être est supérieure aux besoins
4. guidé par les exigences de l’entreprise.
Analyser les solutions de l’OMCA.
pour l’efficacité et le coût.
Des coûts approximatifs
peuvent être utilisés à cette
étape pour faciliter la
prise de décision.

6.
5. Regrouper les solutions choisies
Fournir une évaluation par type de ressources.
de la gamme de solutions Ce regroupement exige les étapes suivantes :
à la Direction et soumettre
a. Combiner les exigences en matière
les solutions retenues
de continuité des solutions choisies.
à l’approbation de la
Direction. b. Passer en revue les exigences applicables
aux solutions choisies pour s’assurer qu’elles :
• Sont uniformes dans toute l’organisation.
• N’entrent pas en conflit les unes avec les
autres ou avec les politiques de l’organisation.
• Sont réalisables.
c. Passer en revue les exigences
applicables aux solutions choisies afin de:
• Identifier des opportunités d’optimiser les ressources.
• Identifier des opportunités d’améliorer
l’acquisition de ressources et la logistique de
7. leur livraison pendant une perturbation.
Fournir à la
Direction une évaluation
des exigences regroupées
et des exigences
budgétaires pour
l’approvisionnement.

8.
Obtenir l’accord
de la Direction de fournir
les ressources financières
9.
Établir les projets
nécessaires à la mise en
requis pour mettre
œuvre des solutions
en œuvre les
convenues.
solutions convenues.

58
 © The Business Continuity Institute, 2019

Méthodes et techniques

Il existe de nombreuses solutions de continuité d’activité bien Acquisition post-incident : Lorsque les RTO des activités
établies qui peuvent être utilisées dans une organisation. prioritaires sont mesurés en jours ou en semaines, les
organisations peuvent envisager une solution de continuité
Ces solutions comprennent les suivantes : d’activité selon laquelle les ressources nécessaires sont acquises
après la perturbation. Cette solution repose sur l’organisation
Diversification : Séparer les activités et ressources et effectuer
disposant d’une liste prédéfinie des ressources prioritaires
des activités en direct sur deux sites ou plus, de sorte que les
requises. Elle dépend également de la capacité des fournisseurs
activités puissent se poursuivre en cas de perturbation sur un site
à fournir une quantité de ressources nécessaire et d’une qualité
donné. Cette solution peut être coûteuse et ne pas protéger une
appropriées dans des délais acceptables. Cela ne constituerait
organisation si la perturbation ne se limite pas à un seul endroit
pas une solution appropriée lorsque des ressources spécialisées,
ou à une seule zone. Il faut s’assurer, au moment de concevoir
telles que du matériel, des installations, des équipements ou des
cette solution, que le site puisse effectivement prendre en charge
compétences, pourraient s’avérer difficiles à obtenir ou dont les
les tâches supplémentaires transférées du site perturbé. Cela peut
délais de réalisation sont supérieurs aux RTO identifiés.
impliquer la suspension des opérations non essentielles au site
alternatif jusqu’à ce que le site perturbé soit rétabli. Une telle Ne rien faire : Cette solution propose d’attendre après l’incident
solution convient plus particulièrement lorsque le RTO se mesure pour décider des mesures à prendre. Cela peut constituer une
en minutes ou en heures plutôt qu’en jours. solution appropriée lorsque les RTO sont mesurés en semaines ou
en mois, ou lorsqu’il est impossible, trop difficile ou trop coûteux
Duplication : La duplication des ressources pour permettre
de fournir des installations alternatives ou des ressources de
un rétablissement rapide des activités est une variante de la
remplacement avant un incident.
diversification. Le site répliqué est maintenu dans un état de

P P 4 - C ON C E P T IO N
préparation élevé avec toutes les ressources requises en place. Il Le professionnel de la continuité d’activité devrait toujours
ne devient opérationnel que lorsqu’il est nécessaire de prendre en documenter les raisons pour lesquelles la solution qui consiste à
charge les activités transférées du site perturbé. ne rien faire a été choisie, afin d’éviter les différends ou conflits
en cas d’incident.

Une solution de site alternatif pré-équipée

et pouvant être activée dans un très court délai
Les organisations trouveront généralement
peut également être qualifiée de « site branché ».
que le meilleur résultat provient de la
Toutefois, cette solution peut s’avérer coûteuse, car
combinaison de plusieurs solutions de continuité
elle implique de disposer de ressources en place mais
d’activité, de sorte que les solutions reflètent la priorité
non utilisées jusqu’à ce qu’elles soient nécessaires à la
et les RTO des processus et des activités. Cette approche
continuité d’activité.
combinée permet également d’allouer à l’avance des
ressources limitées aux solutions de continuité qui
prennent en charge les activités les plus prioritaires, tout
Cette solution de continuité d’activité peut convenir lorsque le
en fournissant des solutions à faibles coûts initiaux, voire
RTO varie de quelques heures à quelques jours, pourvu que le
nuls, pour les activités moins prioritaires.
personnel puisse être déplacé vers le site alternatif à l’intérieur
des RTO des activités. Toutefois, le personnel doit être à la fois
capable et disposé à travailler loin de son site principal pendant
Les solutions et leur mise en œuvre peuvent nécessiter des
une durée indéterminée.
compétences techniques autres que celles d’un professionnel de
Réserve : Lorsque le RTO permet un temps de réponse plus long, la continuité d’activité. En pareil cas, il peut être nécessaire de
mesuré en jours plutôt qu’en heures, une solution envisageable demander conseil à des experts d’autres disciplines ou services.
peut consister à disposer d’un site alternatif activable dans le Par exemple, il faudra peut-être recourir à des spécialistes en TIC,
délai du RTO. Cette solution peut être qualifiée de « site tiède » en approvisionnement, en gestion des stocks ou en planification
et convient particulièrement lorsque l’organisation peut accéder des capacités pour trouver des solutions et les mettre en œuvre.
à une installation temporairement fermée, mais qui peut être
réactivée et devenir opérationnelle dans un court délai. Cette
solution repose sur le fait que le personnel est à la fois capable et
disposé à travailler loin de son site principal pendant une durée
indéterminée.

Une solution de site alternatif « tiède » peut

convenir à des activités moins prioritaires qui
peuvent être suspendues temporairement après une
perturbation afin de laisser le temps nécessaire pour que le
« site tiède » soit réactivé et préparé pour l’occupation.

59
 BCI Good Practice Guidelines 2018 Edition

Exemples de solutions de continuité d’activité pour les exigences concernant les ressources
Les tableaux ci-après présentent diverses solutions pour quelques exigences concernant les ressources :

Bâtiments et environnement de travail Tableau 5.

Solution de continuité Travail au bureau Télétravail

d’activité
Les activités d’un service sont complètement à
Locaux séparés où la même activité se déroule en distance ou une combinaison où certains employés
Diversification
parallèle. travaillent à distance (télétravail) et d’autres
travaillent au bureau.
Locaux séparés qui disposent de toutes les Le télétravail est possible et prêt à tout moment; le
Duplication installations nécessaires pour entreprendre une matériel de bureau et les TIC sont accessibles, bien
activité, mais qui ne sont pas utilisés actuellement. qu’ils ne soient pas utilisés à l’heure actuelle.
Locaux séparés qui disposent de certaines des
installations nécessaires pour entreprendre une Le télétravail peut être préparé après une
Réserve
activité, mais des installations supplémentaires configuration simple ou une acquisition partielle.
seront nécessaires pour entreprendre l’activité

Des locaux appropriés peuvent être acquis, qu’ils Le télétravail n’est généralement pas prêt, mais il
Acquisition post-incident soient munis ou non des installations nécessaires peut le devenir grâce à l’acquisition de matériel de
pour entreprendre une activité. bureau et de TIC.

Personnes Tableau 6.

Diversification Personnes qui se trouvent dans des lieux distincts et qui exercent la même activité simultanément.

Personnes qui se trouvent dans des lieux distincts qui sont expérimentées et capables d’exercer la même
Duplication
activité, mais qui ne le font pas encore.
Personnes situées dans un autre endroit qui ont été formées à la même activité, mais qui ne sont pas
Réserve
encore expérimentées et qui auront besoin de conseils.
Personnes externes qualifiées pour entreprendre une activité qui peuvent être embauchées ou les
Acquisition post-incident
employés internes qui peuvent être formés pour entreprendre une activité.

Systèmes et données de technologie de l’information et de la communication Tableau 7.

Diversification Deux copies d’un système et de ses données sur des sites distincts, synchronisés et actifs.

Copie fonctionnelle d’un système et de ses données conservées sur un site distinct qui est synchronisé
Duplication
périodiquement avec la version en direct et qui nécessite une commutation pour entrer en fonction.
Copie fonctionnelle du système conservée sur un site distinct et sauvegarde de ses données qui doit être
Réserve
chargée et testée avec une commutation manuelle pour pouvoir entrer en fonction.
Copies de sauvegarde du système et de ses données qui doivent être installées sur le matériel acquis après
Acquisition post-incident
l’incident.

60
 © The Business Continuity Institute, 2019

Équipements Tableau 8.

L’équipement opérationnel dupliqué est détenu dans un lieu distinct, avec un transfert automatique
Diversification
de l'un à l'autre.
Une copie exacte non opérationnelle de l’équipement est conservée dans un lieu distinct, pouvant
Duplication
être rapidement mise en service.

Réserve L’équipement de remplacement est entreposé dans un lieu distinct et doit être rendu opérationnel.

Acquisition
L’équipement peut être acquis auprès d’un fournisseur.
post-incident

Consommables Tableau 9.

Les articles en double sont conservés dans des lieux distincts, les stocks étant fournis à partir des deux
Diversification
sites.

P P 4 - C ON C E P T IO N
Duplication Les articles en double sont conservés dans un lieu distinct qui n’est pas utilisé actuellement.

Les articles de remplacement sont conservés dans un lieu distinct qui peut servir après certaines
Réserve
modifications.

Acquisition post-incident Articles qui peuvent être acquis auprès d’un fournisseur.

Fournisseurs Tableau 10.

Diversification Fournisseurs distincts qui fournissent actuellement le même produit ou service.

Un autre fournisseur qui a déjà été engagé pour fournir le même produit ou service que le fournisseur
Duplication
existant, mais ne le fait pas actuellement.
Un fournisseur pouvant fournir le même produit ou le même service que le fournisseur existant et qui
Réserve
a préalablement accepté de le faire au besoin, mais aucun contrat n’est actuellement en vigueur.

Acquisition post-incident Fournisseurs auxquels on peut demander de fournir un produit ou un service.

Les solutions de continuité d’activité pour d’autres types de ressources s’intègrent généralement dans un ou plusieurs des exemples
ci-dessus.

61
 BCI Good Practice Guidelines 2018 Edition

Autres considérations
Télétravail : De nombreuses organisations ont adopté des politiques Financement : Il est essentiel de planifier le financement à court
et des technologies qui permettent au personnel de travailler loin de et à long terme du personnel et de l’organisation en cas d’incident.
leur lieu de travail principal. Cet arrangement peut être régulier ou Des accords devraient être conclus avec les banques et des actifs
temporaire et est une variante de la solution de réserve. Lorsque le facilement accessibles susceptibles de financer l’organisation en
télétravail est possible, il offre aux organisations d’autres options à cas de perturbation devraient être identifiés. L’organisation doit
inclure dans la combinaison de solutions de continuité d’activité. également déterminer et documenter les modalités de paiement
des membres du personnel non essentiel qui ne seront pas employés
Les principales exigences en matière de télétravail, quel que soit activement pendant une perturbation prolongée. Il faut notamment
le lieu, sont une alimentation électrique stable et d’autres utilités prendre en compte toute responsabilité légale, réglementaire ou liée
associées, des installations informatiques adéquates, une sécurité au devoir de diligence.
des données appropriée et un espace de travail approprié à l’exercice
des activités. L’organisation doit aussi pouvoir faire face à des Assurance : L’assurance peut compenser financièrement la
besoins d’accès à distance aux TIC inhabituellement plus grands. perte d’actifs, l’augmentation des coûts, le rétablissement et les
responsabilités légales connexes. Il est toutefois peu probable
que l’assurance couvre l’intégralité des coûts d’une perturbation,
Le télétravail a l’avantage d’être isolé pendant un notamment les impacts intangibles comme la perte de clients, de
incident ou une crise lié à une pandémie. Il est aussi personnel ou de réputation. Par ailleurs, il peut y avoir un long délai
efficace lorsque le site de travail ou les trajets domicile-travail entre une perturbation et le versement des prestations d’assurance.
ne sont plus fiables ni sécuritaires, par exemple en cas d’action Il est donc important que les responsables du développement des
collective de revendication, d’attaque terroriste ou de conditions solutions de continuité d’activité connaissent le niveau d’assurances
météorologiques extrêmes. de l’organisation.

L’assurance en cas d’interruption des activités est étroitement liée à

S’il est choisi et mis en œuvre dans le cadre du plan de continuité la continuité d’activité. Ce n’est pas une solution complète, sauf si les
d’activité, le télétravail sera une solution à mettre à l’essai dans le RTO sont mesurés en mois et que des équipements, installations ou
cadre du programme d’exercices. compétences spécialisés sont faciles à obtenir.

Défaillances partielles : Bien qu’on parle souvent de la défaillance Il est important de noter que l’assurance en cas d’interruption
totale d’un site ou d’une installation dans les discussions de d’activité couvre généralement la perte de revenus d’entreprise
solutions, ces dernières devraient, selon le domaine d’application (marges brutes) et les coûts de travail supplémentaires liés aux autres
du programme de continuité d’activité, être souples afin de pouvoir pertes assurables (comme la perte de locaux). Plus récemment,
couvrir les défaillances isolées : par exemple, perte d’un seul système certains assureurs ont commencé à accorder une protection pour
de TIC, perte d’une seule ligne de production ou perte partielle d’un un plus grand nombre de perturbations comme les défaillances
grand bâtiment. des fournisseurs dues à des changements socio-économiques ou
géopolitiques, mais ces contrats d’assurance à portée plus large
Parfois, les solutions aux pannes isolées sont irréalisables. Par peuvent être coûteux.
exemple, lorsque plusieurs systèmes de TIC ou plusieurs lignes de
production sont étroitement liés, ils ne peuvent pas être transférés
séparément.

Dans certains secteurs d’activité, il se peut qu’il n’existe aucune

solution de site alternatif pour remédier à une panne totale du
site, par exemple en cas de perturbation d’un centre de transport
important qu’il serait trop coûteux ou difficile de dupliquer.

Dans de tels cas, le traitement des défaillances isolées ou des

défaillances partielles peut être couvert par un plan de site ou de
système précis.

62
 © The Business Continuity Institute, 2019

Distance sécuritaire : De nombreux incidents, par exemple les Niveaux de service : De nombreuses organisations identifient
tremblements de terre, les feux de forêt, les inondations majeures seulement le niveau de service minimum acceptable pour
et autres catastrophes naturelles peuvent empêcher l’accès à une répondre à leurs obligations immédiates en cas de perturbation.
région géographique suffisamment large. L’organisation doit donc Cet objectif a été défini à l’étape de l’analyse comme étant
planifier une distance adéquate entre ses ressources originales et l’objectif minimal de continuité d’activité (OMCA). D’autres
ses ressources dédoublées. organisations auront identifié des paliers de niveaux d’exigences
concernant les ressources pour permettre une progression du
Les mesures suivantes sont à envisager : niveau de service sur une période donnée, du niveau minimum
acceptable au niveau normal.
• Conserver des copies des ressources vitales dans un lieu éloigné.
Si d’autres sites ou d’autres installations sont visés par la
• Utiliser plusieurs fournisseurs.
solution de continuité d’activité, il est recommandé de prendre
• Dédoubler les activités à différents endroits ou aux sites de des accords de niveau de service (ANS) afin d’officialiser
rétablissement désignés. l’engagement du fournisseur d’une autre installation en cas
d’incident.
Le choix d’une distance sécuritaire permet de définir
l’étendue géographique maximale à laquelle les solutions Détail de la conception : L’étendue et le détail de la conception
de continuité d’activité de l’entreprise peuvent s’appliquer des solutions de continuité d’activité devraient dépendre de
efficacement lors d’un incident. Ce choix doit prendre en l’urgence avec laquelle elles sont requises et de la complexité du
compte les facteurs suivants : produit, du service, du processus ou de l’activité à rétablir.

P P 4 - C ON C E P T IO N
• La stratégie, les objectifs et la culture de l’organisation. Une solution de continuité d’activité détaillée est requise pour
les processus et activités comportant des RTO courts. Moins de
• Le marché cible de l’organisation. précision est nécessaire quand le RTO se mesure en semaines ou
en mois, sauf si jugé nécessaire par l’organisation.
• La distance de déplacement dont le personnel est capable et
disposé à faire pour se rendre au site de relocalisation Systèmes de classement : Certaines organisations peuvent
choisir de classer les RTO des activités et les RTO des ressources.
• Les RTO et les RPO.
Par exemple, un système de classement A/B/C/D peut être
• La situation géographique de l’organisation et sa vulnérabilité utilisé où la catégorie « A » fournit les activités et ressources
aux catastrophes naturelles. prioritaires, en fonction de paramètres tels que le RTO et le
RPO. La catégorie A utilisera les solutions les plus avancées ou
• La façon dont la propagation d’une catastrophe naturelle est sophistiquées par rapport à la catégorie D dont les activités et
susceptible d’affecter l’organisation. Par exemple, un ouragan les ressources nécessitent des solutions moins urgentes et moins
peut avoir un diamètre de plusieurs centaines de kilomètres sophistiquées.
tandis que les inondations sont généralement plus localisées.
Parties intéressées : Plusieurs personnes et groupes peuvent être
• Toutes les exigences légales ou réglementaires existantes affectés par une perturbation. Par exemple, lors d’un incendie, les
relatives à la distance sécuritaire. entrepreneurs peuvent être blessés, les résidents évacués de leur
domicile et les entreprises locales confrontées à une réduction de
Une grande distance géographique diminue généralement leur activité commerciale.
la probabilité que les deux sites soient affectés par le même
incident. Toutefois, cela peut ne pas fournir de protection contre Le niveau de responsabilité de l’organisation dans de telles
les menaces qui ne sont pas propres au site, comme les épidémies situations doit être clairement compris.
et les cyberattaques.
Au moment de concevoir des solutions de continuité d’activité,
l’organisation doit s’assurer que les besoins des diverses parties
intéressées sont identifiés, priorisés et acceptés.

63
 BCI Good Practice Guidelines 2018 Edition

Intervenants d’urgence : L’organisation doit bien connaître les Sous-traitance lors d’un incident : Les prestataires de services
procédures des intervenants d’urgence locaux et pourrait bénéficier externalisés peuvent fournir un produit, un service ou une
d’aborder ces groupes préalablement. Ils peuvent fournir des infrastructure de traitement et reprendre les activités perturbées.
informations utiles à la conception des solutions de continuité La sous-traitance peut être particulièrement adaptée à la
d’activité. Par exemple, les organismes chargés de l’application de la fabrication lorsque le coût supplémentaire lié au dédoublement ou
loi peuvent avoir établi des zones d’exclusion empêchant l’accès aux à l’établissement de sites de secours est trop élevé. Toutefois, dans
bâtiments d’une durée plus longue que le RTO. certaines situations, la seule option de sous-traitance peut être de
faire appel à une organisation présente sur le même marché, qui
Chaîne d’approvisionnement : Les principaux fournisseurs de pourrait être un concurrent. La collaboration avec les concurrents
produits, services ou activités ont été identifiés à l’étape de l’analyse. devrait être envisagée, le cas échéant.
Des solutions pour la perte de ces fournisseurs et la perturbation
subséquente des produits, services et activités devraient être Fiabilité : Lorsque les solutions de continuité d’activité envisagées
identifiées à l’étape de la conception afin de permettre d’atteindre font appel à un prestataire de services externalisés, un compromis
les RTO. entre le coût et la fiabilité du fournisseur externe est souvent
nécessaire. Les ententes peuvent varier d’un accord verbal à un accord
L’organisation devrait envisager que les produits et services requis de niveau de service. Plus le RTO est court, plus la fiabilité de la
puissent ne pas être disponibles sur le marché. Par exemple, il peut livraison sera importante.
exister des restrictions liées à la concurrence ou des contraintes liées
à l’environnement, aux lois, à la qualité, à la sécurité ou à l’éthique. De même, lorsqu’une organisation privilégie l’usage d’un fournisseur
de produits ou de services externe, il convient de s’assurer de la
Les prestataires de services externalisés peuvent être les mieux placés fiabilité du fournisseur et de mettre en place une solution appropriée
pour exécuter les tâches courantes comme le nettoyage, les services en cas de défaillance du fournisseur.
de sécurité et le transport.

64
 © The Business Continuity Institute, 2019

Regroupement
Il est généralement possible de combiner certains éléments du processus de conception pour éliminer les dédoublements et,
ultimement, rendre la conception plus efficace. Les exemples suivants mettent en évidence le concept de regroupement :

Pouvoir d’achat : Si toutes les ressources Logistique : La logistique pour la Conflit : Deux ou plusieurs secteurs
nécessaires sont connues, il est alors plus livraison échelonnée et la réception des de l’organisation peuvent envisager
probable que l’organisation obtienne ressources regroupées provenant de d’utiliser les mêmes ressources dans
de meilleures conditions auprès de son plusieurs services peut également être le cadre de leur solution de continuité
fournisseur que si chaque ressource est simplifiée en effectuant des achats et et seraient donc en conflit en cas
négociée séparément. La tâche de négocier des livraisons groupés. d’incident, par exemple pour l’obtention
l’achat de ressources groupées devrait être de salles de réunion dans un autre
accomplie par des employés expérimentés bureau.
dans les domaines de l’approvisionnement
et de la négociation de contrats.

P P 4 - C ON C E P T IO N
Optimisation : Deux activités ou plus Uniformité : La démarche employée Capacité : Appliquée dans l’ensemble
peuvent nécessiter une même ressource, par pour mettre en œuvre les solutions de l’organisation, une solution de
exemple une imprimante, une photocopieuse de continuité peut être inégale dans continuité, par exemple le télétravail,
ou un projecteur, mais pourraient être en l’organisation, par exemple dans le pourrait ne pas être réalisable avec
mesure de partager ces ressources avec domaine de la sécurité de l’information. Le l’infrastructure existante. Le télétravail
d’autres. Le regroupement peut permettre regroupement peut mettre en évidence les peut fonctionner lorsque seulement
d’optimiser l’utilisation des ressources en ressources supplémentaires qui seraient quelques personnes travaillent à
révélant des occasions de partage. nécessaires pour assurer l’uniformité. distance, mais l’infrastructure ne
supporterait pas que tous les membres
de l’organisation disposant de cette
Il convient de s’assurer que les solutions regroupées ne sont pas en capacité essaient de le faire en
conflit avec d’autres solutions individuelles communes ou uniques, avec même temps. Le regroupement peut
les politiques organisationnelles, avec l’accréditation de fournisseurs ou permettre d’identifier les ressources
avec les exigences légales et réglementaires. additionnelles nécessaires pour faire
face à ce genre de situations.

Résultats et revues

Résultats principaux de la conception de solutions de • Des renseignements suffisants et des solutions claires qui
continuité : permettent de lancer des projets avec le financement et les
ressources appropriés afin de mettre en œuvre les solutions
• Un ensemble de solutions de continuité d’activité approuvées convenues.
par la Direction.
• Un ensemble d’exigences en matière de continuité d’activité
• Une capacité de continuité d’activité fondée sur les solutions concernant les ressources regroupées à utiliser au moment de
convenues, à utiliser au moment de l’élaboration et de la mise l’achat de ressources.
en œuvre des plans.
Les solutions en matière de continuité d’activité devraient être
passées en revue régulièrement, à des intervalles préalablement
convenus ou à la suite d’un changement important tel que
défini dans la politique de continuité d’activité.

65
 BCI Guide de bonnes pratiques Édition 2018

Mesures d’atténuation des risques et des menaces

Des mesures d’atténuation devraient être identifiées et mises en Concepts et hypothèses
œuvre afin de réduire l’impact d’une perturbation des activités
prioritaires de l’organisation. Le professionnel de la continuité La conception de mesures d’atténuation suppose que les avantages
d’activité devrait collaborer avec les professionnels du risque, de la des mesures proposées peuvent être évalués. Pour comprendre les
sécurité physique et de la sécurité de l’information pour développer et avantages, il faut connaître la probabilité de matérialisation de la
mettre en œuvre des mesures d’atténuation appropriées. La résilience menace en incident, ce qui dans bien des cas repose sur des données
organisationnelle peut être renforcée lorsque les domaines de gestion historiques voire sur une simple estimation.
connexes sont coordonnés, non seulement dans l’organisation, mais
Il se peut également qu’il y ait des exigences légales et réglementaires
également avec les fournisseurs et les autres parties intéressées.
pour s’assurer que les organisations adoptent des mesures
d’atténuation appropriées. Pour ce qui est des activités prioritaires
externalisées ou dépendantes de fournisseurs, des mesures devraient
Principes généraux être envisagées et une analyse coûts-bénéfices doit être effectuée
dans le cadre de l’évaluation. Des frais supplémentaires pourraient
Les mesures choisies devraient cibler les niveaux de risque
être engendrés lorsque des prestataires de services externalisés sont
inacceptables, les points de défaillance uniques et les principales
impliqués.
menaces qui pèsent sur les activités prioritaires de l’organisation.
Toutes ces mesures sont définies à l’étape de l’analyse du cycle de vie
de la gestion de la continuité d’activité.
Les attentes des parties intéressées et les accords contractuels avec
les fournisseurs devraient être pris en compte au moment de choisir Processus Les étapes
les mesures les plus appropriées. Quel que soit le risque ou la menace principales de
décelé dans la chaîne d’approvisionnement, c’est à l’organisation qu’il l’évaluation
des mesures
incombe de remplir les exigences qu’elle s’est fixées en matière de
d’atténuation des
continuité d’activité.
risques sont :
1.
Passez en revue les
résultats du bilan d’impact sur
l’activité et l’appréciation du risque
et des menaces afin d’établir les
niveaux de risque inacceptables, les
points de défaillance uniques et 2.
6. les menaces qui pèsent sur Identifier les mesures qui
Établir et mettre les activités prioritaires de peuvent être prises afin de
en œuvre des projets l’organisation. réduire la probabilité ou
pour chacune des l’impact d’une perturbation
mesures d’atténuation sur les activités prioritaires
convenues. de l’organisation.

5.
Obtenir l’accord et 4. 3.
faire approuver par la Direction Analyser Déterminer quels
les mesures d’atténuation les mesures risques et menaces
recommandées; notamment, d’atténuation peuvent être atténués
l’acceptation des risques décelés sur le plan de en mettant en place
et la confirmation de la l’efficacité un plan de continuité
disponibilité des ressources et des coûts. d’activité.
financières et autres.

66
 © The Business Continuity Institute, 2019

Méthodes et techniques Des directives supplémentaires peuvent être

obtenues à partir de normes et lignes directrices
Analyse coûts-bénéfices : Une analyse coûts-bénéfices de management du risque internationales et nationales
peut être utilisée pour évaluer les mesures d’atténuation en comme la norme ISO 31000 : 2009. D’autres associations
comparant le coût de la mesure avec les bénéfices probables. Au et organisations professionnelles publient également des
moment d’effectuer cette analyse, il convient de déterminer le lignes directrices à propos des bonnes pratiques en matière
délai dans lequel la solution ou la mesure devrait être efficace et de management du risque et de mesures d’atténuation dans
de déterminer la probabilité que la menace se matérialise dans leurs domaines de compétence.
ce délai.

Pour les mesures qui réduisent la probabilité, le bénéfice est Management du risque lié à la chaîne d’approvisionnement :
calculé en estimant la réduction de la probabilité que la menace La menace de perturbation des produits et services de
se matérialise après la mise en place de la mesure d’atténuation l’organisation provoquée par une défaillance des fournisseurs
et en la multipliant par l’impact sur l’organisation advenant que et de leurs chaînes d’approvisionnement peut être réduite
la menace se concrétise, sur le plan des coûts. en s’assurant que les fournisseurs disposent de mesures de
continuité d’activité efficaces et adéquates.
Pour les mesures qui réduisent l’impact, le bénéfice est calculé en

P P 4 - C ON C E P T IO N
estimant la réduction de l’impact de la menace sur l’organisation Cela peut être réalisé en :
sur le plan des coûts, une fois la mesure d’atténuation mise en • Incluant les exigences de continuité d’activité dans les contrats
place, et en la multipliant par la probabilité que la menace se d’approvisionnement.
matérialise.
• Recherchant des preuves de conformité à une norme de
Voici des exemples de mesures concrètes qui peuvent être continuité d’activité reconnue.
mises en œuvre :
• Passant en revue le programme de continuité d’activité de
• Sécurité physique pour prévenir le vol ou l’accès non autorisé. chaque fournisseur pour s’assurer de l’efficacité et de la
pertinence de ce programme.
• Sécurité informatique pour prévenir la perte de données et
• Entreprenant des exercices conjoints avec les fournisseurs.
l’accès non autorisé.
• Convenant des niveaux de service réalistes en cas de rupture
• Systèmes de surveillances pour offrir une alerte rapide en cas d’approvisionnement.
d’incendie, de défaillance des services publics ou du matériel ou
de menaces potentielles.
L’évaluation de la pertinence du programme de
• Gicleurs et systèmes d’extinction d’incendie pour empêcher le continuité d’activité d’un fournisseur ou de la
feu de se propager. sélection des prestataires de services externalisés devrait
avoir lieu avant d’accepter un contrat ou dans le cadre de
• Un réseau de télécommunication résilient pour éliminer les
la gestion de la relation continue avec le fournisseur. À
points de défaillance uniques.
défaut de le faire, toute demande ultérieure d’amélioration
pourrait être considérée comme une modification de
contrat et engendrer une augmentation des coûts. En
plus de demander une preuve de l’existence d’un plan de
continuité d’activité efficace, on peut aussi demander
quels sont les objectifs temporels spécifiques proposés
pour le service (RTO, OMCA et DMTP). Ces objectifs
temporels devraient être alignés avec les exigences en
matière de continuité d’activité de l’organisation.
Résultats et revues

Les résultats principaux de la conception des mesures Les mesures d’atténuation devraient être revues régulièrement,
d’atténuation des risques et des menaces sont des projets à des intervalles préalablement convenus ou à la suite d’un
de mise en œuvre des mesures convenues visant à réduire la changement important tel que défini dans la politique de
probabilité ou les impacts d’une perturbation des activités continuité d’activité
prioritaires de l’organisation.

67
 BCI Guide de bonnes pratiques Édition 2018

ANALY
SE
N
TIO
VALIDA

CONCE

INTÉGRATION
PTIO

E
N

MM
M

SE
I

EN
PO

ΠUVRE
RA

IT G
L

IQ O
UE PR
ET GE E
S TI O N D

68
 © 2019 The Business Continuity Institute

Pratiques professionnelles du BCI

PP5
Mise en œuvre

P P2 - EM B ED DI NG B U SI N ESS C O N TINU I TY
La mise en œuvre est la pratique professionnelle du cycle de vie de la gestion de la continuité
d’activité qui met en œuvre les solutions de continuité convenues à l’étape de la conception. La
mise en œuvre est effectuée en élaborant des plans de continuité d’activité afin de remplir les
exigences et d’appliquer les solutions de continuité d’activité que l’organisation a définies aux
étapes de l’analyse et de la conception du cycle de vie. L’étape de la mise en œuvre comprend
également l’élaboration d’une structure de réponse qui définit les rôles, pouvoirs et compétences
nécessaires à la gestion d’un incident.

L’objectif est de définir et de documenter les priorités, procédures, responsabilités et ressources

qui aideront l’organisation à gérer un incident. Ces tâches devraient assurer la continuité
des activités prioritaires et le rétablissement des activités interrompues au niveau de service
prédéfini (objectif minimal de continuité d’activité) dans les délais impartis.

69
 BCI Guide de bonnes pratiques Édition 2018

Introduction
Bien que le terme « Plan de Continuité d’Activité » (PCA) Chaque incident étant différent, les plans de continuité
semble désigner un document unique, il peut exister à d’activité ne se veulent pas exhaustifs. Les plans devraient être
différents niveaux organisationnels et comprendre des niveaux suffisamment souples pour s’adapter à l’incident particulier
de détail très variés selon les cas. Il peut porter sur l’ensemble qui s’est produit et aux occasions d’opportunités qu’il a pu
ou sur une partie de l’organisation et peut être structuré en créer. Toutefois, dans certains cas, des plans propres à un
fonction de la taille, la complexité ou du type d’organisation, incident sont appropriés pour gérer une menace ou un risque
par exemple, en fonction des produits, des services, du site, de important, par exemple un plan en cas de pandémie ou un plan
la division ou du service. de rappel de produit.

Les exigences principales de la mise en œuvre d’un plan de

continuité d’activité efficace sont les suivantes : Les plans élaborés pour faire face à une
menace ou à un risque précis sont souvent
• Capacité à discerner et à évaluer les menaces existantes appelés « plans de contingence ».
ou potentielles lorsqu’elles surviennent et à déterminer la
réponse la plus appropriée.
De nombreuses organisations peuvent avoir mis en place des
• Avoir une structure de réponse en place permettant procédures d’intervention pour divers types de perturbations.
l’activation, la remontée d’information et le suivi de la Par exemple, elles peuvent s’être dotées de plans d’évacuation,
réponse de l’organisation. de santé et de sécurité, de continuité des services de TIC, de
sécurité physique, de communication en temps de crise et de
• Personnel qui a le pouvoir et les compétences nécessaires à la sécurité de l’information.
mise en œuvre des solutions et des mesures convenues.
De nombreuses perturbations auront un impact important
• Capacité à communiquer efficacement avec les parties sur les organisations et nécessiteront l’activation de
intéressées internes et externes. plusieurs plans de réponse pour gérer efficacement le même
incident. L’organisation pourra intervenir efficacement si les
• Avoir accès aux ressources nécessaires pour soutenir les
professionnels de la continuité d’activité collaborent avec
solutions de continuité convenues.
d’autres professionnels chargés de gérer les interventions dans
leurs domaines de gestion respectifs.

Structure de réponse Principes généraux

L’objectif d’établir une structure de réponse est de s’assurer que La structure de réponse définit ce qui suit :
l’organisation détient un mécanisme pour répondre à un incident
clairement documenté et compréhensible, quelle qu’en soit la cause. • Les personnes et les équipes chargées des activités de réponse.
La structure de réponse établit des systèmes de commande, de suivi • Les rôles et responsabilités des personnes et des équipes.
des opérations et de communication afin d’aider l’organisation à
gérer l’incident et à minimiser l’impact de la perturbation. • Les liens entre les personnes et les équipes.

• Les procédures écrites qui soutiennent les personnes

et les équipes.

Chaque organisation devrait élaborer une structure qui répond à

ses propres besoins. La structure de réponse devrait être alignée
avec la structure de gestion existante, ce qui aidera à intégrer la
continuité d’activité dans l’organisation.

70
 © The Business Continuity Institute, 2019

La continuité d’activité pourra s’intégrer plus Un incident, bien qu’inattendu, crée un niveau
facilement dans une organisation si la structure de perturbation conforme aux conditions et aux
de réponse utilise des termes familiers utilisés dans le limites prévues et peut donc être géré à l’aide de plans
cadre des “activités courantes” de l’organisation, comme élaborés avec ces paramètres à l’esprit. Par exemple, un
les noms d’équipes, les titres et les rôles. plan de continuité d’activité peut être conçu pour traiter
des perturbations opérationnelles dans un bâtiment précis
ou un plan de continuité des services de TIC peut être
Une structure de réponse efficace comporte des mécanismes conçu pour faire face à la perte d’un groupe précis de
qui permettent une communication rapide et précise de serveurs.
l’information aux personnes et aux équipes concernées dans
Une crise implique un niveau de perturbation sévère
l’ensemble de l’organisation. Elle devrait également considérer et
qui dépasse les conditions et les limites prévues; il peut
inclure les fournisseurs externes liés aux activités prioritaires.
aussi s’agir d’une situation imprévue qui n’avait pas été
prise en compte par l’organisation pendant le processus
de planification. Par exemple, une panne de courant
régionale peut perturber simultanément plusieurs
bâtiments et sites opérationnels d’une organisation.
Concepts et hypothèses Une cyberattaque majeure pourrait avoir un impact

P P 5 - MI SE EN ŒU VR E
La structure de réponse d’une organisation doit être souple et simultané sur de nombreux fournisseurs et entraîner une
capable de gérer de nombreux types de perturbations. Il existe perturbation importante et imprévisible de la chaîne
deux principaux types de perturbation : d’approvisionnement d’une organisation.

• l’incident, défini comme étant une situation qui peut être, ou

conduire à, une perturbation, une perte, une urgence ou une Les perturbations peuvent être immédiates et évidentes, mais
crise. (Source : ISO 22300 : 2012) elles peuvent aussi se développer lentement au fil du temps. La
structure de réponse doit comprendre un mécanisme qui permet
• la crise, définie comme étant une situation associée à un niveau
aux personnes et aux équipes d’identifier rapidement un incident,
d’incertitude élevé qui perturbe les principales activités et/ou
de sorte que la situation puisse être évaluée par des employés
nuit à la crédibilité d’une organisation et nécessite une action
expérimentés et autorisés et que l’intervention appropriée ait
urgente. (Source : ISO 22300:2012)
lieu.
Les incidents et les crises sont liés, mais sont nettement
Les principales exigences pour une structure de réponse
différents les uns des autres et nécessitent donc un niveau
efficace sont les suivantes :
d’intervention différent.
• La capacité de discerner et d’évaluer les menaces lorsqu’elles se
L’organisation gèrera probablement les incidents à l’aide de plans
produisent.
et de procédures établis.
• Des procédures claires permettant la remontée d’information
Une crise est une situation imprévisible qui dépasse les
en cas de perturbation actuelle ou imminente.
limites prévues et nécessite une intervention souple, créative
et stratégique. La structure, l’information et les procédures • Personnel et équipes dotées des pouvoirs et de la capacité leur
d’intervention établies dans le plan de continuité d’activité permettant d’élaborer et de prendre des décisions appropriées
devraient être adaptées au moment de répondre à une crise, le lors de l’intervention face à un incident.
cas échéant.
• Procédures clairement définies pour l’activation et le suivi des
opérations de l’intervention d’un incident ou d’une crise.

• Personnel responsable doté des pouvoirs et de la capacité

de mettre en œuvre les solutions de continuité d’activité
convenues, telles que définies dans les plans de l’organisation.

• Capacité à communiquer efficacement avec les parties

intéressées internes et externes.

• Avoir accès aux ressources nécessaires pour soutenir la mise en

œuvre des solutions de continuité.

• Capacité à reconnaître le moment où les principaux fournisseurs

externes devraient être avisés et inclus dans la mise en œuvre
de la solution de continuité.

• Un budget convenu pour soutenir la structure de réponse.

71
 BCI Guide de bonnes pratiques Édition 2018

Il peut y avoir de nombreux types et de nombreux niveaux d’équipes d’intervention dans la structure de réponse d’une organisation. Les
équipes d’intervention devraient aborder les aspects stratégiques, tactiques et opérationnels appropriés à l’organisation. Par conséquent, le
nombre de personnes ou d’équipes, et de plans qui les soutiennent, sont déterminés par la taille, la complexité et le type d’organisation.

Dans certaines organisations, il peut être approprié d’avoir jusqu’à trois niveaux d’équipes dans la structure de réponse. Les équipes
stratégiques, tactiques et opérationnelles d’une structure de réponse exercent des activités différentes, décrites ci-après :

L’équipe stratégique se concentre sur les problèmes stratégiques qui ont une incidence sur les objectifs
fondamentaux de l’organisation, de même que sur ses produits et services. Elle est généralement dirigée par la
Direction. L’équipe stratégique est souvent appelée « équipe de gestion de crise ». Il lui incombe principalement
de faire face à toute crise qui a une incidence sur l’organisation. Comme ces événements sont imprévisibles et très
incertains, ils nécessitent l’intervention souple et créative de gestionnaires expérimentés et ayant les pouvoirs de
mobiliser toutes les ressources de l’organisation. Ceci inclurait notamment des crises n’affectant pas la capacité de
l’organisation à fournir des produits et services, par exemple, les événements susceptibles de nuire à la réputation de
l’organisation. C’est pourquoi les plans stratégiques comportent généralement des plans de communication et des

REMONTÉE D’INFORMATION
SUIVI DES OPÉRATIONS

plans de réponse auprès des médias.

L’équipe stratégique peut également donner des directives de commandement et suivi des opérations dans le cas des
incidents moins graves et apporter du soutien en matière de communication aux équipes tactiques et opérationnelles.

Les équipes tactiques gèrent et coordonnent la continuité des processus requis pour fournir les produits et services
concernés et s’assurent que les ressources sont adéquatement réparties. Elles sont souvent chargées de l’évaluation
et de la gestion des effets à moyen et à court terme d’un incident. Les plans tactiques fournissent un cadre pour la
coordination des objectifs stratégiques et des décisions avec les équipes d’intervention opérationnelle.

Les équipes opérationnelles se concentrent sur la continuité des activités qui contribuent au processus ou aux
processus qui permettent de fournir les produits et services prioritaires. Les équipes opérationnelles s’occupent
des effets immédiats d’un incident en le maîtrisant dans la mesure du possible et en gérant les conséquences
directes. L’intervention opérationnelle établit la capacité nécessaire pour continuer de fournir les produits et services
prioritaires.

Dans certaines organisations, un ou plusieurs niveaux peuvent être combinés en une seule équipe, par exemple une équipe tactique et
opérationnelle combinée.

72
 © The Business Continuity Institute, 2019

Processus

Chaque organisation
doit élaborer une structure de
réponse qui remplit les exigences
de la politique de continuité
d’activité et qui soutient les
solutions de continuité convenues.
Les étapes principales de
l’établissement d’une
structure de réponse sont: 1. 2.
Identifier, comprendre
Identifier le personnel
et travailler à partir
responsable des équipes
de la structure de
ou des plans de réponse
gestion et de leadership
existants et indiquer
existante au sein de
leur rôle.
l’organisation.
3.
Comprendre les

P P 5 - MI SE EN ŒU VR E
exigences et le
domaine d’application
4. du programme de
Tenir compte des continuité
solutions de continuité d’activité.
6. 5. convenues à l’étape de la
Présenter la conception du cycle de
Élaborer une
structure de réponse vie de la gestion de
ébauche de la
à la Direction et la continuité d’
structure de
obtenir ses activité.
réponse.
recommandations.

7.
Mettre à jour la
structure de réponse
9.
Documenter
en fonction des
et publier la
recommandations
structure de
de la Direction.
8. réponse
approuvée.
Faire approuver 10.
la structure de Intégrer la structure
réponse mise à jour de réponse approuvée
par la Direction. dans tout plan de
continuité d’activité
existant.

Dans certaines organisations, des plans d’intervention 11.

pourraient avoir été élaborés et mis en œuvre avant Mettre la structure
l’arrivée de la continuité d’activité. Si c’est le cas, les équipes de réponse à l’essai
dans le cadre des
responsables de la mise en œuvre des plans existants et leurs
exercices de
rôles devraient être intégrées à la structure de réponse.
continuité
d’activité.

73
 BCI Good Practice Guidelines 2018 Edition

Méthodes et techniques Les responsabilités des personnes et des équipes comprises

dans la structure de réponse devraient être documentées et
comprendre les éléments suivants :
La structure de réponse doit inclure toutes les équipes et toutes les
• La mobilisation des équipes.
personnes indiquées dans la politique et le programme de continuité
d’activité de l’organisation. Ces équipes et ces personnes devraient • La procédure de remontée d’information.
représenter tous les aspects de l’intervention d’urgence, de la gestion • L’activation des plans.
de la continuité d’activité et de la gestion de crise. La structure de
réponse doit tenir compte de quelles équipes et quelles personnes • Le commandement et le suivi des opérations.
sont compétentes pour assumer les rôles stratégiques, tactiques et • La répartition des ressources.
opérationnels.
• La gestion des coûts.
• Le bien-être du personnel.
Les éléments suivants sont à envisager :
• La communication avec les parties intéressées.
• La structure de gestion existante. • La surveillance et l’évaluation des incidents.

• Les habiletés, les compétences et les pouvoirs des équipes de • La modification des priorités à mesure que la situation évolue.
réponse et des personnes.
Les compétences et habiletés requises devraient être énoncées et des
• Les canaux de communication et le processus de remontée activités de formation et de sensibilisation appropriées devraient être
d’information. offertes aux personnes assumant les rôles et responsabilités.

• La taille, la complexité et le type de l’organisation, ainsi que Les niveaux de réponse stratégique, tactique et opérationnel
l’infrastructure des processus. fournissent un modèle général pour toutes les organisations; ils
devraient toutefois être mis en œuvre de manière à correspondre à la
• Les solutions de continuité convenues. taille, à la complexité et au type de l’organisation. Le tableau ci-après
montre comment les niveaux peuvent être mis en œuvre dans divers
types d’organisation :

Tableau 11

Stratégique Tactique Opérationnel

Petite organisation, site unique

Dans une petite organisation à site unique, la mise en œuvre de tous les niveaux d’intervention peut être confiée à une seule équipe de
réponse dotée d’un seul plan qui porte sur tous les aspects de l’intervention de l’organisation.

Organisation de taille moyenne

Dans une organisation de taille moyenne, les niveaux d’intervention peuvent être mis en œuvre comme suit :

Habituellement couvert par le plan tactique,

Un seul plan portant sur la continuité
un plan spécifique de continuité de service
Un plan de gestion de crise dont l’équipe de toutes les activités de l’organisation,
est nécessaire pour les TIC en raison des
de réponse est composée de membres de la avec une équipe de réponse composée
détails techniques requis et ils disposent
Direction. de représentants ou chefs des services
d’une équipe technique de rétablissement
correspondants.
des TIC.

Grande organisation
Dans une organisation de grande taille, les niveaux d’intervention peuvent être mis en œuvre comme suit :

Habituellement couvert par les plans

Plusieurs plans portant chacun sur une tactiques individuels. Les principales
division, un produit, un service ou un lieu, fonctions de soutien des ressources
Un plan de gestion de crise dont l’équipe
ayant chacun sa propre équipe de réponse humaines, des TIC, des finances et des
de réponse est composée de membres de la
composée du chef de division ou des chefs sites ou installations comptent parmi
Direction.
de produit ou de service chargés des aspects les exceptions. Chacune de ces fonctions
visés par le plan. possède sa propre équipe de réponse
spécialisée.

74
 © The Business Continuity Institute, 2019

Suite du tableau 11

Stratégique Tactique Opérationnel

Grande multinationale
Dans une grande multinationale, les niveaux d’intervention peuvent être mis en œuvre comme suit :

Un plan global de gestion de crise, avec

une équipe de réponse composée de
Chaque région ou pays peut avoir
membres de la Direction qui ont des Chaque service ou site que le plan
plusieurs plans, chacun couvrant une
responsabilités globales, et un plan de continuité d’activité couvre
division, un produit ou un service
de gestion des incidents pour chaque peut disposer de son propre plan
majeur, avec sa propre équipe de
territoire, avec une équipe de réponse opérationnel détaillé, avec sa propre
réponse composée des représentants
composée de membres de la Direction équipe de réponse composée des
des départements, ou de produits ou de
issus de ces territoires. Les organisations gestionnaires opérationnels du service
services chargés des secteurs visés par
multinationales peuvent également ou du site.
le plan.
se doter d’un autre niveau de plan
stratégique axé sur les régions.

Les professionnels de la continuité d’activité devraient appliquer une combinaison d’expérience commerciale générale, de
connaissances de l’organisation et d’expertise en continuité d’activité pour parvenir à la structure de réponse la mieux adaptée à leur
organisation. Les recommandations des divers utilisateurs du plan et l’analyse des résultats de l’exercice peuvent également aider à

P P 5 - MI SE EN ŒU VR E
améliorer davantage la structure de réponse dans le cadre du processus de validation en cours, comme il est décrit à PP6.

Résultats et revues

Le résultat de l’élaboration d’une structure de réponse est une La structure de réponse est nécessaire pour soutenir
organisation capable de mettre en œuvre une réponse efficace l’élaboration de plans de réponse détaillés, qui devraient
en cas de perturbation. La structure de réponse doit définir ce décrire la mise en œuvre des solutions de continuité de
qui suit : l’organisation.

• Le nombre et le type requis de personnes ou d’équipes. La structure de réponse doit être révisée régulièrement, à
des intervalles préalablement convenus ou à la suite d’un
• La relation entre les personnes et les équipes. changement important tel que défini dans la politique de
continuité d’activité.
• Les rôles et responsabilités des personnes et des équipes.

• Les plans documentés pour soutenir l’intervention.

75
 BCI Guide de bonnes pratiques Édition 2018

Élaborer et gérer les plans

Le terme « Plan de continuité d’activité » est défini comme étant • Des critères d’activation, des procédures et des autorisations, y
l’ensemble des « procédures documentées servant de guide aux compris les procédures de mise en œuvre ci-après :
organisations pour répondre, rétablir, reprendre et retrouver un niveau
- Déclenchement de solutions de continuité.
de fonctionnement prédéfini à la suite d’une perturbation. » (Source :
ISO 22301:2012) - Instructions relatives à la mobilisation des équipes.

Des plans de continuité d’activité peuvent être créés pour remplir • Les rôles et responsabilités de l’équipe de réponse (avec les
les exigences stratégiques, tactiques et opérationnelles d’une remplaçants, le cas échéant).
organisation. Le nombre et le type de plans à mettre en place • Les responsabilités et les pouvoirs individuels des membres des
devraient être déterminés au moyen de la structure de réponse équipes.
et des solutions de continuité d’activité convenues à l’étape de la
conception du cycle de vie. Les plans devraient refléter la structure • Instructions relatives aux mesures immédiates et décisions que les
de gestion existante ainsi que la taille, la complexité et le type équipes devront prendre, par exemple, décider si un alternatif doit
d’organisation. être activé ou non.

• Les exigences et les procédures en matière de communication

concernant les parties intéressées, comme le personnel, les
fournisseurs, les clients et les médias.
Principes généraux
• Les interdépendances et interactions internes et externes, y compris
Les plans sont destinés à être utilisés dans des circonstances les coordonnées (généralement jointes en annexe).
stressantes comportant des contraintes de temps. Un plan convivial
devrait être concis et facile à lire. Les plans ne sont pas des rapports • Des renseignements récapitulatifs (à un degré de détail approprié
et ne devraient pas contenir de renseignements inutiles en cas au plan) à propos des activités prioritaires de l’organisation et des
d’incident. exigences concernant les ressources identifiées à l’étape de l’analyse
du cycle de vie de la gestion de la continuité d’activité, avec
Pour que le plan soit ciblé, précis et facile à utiliser, il doit être : mention des délais de continuité requis.

• Direct : fournir des directives claires, axées sur l’action et qui • Les hypothèses qui définissent les limites du plan relatives au
tiennent compte du temps. Il doit fournir un accès rapide aux domaine d’application, la durée ou l’impact de l’incident.
renseignements vitaux.
• Des listes de contrôle d’aide à la décision.
• Adaptable : permettre à l’organisation de répondre à un éventail
d’incidents, y compris ceux qui n’ont pas été présagés par • Informations relatives aux lieux de réunion.
l’organisation. • Procédures de transfert d’information et de documentation.
• Concis : ne contenir que des conseils, renseignements et outils que • Des procédures de démobilisation de l’équipe et de l’organisation
l’équipe est susceptible d’utiliser en cas d’incident. Tout le reste est lorsque l’incident est résolu.
inutile.
• Des annexes comportant des gabarits qui permettent de recueillir
• Pertinent : fournir des renseignements à jour et utiles à l’équipe qui des renseignements pertinents, par exemple, un journal des actions.
l’utilisera.
• Des renseignements sur l’approbation et la distribution du plan.
Le plan de continuité d’activité doit être mis à jour et rédigé de
manière à permettre au personnel d’accéder rapidement aux Les plans aux niveaux tactique et opérationnel peuvent contenir des
renseignements pertinents. renseignements sur les procédures qui ne peuvent être élaborées
qu’après l’approbation des solutions de continuité à l’étape de la
Les plans devraient avoir un responsable désigné, être coordonnés et conception.
maintenus à jour de manière adéquate.
En revanche, les plans au niveau stratégique ne contiennent
généralement aucun renseignement détaillé sur les procédures. Par
conséquent, ils peuvent être mis en œuvre au début du processus de
continuité d’activité afin de fournir une capacité de réponse initiale
Concepts et hypothèses avant l’élaboration des autres plans.
Chaque plan, quel que soit son niveau, doit contenir les éléments Quel que soit le type de plan en cours d’élaboration, les plans ne
suivants : devraient pas être développés isolément les uns des autres. Il est
• Le but et le domaine d’application. essentiel d’obtenir la participation des utilisateurs des plans dans le
processus d’élaboration et de mise en œuvre, y compris la Direction.
• Des objectifs et des hypothèses.

• La structure de réponse propre à l’organisation.

76
 © The Business Continuity Institute, 2019

Processus
2.
Définir les
objectifs et le
Principales
domaine
étapes lors de 3.
d’application
l’élaboration et 1. du plan.
Créer un processus
la gestion d’un Désigner d’élaboration et
plan : un responsable un budget pour le
du plan. plan, et en obtenir
l’approbation.

4.
Créer une équipe
responsable du
6. développement du

P P 5 - MI SE EN ŒU VR E
Constituer 5. plan (s’il y a lieu).
l’équipe de réponse Définir les responsabilités
dotée des pouvoirs de l’équipe de réponse,
et compétences notamment vis-à-vis des
requises. autres équipes de réponse
7.
Définir la (niveaux stratégique,
structure, le format, tactique et opérationnel,
les composants s’il y a lieu).
et le contenu
du plan.

8. 9.
Recueillir les Rédiger une
données destinées première version
à renseigner du plan. 10.
le plan. Faire circuler cette
version initiale à des
fins de consultation
et de revues.

14. 11.
Élaborer, mettre en 13. Recueillir les
œuvre et planifier le Obtenir l’accord recommandations de
programme d’exercices afin et l’approbation l’étape de consultation
de pratiquer régulièrement
les capacités de réponse
officiellement 12. et de revue.
du plan. Au besoin, modifier
de l’équipe et valider le
le plan à la lumière
contenu du plan.
des recommandations
recueillies.

15.
Convenir d’un calendrier
de maintenance du plan
pour assurer que ce dernier
demeure valide et que
les renseignements de
l’équipe de réponse
sont à jour.

77
 BCI Good Practice Guidelines 2018 Edition

Méthodes et techniques
Les niveaux de perturbation ou les seuils d’impact
Les méthodes et techniques suivantes devraient être adoptées afin
utilisés dans les plans devraient être directement liés
d’élaborer des plans stratégiques, tactiques et opérationnels.
aux produits et services prioritaires de l’organisation et fondés
Gestion des plans sur des mesures liées aux exigences en matière de continuité
d’activité. Par exemple :
Bien que certains plans peuvent appartenir à des services précis,
ceux-ci font partie de l’ensemble du programme de continuité Perturbation ayant un impact sur plus de (x)* clients ou
d’activité de l’organisation. Des copies de tous les documents de utilisateurs pendant plus de (x)* heures ou jours.
continuité d’activité devraient être conservées et maintenues de Perturbation des activités prioritaires de l’organisation pendant
façon centralisée afin de faciliter la supervision de la revue et de la plus de (x)* heures ou jours.
maintenance planifiées des plans.
Perturbation ayant un impact sur les données et les systèmes
Tous les plans devraient être conservés dans des endroits connus et informatiques prioritaires de l’organisation pendant plus de (x)*
sécurisés, accessibles à tous les membres de l’équipe. Si les plans sont heures ou jours.
conservés sur support électronique, l’organisation doit s’assurer qu’ils
sont également disponibles en version papier en cas de perturbation. Perturbation ayant un impact sur un prestataire de services
externalisés clé pendant plus de (x)* heures ou jours.

Rôles et responsabilités Pour être efficaces, les mesures devraient être basées sur
des renseignements susceptibles d’être faciles à identifier et
Le personnel désigné pour faire partie de l’équipe de réponse devrait
accessibles au tout début d’une perturbation.
avoir le pouvoir et la capacité nécessaires pour répondre à un incident
au niveau approprié. Des remplaçants devraient être désignés pour Les mesures supplémentaires du niveau de perturbation
chaque rôle. soutenant l’évaluation d’un incident peuvent être plus difficiles
Les fonctions spécifiques nécessaires au sein de l’équipe et leurs à quantifier, par exemple, les impacts négatifs sur :
responsabilités devraient comprendre : • Le personnel et les autres parties intéressées.
• Le chef d’équipe, qui veille à ce que l’équipe de réponse soit • L’environnement.
mobilisée, informée et dotée du personnel approprié. Il peut
• La réputation de l’organisation.
nommer de nouveaux membres au besoin.
• La conformité aux exigences légales ou réglementaires.
• Les personnes et leur bien-être.
• La communication interne, qui établit et maintient le contact avec le
personnel et les autres équipes de réponse. * L’organisation doit déterminer les niveaux de perturbation
• La communication externe, qui établit et maintient le contact avec ou les seuils d’impact appropriés, selon le cas.
les parties intéressées extérieures à l’organisation, y compris les
Les niveaux de perturbation ou les seuils d’impact devraient être mis
médias.
en œuvre dans les plans stratégiques, tactiques et opérationnels de
• L’exploitation, y compris les finances. sorte que l’organisation adopte une approche cohérente en matière
• Le soutien technique, comme les TIC et les installations. d’identification, d’évaluation et de remontée d’information des
• Le soutien administratif, y compris un responsable de la tenue des menaces et des incidents.
dossiers, afin de tenir un journal de l’information entrante, des Toutefois, les équipes de réponse stratégiques, tactiques et
décisions prises et des actions menées tout au long de l’incident. opérationnelles ne déclencheront pas nécessairement leurs plans
Les plans devraient indiquer clairement quels membres ont la simultanément. L’activation peut débuter au niveau opérationnel et
responsabilité ou le pouvoir de prendre les décisions ou les mesures remonter ensuite au niveau stratégique. De même, elle peut débuter
clés. Toutefois, ces procédures devraient également être souples et au niveau stratégique et diffuser au niveau opérationnel.
adaptables afin de permettre l’absence d’un ou plusieurs membres de Les plans devraient clairement indiquer quels membres détiennent
l’équipe. le pouvoir de déclarer un incident ou une crise et de mobiliser
l’équipe. Les directives devraient être claires et directes et encourager
Activation et mobilisation l’action de l’équipe, même en cas d’incertitude. Il est plus facile de
Le plan doit énoncer les conditions ou les circonstances dans démobiliser une équipe que de la mobiliser une fois que l’incident
lesquelles il doit être activé et l’équipe mobilisée. a atteint des proportions dépassant la capacité de l’organisation à
répondre efficacement.
Ce ne sont pas tous les incidents qui se produisent soudainement,
certains progressent plus lentement avant d’être reconnus comme
des incidents. Les systèmes de notification automatisés peuvent
aider les organisations à communiquer avec un grand
Ceux-ci peuvent inclure, par exemple, les menaces d’action
nombre d’employés, en particulier au début d’un incident.
industrielle, les problèmes médicaux et les ruptures de stock ou
pénuries de la chaîne d’approvisionnement dues à des impacts
environnementaux ou économiques. Lorsque l’organisation commence à se rétablir d’un incident et à
Par conséquent, le plan devrait indiquer les niveaux de perturbation reprendre ses activités, les niveaux de perturbation ou les seuils
inacceptables. Cette information peut faciliter l’évaluation des d’impact peuvent être utilisés pour décider quand déclarer l’incident
incidents et permettre une prise de décision et une remontée « résolu ». Il est important que la procédure de démobilisation soit
d’information rapide par les membres appropriés de l’organisation. mise en œuvre à tous les niveaux, menant à une déclaration formelle
de la fin de l’incident.
78
 © The Business Continuity Institute, 2019

Bien-être du personnel Au moins deux lieux ou deux options devraient être prédéfinis. L’un
d’eux devrait être situé sur le site où l’équipe de réponse est basée
Les organisations sont responsables de la santé, de la sécurité et du
ou à proximité de celui-ci, alors que l’autre devrait se trouver sur un
bien-être de leurs personnels, entrepreneurs, visiteurs et clients (c’est
site plus éloigné.
une exigence légale dans certains secteurs d’activité). Le plan de
continuité d’activité devrait aborder les problèmes liés au personnel
et leurs bien-être. Le personnel de l’organisation sera plus susceptible Le site éloigné n’a pas besoin d’appartenir à
de supporter les demandes supplémentaires imposées lors d’un l’organisation. Avec des dispositions préalables,
incident si ses besoins en matière de bien-être sont satisfaits. un lieu qui offre un accès sécurisé 24 heures sur 24,
Les problèmes énoncés ci-après devraient être inclus dans un plan comme un hôtel ou un bureau équipé, pourra fournir les
de bien-être du personnel dédié ou intégré au corps d’un plan de ressources requises.
continuité d’activité plus général.
Durant un incident et lorsque jugé pertinent, un ou Dans le cas d’un incident à grande échelle ou d’une organisation
plusieurs membres de l’équipe devraient se voir attribuer les multisite, une équipe de réponse virtuelle avec un centre de
responsabilités suivantes : commande virtuel pourrait être plus appropriée. Un centre de
• Évacuation du site. commande virtuel efficace requiert une capacité de communication
• Recensement des membres du personnel et des visiteurs de fiable et un accès en temps réel à l’information par tous les
l’organisation. membres de l’équipe.
• Communiquer avec le personnel et d’autres personnes se trouvant Il est bon de chercher la manière de faciliter les éléments
sur le site. suivants :
• Communiquer avec les services d’urgence. • La gestion des communications entrantes et sortantes.

P P 5 - MI SE EN ŒU VR E
• Configurer les systèmes de communication, par exemple une ligne • L’enregistrement des événements liés à l’incident, des décisions
d’assistance ou des pages intranet. prises par l’équipe, des actions et des enjeux.
• Communiquer avec les proches ou familles. • La surveillance des renseignements publics liés à l’incident.
• Organiser l’aide au transport. • La sécurité physique et de l’information.
Par la suite, des besoins supplémentaires pourraient être pris en La disponibilité des ressources suivantes doit également être
compte, notamment les suivants : prise en compte au moment de configurer une salle de réunion :
• Traiter les enjeux relatifs aux victimes, en consultation avec les
• Une alimentation électrique stable et continue.
services d’urgence et conformément à la réglementation et aux
coutumes locales. • Un nombre suffisant de lignes téléphoniques, d’appareils de
téléconférence et d’enregistrement vocal.
• Offrir des services de conseil et de réadaptation individuels (qui
peuvent être fournis dans le cadre des avantages sociaux existants). • Un ordinateur et une imprimante.
• Assurer la liaison avec les services spécialisés pour gérer les proches • Des téléphones cellulaires, des appareils de communication
et les familles. portatifs avec des moyens de charger les batteries.
• Soutenir les familles (en particulier lorsque les familles ont été • Un accès sécurisé au courrier électronique, à Internet et aux
touchées par l’incident). télécopies.
• Offrir un hébergement temporaire. • Des copies imprimées des plans et des renseignements
• Offrir des services de traduction. indispensables.
• Donner accès à des moyens de retrait d’argent. • Une provision de gabarits de journal de bord;
• Offrir un confort sur les lieux de relocalisation. • Un tableau ou un bloc de papiers et des stylos pour enregistrer
- Sécurité personnelle. les détails de l’incident, ainsi que les actions et les décisions prises
- Personnes qui ont des besoins particuliers. par l’équipe;
- Transport et accessibilité. • Un accès aux éléments suivants :
- Formation appropriée sur les équipements de remplacement. - papeterie;
- Toilettes et douches. - équipement de radio et de télévision;
- Rafraîchissements. - rafraîchissements;
- transport;
Installations pour les réunions d’équipe - hébergement sur place ou à proximité;
Pour gagner du temps et éviter toute confusion lors d’un incident, - toilettes et douches.
chaque équipe devrait connaître à l’avance les lieux de réunion
disponibles (centre de commande). Il faut également définir quels
Certains équipements plus petits et ressources
membres de l’équipe ont le pouvoir de choisir le lieu de réunion le
pour la salle de réunion peuvent être stockés dans
plus approprié en fonction des informations disponibles. Selon la
une « mallette de crise » ou une « boîte à outils » qui est
nature de l’incident, l’équipe peut être réunie de manière continue
conservé en lieu sûr à l’intérieur ou à proximité de la salle de
ou se réunir périodiquement à des moments préalablement
réunion, ou dans tout autre lieu sécurisé et accessible.
convenus au cours de la journée.
79
 BCI Guide de bonnes pratiques Édition 2018

Plans stratégiques
Un plan stratégique ou plan de gestion de crise, est un plan de haut • Concevoir des stratégies à court, à moyen et à long terme selon la
niveau qui définit la manière dont la Direction devrait traiter les nature de la crise ou d’incident.
effets stratégiques résultant d’une crise ou d’un incident. Il comporte
• Gérer les communications avec toutes les parties intéressées, y
des caractéristiques spéciales qui différencient le document des plans
compris les médias.
tactiques et opérationnels.
• Approuver les déclarations externes avant leur publication et, au
Certaines crises ou incidents ne créent aucune perturbation physique besoin, surveiller et rajuster la stratégie de communication.
de l’organisation et peuvent ne pas nécessiter le déclenchement
d’un plan de continuité d’activité; toutefois, ils nécessitent une • Surveiller l’ensemble de l’intervention.
intervention au niveau stratégique, par exemple en cas de fraude • Résoudre les problèmes de mise en œuvre ou les conflits de
ou d’exposition médiatique négative menaçant la réputation de ressources durant la réponse.
l’organisation.
• S’assurer que l’intervention et le rétablissement sont conformes
Ce type d’incident peut entraîner la mobilisation des équipes en aux objectifs à long terme de l’organisation et qu’ils répondent aux
charge de la gestion des secteurs de l’organisation touchés pour gérer exigences légales et réglementaires applicables à l’organisation.
les risques d’atteintes à la réputation de l’organisation. En pareil
• Identifier et maximiser les opportunités ou les avantages résultants
cas, il est presque toujours nécessaire de susciter la participation de
de la crise ou l’incident.
l’équipe du niveau stratégique, ne serait-ce que pour lui faire prendre
conscience de la situation en cas d’aggravation. • Approuver les dépenses importantes.

• Surveiller la santé financière de l’organisation.

Principes généraux • Constater et déclarer la fin de l’incident ou de la crise, démobiliser

les personnes et les équipes et communiquer clairement la fin de
Le plan de niveau stratégique doit fournir des renseignements et l’incident ou de la crise à toutes les parties intéressées.
des directives de haut niveau afin d’aider la Direction ou l’équipe de
gestion de crise. Il devrait traiter des problèmes stratégiques qui ont
une incidence sur les objectifs fondamentaux de l’organisation, de Communication et liaison avec les médias
même que sur ses produits et services prioritaires.
L’intervention dans le domaine de la communication en cas de
Le plan de niveau stratégique devrait également traiter de la nécessité crise ou d’incident est généralement guidée par la Direction, qui
de communiquer avec toutes les parties intéressées touchées ou travaille avec des équipes de communication spécialisées au sein de
appelées à participer, et d’en contrôler les activités. Le contenu l’organisation.
d’un plan de niveau stratégique devrait être adapté à la taille, à la
complexité et au type de l’organisation. Selon la structure de réponse de l’organisation, il peut exister un plan
de communication distinct ou celui-ci peut être inclus dans le plan
Le plan stratégique doit être conçu comme un plan générique de stratégique.
haut niveau. Il devrait comporter des renseignements succincts à
propos des diverses parties de l’organisation et des procédures de Le plan de communication doit :
réponse génériques à l’échelle de l’organisation. L’objectif n’est pas
• Indiquer comment les communications devraient être gérées avec
d’encourager la microgestion d’un incident, mais de fournir à l’équipe
les parties intéressées internes et externes.
stratégique des renseignements concis qui favorisent l’évaluation et
la prise de décision. • Identifier ces parties intéressées internes et externes, consigner
les coordonnées qui permettent de les joindre et, si possible, leurs
exigences ou leurs attentes particulières.
Concepts et hypothèses • Définir les méthodes et canaux disponibles pour communiquer
avec chaque partie intéressée, par exemple, les médias sociaux,
En cas de crise ou d’incident, l’équipe du niveau stratégique est
le courrier électronique, la radio et les journaux.
imputable de la stabilité, de la continuité et de la réputation de
l’organisation. Elle est chargée de la mise en œuvre et de l’adaptation
des activités de réponse afin d’obtenir le meilleur résultat possible
pour l’organisation. Les responsabilités précises de l’équipe du
niveau stratégique à inclure dans le plan sont les suivantes :

• Établir les objectifs stratégiques de l’intervention vis-à-vis la crise ou

l’incident.

80
 © The Business Continuity Institute, 2019

• Inclure un choix de méthodes et de canaux de communication • Prévoir la majeure partie des données requises par les parties
de sorte que l’équipe puisse garantir la disponibilité d’au moins intéressées connues, comme le personnel, les clients et les
une méthode ou un canal. actionnaires.

• Identifier le groupe ou la personne dans l’organisation qui a • Contenir des déclarations écrites à l’avance aux fins de ces
la responsabilité, le pouvoir et les connaissances techniques communications prévues et qui permettent d’adapter les
lui permettant de communiquer via chaque méthode et canal messages à chaque contexte.
disponible. Dans la mesure du possible, les méthodes existantes
• Contenir des réponses aux questions générales qui sont posées
devraient être utilisées pour communiquer avec les parties
dans le cadre de la plupart des incidents ou des crises.
intéressées.
• Contenir une déclaration générale à propos de l’organisation qui
• Décider à l’avance qui sera le porte-parole de l’organisation et
peut être diffusée dans des déclarations publiques.
s’assurer ensuite que :
• Développer un site Web ou des pages Web qui peuvent être
- Le porte-parole a été formé pour son rôle et il est disponible
activés en cas d’incident ou de crise et être utilisés comme
sur place ou peut s’y rendre rapidement pendant un incident ou
point central pour communiquer des renseignements précis et
une crise.
pertinents.
- Le processus de création et de publication des communiqués de
presse est connu, y compris la manière dont ils devraient être
approuvés à l’interne avant leur publication.

P P 5 - MI SE EN ŒU VR E
Liaison avec les médias
- Des personnes sont disponibles pour informer les médias dans
un lieu central et des représentants peuvent être présents sur Le plan stratégique devrait indiquer comment l’organisation gère
les lieux d’un incident ou d’une crise locale. la communication avec les médias. Il devrait garantir que seuls
- Un porte-parole compétent en technologie est désigné, des employés dûment formés peuvent assurer la liaison avec les
s’il y a lieu. médias et communiquer avec les parties intéressées.

• Attribuer la responsabilité de surveiller et de revoir la réponse Tous les plans devraient comporter des instructions pour le
des parties intéressées en ce qui a trait aux communications afin personnel sur ce qu’il doit faire s’il est approché par les médias
d’évaluer et d’apporter des ajustements au besoin. lors d’un incident ou d’une crise.

L’organisation peut choisir de travailler avec des spécialistes Les plans devraient également contenir des renseignements sur
comme les cabinets de relations publiques pour élaborer une les mesures que le personnel de l’organisation doit prendre s’il est
réponse auprès des médias. Certaines organisations peuvent impliqué dans un incident qui attire l’attention des médias ou qui
également tirer parti de l’établissement de relations avec les est susceptible d’attirer une telle attention et sur l’individu vers
principales organisations médiatiques. qui les médias devraient s’adresser.

Le nombre, le type et le degré d’urgence des communications

après un incident peuvent varier considérablement. Le plan de
communication peut accélérer la réponse s’il comprend des
modèles de communiqués ou des déclarations écrites à l’avance.
Le plan de communication peut :

Résultats et revues

Les résultats de l’élaboration du plan de continuité d’activité au • Des éléments de preuve de l’état de préparation de
niveau stratégique incluent: l’organisation, mise à la disposition des parties intéressées.

• Plan susceptible d’aider la Direction en cas d’incident ou de • Plan conforme aux exigences légales et réglementaires.
crise.
Le plan de niveau stratégique devrait être régulièrement
• Plan de gestion des communications avec les parties passé en revue en lien avec les plans tactique et opérationnel
intéressées et les médias en cas d’incident ou de crise. à des intervalles préalablement convenus ou à la suite d’un
changement important tel que défini dans la politique de
continuité d’activité.

81
 BCI Guide de bonnes pratiques Édition 2018

Plans tactiques
Les plans de niveau tactique sont principalement axés sur la • Modifier les priorités et les actions de réponse convenues pour
coordination de la réponse en cas d’incident et facilitent la continuité tenir compte de la situation actuelle, de la conjoncture du
des activités prioritaires. Les plans tactiques devraient fournir marché ou des directives de l’équipe de niveau stratégique.
des directives pour aider l’équipe tactique à analyser l’impact
de l’incident, à mettre en œuvre les solutions appropriées parmi • Demander ou recevoir des mises à jour sur l’avancement et
celles proposées dans les plans, à assurer la continuité des activités d’autres renseignements des équipes opérationnelles.
prioritaires et à fournir des mises à jour de l’avancement à l’équipe • Présenter des comptes rendus à l’équipe de niveau stratégique.
stratégique.
• Mobiliser des prestataires de services spécialisés, par exemple
des entreprises de gestion des dommages ou de reconstitution,
de récupération des données ou de services psychologiques,
Principes généraux selon les besoins.
Les plans tactiques devraient être fondés sur les solutions de
• S’assurer que les personnes et les équipes se démobilisent
continuité d’activité convenues et traiter de la réponse à l’incident de
lorsqu’elles reçoivent l’instruction de le faire.
l’alerte initiale jusqu’à la restauration des activités interrompues. Le
plan tactique doit mettre l’accent sur la coordination des activités des Le plan tactique doit comporter des renseignements détaillés
équipes de réponse impliquées afin de s’assurer qu’elles collaboreront sur les ressources requises par l’organisation, tel que les
efficacement. Lorsque les ressources sont limitées, le plan tactique quantités nécessaires et leurs délais, ainsi que la manière dont
devrait fournir des renseignements qui permettent à l’équipe tactique ces ressources sont obtenues (comme il est indiqué à l’étape de
de répartir les ressources disponibles aux activités prioritaires définies l’analyse). Les ressources pertinentes devraient comprendre :
à l’étape de l’analyse.
• Le personnel.

• Services de bien-être.
Lorsqu’il existe plusieurs plans opérationnels,
l’un des rôles de l’équipe de réponse tactique • Sites alternatifs.
consiste à déterminer la priorité des activités de réponse
pour s’assurer que l’intervention reste ciblée et coordonnée. • Services de sécurité.
L’équipe de réponse tactique peut modifier les priorités et • Technologies, moyens de communication et données.
solutions de continuité d’activité convenues à la demande
de la Direction. • Services de transport et logistique.

• Autres fournisseurs de services prioritaires.

• Coordonnées permettant d’accéder aux ressources.

Concepts et hypothèses • Exigences en matière de ressources pour la continuité de chaque
Les plans tactiques devraient comporter des hypothèses quant à activité prioritaire.
l’ampleur de l’incident en termes d’étendue, de durée et d’impact
sur les activités ou le personnel. Si l’ampleur de l’incident dépasse
les hypothèses, il conviendra alors de le signaler à l’équipe de niveau
stratégique et d’envisager une réponse de gestion de crise.

Les responsabilités précises des équipes d’intervention à inclure

dans les plans tactiques sont les suivantes :

• Coordonner et surveiller la réponse des équipes opérationnelles

impliquées dans l’incident.

• Surveiller les services de soutien fournis aux équipes

opérationnelles, comme les TIC, les ressources humaines,
les installations et les finances.

• Répartir les ressources disponibles selon les quantités

et des délais convenus à l’étape de l’analyse.

82
 © The Business Continuity Institute, 2019

Les autres renseignements à inclure dans le plan tactique Si une solution proposée repose sur l’accès aux ressources
pourraient comprendre: d’un prestataire de services externalisés, il devrait exister un
• Coordonnées de l’organisation. accord de niveau de service et que celui-ci soit revu et validé
conformément au processus de revue du plan tactique. Il est
• Renseignements et coordonnées des principales parties important que de tels arrangements soient inclus dans le
intéressées, y compris les clients et les fournisseurs de services. programme d’exercices.

• Emplacement sécurisé pour les documents juridiques, par

exemple, les contrats, notamment les accords de niveau de
service, et les polices d’assurance. Liaison avec les services d’urgence
• Renseignements sur le site de relocalisation sous contrat, tel Si l’organisation a la responsabilité de son propre site ou de
que quand et comment ils seront mis à la disposition des ses propres locaux, il convient de désigner des employés qui
équipes de réponse. disposent des capacités et pouvoirs appropriés pour assurer la
liaison avec les services d’urgence tout au long de l’incident
• Procédures pour obtenir des fonds d’urgence. ou de la crise. Comme l’équipe tactique joue un rôle central de
coordination, ce rôle de liaison avec les services d’urgence lui est
souvent attribué.

Fournisseurs et partenaires Lors d’un incident, les services d’urgence auront besoin de

P P 5 - MI SE EN ŒU VR E
renseignements sur l’emplacement de toutes les victimes, l’état
Les plans tactiques devraient tenir compte des aspects de
actuel de l’incident ou de la crise, ainsi que sur les dangers
la solution de continuité d’activité pouvant comporter des
connus auxquels ils pourraient être exposés. Ils pourraient aussi
activités prioritaires et des ressources disponibles en dehors de
devoir communiquer, avec la personne qui aura été désignée par
l’organisation. Le plan devrait prendre en compte les principaux
l’organisation, les mises à jour et obtenir des renseignements
fournisseurs de la chaîne d’approvisionnement de l’organisation
complémentaires.
et les autres partenaires capables de prendre en charge la
solution de continuité et les activités de réponse.

Résultats et revues

Les résultats de l’élaboration d’un plan de continuité • Directives pour la coordination des solutions de continuité
d’activité au niveau tactique incluent : et des activités de réponse avec les parties intéressées.

• Plans de continuité d’activité documentés supportant les Le plan de continuité de niveau tactique devrait être
équipes tactiques pendant un incident ou une crise. régulièrement passé en revue en lien avec les plans de niveaux
stratégique et opérationnel à des intervalles préalablement
• Un cadre de coordination des activités de réponse et de convenus ou à la suite d’un changement important tel que
répartition des ressources entre les équipes stratégiques et défini dans la politique de continuité d’activité.
opérationnelles.

83
 BCI Guide de bonnes pratiques Édition 2018

Plans opérationnels
Les plans de niveau opérationnel établissent les services ou les unités Voici des exemples de plans de niveau opérationnel :
fonctionnelles participant à la réponse en cas d’incident. Les plans
de niveau inférieur risquent de devenir compliqués si toutes les • Plan du service ou de l’unité fonctionnelle.
procédures de continuité d’une organisation sont incluses dans un
seul document. Si c’est le cas, les procédures de réponse de chaque • Procédures précises mises en œuvre en réponse à un incident,
unité fonctionnelle peuvent être séparées en un ou plusieurs plans, comme la récupération de l’équipement et la reconstitution des
qui deviennent la responsabilité de l’unité fonctionnelle concernée. documents.

• L’intervention du service TIC à la perte d’applications et de services

TIC et le rétablissement ultérieur de ces applications et de ces
Principes généraux services.

Les plans de niveau opérationnel devraient soutenir la continuité En raison des nombreux liens entre les plans tactiques et
des activités prioritaires de l’organisation, dès le début de l’incident opérationnels, les plans tactiques devraient être rédigés
jusqu’au rétablissement des niveaux de service convenus et au retour préalablement, au moins dans leurs grandes lignes, avant la
à la normale. Ils devraient être fondés sur les solutions de continuité finalisation des plans opérationnels.
convenues et les exigences en matière de ressources définis à l’étape
L’élaboration des plans opérationnels devrait comporter:
de l’analyse du cycle de vie.
• Désigner un représentant dans chaque unité fonctionnelle afin
Les plans de niveau opérationnel devraient inclure les services qui
d’élaborer le plan de cette unité.
gèrent l’infrastructure de l’organisation, par exemple les services de
TIC et les autres services spécialisés qui soutiennent l’organisation • Élaborer un processus de planification et un échéancier de travail;
en cas d’incident. Ces plans de niveau opérationnel fournissent une dans la mesure du possible, commencer par les plans des activités
structure pour la restauration des services de soutien essentiels ou les plus prioritaires.
fournir des installations de remplacement afin d’assurer la continuité
des autres services. • Utiliser un modèle pour les plans afin d’encourager une
normalisation des documents, tout en permettant des variantes,
au besoin.

Concepts et hypothèses • Documenter les interdépendances de communication et

d’information entre les plans de niveaux tactique et opérationnel,
La complexité et l’ordre de priorité des produits, services et par exemple, lorsqu’une équipe opérationnelle repose sur une
processus de l’organisation devraient déterminer si un plan d’une équipe tactique pour obtenir une décision ou une approbation
unité fonctionnelle peut couvrir plusieurs activités ou si un plan qui lui permettra d’activer une procédure de réponse.
opérationnel est nécessaire pour couvrir une activité en détail. Au
besoin, ces plans plus détaillés peuvent contenir des renseignements • S’assurer que les unités fonctionnelles désignent des personnes
et des procédures de réponse pour des sites, systèmes ou compétentes pour assumer les rôles clés dans le cadre de
équipements spécifiques. leurs plans.

• Distribuer l’ébauche du plan pour consultation avec les membres de

chaque unité fonctionnelle à des fins de revue
Les professionnels de la continuité d’activité et de recommandations.
devraient préalablement considérer les besoins de
l’organisation en plans opérationnels détaillés avant qu’ils • Distribuer l’ébauche du plan au-delà de l’unité fonctionnelle
ne soient réalisés. Les situations dans lesquelles il convient (s’il y a lieu).
d’établir des plans détaillés comprennent les suivantes :

• Lorsque des procédures de contournement manuelles

doivent être utilisées comme solution de continuité pour des
procédures partiellement ou totalement automatisées.

• Lorsque d’autres systèmes de TIC ou d’autres appareils de

traitement doivent être utilisés à la place de systèmes de TIC
perturbés ou d’appareils indisponibles.

• Lorsque le personnel chargé de la mise en œuvre des solutions

de continuité ne connaîtra probablement pas les procédures à
suivre, ni les systèmes et appareils à utiliser.

84
 © The Business Continuity Institute, 2019

Méthodes et techniques
Les plans de niveau opérationnels peuvent comporter un • Intervention initiale et activation.
vaste éventail de renseignements détaillés concernant
• Méthodes de communication avec les membres de l’équipe.
ce qui suit :
• Résolution des problèmes liés aux travaux en cours.
• Ressources humaines et bien-être des personnes.
• Procédures spéciales ou non standard.
• Accès aux sites et leur usage.
• Redéploiement du personnel et des visiteurs.
• Activités du service (classées par ordre de priorité).
• Coordonnées du personnel.
• Liaison avec les équipes de continuité des TIC.
• Coordonnées des autres parties intéressées clés.
• Mobilisation des équipes et répartition des ressources.
• Communication avec le personnel après l’activation du plan.
• Soutien externe.
• Exigences en matière de locaux, sièges et ressources.
• Procédures d’évacuation des bâtiments et d’abris sur place.
• Liste du matériel informatique et des logiciels requis.
• Emplacement et disposition des lieux de rassemblement en cas
d’évacuation. • Renseignements sur les données hors site avec stockage des
documents et les instructions d’accès.

P P 5 - MI SE EN ŒU VR E
• Sécurité.
• Instructions de restauration qu’une personne technique non
• Recensement du personnel.
familiarisée avec le système ou les systèmes pourra suivre.
• Santé et sécurité.
• Dispositions de récupération et assistance sous contrat.
• Procédures de remontée d’information à la Direction à propos
• Procédures de démobilisation.
d’enjeux imprévus.
• Ressources en psychologie et réadaptation.

Résultats et revues

Les résultats de l’élaboration de plans opérationnels incluent :

• Plans de continuité d’activité documentés pouvant soutenir la

continuité des activités prioritaires de chaque services après un incident.

• Plans de continuité d’activité documentés permettant la

continuité de l’infrastructure de l’organisation et d’autres
services de soutien spécialisés.

Le plan de continuité au niveau opérationnel doit être

régulièrement passé en revue en lien avec les plans
stratégiques et opérationnels à des intervalles
préalablement convenus ou à la suite d’un changement
important tel que défini dans la politique de continuité d’activité.

85
 BCI Guide de bonnes pratiques Édition 2018

ANALY
SE
N
TIO
VALIDA

CONC

INTÉGRATION
EPTIO

E
N

MM
M

SE
I

EN
PO

ŒUV
RA

IT RE
G
L

IQ O
UE PR
ET GE E
S TI O N D

86
 © 2019 The Business Continuity Institute

Pratiques professionnelles du BCI

PP6
Validation

P P2 - EM B ED DI NG B U SI N ESS C O N TINU I TY
La validation est la pratique professionnelle du cycle de vie de la gestion de la continuité
d’activité qui confirme que le programme de continuité d’activité atteint les objectifs
définis dans le cadre de la politique de continuité et que les plans et procédures en place
sont efficaces.

La validation a pour but de s’assurer que les solutions de continuité d’activité et la

structure de réponse reflètent la taille, la complexité et le type de l’organisation et que les
plans sont à jour, exacts, efficaces et complets. Un processus doit être mis en place pour
améliorer continuellement la résilience organisationnelle.

87
 BCI Guide de bonnes pratiques Édition 2018

Introduction
La validation combine les trois activités suivantes : • Maintenance: Processus qui permet de s’assurer que
les dispositions et les plans de continuité d’activité de
• Exercices: Processus de formation, mise à l’essai, évaluation,
l’organisation demeurent pertinents, à jour et opérationnels.
pratique et amélioration de la capacité de continuité
d’activité de l’organisation. • Revue: Processus qui permet d’évaluer la pertinence,
l’adéquation et l’efficacité du programme de continuité
d’activité et de repérer les occasions d’amélioration.

Élaborer un programme d’exercices

La capacité de continuité d’une organisation ne peut être considérée • Pratiquant tous les plans.
comme fiable ou efficace tant qu’elle n’a pas été exercée. Quelle
• Vérifiant toutes les solutions de continuité d’activité.
que soit la qualité de la solution de continuité d’activité ou du plan
de continuité d’activité, il faut recourir à des exercices réalistes pour • Vérifiant tous les renseignements présentés dans les plans.
déceler les problèmes et valider les hypothèses qui peuvent nécessiter
votre attention. Le but d’exercer est l’amélioration continue des • Exerçant tout le personnel concerné (y compris les remplaçants).
capacités de gestion de la continuité d’activité et de la préparation Le programme d’exercices devrait commencer par des activités
en s’assurant que les leçons tirées sont intégrées aux activités de simples visant à accroître le niveau général de sensibilisation
prévention, d’atténuation, de planification et de formation ainsi et de compréhension, et évoluer progressivement en termes de
qu’aux exercices futurs. complexité et de difficulté. Il devrait recourir à une combinaison de
méthodes et de techniques d’exercice pour que les résultats prévus
soient atteints dans l’ensemble de l’organisation, pendant toute sa
durée.
Principes généraux Le programme d’exercices doit permettre de mettre à l’essai
Résultats escomptés des exercices: les éléments suivants :

• Évaluer la capacité de l’organisation à entreprendre des activités de • Aspects techniques : Tous les systèmes et équipements requis
continuité et à atteindre les RTO attendus. fonctionnent-ils?

• Valider les solutions de continuité d’activité et les hypothèses sur • Procédures : Les procédures et les plans sont-ils corrects?
lesquelles elles sont basées. • Logique : Les procédures fonctionnent-elles ensemble de manière
logique?
• S’assurer que les procédures écrites dans le plan de continuité
d’activités sont pertinentes, complètes et à jour. • Rapidité d’exécution : Les procédures peuvent-elles atteindre
l’objectif de délai de rétablissement (RTO) requis pour chaque
• S’assurer du caractère adéquat et pratique des ressources qui
activité?
prennent en charge les solutions de continuité.
• Aspect administratif : Les procédures sont-elles gérables?
• Identifier les points à améliorer ou l’information manquante.
• Personnel : Les personnes les plus appropriées sont-elles incluses
• Valider les compétences et renforcer la confiance du personnel ayant et ont-elles les compétences, le pouvoir et l’expérience requis?
des rôles et responsabilités. Est-ce que chacun connaît son rôle et ses responsabilités?
• Développer l’esprit d’équipe. • Ressources : Les bonnes ressources ont été identifiées en
quantités appropriées par des sources connues et fiables?
• Sensibiliser l’ensemble de l’organisation à la continuité d’activité, tel
que décrit par la PP2. • Renseignements : Tous les renseignements nécessaires sont-ils
accessibles pour mettre en œuvre le plan?
Un exercice n’est pas une activité unique, il doit être planifié et
programmé en une série d’événements et d’activités qui permettent La fréquence des exercices est déterminée dans le volet exercices
à l’organisation d’améliorer progressivement ses capacités au fil du du programme de continuité d’activité et dépend de la taille, la
temps. Un programme d’exercices devrait s’assurer du niveau de complexité et le type de l’organisation. Les produits, services,
capacité souhaité en: processus et activités prioritaires, ainsi que tous les membres des
équipes de réponse en cas d’incident de l’organisation devraient
participer aux exercices conformément au calendrier prévu.

88
 © The Business Continuity Institute, 2019

Concepts et hypothèses Lorsqu’un produit ou service est externalisé, la responsabilité de

l’exercice incombe à l’organisation responsable du produit ou du
La politique et le programme de continuité d’activité de service. L’organisation devrait s’assurer, à travers les exercices, que
l’organisation établissent la manière dont le programme le fournisseur externe sera en mesure de remplir les obligations
d’exercices doit être planifié et géré et énonce la formation à qui lui incombent en cas de perturbation. Il peut être approprié
entreprendre et les ressources nécessaires à définir. d’envisager des exercices communs avec les prestataires de
services externalisés et les fournisseurs clés. En outre, si d’autres
L’exercice est défini comme étant un processus visant à se former, fournisseurs de produits, de services, de processus et d’activités
évaluer, mettre en pratique et améliorer les performances au sein prioritaires ont été identifiés à l’étape de l’analyse du cycle de
d’une organisation. (Source : ISO 22301:2012) vie de la gestion de la continuité d’activité, il conviendrait de
leur demander de démontrer leur propre capacité de continuité
d’activité au moyen de leurs propres exercices.
Processus

Les éléments
suivants devraient
être considérés
dans le processus 1.

P P 6 - VAL I DAT I ON
d’exercice : Définir les buts, 2.
les objectifs et le Passer en revue les
domaine d’application exercices précédents
du programme (plans, ressources et 3.
d’exercices. activités) afin d’identifier Discuter avec la
les aspects exclus des Direction les points
exercices précédents. faibles et des
priorités à exercer.

7.
Vérifier la
disponibilité du 4.
personnel, des Passer en revue et
installations et des évaluer les risques
6. 5. et les menaces
autres ressources Décider des types
requis. Établir un budget actuels.
d’exercices à
pour le programme
entreprendre.
d’exercices.

8.
Créer un échéancier
pour le programme
d’exercices qui prévoit la
validation des dispositions
de continuité d’activité
des parties intéressées
concernées. 9.
Soumettre le 10.
programme à la Identifier les besoins en
Direction pour formation des participants
approbation. à l’exercice ou des
planificateurs et intégrer
ces besoins au programme
d’exercices.

89
 BCI Good Practice Guidelines 2018 Edition

Méthodes et techniques

Types d’exercices Le recours au jeu de rôle peut apporter un niveau de réalisme

supplémentaire à l’exercice en simulant les intérêts des principales
Il existe plusieurs façons de nommer les différents types d’exercices,
parties intéressées, comme les clients, le personnel, les médias, les
mais en principe, ils devraient appartenir à l’une des cinq catégories
organismes de réglementation et les fournisseurs.
indiquées ci-après. Ces types d’exercices ont des caractéristiques
communes et les organisations peuvent juger approprié de combiner Les participants à l’exercice sont invités à traiter les mises à jour ou
des éléments de diverses catégories d’exercices pour atteindre leurs les demandes d’information comme s’il s’agissait d’un incident réel,
objectifs. et à créer et mettre en œuvre une réponse appropriée au scénario
en cours. Les exercices de simulation permettent également aux
participants de répéter en détail les procédures pertinentes, comme
• Exercices fondés sur la discussion
la notification et la remontée d’information, la prise de décision, la
Ces exercices sont les plus simples à organiser et à animer et communication, l’intervention auprès des médias et la coordination
les moins fastidieux de tous les types d’exercices. Ce sont des de l’équipe, en plus de tester l’équipement du centre de commande et
événements structurés au cours desquels les participants peuvent les autres ressources nécessaires au soutien de l’équipe.
explorer des questions pertinentes et parcourir les plans dans un
environnement sans pression. Ce type d’exercice peut être axé sur • Exercices en conditions réelles
un domaine d’amélioration précis identifié dans le but de trouver une
solution privilégiée. Les exercices en conditions réelles peuvent aller d’une pratique à
petite échelle d’un aspect de la réponse, par exemple une évacuation,
à une pratique complète qui vise toute l’organisation et suscite
• Exercices avec scénarios éventuellement la participation des parties intéressées en temps
Un exercice avec scénario est une activité couramment utilisée fondée réel. Ils sont conçus pour inclure toutes les personnes susceptibles de
sur la discussion ou l’on présente un scénario pertinent qui se déroule participer à cet aspect de la réponse.
sur une période de temps défini. L’exercice peut se dérouler en temps Les exercices en conditions réelles sont particulièrement utiles
réel ou inclure des « sauts » temporels afin de permettre d’exercer lorsqu’il existe des exigences légales ou réglementaires ou lorsqu’un
diverses phases du scénario. Il se déroule généralement autour d’une risque élevé pour l’organisation a été décelé et que les plans de
table. Les participants devraient être familiers avec les plans qui réponse devraient être entièrement évalués. Ils constituent le
font l’objet de l’exercice et devraient démontrer qu’ils comprennent moyen le plus réaliste de former les personnes et d’exercer les plans.
leur fonctionnement à mesure que le scénario évolue. Ces exercices Cependant, plusieurs défis peuvent faire en sorte que l’exercice en
peuvent faire appel à la pratique d’activités de réponse pertinentes, conditions réelles ne soit pas le format d’exercice le plus approprié.
telles que compléter des listes de contrôle ou un journal de bord. Par exemple, les ressources requises peuvent être importantes et il
Les exercices avec scénarios peuvent constituer une méthode réaliste, pourrait engendrer des conséquences financières. Il faut veiller à ne
rentable et efficace. Ce type d’exercice peut être amélioré en y pas perturber les activités courantes de l’organisation et tout impact
introduisant l’usage de séquences médiatiques ou autres moyens sur la réputation devrait être pris en compte.
permettant de rendre le scénario plus réaliste. Pendant l’exercice,
les équipes de réponse peuvent produire des résultats concrets • Tests
comme des communiqués de presse ou des communications avec les
employés. Un test est défini comme une « forme particulière d’exercice qui
intègre l’atteinte de la réussite ou de l’échec d’un élément parmi les
buts ou objectifs de l’exercice planifié ». (Source : ISO 22301:2012)
• Exercices de simulation Il s’applique généralement aux équipements, aux procédures de
Plus élaborés, les exercices de simulation peuvent susciter la restauration ou aux technologies, plutôt qu’aux équipes ou personnes.
participation d’équipes de niveaux stratégiques, tactiques ou Il s’agit par exemple du rétablissement d’un serveur à partir de bandes
opérationnelles. Les participants peuvent être répartis dans l’ensemble de sauvegarde dans un délai prédéfini.
de l’organisation, à partir de leur emplacement de travail habituel.
Lors d’un exercice de simulation, les participants reçoivent de
l’information par rapport aux événements du scénario de façon à
simuler un incident réel. Il est possible d’utiliser des moyens comme
les appels téléphoniques, le courrier électronique, les médias sociaux
et les actualités télévisées afin d’introduire les détails de l’exercice et
les questions des parties intéressées telles que le personnel, les clients
et les médias.

90
 © The Business Continuity Institute, 2019

Résultats et revues

Les résultats de l’élaboration d’un programme d’exercices Le programme d’exercices de l’organisation doit être révisé
sont : régulièrement, à des intervalles préalablement convenus ou
à la suite d’un changement important tel que défini dans la
• Un programme d’exercices complet qui définit :
politique de continuité d’activité, afin de garantir l’efficacité du
- les objectifs à atteindre; programme de continuité d’activité dans son ensemble.

- les méthodes requises pour atteindre ces objectifs;

- la définition des besoins en ressources (y compris le budget);

- le calendrier proposé et les exigences en matière de

formation.

• Une résilience organisationnelle améliorée, avec une capacité

de réponse à un incident ou une crise et de rétablissement
démontrable.

Élaborer un exercice

P P 6 - VAL IDAT IO N
Principes généraux
L’utilisation d’outils technologiques ou d’intrants
Chaque exercice du programme d’exercices doit être provenant de parties intéressées externes peut
soigneusement planifié afin de justifier l’utilisation des ressources ajouter un climat d’incertitude et générer un intérêt accru
nécessaires à son élaboration et à son exécution. Le processus pour l’exercice. Cependant, l’ajout de technologies ou
d’élaboration de l’exercice devrait être abordé comme un d’éléments externes ne devrait pas devenir une distraction à
projet, en utilisant les étapes de planification appropriées et les l’objectif convenu de l’exercice.
contrôles associés aux bonnes pratiques de gestion de projet.

Management du risque : Les exercices devraient viser à

maximiser les avantages et à minimiser les impacts des
perturbations. Les exercices peuvent parfois être la cause
Concepts et hypothèses de perturbations inattendues des activités courantes et les
responsables de la planification et de la gestion des exercices
Réalisme : Les exercices devraient être aussi réalistes que
devraient donc s’assurer que :
possible. Ils devraient ainsi être réalisés en utilisant les mêmes
procédures et méthodes que celles qui seraient utilisées en • Les perturbations causées par l’exercice et les impacts
cas d’un incident réel. Cela étant l’idéal, il pourrait ne pas être associés sont planifiés, approuvés, contrôlés et atténués.
pratique d’exécuter certains exercices sans tenir compte de leurs
limitations. • La Direction comprend et accepte les risques éventuels.

Définir un scénario réaliste permet de s’assurer que les • Un processus permettant de mettre rapidement fin à un
participants acceptent et participent pleinement à l’exercice exercice en cas de perturbation involontaire est en place.
et bénéficient de cette expérience. Le choix d’un scénario
Coûts et bénéfices : Le coût de la planification et de
réaliste devrait également aider à démontrer la validité des
l’exécution d’un exercice dépend du type d’exercice choisi.
plans. Il est essentiel que la personne qui coordonne l’exercice
Un exercice plus complexe nécessite généralement plus de
s’appuie sur des faits afin que les participants tirent le meilleur
ressources pour être planifié et exécuté et peut entraîner une
parti de l’exercice grâce au réalisme du scénario et du matériel
plus grande perturbation des activités courantes. Toutefois,
pédagogique.
l’exercice sera probablement plus réaliste et permettra
Des outils technologiques sont disponibles pour améliorer les d’assurer une plus grande confiance en l’efficacité des plans
exercices et les simulations, par exemple les intrants audiovisuels. et des capacités du personnel.

Ces intrants peuvent être créés et peuvent comporter des extraits

d’actualités multimédias simulés, des articles de sites Web, des
flux de médias sociaux, des appels téléphoniques, du courrier
électronique et des messages texte.

91
 BCI Guide de bonnes pratiques Édition 2018

Objectifs de l’exercice
La première étape lors de la préparation d’un exercice est d’établir les Participants : Les participants peuvent être les suivants :
objectifs et les résultats escomptés. De plus, des critères pour mesurer
• Animateurs.
l’efficacité de l’exercice devraient être définis.
• Arbitres.

Les mesures peuvent être qualitatives (évaluation de • Observateurs.

la qualité des résultats) ou quantitatives (atteindre
un résultat mesurable spécifique). • Agents de sécurité.

• Acteurs.

Exemples de mesures pouvant être utilisées en cours d’exercice : • Équipes de réponse en cas d’incident aux niveaux stratégique,
tactique et opérationnel.
• Le personnel approprié peut-il lancer le processus d’alerte, de
déclenchement et de remontée d’information? • Représentants des unités fonctionnelles.

• Le gestionnaire en fonction peut-il activer la procédure d’appel? • Fournisseurs des ressources et des services impliqués dans l’exercice.

• Le gestionnaire d’incidents est-il en mesure de convoquer la réunion • Services d’urgence.

initiale de gestion?
• Gestionnaires d’urgence.
• Les membres de l’équipe de réponse ont-ils démontré des capacités
décisionnelles efficaces? • Experts en la matière.

• Le personnel clé a-t-il établi et tenu à jour un journal de bord? • Auditeurs.

• Les systèmes prioritaires peuvent-ils être récupérés et restaurés à

l’intérieur des objectifs de délais de rétablissement prévus? Soutien et participation externes
• Un service peut-il reprendre ses activités à partir d’un site de À mesure que le programme d’exercice gagne de l’expérience et que
relocalisation en utilisant les ressources disponibles? la capacité de gestion de la continuité d’activité de l’organisation
augmente, il peut convenir de susciter la participation d’un plus grand
• La structure de réponse a-t-elle été établie telle qu’indiquée dans le
nombre de parties intéressées aux exercices. Par exemple, les clients,
plan de continuité d’activité?
les fournisseurs, les régulateurs, les organismes de réglementation, les
• Les rôles et responsabilités ont-ils été attribués conformément au associations professionnelles, les agences, les services d’urgence et le
plan de continuité d’activité? secteur bénévole.

• Des communications ont-elles été établies entre les parties La capacité de continuité des fournisseurs et des activités
intéressées? externalisées prioritaires devrait être considérée comme un élément
important de la validation du plan de continuité d’activité de
Préparation : Le domaine d’application et la complexité de l’exercice l’organisation. L’inclure dans le programme d’exercices fait non
devraient déterminer les compétences nécessaires de l’équipe de seulement partie de la gestion continue des relations avec les parties
conception et d’exécution de l’exercice. Les membres de l’équipe intéressées, mais peut également faire partie des dispositions légales,
devraient idéalement avoir de bonnes compétences en gestion de réglementaires ou contractuelles.
projet, des compétences en conception et en conduite d’exercices,
et connaître l’organisation ou avoir une expérience dans le secteur Inviter des observateurs et des visiteurs externes à participer à un
d’activité se rapportant à l’exercice. exercice nécessite une réflexion approfondie. Il faut discuter avec
la Direction des avantages et des inconvénients de permettre aux
Bien qu’il soit souvent approprié que le personnel existant élabore visiteurs d’observer l’exercice. L’organisation doit prendre en compte
et organise les exercices, il est possible de faire appel à des tierces tous les risques opérationnels ou de réputation liés à la participation
parties externes. Par exemple, les services d’urgence peuvent être externe ainsi que toutes les conséquences possibles sur la santé et la
invités à participer à certains types d’exercices comme un exercice sécurité.
d’évacuation, ou lorsque le scénario de l’exercice peut avoir des
impacts plus importants sur la communauté. Bien qu’il soit parfois nécessaire de mener un exercice sans préavis,
par exemple le test d’un arbre d’appels en dehors des heures de
Que l’exercice soit organisé à l’interne ou à l’externe, une personne travail, il est plus courant que les exercices soient préalablement
ou une équipe devrait être nommée pour le diriger. Cette personne ou annoncés aux participants clés afin d’atténuer le risque que l’exercice
cette équipe doit gérer l’exercice conformément au plan et à l’horaire cause des perturbations involontaires. Le délai d’annonce et le
de l’exercice, en initiant et en contrôlant les différentes étapes au fur nombre de participants avertis au préalable peuvent diminuer à
et à mesure que l’exercice progresse. mesure que l’organisation devient plus confiante en sa capacité en
matière de continuité d’activité.

92
 © The Business Continuity Institute, 2019

Processus
2.
Désigner l’équipe
1. de planification
Bien qu’une série d’exercices Convenir du domaine de l’exercice et en
différents soit entreprise à d’application, des buts, définir les rôles.
l’étape de la validation du des objectifs et des
cycle de vie de la gestion de la résultats attendus
continuité d’activité, le processus de l’exercice.
suivant peut s’appliquer à tout
3.
Planifier et concevoir
exercice individuel :
l’exercice, notamment en
établissant un budget et un
échéancier tout en effectuant
4. une appréciation du risque afin
Exécuter d’identifier les risques d’impact
5. l’exercice. sur les activités courantes,
Évaluer et présenter les s’il y a lieu.
résultats obtenus et les
leçons apprises; effectuer
notamment un compte
rendu avec les participants

P P 6 - VAL IDAT IO N
immédiatement après
l’exercice. 6.
Effectuer un suivi
pour résoudre les
problèmes soulevés par
l’exercice et prendre
les actions correctives
nécessaires.

Planifier l’exercice
Les personnes qui planifient l’exercice devraient préparer une liste • la réponse attendue des participants ou des équipes reflétant le
maîtresse qui démontre comment les éléments de l’exercice sont plan de continuité d’activité, le cas échéant.
agencés. Il devrait s’agir d’une séquence chronologique des étapes
Avant le début de l’exercice : Tous les participants devraient
indiquant le moment et la manière dont chaque événement,
savoir ce qui est attendu d’eux avant, pendant et après l’exercice.
chaque action ou chaque procédure doit se produire. La liste
Les participants peuvent être informés au moyen d’une
maîtresse peut également répertorier la réponse attendue du
communication écrite préalable à l’exercice et d’une réunion
participant à un événement, en particulier si cela est défini dans
d’information au début de l’exercice. Il est essentiel que la
le plan de continuité d’activité. Les personnes qui coordonnent ou
réunion d’information ne révèle aucun renseignement susceptible
facilitent l’exercice utilisent la liste maîtresse pour s’assurer que
de nuire à l’objectif de l’exercice.
l’exercice se déroule comme prévu et pour inciter les participants
à se reporter au contenu ou aux procédures des plans de Les sujets abordés lors de cette réunion d’information
continuité d’activité afin que ceux-ci puissent être validés. peuvent comprendre :

Les événements individuels planifiés dans l’exercice sont • les buts et objectifs de l’exercice;
communément appelés des « intrants » et peuvent être facilités • les rôles et responsabilités lors de l’exercice;
par l’animateur ou les acteurs.
• l’information, les outils de communication et la technologie
Les renseignements suivants devraient être pris en compte devant être utilisés;
pour chaque intrant :
• les mesures à prendre en cas d’imprévu;
• l’objectif de l’exercice;
• les activités postérieures à l’exercice.
• le moment où l’événement a lieu;
Pour éviter tout malentendu ou toute perturbation involontaire
• la description de l’événement; de l’organisation, il est essentiel que les participants et
• le mode de livraison de l’intrant;
• les participants ou les équipes qui devraient recevoir l’intrant;

93
 BCI Guide de bonnes pratiques Édition 2018

l’ensemble de l’organisation connaissent le moment et le lieu d’un Dans le cadre du compte rendu, l’exercice doit être évalué par rapport
exercice et sachent que l’incident en fait partie. aux objectifs définis à l’étape de la planification de l’exercice.
Si l’exercice exige qu’il n’y ait pas de préavis ou que celui-ci soit Il est important que tous les participants à l’exercice, peu importe leur
limité, les participants devraient être informés dès que possible après ancienneté, soient encouragés à contribuer au compte rendu et qu’ils
le début de l’exercice qu’il s’agit d’un exercice. comprennent que le compte rendu consiste à améliorer l’efficacité
Début de l’exercice : Le début de l’exercice doit être clairement et non à attribuer un blâme pour les problèmes décelés. Le compte
communiqué à tous les participants, par exemple au moyen d’une rendu devrait promouvoir l’apprentissage au sein de l’organisation et
annonce ou d’un intrant. encourager des commentaires ouverts et honnêtes.

Pendant l’exercice : Les événements et les intrants de l’exercice Le compte rendu devrait :
devraient se dérouler d’une manière prédéfinie, conformément au • Respecter les droits des individus.
plan et à la liste maîtresse de l’exercice.
• Valoriser tous les participants de manière égale.
Les intrants de communication comme les appels téléphoniques,
• Reconnaître les problèmes décelés, mais mettre l’accent sur les
les courriers électroniques et autres devraient comporter un
occasions d’amélioration.
avertissement évident ou un code comme « ceci est un exercice »
afin de s’assurer que l’information ne soit pas confondue avec un • S’assurer que les personnes, les groupes et l’organisation
message réel. comprennent et apprennent.
Suspension de l’exercice : Il peut être nécessaire de suspendre un Il y a plusieurs façons d’obtenir des renseignements aux fins du
exercice ou d’y mettre fin et les participants devraient comprendre compte rendu :
comment cela peut se produire. Les participants peuvent être
• Compte rendu à chaud : Ce compte rendu a lieu immédiatement
informer à l’aide d’un code distinctif préétabli qui devrait entraîner
après un exercice, avant que le personnel quitte le lieu de l’exercice.
une suspension immédiate. Cela devrait être un mot qui n’est
Il donne aux participants l’occasion de mettre en évidence divers
généralement pas utilisé dans l’environnement de travail. Il peut être
problèmes et préoccupations immédiats.
nécessaire d’interrompre l’exercice si la sécurité des participants est
compromise ou pourrait le devenir, ou lorsqu’un incident ou une crise • Compte rendu officiel : Ce compte rendu devrait avoir lieu
réel se produit. une semaine après la tenue de l’exercice; il devrait porter sur les
implications plus larges des constats effectués tel qu’organisationnels
Dans le cas des exercices complexes, la personne ou l’équipe
plutôt qu’individuels ou de groupe. Il devrait dégager les forces et les
responsable de la planification et de la gestion de l’exercice doit
faiblesses ainsi que des idées pour un apprentissage futur.
s’assurer que des points d’arrêt et de départ sont convenus aux
étapes clés du processus. Ces points peuvent être utilisés si l’équipe • Sondages : Les sondages peuvent servir à obtenir les commentaires
prend des décisions qui ne seraient pas appropriées dans le scénario des participants. Ils peuvent comporter un système de notation
donné, ou pour se recentrer sur les objectifs principaux de l’exercice permettant aux répondants de noter l’efficacité de l’exercice. Les
si les participants ont été distraits. Les temps d’arrêt peuvent aussi sondages sont particulièrement utiles pour les participants qui
constituer une occasion d’apprentissage utile en permettant de préfèrent répondre par écrit ou si le groupe participant à l’exercice est
discuter des décisions ou des préoccupations relatives à l’exercice, ou réparti sur de nombreux sites. Il permet également de communiquer
en permettant de remédier à un écart important par rapport à une des réflexions. Un système de notation, s’il est utilisé, peut permettre
action attendue des participants qui pourrait, si elle n’est pas rectifiée, une analyse comparative et une future évaluation de la performance.
affecter les progrès et le succès de l’exercice.
• Entretiens : Les entretiens devraient avoir lieu moins d’une semaine
Après une suspension, l’exercice doit être repris ou, dans les cas après l’exercice. L’entretien peut être mené individuellement ou
extrêmes, interrompu. auprès d’un petit groupe de participants.
Fin de l’exercice : La décision de mettre fin à l’exercice devrait • Rapport d’exercice : Les résultats du compte rendu devraient servir
reposer sur la personne ou l’équipe qui gère l’exercice. Il faut à préparer un rapport d’exercice comportant des recommandations
déterminer si les objectifs ont été atteints dans les délais impartis d’amélioration.
pour l’exercice.
Pour que toutes les leçons identifiées soient acceptées et traitées
Un délai suffisant devrait être prévu à la fin de l’exercice pour par l’organisation, le rapport d’exercice devrait être distribué à tous
permettre un compte rendu immédiat. les participants à l’exercice, au personnel et aux parties intéressées
concernés.
Compte rendu : Le compte rendu de l’exercice permet aux
participants de partager leurs expériences de l’exercice et, le cas Il est essentiel de mettre en place un processus de gestion s’assurant
échéant, du scénario, pour que des leçons puissent être tirées, que les conclusions du rapport d’exercice sont incluses dans la revue de
approuvées et intégrées au programme de continuité d’activité. Les l’organisation et prises en compte dans la mise à jour du programme
plans, les procédures, la formation et les activités de sensibilisation de continuité d’activité. L’organisation devrait créer et faire approuver
peuvent ensuite être modifiés pour tenir compte des leçons tirées et par la Direction des plans d’action destinés à mettre en œuvre les
ainsi améliorer la capacité de réponse de l’organisation à de futurs recommandations, car elles pourraient engendrer des modifications au
incidents. Ce type de compte rendu ne doit pas être confondu avec programme de continuité d’activité.
une enquête détaillée qui peut avoir lieu à la suite d’un incident réel.
Si des problèmes importants ont été décelés pendant un exercice,
l’organisation devrait envisager de répéter l’exercice une fois les
actions correctives mises en place.
94
 © The Business Continuity Institute, 2019

Résultats et revues

Les résultats de l’élaboration et l’exécution d’exercices : • Validation de la pertinence de l’infrastructure de continuité

(centres de commande, zones de travail, technologies et
• Un plan ou un résumé de l’exercice décrivant les objectifs, le ressources de télécommunication).
domaine d’application, les rôles et les responsabilités, ainsi que
l’approche utilisée pour effectuer l’exercice. • Confirmation de la capacité à relocaliser le personnel et
processus.
• Le matériel et les ressources nécessaires à la réalisation de
l’exercice. • Sensibilisation accrue à la continuité d’activité, à la gestion de
crise et aux procédures d’intervention d’urgence.
• Un ou plusieurs exercices complétés.
• Une augmentation de la sensibilisation face à l’importance de
• Un rapport post-exercice, avec des recommandations d’actions la continuité d’activité.
correctives.
• Idées pour d’autres exercices et scénarios pertinents pour
Les résultats qu’on cherche à atteindre en effectuant des l’organisation.
exercices comprennent :
Le processus d’élaboration des exercices devrait être révisé
• Confirmation que les membres du personnel connaissent leurs régulièrement, à des intervalles préalablement convenus ou à la
rôles, leurs responsabilités et leurs pouvoirs en cas d’incident. suite d’un changement important tel que défini dans la politique
de continuité d’activité.
• Validation des aspects techniques, logistiques et administratifs
du plan de continuité d’activité.

P P 6 - VAL IDAT IO N
Maintenance
La maintenance du programme de continuité d’activité permet de La nécessité d’effectuer des activités de maintenance peut
garder les arrangements de continuité d’activité de l’organisation être identifiée lors :
à jour. Ainsi, l’organisation reste prête à répondre et à gérer
efficacement les impacts des incidents, malgré les changements • des leçons tirées des exercices;
organisationnels périodiques.
• des modifications apportées à la structure, aux produits et
services, à l’infrastructure, aux processus ou aux activités
de l’organisation.
Principes généraux
• des modifications de l’environnement dans lequel
Pour être efficaces, les activités de maintenance devraient être l’organisation évolue.
intégrées aux processus courants de l’organisation plutôt que de
constituer une activité distincte qui peut être négligée. • d‘une revue ou un audit;

La majeure partie de la maintenance nécessaire résultera de • d’un incident réel, où les leçons tirées peuvent être intégrées;
changements organisationnels internes. Le moyen le plus
• d’une modification ou une mise à jour du cycle de vie de
efficace d’assurer la maintenance est d’intégrer les activités de
la gestion de la continuité d’activité, comme le BIA ou les
maintenance dans le processus de gestion des changements de
solutions de continuité.
l’organisation. Cependant, cela pourrait s’avérer impossible du fait
que plusieurs organisations ne disposent pas d’un tel processus.
Si un processus de gestion des changements existe dans une
organisation, un délai pour mettre en œuvre toute modification
du programme de continuité d’activité devrait être convenu.

95
 BCI Guide de bonnes pratiques Édition 2018

Concepts et hypothèses
Bien que toute exigence puisse donner lieu à un besoin de d’activités de maintenance particulières effectuées à des
maintenance, une maintenance régulière et planifiée est requise intervalles spécifiques sur une période convenue, comme des
pour l’ensemble du programme de continuité d’activité. Cela mises à jour planifiées, la vérification du matériel de secours et la
suppose l’établissement d’un calendrier pour la réalisation revue des contrats.

Processus
Un processus officiel visant à maintenir à jour le programme de Par exemple, il pourrait être nécessaire de gérer les plans contenant
continuité d’activité doit être mis en place. Le processus devrait les coordonnées mensuellement ou trimestriellement, tandis que
être entrepris à intervalles planifiés et intégré au processus de le maintien de la politique de continuité d’activité devrait être
gestion du changement de l’organisation. La fréquence à laquelle planifié annuellement.
la maintenance est effectuée dépendra de la nature et du rythme
anticipé des changements dans l’activité sujet à la maintenance.

La responsabilité
du processus de
maintenance planifié 2.
devrait être confiée à une Analyser les
personne ou à une équipe impacts de tout
4.
et devrait comporter les changement.
Apporter les
activités suivantes : 3. modifications
1. Convenir des
Passer en revue convenues en
modifications à apporter fonction des
les changements
à certains éléments besoins.
depuis la dernière
du programme de
mise à jour.
continuité d’activité.

5.
Identifier et informer
les parties intéressées
de tout changement
qui les concerne.
8. 7.
Si les plans et les
Effectuer de la 6.
formation, de la Évaluer les exigences
documents ont changé,
sensibilisation et des supplémentaires en
distribuer les nouvelles
communications au matière de formation,
versions selon les
besoin. de sensibilisation et de
besoins.
communication, compte
tenu des changements.

9.
Indiquer la date de la
prochaine maintenance
planifiée et planifier –
organiser? (ca évite les
répétitions de « planifiée
et planifier) la
maintenance.

96
 © The Business Continuity Institute, 2019

L’impact de tout changement devrait être analysé comme suit :

• Passer en revue et remettre en question les hypothèses qui ont

été formulées.

• Déterminer si des objectifs temporels ont changé, par exemple la

DMTP ou le RTO.

• Déterminer le caractère adéquat et la disponibilité des services

externes éventuellement nécessaires, tels que la restauration
des données, les sites de rétablissement et les contrats de
sous-traitance.

• Passer en revue les dispositions prises en matière de continuité

d’activité des principaux fournisseurs.

P P 6 - VAL IDAT IO N
Méthodes et techniques Résultats et revues

La responsabilité de la maintenance devrait être confiée au Les résultats de la maintenance du programme

représentant du service chargé de la continuité d’activité, de continuité d’activité incluent :
bien que la distribution des plans puisse être gérée par une
personne ou une équipe centralement. Par exemple, un • Un calendrier de maintenance planifié et documenté.
représentant du service peut être chargé de mettre à jour
• Des rapports d’avancement réguliers.
son plan, y compris les coordonnées du personnel en dehors
des heures de travail, les tâches d’équipe, les notifications, les • Des politiques et procédures efficaces et à jour.
coordonnées des fournisseurs, le contenu de la mallette de
crise et d’envoyer le plan mis à jour à un point central en vue • Une documentation à jour.
de la distribution.
• Une distribution aux parties intéressées appropriées.
Pour être efficace, la documentation mise à jour devrait être
Le processus de maintenance doit être révisé régulièrement,
distribuée à l’aide d’un processus de contrôle de version
à des intervalles préalablement convenus ou à la suite d’un
officiel.
changement important tel que défini dans la politique de
Pour atteindre son objectif, la maintenance doit continuité d’activité.
être gérée rapidement. Il faut des rapports réguliers
énonçant l’avancement de la maintenance planifiée,
mettant en évidence les points faibles et formulant des
recommandations visant à améliorer le processus.

Les logiciels spécialisés peuvent être très efficaces dans la

gestion de la documentation. Il faut utiliser des systèmes
qui comportent des fonctions de suivi, de repérage, de
production de rapports et de rappels pour s’assurer que la
maintenance ait lieu comme prévu.

97
 BCI Good Practice Guidelines 2018 Edition

Revue
La revue a pour objectif d’évaluer la politique et le programme de • Assurance qualité (AQ) : Processus qui garantit que les résultats
continuité d’activité afin d’en déterminer la pertinence, le caractère du programme de continuité d’activité correspondent aux exigences
adéquat et l’efficacité stipulées.

• Évaluation du personnel : Revue de la performance des personnes

Principes généraux chargées de rôles et de responsabilités.

• Rendement des fournisseurs : Revue du programme de continuité

De base, il existe six types de revues : d’activité d’un fournisseur clé ou des services de rétablissement.
• Audit (interne et externe) : Processus de revue officiel et impartial
• Revue de direction : Revue du programme de continuité d’activité
qui mesure le programme de continuité d’activité d’une organisation
de l’organisation par la Direction visant à s’assurer que le
par rapport à une norme convenue au préalable.
programme est aligné aux objectifs de l’organisation.
• Auto-évaluation : Évaluation du programme de l’organisation par
les personnes impliquées dans la gestion et la mise en œuvre du
programme de continuité d’activité.

Méthodes et techniques

L’évaluation des critères suivants peut être envisagée dans • L’alignement et l’intégration du programme de continuité d’activité
le but de soutenir la revue du programme de continuité d’ par rapport à d’autres procédures de réponses de l’organisation,
activité de l’organisation : pouvant inclure :

• Le programme est-il à jour et aligné aux aspects suivants de - des procédures de gestion des urgences;
l’organisation?
- des procédures de santé et sécurité;
- Structure de gouvernance et objectifs stratégiques.
- des procédures de sécurité;
- Culture et contexte d’exploitation.
- des plans et des processus de rétablissement des TIC.
- Systèmes technologiques (principalement des applications
propres aux TIC et des systèmes d’exploitation critiques). • La fréquence et l’efficacité des séances de formation et de
sensibilisation et une indication que ces séances améliorent ou
- Autres dépendances des ressources prioritaires (non spécifiques non le niveau global de sensibilisation et de compréhension de la
aux TIC). continuité d’activité.

- La politique de continuité d’activité. • Une évaluation de la compétence des personnes qui jouent un rôle
dans le cadre du programme de continuité d’activité (y compris les
• L’utilisation efficace des ressources et des procédures dans le cadre remplaçants).
du programme de continuité d’activité, par exemple, les systèmes,
les outils et les procédures de réponse et de rétablissement. • La fréquence et l’efficacité des exercices et leur utilisation dans le
but de valider l’efficacité du programme de continuité d’activité.

• La performance du personnel directement responsable de la gestion

du programme de continuité d’activité.

Résultats et revues

La revue doit produire des options qui permettent d’améliorer

le niveau de résilience de l’organisation.

L’efficacité des types de revues utilisées devrait être révisée

régulièrement, à des intervalles préalablement convenus ou
à la suite d’un changement important tel que défini dans
la politique de continuité d’activité

98
 © The Business Continuity Institute, 2019

Audit

Principes généraux Concepts et hypothèses

L’audit est conçu pour s’assurer que le processus de continuité On suppose que si le processus est entrepris et appliqué
d’activité a été correctement suivi conformément à une norme et correctement, le résultat de l’audit devrait alors fournir des
non pour s’assurer que les solutions adoptées sont satisfaisantes. preuves de l’efficacité du programme. On suppose également
que la méthode adoptée par l’organisation est efficace et fournit
L’audit de gestion de la continuité d’activité a pour objectif
un cadre approprié pour l’audit.
d’analyser le programme de continuité d’activité existant
d’une organisation, de le comparer aux normes et aux critères La méthode d’évaluation adoptée par l’organisation doit être
prédéfinis et, ultimement, de produire un rapport d’audit définie dans la politique de continuité d’activité.
structuré.
La personne chargée de l’audit doit avoir les compétences
Les audits devraient être effectués à intervalles planifiés afin de et les habiletés nécessaires à cette tâche.
confirmer que l’organisation se conforme à sa propre politique de
continuité d’activité ou à ses politiques en matière d’audit et de
gouvernance, le cas échéant.
5.
Compilation et
Processus synthèse des notes
4. d’entrevue, des
L’audit de gestion de la continuité d’activité est un processus Revue des questionnaires

P P 6 - VAL IDAT IO N
minutieux qui nécessite d’interagir avec un éventail de personnes renseignements et d’autres
chargées de la gestion et de l’exploitation, tant sur le plan recueillis dans le renseignements.
cadre des activités
des affaires que sur le plan technique.
d’audit.

2. 3. 6.
Le processus Définition Définition de Identification de
d’audit devrait du domaine la méthode de lacunes dans le
comporter ce 1. d’application l’audit. contenu ou le niveau
qui suit : Élaboration de l’audit.
d’information obtenu;
d’un plan ceci pour éventuellement
d’audit. 7. effectuer des entretiens
Obtention et complémentaires.
comparaison des
8.
documents pertinents
Comparaison des
relatifs au programme
résultats préliminaires à des
de continuité
documents de références
d’activité.
complémentaires afin de
valider les données recueillies
lors de l’audit, par exemple à
9.
des normes, des règlements
Mise au point d’un
et des législations.
rapport d’audit préliminaire
qui répond à la fois aux 11.
questions de la personne qui Mise au point d’un plan
a commandé l’audit et aux convenu de mesures correctives
critères de références issus de comportant un calendrier avec
sources externes, par exemple des délais de mis en œuvre des
les normes réglementaires, recommandations convenues
légales et de l’industrie. dans le rapport d’audit. Cela
10. devrait également constituer un
Présentation du rapport élément clé du programme de 12.
d’audit préliminaire à des fins continuité d’activité. Mise au point d’un
de discussion et d’approbation processus de surveillance
avec les principales parties permettant de s’assurer
intéressées, en incorporant que le plan d’action
les recommandations et les produit à la suite de l’audit
réponses obtenues lors de soit mis en œuvre dans
l’audit en cas de divergence les délais convenus.
d’opinions.

99
 BCI Good Practice Guidelines 2018 Edition

Méthodes et techniques

Les méthodes d’audit utilisées devraient être choisies par les auditeurs La définition du domaine d’application de l’audit doit comporter
et être conformes à la politique de l’organisation en matière de les éléments suivants :
continuité d’activité, ainsi qu’aux procédures d’audit établies,
• La gouvernance, la conformité et les autres sujets devant faire l’objet
le cas échéant.
de l’audit.
• La zone, le service ou le site de l’organisation à auditer.
Le plan d’audit de la gestion de la continuité d’activité devrait
définir :
La définition de la démarche d’audit devrait comporter les
• Les objectifs de l’audit, qui devraient en partie être guidés et régis
éléments suivants :
ou limités par des exigences légales ou réglementaires. Ce sont
notamment les principaux enjeux prioritaires. • Les activités d’audit qui devraient être réalisées, par exemple,
des questionnaires, des entretiens en personne, des revues de
• Un cadre d’audit standard (s’il y a lieu) devrait être utilisé. Le cadre
documents et des revues de solutions.
de l’audit devrait être régi ou limité par des exigences légales ou
réglementaires. • Un calendrier d’activités et des dates d’échéance.
• Identification des critères d’évaluation de l’audit.
• Toute exigence relative à une expertise particulière ou à l’assistance
d’un prestataire de services externalisés pour effectuer l’audit.

Résultats et revues

Les résultats d’un audit de la gestion de la continuité

d’activité incluent :

• Un rapport d’audit indépendant de la gestion de la continuité

d’activité.

• Un plan de mesures correctives convenu et approuvé par la

Direction.

• Le résultat d’une évaluation de rendement défavorable, qui

devrait entraîner les actions suivantes :

- Acceptation par la Direction des plans jugés « inadéquats ».

- Le déclenchement d’une revue menée par un professionnel

de la continuité d’activité afin d’aider l’équipe à réaliser les
améliorations nécessaires.

Le processus d’audit devrait être révisé régulièrement,

à des intervalles préalablement convenus ou à la suite
d’un changement important tel que défini dans
la politique de continuité d’activité.

100
 © The Business Continuity Institute, 2019

Auto-évaluation

Principes généraux Concepts et hypothèses

L’auto-évaluation a pour objectif de permettre à une organisation L’auto-évaluation suppose qu’une organisation a défini des
de réaliser une revue de la mise en œuvre de son programme objectifs et des cibles en fonction desquels son programme de
de continuité d’activité en vue d’établir un plan d’action pour continuité d’activité peut être évalué.
apporter des améliorations au programme.

Une auto-évaluation peut être réalisée entre les audits afin de

vérifier les progrès accomplis au regard de recommandations.

Elle peut aussi avoir lieu pendant et immédiatement après

la mise en œuvre des premières mesures du programme de
continuité d’activité.

3.
4.
Processus Identifier les
tendances de Mettre en
rendement. évidence les
aspects à
2. améliorer.

P P 6 - VAL IDAT IO N
Passer en revue le
Le processus rendement par rapport
d’auto- aux objectifs ou
évaluation doit : 1. mesures choisis.
Définir les objectifs 5.
ou les mesures du Élaborer des
programme de continuité plans d’action
d’activité par rapport visant à améliorer
auxquels le rendement 6. ces aspects
peut être évalué. Produire un
rapport d’auto-
évaluation.

Méthodes et techniques Résultats et revues

Les objectifs ou les critères de mesure à utiliser aux fins de Résultats de l’auto-évaluation :
l’auto-évaluation comprennent notamment les suivants :
• Plan d’action pour les améliorations.
• Jalons de projets pour le programme de continuité d’activité.
• Amélioration du programme de continuité d’activité.
• Pourcentage de plans tenus à jour à la date prévue.
• Pourcentage de membres des équipes de réponse participant à • Amélioration du niveau de résilience de l’organisation.
un exercice chaque année. Le processus d’auto-évaluation devrait être révisé
• Nombre de leçons tirées des exercices non encore traités. régulièrement, à des intervalles préalablement convenus ou
à la suite d’un changement important tel que défini dans la
• Degré d’achèvement des BIA. politique de continuité d’activité.

Un modèle de maturité existant peut être

utilisé ou élaboré afin d’évaluer les progrès
et peut avoir un effet plus positif qu’une évaluation de
type réussite ou échec.

101
 BCI Good Practice Guidelines 2018 Edition

Assurance qualité

Principes généraux Concepts et hypothèses

L’assurance qualité est le processus qui détermine si les résultats du L’assurance qualité est un processus continu tout au long du cycle
programme de continuité d’activité sont conformes aux exigences de vie de la gestion de la continuité d’activité. Elle se fonde sur l’idée
et aux attentes de l’organisation, celles-ci pouvant être explicites ou selon laquelle les exigences relatives aux résultats du programme de
implicites. continuité d’activité ont été établies.

Pour les organisations certifiées selon une norme internationale ou

nationale, l’assurance qualité est un processus formalisé et documenté.
Pour d’autres organisations, il s’agira d’un examen informel portant sur L’assurance qualité
les attentes et les intentions exprimées dans la politique de continuité
Processus peut être entreprise de
d’activité. manière continue pour
tous les produits, ou
pour un échantillonnage
S’il existe déjà un service d’audit interne ou processus périodique. Le processus
comprend :
de production de rapports, le professionnel de la
continuité d’activité devrait le reconnaître et chercher à
collaborer avec les autres services et contribuer à la procédure
2.
existante. Cette façon de faire peut avoir l’avantage de Comparer le
sensibiliser et d’appuyer davantage le programme de résultat aux 1.
continuité d’activité. exigences ou Identifier les
3. aux attentes. exigences ou les
Identifier toute attentes.
4. lacune dans les
Agir pour exigences ou les
remédier à attentes.
toute lacune.

Méthodes et techniques Résultats et revues

Les exigences peuvent être identifiées grâce à une revue du Les résultats de l’assurance qualité devraient être :
programme de continuité d’activité; toutefois, la définition des
attentes ne peut se faire qu’à travers des entretiens avec le • Une amélioration de la manière dont les résultats du
personnel et les parties intéressées. programme de continuité d’activité répondent aux exigences
et aux attentes de l’organisation.
L’organisation peut se servir des questions suivantes pour
comparer les résultats du programme de continuité d’activité Le processus d’assurance qualité devrait être revu régulièrement,
aux exigences ou aux attentes et pour déceler les lacunes : à des intervalles préalablement convenus ou à la suite d’un
changement important tel que défini dans la politique de
• Le document est-il conforme aux normes de contrôle des
continuité d’activité.
documents?
• Le plan a-t-il été vérifié par son responsable?
• Un BIA identifie-t-il la DMTP de toutes les activités prioritaires?
• Les renseignements appropriés (quantité, délai, source) sur les
ressources requises à la continuité et au rétablissement d’une
activité ont-ils été identifiés?
• Les solutions recommandées en matière de continuité et de
reprise ont-elles été approuvées par la Direction?
• Le plan de continuité d’activité a-t-il un domaine d’application
convenu que la Direction a approuvé?
• Des rapports d’assurance qualité antérieurs ont-ils été revus et
les actions ou recommandations prises en compte?

102
 © The Business Continuity Institute, 2019

Évaluation du personnel

Principes généraux Concepts et hypothèses

Les rôles et responsabilités du programme de continuité Le processus d’évaluation du personnel d’une organisation
d’activité devraient avoir été définis dans le cadre de la politique suppose que les rôles et responsabilités des postes liés à la
de continuité d’activité. Les évaluations du rendement devraient continuité d’activité ont été définis.
être utilisées pour vérifier si ces rôles et responsabilités sont bien
assumés.

Processus 4.
Incorporer les
critères de mesure
Le processus d’évaluation du personnel peut être entrepris dans dans les évaluations
le cadre d’un processus régulier d’évaluation du personnel ou afin 3. annuelles.
de revoir précisément le rendement d’une personne au regard Définir les
facteurs de
de ses responsabilités dans le cadre du programme de continuité
réussite.
d’activité.
5.
Évaluer et
passer en revue le
2. rendement par
Définir les mesures

P P 6 - VAL IDAT IO N
rapport à ces
appropriées au rôle, par
critères..
Le processus exemple les objectifs,
d’évaluation du les niveaux cibles à
personnel doit : 1. atteindre et les normes
Confirmer le rôle et à respecter.
les responsabilités de 6.
la personne dans le Produire des
cadre du programme pointages de
de continuité 7. rendement.
d’activité. Fournir un plan
correctif pour
remédier à toute
lacune sur le plan
du rendement.

Concepts et hypothèses Résultats et revues

Les critères de mesure comprennent : L’évaluation du personnel devrait contribuer à

l’amélioration de la manière dont une personne
• Nombre de fois que les dates de maintenance planifiées
chargée de jouer un rôle dans le cadre du programme
ont été respectées.
de continuité d’activité :
• Pourcentage des BIA complétés.
• assume son rôle;
• Nombre d’exercices entrepris comme prévu.
• assume ses responsabilités;
• Nombre de plans complétés.
• atteint ses objectifs.
• Nombre de problèmes en suspens résultant d’incidents,
d’exercices et d’audits. Le processus d’évaluation du personnel devrait être revu
régulièrement, à des intervalles préalablement convenus
• Dépenses réelles par rapport au budget. ou à la suite d’un changement important tel que défini
dans la politique de continuité d’activité.

103
 BCI Guide de bonnes pratiques Édition 2018

Rendement des fournisseurs

Principes généraux Méthodes et techniques

Le processus de revue du programme de continuité d’activité de tout Le rendement des fournisseurs doit être revu par rapport aux
fournisseur dont dépend l’organisation devrait être similaire à celui accords de niveau de service, qui, dans le cas des principaux
qu’elle utilise pour réviser son propre programme. fournisseurs, devraient être liés à leur programme de continuité
d’activité.
On peut accroître le rendement et les capacités des fournisseurs
en incluant les fournisseurs dans les exercices et en évaluant leurs
Concepts et hypothèses exercices.

La revue du rendement des fournisseurs suppose que les fournisseurs

dont l’organisation dépend ont été identifiés et que les attentes envers
leur programme de continuité d’activité ont été définies.

Résultats et revues

Processus L’évaluation du rendement des fournisseurs doit notamment

produire les résultats suivants :

Le processus de revue des programmes de continuité d’activité des • Évaluation du rendement par rapport aux accords de niveau de
principaux fournisseurs, tout comme le processus d’évaluation des service.
services de rétablissement par un prestataire externe, devrait être
défini dans leurs contrats. Le programme de continuité d’activité des • Bonne compréhension du programme de continuité d’activité
principaux fournisseurs externes dont dépend l’organisation devrait du fournisseur.
être revu comme s’ils faisaient partie de l’organisation elle-même, au
• Plan d’action visant à améliorer le rendement des fournisseurs.
même titre qu’une division, filiale ou prestataire des mêmes produits
ou services externalisé. • Meilleure préparation et meilleure assurance des fournisseurs
prioritaires.

Le rendement du programme de continuité d’activité des

fournisseurs devrait être revu régulièrement, à des intervalles
préalablement convenus, ou à la suite d’un changement
important tel que défini dans la politique de continuité d’activité.

104
 © The Business Continuity Institute, 2019

Revue de direction

Principes généraux Méthodes et techniques

La revue de direction offre aux membres de la Direction la La revue de direction doit comporter les renseignements
possibilité de comprendre le rendement du programme de suivants :
continuité d’activité. Elle devrait être alignée aux objectifs
• L’état des actions définies lors des revues précédentes de
organisationnels et leur caractère adéquat pour aborder la
direction.
gouvernance et l’approche globale de management du risque
devrait être comprise. • Modifications apportées à l’environnement interne et
externe, pour autant qu’elles soient pertinentes pour le
programme de continuité d’activité de l’organisation.

• Renseignements sur la performance du programme, y

Concepts et hypothèses compris les tendances des résultats d’audit et les mesures
correctives, les résultats de l’auto-évaluation, l’assurance
qualité, l’évaluation du personnel et le rendement des
La revue de direction suppose que les intentions et orientations fournisseurs.
de l’organisation, telles qu’elles sont définies dans la politique de
continuité d’activité, sont effectivement respectées. • Possibilités d’amélioration.

• Résultats des exercices.

P P 6 - VAL IDAT IO N
• Risques ou enjeux insuffisamment traités dans le
programme.

• Caractère adéquat de la politique de continuité d’activité.

Résultats et revues

Les résultats de la revue de direction incluent :

• Plan d’action pour les améliorations.

• Amélioration continue du programme de continuité

d’activité.

• Augmentation du niveau de résilience de l’organisation.

Le processus de revue de direction doit être revu régulièrement,

à des intervalles préalablement convenus ou à la suite d’un
changement important tel que défini dans la politique de
continuité d’activité.

105
 BCI Guide de bonnes pratiques Édition 2018

À l’avant-garde Affiliation
de l’industrie professionnelle

Événements Formation et
et distinctions certification

Partenariats Communauté
corporatifs mondiale

106
 Niveaux d’affiliation
professionnelle du BCI

FBCI

MBCI

AMBCI

CBCI

Affilié
Étudiant
 Guide de bonnes
pratiques
Édition 2018
Le guide global des bonnes pratiques
en matière de continuité d’activité.

Management Sécurité
physique
du risque
Communication

Gestion des
urgences Ressources
humaines

Gestion des
installations

Santé et Sécurité de
Gestion sécurité l’information
de crise

Bureau central Bureaux du BCI et coordonnées

The Business Continuity Institute communications@[Link]
10-11 Southview Park, subscriptions@[Link]
Marsack Street,
membership@[Link]
Caversham,
ISBN: 978-0-9932110-8-9

Berkshire education@[Link]
RG4 5AF, UK advertising@[Link]
Correct at November 17

Tel: +44 (0) 118 947 8215 events@[Link]

[Link] research@[Link]