Ouafa Ettirmidi : le PCA a pour principals objectifs de :
- respecter ses engagements clients internes et externes,
- faire face à un sinistre : c’est anticiper en prévoyant des ripostes pour faire face à une situation exceptionnelle, catastrophe naturelle, incendie, panne informatique, etc, ...
- réduire les risques : c’est assurer le contrôle des risques et le degré d’exposition à ces risques.
C’est aussi définir et mettre en oeuvre des mesures préventives,
- diminuer l’impact d’arrêt : en protégeant le personnel, les actifs et les activités considérées critiques, tout en poursuivant les prestations de services essentielles,
- répondre aux exigences réglementaires, notamment les réglementations imposant aux établissements financiers de se doter d’un PCA (ex: Bâle II, Directive BAM).
Ouafa Ettirmidi : Le BIA est une phase où il est question d’identifier et lister les activités indispensables à la survie de l’entreprise. Ce travail se fait habituellement au travers d’entretiens avec les responsables métiers et pour également recueillir leurs besoins en continuité d’activité, notamment en délai maximal d’indisponibilité admissible (DMIA), de Perte de Données Tolérable (PDT), de positions de travail sur le site de repli, de montée en charge, etc, …). A titre d’exemple, un processus qui supporte les opérations de crédit peut avoir un DMIA de quelques jours alors qu’un processus de gestion monétique doit avoir un DMIA de quelques heures étant donné que les pertes financières peuvent rapidement grimper à des dizaines de millions de dirhams en peu de jours. Il est donc nécessaire d’effectuer un travail de qualification des exigences de reprise pour chaque activité métier, tout en plaçant la vision de la continuité au niveau de l’entreprise. Le BIA, c’est aussi cartographier les interdépendances internes et externes entre l’ensemble des activités métiers. Le BIA se complète finalement par le recensement des scénarii de sinistres, leurs causes et leurs conséquences et la stratégie de continuité d’activité qui en découle. C’est par conséquent le BIA qui permet de dessiner les solutions de repli et de secours en phase avec les exigences métiers et couvrant les scénarii de sinistre retenus. Le PS I est une composante intégrante du PCA.
Ouafa Ettirmidi : on peut dire que nous nous dirigeons vers une vraie prise de conscience du sujet, et ce pour 3 raisons :
1- Nous observons un engagement de l’Etat auprès des investisseurs pour garantir les infrastructures d’utilité publique (Energie, Télécommunications, Transport, etc, …)
2- les entreprises sont poussées par les exigences réglementaires, comme par exemple l’adoption des recommandations Bâle II en matière de mise en place de plans de continuité d’activité pour les établissements bancaires y compris en cas de sinistre de type « chocs extrêmes »,
3- on observe également une démarche proactive des entreprises travaillant dans le Nearshore/ Offshore vis-à-vis de leurs clients internationaux exigeants en matière de continuité d’activité : Infogérance, BPO, Call Centers, etc, …
Christian Rolland : un Plan de Continuité d’Activité est un ensemble de moyens organisationnels, techniques, humains et contractuels indispensable au fonctionnement des activités de l’entreprise en cas de sinistre. Un PCA comporte généralement 2 volets, à savoir un PCM ou Plan de Continuité Métiers qui a plus une dimension métier, et un PCI/PSI ou Plan de Continuité Informatique ou Secours Informatique qui complète le PCM avec les processus et moyens de continuité des SI supportant les activités métiers.
Christian Rolland : la construction d’un PCA c’est d’abord la sensibilisation des ressources humaines sur les enjeux de ce projet, sa planification et sa gouvernance. Ensuite, le cadrage des objectifs du PCA comprenant notamment l’analyse de la criticité des processus métiers et leur chronologie de reprise donnant lieu au choix d’une stratégie de continuité. Vient la mise en place des différentes solutions de secours et la formalisation de l’ensemble des plans constituant le PCA. Enfin, la validation du PCA pour confirmer le caractère opérationnel du PCA et en déroulant les premiers exercices PCA. Cette phase englobe également l’élaboration de la charte de management du PCA et le maintien en condition opérationnelle qui en assure la pérennité.
Christian Rolland : absolument pas. Les métiers doivent être associés au projet PSI afin de recueillir leur besoin en continuité d’activité et leurs contraintes à prendre en compte dans la conception du PSI. C’est clairement un facteur clé de succès.
Sénior Principal à Devoteam Consulting France, Christian Rolland a acumulé 20 ans d'expérience dans le domaine de la sécurité et continuité d'activité. C. Rolland a par ailleurs conseillé plus d'une vingtaine de sociétés (comme SFR, Bouygues Télécom, La Poste, DEXIA, La Société Générale, la CNSS, HSBC, LCL, etc...) à implémenter leur PCA/PSI.
Expert Continuité d'actrivité, Ouafa Ettirmidi est responsable de l'offre PCA. Elle a accompagné plusieurs établissements tels que la GCAM, la CNSS et le MEF à élaborer leurs plans de continuité d'activité, de services ou de secours informatique.
