Liste de contrôle du plan de continuité des activités

Tutoriels

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Avoir un plan de continuité des activités solide (BCP) dans le cadre de votre stratégie de gestion des risques vous permet de maintenir ou de rétablir rapidement les fonctions critiques en cas de perturbation. Un BCP protège également l’infrastructure de l’entreprise et sert de ligne directrice que vous pouvez suivre pour répondre correctement à un incident.

Cet article répertorie les éléments essentiels de la liste de contrôle du plan de continuité des activités. Continuez à lire pour découvrir la meilleure démarche à suivre pour reprendre avec succès les opérations avec des répercussions minimales.

Pourquoi Vous Avez Besoin d’un Plan de Continuité des Activités

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

Le but principal du plan de continuité des activités est d’assurer la préparation aux urgences en permettant à votre équipe d’intervention d’accomplir méthodiquement les étapes nécessaires avant, pendant et après un scénario perturbateur. Les entreprises sans cette liste de contrôle peuvent avoir du mal à maintenir les processus métier normaux et risquent de perdre des données, des systèmes ou des clients, parfois de manière irréparable.

Le Plan de Continuité des Activités en 7 Étapes

La liste de contrôle en 7 étapes vous aide à formuler un cadre général de priorités sur lequel vous pouvez vous appuyer pour créer un plan de continuité des activités adapté à votre organisation. Vous pouvez inclure toutes les procédures nécessaires pour maintenir les opérations métier lors d’une crise. Gardez à l’esprit que les détails exacts varient d’une entreprise à l’autre en fonction de différents aspects tels que la taille de l’entreprise, l’industrie et le type de menaces.

Le plan de continuité des activités standard comprend généralement les étapes suivantes :

  1. Créer une équipe de réponse aux catastrophes
  2. Identifier les services métier essentiels
  3. Évaluer les risques opérationnels et analyser l’impact sur l’activité
  4. Élaborer un plan de reprise d’activité
  5. Définir les objectifs de reprise et désigner un site de reprise d’activité
  6. S’assurer que toutes les charges de travail critiques pour l’entreprise sont protégées
  7. Tester et mettre à jour votre plan de continuité des activités

Examinons de plus près chacune de ces étapes pour comprendre pourquoi elles sont des éléments importants de toute liste de vérification du plan de continuité des activités (BCP).

1. Créer une équipe de réponse aux catastrophes

La première étape dans l’élaboration d’un plan de continuité des activités est de constituer l’équipe chargée de maintenir l’entreprise en activité en cas d’urgence. L’équipe BCP devrait inclure des membres de chaque service impliqué dans les opérations quotidiennes, et elle devrait avoir un responsable désigné pour mener les efforts de planification de la continuité des activités.

Lors de l’identification du personnel clé du BCP, vous devez établir une liste étendue des catastrophes qui représentent la plus grande menace pour votre organisation afin de recruter les bonnes personnes. Différents types d’urgences comme la défaillance du système informatique, la panne de courant ou les dommages aux installations nécessitent des membres du personnel ayant des connaissances et une expertise spécifiques pour les gérer correctement et rapidement.

Créez un tableau pour enregistrer les informations nécessaires sur les membres de l’équipe d’intervention afin de pouvoir les contacter facilement si nécessaire. Votre tableau peut inclure le nom, la position, le rôle dans l’équipe d’intervention et les informations de contact. Gardez à l’esprit que vous devez désigner au moins un remplaçant pour chaque rôle dans l’équipe. Cela vous permet d’éviter les goulots d’étranglement au cas où les délégués principaux ne parviendraient pas à exécuter leurs responsabilités.

2. Identifier les services commerciaux essentiels

L’un des objectifs principaux du plan de continuité d’activité est de vous aider à identifier les processus, les équipements et les ressources qui sont critiques pour le fonctionnement de votre organisation. Ce sont les fonctions d’infrastructure importantes et les services autour desquels vous devez construire votre PCA.

Ces services clés et éléments d’infrastructure incluent probablement :

  • Les systèmes d’alimentation et les générateurs
  • Les dispositifs de télécommunication – WAN, LAN, téléphones, ordinateurs
  • Les systèmes informatiques et serveurs
  • L’infrastructure et les installations du bâtiment
  • L’équipement spécialisé ou les fournitures critiques pour l’entreprise

Il est crucial de restaurer ces éléments dès que possible en cas de perturbation pour reprendre vos opérations et protéger vos actifs.

3. Réaliser une évaluation des risques et une analyse de l’impact sur l’entreprise

Après avoir identifié les services clés de l’entreprise, vous devriez effectuer une évaluation de l’impact des risques pour découvrir les vulnérabilités associées aux systèmes, activités et ressources essentiels. L’évaluation des risques estime la probabilité de chaque menace et reflète la probabilité de survenue du désastre.

L’analyse de l’impact sur l’activité (BIA), généralement réalisée conjointement avec l’évaluation des risques, vous permet d’évaluer la criticité et la gravité de l’impact sur vos opérations commerciales. Le principal objectif de la BIA est d’analyser les coûts financiers et opérationnels que vous encourriez en cas de concrétisation du risque. Cela vous aide à déterminer le niveau de tolérance des processus et dépendances importants, tels que les clients et les partenaires, si les fonctions commerciales clés sont dégradées, perturbées ou complètement interrompues.

Voici un tableau simplifié que vous pouvez utiliser comme modèle pour commencer à rédiger votre propre analyse:

Processus d’entreprise Catégorie d’impact Gravité Durée maximale d’indisponibilité tolérable (MTD) Coûts estimés Dépendances

Remarquez que les organisations avec plusieurs sites doivent effectuer une évaluation des risques distincte et une BIA pour chaque emplacement. Si ces sites sont géographiquement éloignés, les défis et les risques peuvent différer. Un plan de continuité d’activité robuste prend également en compte les relations et les dépendances entre les différents emplacements.

4. Élaborer un plan de reprise

Une fois que vous avez accompli les étapes précédentes, il est temps de créer un plan de reprise qui tourne autour de la restauration de vos opérations après une catastrophe. La continuité des activités et la reprise après sinistre vont de pair, d’autant plus que le plan de reprise après sinistre (DR) est une partie essentielle du plan de continuité des activités. Pour des modèles de reprise après sinistre plus détaillés, téléchargez notre livre blanc gratuit Manuel de reprise après sinistre et modèles.

Le plan DR décrit les étapes techniques que vous devez effectuer pour restaurer vos services principaux dès que possible. Gardez à l’esprit que le plan de reprise n’est pas limité aux données, car il devrait également inclure les machines, les charges de travail et les processus.

Votre plan de reprise peut tirer parti des stratégies suivantes, entre autres :

  • Procédures commerciales alternatives – par exemple, des contournements manuels pour les processus mécanisés ou automatisés jusqu’à ce que les systèmes soient de nouveau opérationnels
  • A secondary or alternate site to resume business operations
  • Basculer au niveau du site et des serveurs en cas de défaillance
  • Récupération des sauvegardes hors site des données critiques pour l’entreprise
  • Ressources « chaudes » de secours ou de veille, qui peuvent être mises en service immédiatement en cas de défaillance des composants principaux

La vidéo ci-dessous explique comment vous pouvez effectuer une récupération complète après sinistre en utilisant NAKIVO Backup & Replication.

5. Définir les objectifs de récupération et désigner un site de reprise après sinistre

Le temps de récupération objectif ou RTO détermine combien de temps d’arrêt du système informatique une entreprise peut raisonnablement tolérer avant que les processus ou services ne soient restaurés. L’objectif de point de récupération ou RPO définit combien de perte de données une entreprise peut tolérer. À la fois le RTO et le RPO sont des métriques importantes dans tout plan de continuité d’activité.

La désignation d’un site de reprise après sinistre (DR) pour le basculement réseau/données est cruciale car elle fournit un substitut immédiat en cas de panne de votre site de production principal. De plus, cela vous aide à garantir que vos objectifs de récupération sont atteints.

Le centre de reprise après sinistre situé dans une zone géographique différente agit comme une copie « chaude en attente » de vos ressources telles que les machines virtuelles (VM). En cas de panne générale du site qui met hors service votre réseau de production, le trafic peut être basculé vers l’emplacement de reprise après sinistre. Les VM « chaudes en attente » deviennent essentiellement des charges de travail de production, restaurant les opérations commerciales et assurant une continuité commerciale efficace.

Vous pouvez utiliser des solutions avancées de protection des données tierces pour répliquer les VM de production vers un emplacement de reprise après sinistre hors site et définir l’intervalle de réplication pour correspondre à votre RPO. La VM répliquée est une copie exacte de la machine d’origine et peut être utilisée dans un processus de basculement automatisé lors de la mise en œuvre de votre plan de reprise après sinistre.

Assurez-vous que toutes les charges de travail critiques pour l’entreprise sont protégées.

L’impact d’une catastrophe peut être considérablement atténué en protégeant correctement vos données commerciales critiques. Rendez vos sauvegardes résilientes en appliquant la règle 3-2-1 : ayez un minimum de 3 sauvegardes sur 2 types différents de supports de stockage, avec au moins 1 copie stockée hors site.

Réalisez la sauvegarde des données professionnelles en suivant la méthodologie de sauvegarde 3-2-1 pour atteindre les RPOs et RTOs les plus courts possibles. Cela vous permet également de vous assurer que la même catastrophe qui a affecté votre réseau de production ne peut pas également affecter vos données de sauvegarde.

7. Testez et mettez à jour votre plan de continuité d’activité

Une fois que votre plan de continuité d’activité est complet, des tests rigoureux sont nécessaires. La meilleure façon de le faire est de former vos employés pour s’assurer qu’ils comprennent parfaitement leurs rôles et responsabilités. Vous ne pouvez pas garantir la préparation aux urgences sans effectuer de formation et d’exercices réguliers. Plus important encore, en organisant des simulations complètes, vous pouvez identifier et corriger les faiblesses de votre plan.

Assurez-vous de suivre toutes les procédures pour imiter le déroulement d’un scénario de catastrophe réelle. Ces types de tests sont préférables à effectuer trimestriellement car les membres clés de l’équipe restent familiers avec le processus. De plus, les changements apportés à votre infrastructure, environnement, protocoles, charges de travail et/ou effectifs peuvent introduire des complications dans le plan. Ces éventuels accrocs ne sont souvent découverts qu’au cours d’exécutions complètes.

Les simulations doivent être observées par un observateur indépendant qui peut prendre des notes de toutes les vulnérabilités. Il devrait y avoir des séances de debriefing après chaque exécution, puis vous pouvez rédiger un rapport qui documente les faiblesses notées et les mises à jour proposées. Les rapports, ainsi que le plan de continuité des activités mis à jour, doivent être partagés avec tous les membres de l’équipe.

La liste de contrôle du plan de continuité des activités

Voici une liste de contrôle simplifiée du PCC qui vous permet de passer par les phases nécessaires pour assurer la préparation aux urgences.

Créer une équipe de réponse aux catastrophes

  • Désigner un gestionnaire principal du PCC
  • Créer un comité de continuité des activités
  • Choisir les membres de l’équipe de réponse
  • Définir les rôles et responsabilités
  • Choisir des délégués secondaires pour chaque membre de l’équipe
  • Établir une communication claire entre tous les membres

Identifier les services essentiels de l’entreprise

  • Cartographier tous les systèmes d’alimentation
  • Identifier les dispositifs de télécommunication
  • Identifier les systèmes informatiques et les serveurs
  • Identifier les installations et l’équipement spécialisé
  • Identifier l’interdépendance entre les services
  • Vérifier les services d’urgence

Réaliser une évaluation des risques et une analyse de l’impact sur l’entreprise

  • Identifier les menaces et les vulnérabilités
  • Établir la tolérance au risque
  • Déterminer les processus métier critiques
  • Calculer le temps d’arrêt maximal tolérable pour chaque service
  • Analyser l’impact financier, légal, réglementaire et clientèle
  • Identifier l’interdépendance entre les fonctions commerciales critiques

Élaborer un plan de reprise              

  • Créer votre plan de continuité des opérations (PCO)
  • Rédiger des solutions de contournement manuelles pour les processus automatisés
  • Préparer la bascule de réseau et de serveur au niveau du site
  • Tester la récupération des sauvegardes externes des données critiques
  • Veiller à ce que des ressources de secours soient disponibles

Définir les objectifs de reprise et désigner un site de secours

  • Désigner un site secondaire pour reprendre les opérations commerciales
  • Définir les objectifs de point de reprise (RPO)
  • Définir les objectifs de temps de reprise (RTO)
  • Gérer les processus de reprise après sinistre

Protéger les données critiques de l’entreprise

  • Réaliser des sauvegardes des données critiques de l’entreprise
  • Stocker les données sur des périphériques de stockage sur site et hors site
  • Stocker des sauvegardes air-gapped
  • Activer l’immutabilité pour des sauvegardes spécifiques

Tester et mettre à jour votre plan de continuité des activités

  • Réaliser des tests annuels, semestriels, trimestriels
  • Réaliser des simulations complètes de PCO chaque année
  • Créer un processus d’audit
  • Identifier les vulnérabilités et mettre à jour le plan
  • Former vos employés

Conclusion

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Cette liste de contrôle fournit le cadre d’un plan de continuité d’activité efficace qui peut vous aider à résister même aux pires scénarios. Gardez à l’esprit qu’un PCA ne peut pas être complet sans une solution avancée de protection des données comme NAKIVO Backup & Replication. La solution NAKIVO comprend tous les outils dont vous avez besoin pour effectuer des sauvegardes et des processus de récupération, automatiser les workflows de reprise après sinistre et effectuer des tests de RDR non perturbateurs pour garantir que vos objectifs de récupération sont atteints.

Source:
https://www.nakivo.com/blog/business-continuity-plan-checklist/