Homme regardant quelque chose dans une tablette

Plan B: plan de continuité des activités pour les PME

Lorsque l’informatique s’arrête, la plupart des entreprises s’arrêtent. C’est pourquoi les petites et moyennes entreprises ont besoin d’un plan de continuité en guise de plan B. Surtout à l’heure où de plus en plus de PME sont victimes de cyberattaques et doivent s’attendre, dans le pire des cas, à des interruptions plus ou moins longues de leurs systèmes et donc à des pertes d’exploitation.

Pourquoi a-t-on besoin d’un plan de reprise?

Avec l’augmentation du nombre de cyberattaques, le risque d’interruption ou de perte d’exploitation augmente également. Les PME sont particulièrement vulnérables, car elles sont souvent moins bien protégées que les grandes entreprises, faute de ressources. En intégrant la gestion de la continuité des activités dans leur stratégie de gestion des risques , les PME se préparent à de telles situations d’urgence et à la poursuite de leurs processus commerciaux critiques. 1,85 million de dollars, c’est le coût moyen d’une panne selon l’étude de Sophos «The State of Ransomware 2023». A cela s’ajoutent des pertes de réputation et de confiance. Une panne prolongée peut mettre en péril l’existence d’une PME.

Que doit contenir un plan de continuité des activités?

Un plan de continuité des activités augmente la cyberrésilience, réduit les interruptions de l’activité et assure la viabilité à long terme. La cyberrésilience est la capacité à se protéger contre les cyberattaques, à les détecter, à y réagir immédiatement et à se remettre rapidement de leurs conséquences. Voici les quatre composantes clés d’un plan de continuité:

  • Tout d’abord, tous les processus commerciaux critiques sont identifiés. Ce sont les processus qui sont essentiels à la survie de la PME, du processus de distribution au service à la clientèle.
  • Ensuite, les menaces potentielles telles que les cyberattaques ou les problèmes techniques sont analysées avec leurs conséquences dans le cadre d’une évaluation des risques.
  • Sur la base de l’évaluation des risques, une stratégie de récupération est élaborée afin de permettre à la PME de reprendre ses activités le plus rapidement possible. Par exemple, avec un système informatique redondant ou sur un deuxième site.
  • Avec l’augmentation du nombre de cyberattaques, la cybersécurité devient une question de survie et doit être réglée dans le plan de continuité des activités. Par exemple, avec des mesures préventives telles que des sauvegardes régulières, des correctifs et des mises à jour de logiciels ou des formations pour les collaborateurs.

Un plan de continuité des activités en six étapes

Comment créer un plan de continuité des activités en six étapes:

Étape 1 : Identifier et évaluer les risques

Commencez par une analyse approfondie des risques. Quels sont les dangers qui peuvent menacer le fonctionnement courant, et donc l’entreprise, en cas de panne informatique? Envisagez tous les scénarios possibles et évaluez leur probabilité et leur impact. Les risques technologiques tels que les cyberattaques ou les pannes de système font partie des scénarios possibles.

Etape 2: évaluer les effets critiques pour l’entreprise

L’analyse de l’impact sur les entreprises vous permet de comprendre les conséquences des pannes et des interruptions. Vous identifiez les processus critiques et les dépendances informatiques et déterminez la rapidité avec laquelle ils doivent être rétablis afin d’éviter de graves conséquences. Cette analyse permet de répartir judicieusement les ressources et d’élaborer une stratégie de réduction des risques et de récupération. Certains processus et divisions ou secteurs peuvent attendre plus longtemps que d’autres pour être rétablis, sans que la clientèle soit directement concernée. En fin de compte, il s’agit de décider quels sont les processus les plus importants pour la création de valeur et qui ont une incidence sur le chiffre d’affaires.

Etape 3: minimiser les risques et rétablir les processus

Une fois que tous les impacts et dépendances ont été identifiés, vous planifiez des mesures pour minimiser les impacts potentiels à l’aide d’une stratégie de réduction des risques. Ensuite, vous déterminez comment restaurer les processus commerciaux critiques le plus rapidement possible à l’aide d’une stratégie de récupération. Planifiez la communication de crise, définissez des voies de communication claires et répartissez les responsabilités.

Etape 4: déduire, préparer et développer des mesures

Chaque plan de continuité des activités s’articule autour de deux thèmes. Les divisions ou secteurs sont responsables du maintien de l’activité, car ce sont eux qui connaissent le mieux leurs processus. Les spécialistes informatiques internes ou externes sont chargés de la récupération technique

Maintien de l’activité commerciale

  • Imprimer la documentation complète du processus avec les instructions, les plans et les répertoires
  • Imprimer et classer les formulaires pour la documentation des processus
  • Saisir les contacts des clients, des partenaires et des collaborateurs et les garder disponibles hors ligne
  • Chercher des alternatives pour la délocalisation de la production et l’approvisionnement en matériel
  • Mettre éventuellement en place un entrepôt externe avec des composants critiques pour la production
  • Clarifier avec la banque comment les factures urgentes peuvent être payées en cas d’urgence
  • Chercher des alternatives au paiement par carte, par exemple de l’argent liquide ou des factures pré-imprimées
  • Discuter des documents et des scénarios d’urgence avec les collaborateurs clés
  • Enregistrer les documents importants sur un ordinateur portable avec une connexion Internet indépendante
  • Mettre éventuellement en place une organisation d’urgence avec les collaborateurs et le prestataire de services informatiques

Récupération technique

  • La première chose à faire est de vérifier la disponibilité des données de sauvegarde; à combien de jours ou de semaines celles-ci remontent-elles et veut-on s’en servir comme base pour l’avenir? Les supports d’informations fonctionnent-ils et l’infrastructure de lecture/copie est-elle suffisante?
  • Avant de restaurer les sauvegardes, il faut s’assurer que les systèmes cibles ont été entièrement supprimés et qu’ils sont exempts de virus. Dans certains cas, il peut être utile d’acheter du nouveau matériel ou de restaurer les sauvegardes dans un environnement cloud.
  • Dans le cas d’environnements système plus complexes, il peut être plus efficace de procéder à un «nettoyage» détaillé des systèmes plutôt qu’à une restauration complète à partir des sauvegardes. Un prestataire de services informatiques d’urgence expérimenté doit aider à supprimer tous les virus et à mettre en place un «système d’alarme» pour les nouvelles infections.
  • Il est également possible de créer, avec l’aide du prestataire de services informatiques, une zone de réseau sécurisée pour la restauration, séparée physiquement ou par des pare-feux appropriés des systèmes éventuellement encore infectés.
  • La première chose à faire est de restaurer ou de nettoyer les systèmes centraux, c’est-à-dire la gestion des utilisateurs, les serveurs de fichiers, la messagerie électronique, les systèmes de sécurité et de réseau ainsi que les systèmes d’exploitation des machines virtuelles.
  • La séquence de restauration des serveurs, des machines virtuelles, des applications et des bases de données dépend de la criticité de ces systèmes et des dépendances qui doivent être identifiées et documentées au préalable.
  • Parallèlement, les ordinateurs de bureau et les ordinateurs portables peuvent être réinstallés et les systèmes de commande concernés peuvent être nettoyés dans la production.

Etape 5: impliquer et former les collaborateurs

Impliquez vos collaborateurs dans l’analyse des risques, l’analyse d’impact sur l’entreprise et les plans d’urgence. D’une part, ils connaissent mieux que quiconque leur domaine d’activité, les dangers potentiels et les conséquences des pannes ou des interruptions. D’autre part, cette implication favorise leur compréhension du processus de gestion de la continuité des activités (BCM) et augmente leur engagement envers la stratégie BCM. C’est pourquoi il est judicieux d’organiser des formations et des feed-back réguliers pour les collaborateurs concernés et de mettre à jour le plan en cas de changements organisationnels importants.

Etape 6: tester et adapter le plan de continuité des activités

Aucun plan n’est gravé dans la pierre. Le plan de continuité des activités doit être testé et mis à jour au moins une fois par an. En outre, des tests de récupération doivent être effectués et les processus manuels doivent être pratiqués dans des scénarios d’urgence, afin que chacun et chacune sache ce qu’il faut faire en cas d’urgence. Comme pour les exercices d’alerte incendie. Actualisez le plan de continuité des opérations après chaque panne ou interruption majeure et après chaque modification importante de l’environnement opérationnel, imprimez-le et distribuez-le à tous les collaborateurs et prestataires de services concernés.

Bon à savoir
La cyberassurance Zurich pour les PME couvre non seulement les coûts d’analyses telles que les scans de virus ou pour la constatation de dommages, mais aussi les coûts des efforts de récupération après un sinistre. Calculez votre prime ou prenez rendez-vous pour un conseil.

Plus d’articles

Comment les PME se protègent contre les attaques de pirates informatiques

Un piratage informatique menace l’existence même de l’entreprise

Chaque semaine, l’Office fédéral de la cybersécurité OFCS reçoit des centaines de déclarations de cyberincidents, plus de 2’000 par semaine aux périodes de pointe. Les PME sont particulièrement vulnérables. Quels sont les dangers qui guettent les petites et moyennes entreprises?
Deux collaborateurs dans la salle des serveurs

Plan d’urgence informatique: voici comment protéger votre PME

De nos jours, aucune entreprise ne peut se permettre une panne prolongée de son système informatique. Dans le meilleur des cas, la panne ne coûte «que» de l’argent, dans le pire des cas, c’est l’existence-même de l’entreprise qui est en jeu. C’est pourquoi chaque entreprise a besoin d’un plan d’urgence informatique.
Une femme assise devant son ordinateur dans un entrepôt

Authentification: protégez votre réseau et vos données

Avec une authentification forte comme 2FA ou MFA, les PME protègent leur réseau d’entreprise et leurs données avec un mot de passe et au moins un autre facteur.
Jeune homme

Kaisin: Créateur d’entreprise avec une recette gagnante

Connaître le succès grâce à de délicieux Poké Bowls - le cofondateur Delano Fischer nous parle de la start-up zurichoise innovante.
Hommes ayant une discussion joyeuse

L’histoire de notre client de cyberassurance Planted

La start-up Planted fait fureur avec ses spécialités végétales innovantes.