Plan B: plan de continuité des activités pour les PME

Commencez par une analyse approfondie des risques. Quels sont les dangers qui peuvent menacer le fonctionnement courant, et donc l’entreprise, en cas de panne informatique? Envisagez tous les scénarios possibles et évaluez leur probabilité et leur impact. Les risques technologiques tels que les cyberattaques ou les pannes de système font partie des scénarios possibles.

L’analyse de l’impact sur les entreprises vous permet de comprendre les conséquences des pannes et des interruptions. Vous identifiez les processus critiques et les dépendances informatiques et déterminez la rapidité avec laquelle ils doivent être rétablis afin d’éviter de graves conséquences. Cette analyse permet de répartir judicieusement les ressources et d’élaborer une stratégie de réduction des risques et de récupération. Certains processus et divisions ou secteurs peuvent attendre plus longtemps que d’autres pour être rétablis, sans que la clientèle soit directement concernée. En fin de compte, il s’agit de décider quels sont les processus les plus importants pour la création de valeur et qui ont une incidence sur le chiffre d’affaires.

Une fois que tous les impacts et dépendances ont été identifiés, vous planifiez des mesures pour minimiser les impacts potentiels à l’aide d’une stratégie de réduction des risques. Ensuite, vous déterminez comment restaurer les processus commerciaux critiques le plus rapidement possible à l’aide d’une stratégie de récupération. Planifiez la communication de crise, définissez des voies de communication claires et répartissez les responsabilités.

Chaque plan de continuité des activités s’articule autour de deux thèmes. Les divisions ou secteurs sont responsables du maintien de l’activité, car ce sont eux qui connaissent le mieux leurs processus. Les spécialistes informatiques internes ou externes sont chargés de la récupération technique. 

Maintien de l’activité commerciale

• Imprimer la documentation complète du processus avec les instructions, les plans et les répertoires
• Imprimer et classer les formulaires pour la documentation des processus
• Saisir les contacts des clients, des partenaires et des collaborateurs et les garder disponibles hors ligne
• Chercher des alternatives pour la délocalisation de la production et l’approvisionnement en matériel
• Mettre éventuellement en place un entrepôt externe avec des composants critiques pour la production
• Clarifier avec la banque comment les factures urgentes peuvent être payées en cas d’urgence
• Chercher des alternatives au paiement par carte, par exemple de l’argent liquide ou des factures pré-imprimées
• Discuter des documents et des scénarios d’urgence avec les collaborateurs clés
• Enregistrer les documents importants sur un ordinateur portable avec une connexion Internet indépendante
• Mettre éventuellement en place une organisation d’urgence avec les collaborateurs et le prestataire de services informatiques

Récupération technique

• La première chose à faire est de vérifier la disponibilité des données de sauvegarde; à combien de jours ou de semaines celles-ci remontent-elles et veut-on s’en servir comme base pour l’avenir? Les supports d’informations fonctionnent-ils et l’infrastructure de lecture/copie est-elle suffisante?
• Avant de restaurer les sauvegardes, il faut s’assurer que les systèmes cibles ont été entièrement supprimés et qu’ils sont exempts de virus. Dans certains cas, il peut être utile d’acheter du nouveau matériel ou de restaurer les sauvegardes dans un environnement cloud.
• Dans le cas d’environnements système plus complexes, il peut être plus efficace de procéder à un «nettoyage» détaillé des systèmes plutôt qu’à une restauration complète à partir des sauvegardes. Un prestataire de services informatiques d’urgence expérimenté doit aider à supprimer tous les virus et à mettre en place un «système d’alarme» pour les nouvelles infections.
• Il est également possible de créer, avec l’aide du prestataire de services informatiques, une zone de réseau sécurisée pour la restauration, séparée physiquement ou par des pare-feux appropriés des systèmes éventuellement encore infectés.
• La première chose à faire est de restaurer ou de nettoyer les systèmes centraux, c’est-à-dire la gestion des utilisateurs, les serveurs de fichiers, la messagerie électronique, les systèmes de sécurité et de réseau ainsi que les systèmes d’exploitation des machines virtuelles.
• La séquence de restauration des serveurs, des machines virtuelles, des applications et des bases de données dépend de la criticité de ces systèmes et des dépendances qui doivent être identifiées et documentées au préalable.
• Parallèlement, les ordinateurs de bureau et les ordinateurs portables peuvent être réinstallés et les systèmes de commande concernés peuvent être nettoyés dans la production.

Impliquez vos collaborateurs dans l’analyse des risques, l’analyse d’impact sur l’entreprise et les plans d’urgence. D’une part, ils connaissent mieux que quiconque leur domaine d’activité, les dangers potentiels et les conséquences des pannes ou des interruptions. D’autre part, cette implication favorise leur compréhension du processus de gestion de la continuité des activités (BCM) et augmente leur engagement envers la stratégie BCM. C’est pourquoi il est judicieux d’organiser des formations et des feed-back réguliers pour les collaborateurs concernés et de mettre à jour le plan en cas de changements organisationnels importants.

Aucun plan n’est gravé dans la pierre. Le plan de continuité des activités doit être testé et mis à jour au moins une fois par an. En outre, des tests de récupération doivent être effectués et les processus manuels doivent être pratiqués dans des scénarios d’urgence, afin que chacun et chacune sache ce qu’il faut faire en cas d’urgence. Comme pour les exercices d’alerte incendie. Actualisez le plan de continuité des opérations après chaque panne ou interruption majeure et après chaque modification importante de l’environnement opérationnel, imprimez-le et distribuez-le à tous les collaborateurs et prestataires de services concernés.