Continuité d’activité

Durée :

20 minutes
Objectifs :
- Comprendre la démarche globale de continuité d’activité
- Construire son plan de continuité d’activité

Glossaire

ANSSI

(Agence nationale de la sécurité des systèmes d’information) est l’autorité nationale en matière de cybersécurité et de cyberdéfense en France.

CDSN

(Conseil de défense et de sécurité nationale) est un conseil des ministres, présidé par le président de la République, qui vise à coordonner la politique de sécurité et de défense nationale.

APIC

(avertissement pluies intenses à l’échelle des communes) est un service automatique de Météo-France qui alerte les collectivités lors de précipitations très intenses, voire exceptionnelles.

CIC

(cellule interministérielle de crise) est un outil à disposition du Premier ministre permettant d’assurer le bon fonctionnement de la coordination interministérielle cas de crise majeure.

CIP

(cellule d’information du public) est un outil d'information, de communication et de gestion de la crise, sur décision du préfet de département.

COD

(centre opérationnel départemental) est un outil de gestion de crise à disposition du préfet qui l'active quand un événement majeur a lieu dans son département.

COZ

(centre opérationnel de zone) fournit les moyens de renforts et coordonne les actions si l'événement dépasse les capacités de réponse d'un département.

DICRIM

(document d'information communal sur les risques majeurs) informe la population des risques majeurs connus sur le territoire de sa commune et prévoit des actions de prévention mises en place par la municipalité.

DDRM

(dossier départemental sur les risques majeurs) est un outil d'information, établi par le préfet, qui transmet tous les risques majeurs identifiés au niveau départemental. Il est consultable en mairie.

DMD

(délégué militaire départemental) est le représentant départemental de l’OGZDS (officier général de zone de défense et de sécurité) qui assure ses responsabilités de défense sur l’ensemble de son département.

DMIA

(délai maximal d’interruption acceptable) estime le besoin de disponibilité des différents métiers ou services, dans une organisation.

ICPE

(installations classées pour la protection de l’environnement) désigne toute exploitation industrielle ou agricole susceptible de présenter des impacts ou des dangers sur l’environnement, notamment pour la sécurité et la santé des riverains.

ISO

(Organisation internationale de normalisation) est un organisme qui définit des normes afin de faciliter l’emploi d’une terminologie à l’international.

JNR

(journée nationale de la résilience) a lieu tous les 13 octobre pour sensibiliser, informer et acculturer tous les citoyens aux risques naturels et technologiques qui les entourent.

OGZDS

(officier général de zone de défense et de sécurité) assure la sécurité et la coordination des moyens militaires, sous l’autorité directe du chef d’état-major des armées.

ORSAN

(organisation de la réponse du système de la santé en situations sanitaires exceptionnelles) est conçu pour mobiliser et adapter les soins au niveau régional lors de situations susceptibles d'affecter le système de santé.

ORSEC

(organisation de la réponse de sécurité civile) est conçu pour mobiliser et coordonner, sous l'autorité unique du préfet, l'organisation générale des secours et l'ensemble des moyens à mettre en œuvre pour assurer la protection générale des populations.

PCA

(plan de continuité d’activité) désigne l’ensemble des procédures et des organisations permettant d’assurer la continuité des activités identifiées comme essentielles, à la suite d’un évènement perturbateur.

PICS

(plan intercommunal de sauvegarde) définit un dispositif intercommunal de gestion de crise et une réponse solidaire au profit de toutes les communes membres face aux situations de crise.

PCS

(plan communal de sauvegarde) est élaboré sous la responsabilité du maire et vise à organiser les moyens communaux existants pour faire face aux situations d’urgence.

PPI

(plan particulier d’intervention) a pour objet d'identifier les risques et d'organiser les secours en cas d'accident survenant sur des sites présentant un risque technologique.

PPRN

(plan de prévention des risques naturels) est un document réglementaire, sous l’autorité du préfet, qui délimite les zones soumises à un risque naturel et qui réglemente l'utilisation et l'occupation des sols sur ces zones.

RETEX

(retour d’expérience) est une méthode qui consiste à faire le bilan a posteriori de façon collective afin de tirer les enseignements d'une expérience et d’améliorer la gestion de crise.

SDIS

(service départemental d’incendie et de secours) gère l'ensemble des centres d'incendie et de secours et les sapeurs-pompiers d’un département.

SIS

(service d’incendie et de secours) sont chargés de la prévention, de la protection et de la lutte contre les incendies.

SGDSN

(secrétariat général de la défense et de la sécurité nationale) contribue à la sécurité et à l’intégrité des intérêts de la France. Le SGDSN anime également la mise en œuvre de la stratégie nationale de résilience.

SNR

(stratégie nationale de résilience) est un plan stratégique adopté par le gouvernement pour renforcer la résilience de la nation face à l’ensemble des risques et des menaces.

SNU

(service national universel) s'adresse aux jeunes âgés de 15 à 17 ans qui souhaitent participer à des activités permettant de renforcer un sentiment d’appartenance à la communauté nationale.

STEP

(station d’épuration) a pour mission de recycler les eaux usées et de rendre les eaux naturelles propres et sans danger.

VIGICRUES

(vigilance crues) est le service d'information sur le risque de crues des principaux cours d'eau en France.

VIGINUM

(service technique et opérationnel de l’état chargé de la vigilance et de la protection contre les ingérences numériques) lutte contre les manipulations de l'information en France.

CEMA

Sous l'autorité du président de la République et du gouvernement, et sous réserve des dispositions particulières relatives à la dissuasion, le CEMA est responsable de l'emploi des forces et assure le commandement des opérations militaires.

Rançongiciel

(logiciel de rançon) est un logiciel malveillant ou virus qui bloque l’accès à l’ordinateur ou à ses fichiers et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès.

SIG

(service d'information du gouvernement) est chargé d’informer le grand public de l’action gouvernementale et définit une stratégie commune pour coordonner la politique de communication publique.

Crise d’origine cyber

Une crise d’origine cyber se définit par la déstabilisation immédiate et majeure du fonctionnement courant d’une organisation en raison d’une ou de plusieurs actions malveillantes sur ses services et outils numériques.

Partie 1 sur 2 : 1 - Comprendre la démarche globale de continuité d’activité

Comprendre la démarche globale de continuité d’activité, c’est identifier les risques, se préparer, apporter une réponse immédiate et se rétablir à long terme. Trois étapes successives font partie de la démarche globale de continuité d’activité : la planification, la gestion de crise et le retour d’expérience.

Regardez la vidéo suivante pour appréhender la démarche globale de continuité d’activité (3 min 19 sec).

Mettez dans l’ordre les actions inhérentes à la démarche de continuité d’activité d’une commune.

Partie 1 sur 2, sous-partie 1 sur 4 : a. La démarche globale de continuité d’activité

La continuité d’activité a pour objet de permettre à un organisme de maintenir ses missions essentielles lors d’un évènement perturbateur.

L’Organisation internationale de normalisation (ISO) rappelle la définition de la continuité d’activité en ces termes (norme ISO 22300) :

« Capacité d’un organisme à poursuivre la livraison de produits et la fourniture de services dans des délais acceptables durant une perturbation. »

La démarche de continuité d’activité est une approche globale et structurée qui constitue un ensemble d’étapes et vise à créer une culture de résilience dans une approche « tous risques ».

Cette démarche s’échelonne en trois étapes : la planification, la gestion de crise et le retour d’expérience.

Partie 1 sur 2, sous-partie 2 sur 4 : b. La première étape de la continuité d’activité : la mise en œuvre de la planification

Cette première étape se met en place lors du fonctionnement en mode nominal et définit une prévention des risques encourus et une préparation en cas de crise. C’est à ce moment précis que sont envisagées les solutions pour garantir la continuité d’activité.

La prévention

Elle permet d’identifier les risques et de prendre des mesures pour éviter leur réalisation.

La préparation

Elle détermine les mesures et les actions qui vont permettre d’assurer la continuité des activités en cas d’évènement perturbateur. C’est dans ce cadre que sont élaborés le PCS, le plan communal de sauvegarde, et le PCA, le plan de continuité d’activité.

Indiquez le type de document qui correspond à la description.
Cochez la case qui convient.

Partie 1 sur 2, sous-partie 3 sur 4 : c. La deuxième étape de la continuité d’activité : la mise en œuvre de la gestion de crise

Cette étape est lancée en cas de perturbation ou d’interruption d’activité. Il s’agit alors d’appliquer les stratégies de continuité d’activité définies lors de l’étape précédente de planification, c’est-à-dire :

Répondre à la perturbation en activant les solutions du plan de continuité. La réponse est souvent caractérisée par une action rapide, la reprise des activités, selon les priorités établies, et l’impact de la crise ;
Se rétablir avec un retour progressif à la normale.

Voici l’exemple d’un dispositif communal de crise extrait d’une fiche « réflexe ».

Le maire est le directeur des opérations de secours sur le territoire de sa commune jusqu’au déclenchement d’un plan de secours départemental par le préfet.
En cas d’alerte (météo, inondations) transmise par la préfecture, le maire doit répercuter l’information ou l’alerte auprès des administrés.
En cas de crise, dès le début des opérations, le maire ou son adjoint doit, en liaison avec le responsable local de la gendarmerie ou de la police, et avec l’officier des sapeurs-pompiers :

Partie 1 sur 2, sous-partie 4 sur 4 : d. La troisième étape de la continuité d’activité : le retour d’expérience

Cette dernière étape doit être lancée le plus tôt possible, sans attendre la sortie de crise. Les retours d’expérience (RETEX) permettent de tirer les enseignements des évènements passés, d’accidents réels ou simulés dans le cadre des exercices et donc, de renforcer la résilience de l’organisme.

Ce processus d’amélioration du PCA permet de reconstruire en mieux afin de mieux résister à un choc futur. Organiser un retour d’expérience après chaque crise ou lors d’un exercice doit permettre de mieux s’adapter et de se préparer en vue d’un retour à la normale plus rapide.

Les points de discussion en vue de l’amélioration peuvent être les suivants :

la description des problèmes rencontrés ;
la mise à jour des activités affectées ;
une réflexion sur la communication entre les différentes entités ou auprès des services de l’État ;
la mise en évidence des problèmes techniques ;
un focus sur le respect des délais.

Partie 2 sur 2 : 2 - Construire son plan de continuité d’activité

Une planification stratégique est nécessaire dans la mise en œuvre du plan de continuité d’activité. La prévention et l’anticipation permettent une bonne organisation et la mobilisation des meilleurs outils de gestion de crise.

La démarche globale de continuité d’activité ne se résume pas à une succession de plans.

Il s’agit avant tout de réaliser 3 actions : IDENTIFIER – ANALYSER – ÉVALUER

Ces trois actions nécessitent une bonne connaissance de son territoire ainsi que du fonctionnement de son organisme.

Regardez la vidéo suivante pour comprendre la démarche en trois actions qui vous permet de construire votre PCA (2 min 35 s).

Partie 2 sur 2, sous-partie 1 sur 3 : a. Identifier les risques et les menaces

Quels sont alors les risques et les menaces présents sur votre territoire ?

L’objectif, pour l’organisme, est de prendre conscience des risques auxquels il est exposé et de les apprécier correctement afin de les réduire.

Pour rappel, les principales catégories de risques et de menaces en matière de continuité d’activité sont :

les risques naturels (inondation, tempête, sécheresse…) ;
les risques technologiques (incendie ou explosion accidentelles, accident industriel à proximité…) ;
les risques sanitaires (épidémie, pandémie…) ;
les menaces d’origine humaine (menace armée, menace cyber, menace terroriste, menace hybride…).

D’autres risques complémentaires sont de plus en plus prégnants :

les risques liés à la chaîne d’approvisionnement (disponibilité de matières premières, rupture de stock, retard de production et de transport…) ;
les risques liés au personnel (indisponibilité du dirigeant, compétences rares, difficultés de recrutement…).

Partie 2 sur 2, sous-partie 2 sur 3 : b. Analyser les risques et les menaces mais également les besoins de continuité

Déterminer les besoins de continuité

C’est une étape fondamentale de la démarche de continuité d’activité. Il s’agit de déterminer les activités prioritaires et leurs ressources indispensables en fonction de leur criticité.

Pour quantifier la criticité d’une activité, il est nécessaire d’évaluer son délai maximal d’interruption acceptable (DMIA) et ses impacts.

Étape 1 : l’évaluation du DMIA répond aux questions suivantes :

Combien de temps cette activité peut être arrêtée sans générer d’impact sur l’organisation ?
Et quelles sont les conséquences sur l’organisation si l’activité est interrompue 4 heures, 12 heures, 24 heures ou plus encore ?

Étape 2 : il est ensuite nécessaire de recueillir les ressources indispensables au maintien de ces activités critiques.

Il s’agit de répondre à la question suivante.

De quoi ces activités ont-elles besoin en temps normal pour fonctionner ?

Ces ressources peuvent être :

humaines ;
matérielles ;
financières ;
fournisseurs ou partenaires ;
systèmes d’information.

Analyser les risques et les menaces

Une fois que les risques et menaces ont été identifiés, il s’agit de les hiérarchiser en fonction de leur vraisemblance et de leur gravité.

La vraisemblance des risques fait référence à la probabilité qu’une catastrophe se produise.

La gravité se rapporte aux conséquences potentielles si cette catastrophe se produit.

Pour cela, la méthode est simple : il s’agit d’établir des scénarios, notamment grâce aux informations passées qui permettent une meilleure connaissance des vulnérabilités de l’organisme.

Une matrice peut ensuite vous aider à hiérarchiser les risques et les menaces.

Consultez Géorisques (nouvel onglet), découvrez des informations sur les risques naturels et technologiques de la commune de Mandelieu-la-Napoule (Alpes-Maritimes) et placez les risques de séisme, inondation et éboulement dans la matrice.

Cliquez sur l’étiquette puis sur l’emplacement qui lui correspond.

Découvrir les réponses

Séisme : Le site internet Géorisques indique que le risque sismique existe sur la commune. La commune est classée dans la zone sismique réglementaires de sismicité « modérée ». Le site Géorisques n’indique pas d’événement sismique ayant conduit à la reconnaissance d’un état de catastrophe naturelle.

Inondations : La commune est concernée par le risque d’inondation. La commune a été reconnue à de nombreuses reprises en état de catastrophe naturelle causée par des inondations et coulées de boue. Le site Géorisques renvoie vers le site internet de la préfecture, où peut être consulté le PPR d’inondations. Les cartes d’aléa du PPR montrent que certaines parties du territoire de la commune sont concernées par un niveau d’aléa d’inondation de niveau « fort ».

Mouvements de terrain : Le site internet Géorisques indique que le risque de mouvement de terrain (éboulement ou chutes de pierres et de blocs, glissement de terrain, tassements différentiels) existe sur la commune. Bien que le site internet Géorisques indique que la commune n’est pas dotée d’un PPR de mouvements de terrain (ce qui peut aussi être vérifié sur le site internet de la préfecture), Géorisques mentionne que la commune a été reconnue à plusieurs reprise en état de catastrophe naturelle causée par des mouvements de terrain. L’intensité des phénomènes possibles est donc forte.

Cet exemple montre, qu’en plus d’intégrer la culture du risque, il est nécessaire d’identifier et d’analyser les risques et les menaces associés pour définir les solutions de continuité d’activité et leurs modalités de mise en œuvre.

Définissez le plan de continuité d’activité parmi les propositions suivantes.

La définition du PCA selon la norme ISO 22300 est la suivante :

« informations documentées servant de guide à l’organisme pour répondre à une perturbation et reprendre la fourniture des produits et services en cohérence avec ses besoins de continuité ».

Le PCA est rédigé à partir des conclusions de l’identification et l’analyse des risques, menaces et besoins de continuité précédemment évoqués.

Sélectionnez la réponse correspondant à la définition d’un PCA ainsi qu’à ses conditions pour être efficace.

Cliquez sur la réponse appropriée.

Partie 2 sur 2, sous-partie 3 sur 3 : c. Évaluer sa démarche de continuité d’activité

Après avoir identifié et analysé les risques, menaces et besoins de continuité de l’organisme, il s’agit d’évaluer sa démarche lors d’un retour d’expérience.

Cette action peut se mettre en place :

régulièrement à la suite d’exercices ;
à la suite d’un évènement perturbateur lorsque le fonctionnement revient à la normale.

L’objectif est de rendre et maintenir le PCA opérationnel grâce à :

des sensibilisations ou des formations à destination du personnel impliqué ;
la réalisation d’exercices de mise en situation ;
une revue et une évaluation de sa démarche (de nouveaux besoins de continuité peuvent être identifiés).