BCLF-2000 Leçon 8: Exercice, audit et maintenance du Plan de continuité d’activités

Les pratiques professionnelles pour professionnels en continuité d’activités Démarrage et gestion du programme Évaluation et contrôle des risques Bilan des impacts d’affaires Élaborer les stratégies de continuité d’activités Préparation et interventions d’urgence Élaborer et implanter les plans de continuité d’activités Programmes de sensibilisation et de formation Exercice, audit et maintenance du plan de continuité d’activités Communications de crise Coordination avec les agences externes GP 8-2

Exercice, maintenance et audit du Plan de continuité d’activités Le but de cette pratique professionnelle est d’établir un programme d’exercice, de test, de maintenance et d’audit. Pour continuer d’être efficace, un programme de GCA doit être exercé régulièrement pour s’assurer de maintenir une performance prévisible et répétable à réaliser les activités de rétablissement à travers toute l’organisation. À l’intérieur du programme de gestion des changements, le suivi et la documentation de ces activités permettent d’évaluer l’état continuel de préparation, d’améliorer la capacité de rétablissement et de s’assurer que les plans sont toujours à jour et pertinents. Établir un processus d’audit permettra de valider que les plans sont complets, exacts et en conformité avec les objectifs de l’organisation et les normes d’industrie, le cas échéant. GP 8-2

Objectif de la leçon À la fin de cette leçon, vous devriez pouvoir: Définir les termes associés à la Pratique professionnelle 8 Décrire les méthodologies utilisées dans la pratique professionnelle 8 Répondre correctement aux questions du test de connaissance à la fin de cette leçon GP 8-2

Le rôle du professionnel est de … Définir un programme de test et d’exercice. Définir un programme de maintenance. Identifier ou définir des normes appropriées d’industrie ou d’organisation. Définir un processus d’audit du programme de continuité d’activités. Communiquer les résultats de tests, exercices et audit et les recommandations afférentes GP 8-3 © 2009 DRI International

Définir un programme de test et d’exercice Objective Développer un programme d’exercice répondant aux objectifs de continuité de l’entité Obtenir l’accord de la direction pour développer le programme de test et d’exercice Développer un programme réaliste, progressif et rentable - Documenter les normes et lignes directrices à suivre pour les tests et exercices. - Définir les hypothèses et contraintes du programme de test et d’exercice. - Identifier les types d’exercices à couvrir pour concevoir un programme d’exercice complet GP 8-4 © 2009 DRI International

Définir un programme de test et d’exercice … suite Identifier les participants, les rôles et responsabilités Définir les objectifs du programme d’exercice et choisir les scenarii appropriés Déterminer les exigences particulières pour chaque exercice à réaliser Planifier les tests ou exercices à tenir Définir et documenter les critères d’évaluation cohérents avec les objectifs et la portée  A Table Top Review exposes problems and confirms procedures in a safe and stress-free environment. The only resource needed is for the responsible staff to attend with documentation. A Walk Through exercises procedures in the recovery environment and is the logical next step to a Table Top Review. GP 8-4 © 2009 DRI International

Définir un programme de test et d’exercice … suite Identifier les activités préexercice Tenir l’exercice Identifier les activités post-exercice A Table Top Review exposes problems and confirms procedures in a safe and stress-free environment. The only resource needed is for the responsible staff to attend with documentation. A Walk Through exercises procedures in the recovery environment and is the logical next step to a Table Top Review. GP 8-4 © 2009 DRI International

Planifier les exercices Établir un calendrier progressif sur plusieurs années Établir un calendrier particulier pour les tests et exercices à tenir annuellement Déterminer les besoins pour chaque exercice Utiliser une approche organisée Commencer simplement Bâtir sur la maîtrise, accroître la complexité GP 8-5

Exercer le Plan Types d’exercices Exercices de protection des personnes Revue détaillée et exercice papier Exercice papier basé sur un scénario Exercice les appels de notification Exercice du site alternatif Exercice indépendant Exercice fonctionnel complet (du début à la fin) Exercice complet Exercice intégré GP 8-5

Types d’exercices Protection des personnes – L’exécution des plans d’interventions tels que l’évacuation ou la mise à l’abri Revue détaillée / exercice papier – Les participants révisent les plans et procédures dans un environnement sécuritaire et sans stress comme dans une salle de réunion Exercice papier basé sur un scénario – Les participants valident l’efficacité des plans et procédures en utilisant des scenarii pertinents pour l’entité dans un environnement sécuritaire et sans stress GP 8-5

Types d’exercices Appel de notification – Communiquer avec le personnel et les organisations sur la liste de notification d’urgence pour confirmer que les numéros de téléphone sont exacts et que les équipes de rétablissement et organisations externes sont prêtes à intervenir Site alternatif – L’exécution des plans d’intervention et de rétablissement pour les édifices et postes de travail dans un emplacement alternatif désigné tel qu’un centre de rétablissement des activités ou un site équipé Indépendant – L’exécution des plans et procédures de rétablissement d’une seule unité ou processus d’affaires GP 8-5

Types d’exercices Fonctionnel complet– L’exécution des plans et procédures de rétablissement et de reprise d’une ligne d’affaires ou d’un secteur fonctionnel Complet – L’exécution de tous les plans et procédures de rétablissement de toute l’organisation Intégré – La transmission de données entre différentes applications et systèmes utilisées subséquemment par les fonctions ou processus d’affaires GP 8-5

Définir un programme de maintenance Objective Définir la méthodologie et le calendrier de maintenance Déterminer le processus de contrôle des changements GP 8-6

Définir la méthodologie et le calendrier de maintenance Déterminer la propriété des données du plan. Préparer le calendrier de maintenance et les procédures de révision. Choisir les outils de maintenance. Assurer le suivi des activités de maintenance. Déterminer le processus de mise à jour du Plan. S’assurer que le plan de maintenance établir couvre toutes les recommandations documentées GP 8-6

Déterminer le processus de contrôle des changements Analyser les changements d’affaires selon leurs effets sur la planification. Développer les procédures de contrôle des changements pour assurer la vigie des changements Établir un contrôle des versions adéquat ; élaborer les procédures pour réémettre, distribuer et diffuser le plan Déterminer les listes de distribution du plan aux fins de diffusion. Élaborer un processus pour mettre à jour les plans suite à des constatations d’audit. Établir les lignes directrices pour la rétroaction sur les changements aux fonctions de planification. Mettre en œuvre le processus de contrôle des changements GP 8-6

Identifier ou définir des normes pertinentes Objective Identifier ou définir des normes pertinentes Réviser les normes d’industries, nationales ou internationales pertinentes Réviser les attentes du responsable de processus Élaborer une norme pour l’organisation comprenant un processus de revue périodique et d’amélioration continue Élaborer une norme pour l’organisation basée sur les normes de l’industrie, nationales ou internationales, de même que sur les attentes de l’organisation ou des clients Fréquence et portée appropriée pour l’organisation. Approuvée par la direction GP 8-7

Définir un processus d’audit du programme de continuité d’activités Objective Établir un calendrier d’auto-évaluation. Se préparer pour assister d’autres audits pouvant survenir. Audit interne Audit externe Audit d’autre tiers Documenter les normes et lignes directrices en matière d’audit (diapo suivante) The most general definition of an audit is an evaluation of a person, organization, system, process, project or product. Audits are performed to ascertain the validity and reliability of information, and also provide an assessment of a system's internal control. The goal of an audit is to express an opinion on the person/organization/system etc. under evaluation based on work done on a test basis. GP 8-7 © 2009 DRI International

Documenter les normes et lignes directrices en matière d’audit Choisir ou développer les outils d’audit requis Établir le calendrier d’audit Réaliser ou suivre les activités d’audit Auditer la structure, le contenu et les sections d’actions du Plan Réviser les réponses des gestionnaires aux constatations de l’Audit. Confirmer que des réponses ont été soumises et les plans d’actions documentés. Vérifier que les actions complétées ont été consignées au plan et dans la documentation de soutien GP 8-7

Communiquer les résultats de tests, exercices et audit et les recommandations Objective Identifier les parties prenantes Choisir les méthodes de communication adéquates et communiquer au moment opportun Établir une boucle de validation ou de rétroaction pour confirmer que les actions appropriées ont été prises à la suite des constations rapportées GP 8-8

Pratique professionnelle 8: Exercice, audit et maintenance du plan de continuité d’activités Application pratique et exercice en classe GP 8-9

Exercice et programme d’évaluation de la sécurité intérieure Planification / formation Complexité https://hseep.dhs.gov/support/VolumeI.pdf GP 8-9

Planifier un exercice Déterminer quelle partie du plan vous voulez exercer Déterminer le type d’exercice à réaliser Identifier les participants à l’exercice Convenir de la portée de l’exercice Convenir des objectifs de l’exercice Fixer la date de l’exercice Obtenir l’approbation de la direction pour tenir l’exercice Rédiger le plan d’exercice Établir l’horaire de l’exercice Réviser le plan et l’horaire d’exercice avec l’équipe Finaliser le plan et l’horaire GP 8-9

Exemple d’horaire d’exercice Tâches Responsable Début/fin estimé(e) Problèmes ou commentaires Simuler la déclaration de sinistre et aviser les équipes Responsable du PCA et de l’équipe de gestion d’urgence 8:00 – 8:10 Arrivée des équipes au site alternatif Membres des équipes 8:15 – 9:30 Récupérer les composants entreposés et déballer Équipe d’entreposage à l’externe 8:10 - 11:00 Aménager le site alternatif pour soutenir le site interrompu Équipe d’aménagement 8:15 – 14:00 Attribuer les postes de travail au personnel lorsqu’il devient disponible et valider la connectivité des postes de travail Responsables des équipes de fonctions d’affaires 8:30 – 14:00 GP 8-10

Exemple de calendrier d’exercice GP 8-10

Exemple de résultats d’exercice Résultats d’exercice du rétablissement d’activités Date de l’exercice : 2012/05/18 Le 18 mai 2012, les équipes de rétablissement de la compagnie ont exécuté un exercice de rétablissement avec l’assistance et la collaboration du département de télécommunications. On a simulé une panne à notre site primaire. Un sinistre a été déclaré. Les équipes ont été avisées et réunies au site alternatif. Les plans de rétablissement de nos fonctions critiques du site primaire ont alors été exécutés. GP 8-11

Exemple de résultats d’exercices (suite) Les principaux objectifs et résultats de l’exercice sont les suivants : Valider que les procédures de rétablissement existent pour toutes les fonctions critiques à ce site COMPLÉTÉ Valider que les procédures de rétablissement à jour seront disponibles au site alternatif au moment requis Valider que les installations au site alternatif sont suffisantes et ont les équipements adéquats pour permettre le rétablissement des fonctions critiques dans les délais établis PARTIEL Valider que la connectivité des postes de travail au site alternatif est suffisante pour soutenir les fonctions critiques Valider que les procédures de rétablissement sont complètes et reflètent correctement les étapes requises pour rétablir les fonctions critiques Une liste complète des actions à prendre est jointe à titre de référence. GP 8-11

Catégories d’exercices Élémentaire – exercer un seule partie d’un plan (par ex. : communiquer l’état du rétablissement aux clients) Segmentaire – tester un segment complet d’un plan (par ex.: l’application des comptes payables, le transfert du centre d’appels) Processus – tester l’intégration des plans soutenant un même processus (par ex.: le rétablissement complet du cycle de facturation, intrants des utilisateurs, création de facture, pliage et mise sous enveloppe, envoi au bureau de poste) GP 8-12

Exercez, Exercez, Exercez Autant que possible D’autant de manières que possible Aussi souvent que possible Ne provoquez pas un sinistre en vous exerçant! Révisez votre documentation Testez le site alternatif Exercez votre personnel GP 8-12

Définition : Audit « … processus systématique, indépendant et documenté pour recueillir les éléments probants et les évaluer objectivement pour déterminer la mesure dans laquelle les critères d'audit sont remplis… » (traduction libre) ISO/DIS 19011 GP 8-13

Définitions d’audit (traduction libre) Critères d’audit «  ensemble de politiques, procédures ou exigences » Les critères d’audit sont utilisés comme base de référence pour évaluer les éléments probants. Si les critères d’audit proviennent d’exigences légales ou autres, les constatations sont formulées en termes de conformité ou non-conformité. Éléments probants « dossiers, état de fait ou autre information qui sont pertinents au critère d’audit et vérifiable » Les éléments probants peuvent être qualitatifs ou quantitatifs. Constatations d’audit «  les résultats de la comparaison des éléments probants recueillis avec le critère d’audit » Les constatations d’audit peuvent indiquer la conformité, la non-conformité et les possibilités d’amélioration ou les meilleures pratiques. Conclusion d’audit « les résultats d’un audit, considérant les objectifs et toutes les constatations de l’audit » ISO/DIS 19011 GP 8-13

Concepts importants Les bénéfices des tests et exercices Commencez simplement, bâtissez sur la maîtrise Types de tests et exercices Tester et exercer au moins une fois par an Documenter les tests et exercices Sources de changement entraînant la maintenance Distribution et contrôle du Plan documenté Bénéfices de la maintenance du Plan Audits et revues GP 8-14

Exercice en classe Travaillez en équipe Élaborez un scénario d’exercice pertinent pour votre organisation Sélectionnez : Le type de test Qui sera impliqué Ce qui sera testé Rédigez un script de test pour ce test Choisissez un présentateur pour l’équipe GP 8-15 © 2009 DRI International

Test de connaissance Pratique professionnelle 8 Exercice, audit et maintenance du plan de continuité d’activités GP 8-16 © 2006 DRI International v.1

Question 1 Qui devrait participer à un exercice ? Ceux qui n’ont pas bien performé lors d’exercices antérieurs Ceux qui assument des responsabilités en matière de continuité lors d’événement Seulement les membres de l’équipe d’interventions d’urgence Les équipes qui n’ont pas identifié de substituts au responsable GP 8-16 © 2006 DRI International v.1

Question 2 C’est le rôle du planificateur GCA de concevoir des tests et exercices qui : Entraîneront le plus de bénéfices et causeront le moins de perturbations aux opérations normales Identifieront les défaillances pour faire rapport à l’audit et à la direction Assurent la direction que les stratégies sont adéquates Rencontrent les exigences des auditeurs en matière de tests et exercices GP 8-16 © 2006 DRI International v.1

Question 3 Quel est l’objectif principal d’un exercice du plan ? Assurer un rétablissement réussi Identifier toute faiblesse dans le plan Assurer que le plan a été correctement exercé Identifier les personnes qui ne sont pas familières avec le plan GP 8-16 © 2006 DRI International v.1

Question 4 Les audits du programme et revues de plan sont : Une évaluation de l’efficacité du programme de formation et de sensibilisation au plan Une évaluation de la conformité du programme aux lois applicables Une évaluation du programme d’exercice Une évaluation de la documentation du plan de continuité d’activités Toutes ces réponses GP 8-16 © 2006 DRI International v.1

Ai-je répondu à vos questions? PG 8-17

Résumé Vous avez maintenant les connaissances et les techniques pour : Définir les termes associés à la pratique professionnelle 8 Décrire les méthodologies utilisées dans la pratique professionnelle 8 Utiliser vos connaissances pour passer l’examen de qualification GP 8-17

Félicitations pour avoir terminé la leçon 8!