Comment savoir et faire savoir que son « plan de continuité » fonctionne ?

Vincent Villers, Associé et Cécile Gellenoncourt, Senior Manager, PricewaterhouseCoopers Luxembourg
Soluxions, Septembre 2008

La mise en place et le test d'un plan de continuité d'activités, aussi appelé Business Continuity Plan (ou « BCP »), au sein d'une entreprise représente un
élément essentiel d'une gestion efficace des risques opérationnels pour l'entreprise en vue d'assurer sa survie en cas de sinistre,
mais aussi vis-à-vis du marché dans lequel elle évolue. Si un nombre croissant d’entreprises optent pour la sous-traitance de certaines fonctions opérationnelles importantes,
engendrant alors une certaine dépendance vis-à-vis du prestataire de service : comment auditer les procédures de test BCP d’une fonction outsourcée ?
Peut-on attester du caractère opérationnel d'un plan de secours, sous quelle forme et selon quelle norme, quel standard ou quel cadre reconnu ?


Au delà de la mise en place du plan de continuité, l'entreprise doit également en évaluer le caractère opérationnel, y compris pour les activités clés sous-traitées.
Tester ses solutions de continuité et faire auditer ses tests est un excellent moyen pour une entreprise de démontrer la capacité de son plan BCP à atteindre ses objectifs
en interne (direction, employés ou groupe) et en externe (actionnaires, régulateur, clients et partenaires).

Dans le cas où une fonction importante est sous-traitée, les deux parties concernées peuvent d’ailleurs y trouver un intérêt certain.
D’une part, l’entreprise qui sous-traite peut ainsi évaluer la capacité de son fournisseur à maintenir sa prestation de service, dans l’hypothèse où ce prestataire se trouve dans une situation de sinistre,
ainsi que ses propres procédures de gestion et de communication de crise en rapport avec le service fourni.
D’autre part, le prestataire de service a l’occasion de démontrer à ses clients existants et potentiels l’efficacité de son plan de continuité.

De nombreux standards et méthodologies en continuité d’affaires 1 Business Continuity Institute, Disaster Recovery Institute ou British Standard Institute. fournissent un guide à la création d’un plan de continuité et à la mise en place d’un processus de gestion de la continuité. Dressons ici quelques pistes quant aux points d’attention qui paraissent importants lors de la réalisation d’un audit de test BCP dans un contexte particulier d’externalisation.


En amont du test : revoir la cohérence des plans

Lors de la définition du plan, le choix stratégique d’externaliser une fonction essentielle ou importante doit prendre en compte la problématique de continuité de l’activité.
Celle-ci doit clairement figurer dans un contrat de service (Service Level Agreement) liant l’entreprise à son prestataire, qui doit s’engager à créer et maintenir un plan de continuité en adéquation avec
les besoins de son client. Il convient de revoir le contrat et de s’assurer qu’il est en ligne avec les conclusions du Business Impact Analysis de la fonction outsourcée.
Idéalement, le contrat devrait préciser :

  • La perte de données (électroniques ou papier) maximale acceptable (ou Recovery Point Objective) ;
  • L’interruption de service maximale acceptable (ou Recovery Time Objective) et le niveau de service minimum accepté ;
  • La possibilité pour l’entreprise de faire auditer, par son service d’audit interne ou par une société externe, les tests BCP de son prestataire.

L’auditeur demandera l’accès à la documentation du plan de continuité du prestataire et aux rapports de tests réalisés.
Il s’assurera que les procédures de gestion et de communication de crise des deux entités sont cohérentes et coordonnées.
Enfin, afin de vérifier que les partenaires de l’entreprise sont en ligne avec son plan de continuité et qu’ils vont le rester, il s’agira de clarifier, pour toutes les parties en présence,
les effets du changement sur les fonctions de recovery interdépendantes et d’établir des procédures de routine permettant de les gérer de manière coordonnée.

Préparation du test : évaluer sa pertinence

Dans un premier temps, il faudra évaluer la pertinence de la stratégie de test, des types de tests prévus, des scénarios de sinistre retenus et des objectifs fixés.

Ceux-ci permettent-ils d’obtenir un niveau d’assurance élevé quant à la capacité à redémarrer les activités critiques outsourcées dans le délai souhaité ?
Les risques pour l’entreprise sont-ils maîtrisés (risque de mise en réelle situation de crise ; risque sur la confidentialité et l’intégrité des données lié par exemple à l’utilisation de moyens alternatifs de communication ou à l’utilisation du site de secours du prestataire…) ? Le type d’exercice est-il en rapport avec le niveau d’assurance souhaité et le niveau de préparation des intervenants,
prestataire de service compris (revue sur table, simulations, tests modulaires, tests fonctionnels, tests annoncés / surprise) ?

Les scénarii de test retenus devront s’appuyer sur les types d’incidents que l’entreprise pourrait effectivement connaître : par exemple en cas de sinistre chez le sous-traitant
afin d’évaluer sa capacité à produire les informations/services sujettes à sous-traitance (maintenance d’une application, production de VNI, …), ou encore un sinistre chez l’entreprise
pour évaluer la capacité du prestataire à produire ces mêmes informations/services vers le site de repli de l’entreprise sous-traitante.

Le plan de test devrait détailler le niveau de réussite acceptable pour chaque objectif de test en termes de délai de reprise, mise à disposition d’informations ou systèmes liés à la sous-traitance,
volume à traiter, applicatifs à utiliser. L’auditeur utilisera des critères d’évaluation en ligne avec les objectifs et le périmètre du test, certains pouvant être quantitatifs et donc mesurables
(x VNI reçues avant le cut-off), d’autres qualitatifs (exercer/former les participants aux procédures BCP ; respect des lois et règlements).

Enfin, le périmètre du test listera les participants le planning et les limites du test.

Déroulement du test : observer et documenter

Durant le test, l’auditeur a principalement un rôle d’observateur. Il s’assure notamment que les organisateurs coordonnent et supervisent adéquatement le test. Il documente les résultats pour chaque critère d’évaluation identifié (résultats obtenus vs résultats attendus et résultats inattendus) et s’assure du bon retour à la normale (re-basculement des lignes téléphoniques, suppression de tout document des postes de travail de secours…).

Après le test : débriefer

Il est essentiel de tirer les leçons de l’exercice à travers, par exemple, l’organisation d’une réunion de debriefing avec tous les participants au test (y compris le prestataire de service),
et l’existence d’un rapport de tests. Celui-ci devra indiquer face aux hypothèses, au périmètre et aux objectifs le niveau d’atteinte, les problèmes rencontrés et les actions à mener.

L’auditeur revoit ce rapport de tests et s’assure qu’il fournit une description fidèle, une identification claire des problèmes rencontrés et qu’un plan d’actions correctrices a été défini, communiqué et accepté. Il peut également par la suite faire le suivi de ces actions et s’assurer de la mise à jour de la documentation du plan de secours et le cas échéant du contrat de service du prestataire.

La dernière étape consiste à produire un rapport qui atteste du bon fonctionnement de la solution BCP testée et qui évalue également l’organisation et la pertinence du test retenu.


Vers une norme internationale référentielle ?

La forme et le référentiel encadrant ce type de rapport restent actuellement à la libre décision de l’auditeur (interne et externe). Cependant, l’IAASB (International Auditing and Assurance Standards Board) élabore actuellement une nouvelle norme ISAE 3402, «Expression d’assurance sur les contrôles dans une société de services» (titre français provisoire). Ce projet de norme internationale relative aux missions d’assurance (International Standard on Assurance Engagements – norme ISAE) définit des lignes directrices à l’intention des auditeurs qui délivrent des rapports d’audit sur le traitement
d’opérations par une société de services à l’intention des entités clientes de ce service et de leurs auditeurs.

Cette norme requerra que les travaux de révision soient planifiés et exécutés de façon à obtenir une assurance raisonnable que la conception, la mise en place et la maintenance des contrôles par la direction d’une société de service sur une période donnée, respectent certains critères établis par rapport aux exigences d’une réglementation ou à défaut, par des bonnes pratiques.
Le rapport comportera donc une description claire et précise des objectifs de contrôles, des critères à remplir pour atteindre ces objectifs, des tests d’audit réalisés et de leurs résultats.
Il sera alors possible d’obtenir une attestation concernant le domaine audité, et donc en l’espèce, la gestion de la continuité d’affaires, par rapport à un standard de contrôle reconnu.
Une réelle opportunité pour les entreprises de la Place de communiquer, en interne et en externe, sur l’efficacité de leur plan de continuité.

1. Business Continuity Institute, Disaster Recovery Institute ou British Standard Institute .