Droits dauteur © DRI International, Inc. Tous droits réservés Version 4.0 BCLF-2000 Leçon 8: Exercice, audit et maintenance du Plan de continuité dactivités

Droits d’auteur © DRI International, Inc.

Tous droits réservés

Version 4.0

BCLF-2000Leçon 8:

Exercice, audit et maintenance du Plan de

continuité d’activités

BCLF-2000 Page 8-2



Version 4.0

Programme Risque BIA Stratégies Intervention Plans CA S&FExercice, Audit et

Maintenance

Comm.de crise

Agencesexternes

1. Démarrage et gestion du programme2. Évaluation et contrôle des risques3. Bilan des impacts d’affaires4. Élaborer les stratégies de continuité d’activités5. Préparation et interventions d’urgence6. Élaborer et implanter les plans de continuité

d’activités7. Programmes de sensibilisation et de formation8. Exercice, audit et maintenance du plan de

continuité d’activités9. Communications de crise10.Coordination avec les agences externes

Les pratiques professionnelles pour professionnels en continuité d’activités

GP 8-2

BCLF-2000 Page 8-3



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exercice, maintenance et audit du Plan de continuité d’activités

Le but de cette pratique professionnelle est d’établir un programme d’exercice, de test, de maintenance et d’audit. Pour continuer d’être efficace, un programme de GCA doit être exercé régulièrement pour s’assurer de maintenir une performance prévisible et répétable à réaliser les activités de rétablissement à travers toute l’organisation. À l’intérieur du programme de gestion des changements, le suivi et la documentation de ces activités permettent d’évaluer l’état continuel de préparation, d’améliorer la capacité de rétablissement et de s’assurer que les plans sont toujours à jour et pertinents. Établir un processus d’audit permettra de valider que les plans sont complets, exacts et en conformité avec les objectifs de l’organisation et les normes d’industrie, le cas échéant.

GP 8-2

BCLF-2000 Page 8-4



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Objectif de la leçon

À la fin de cette leçon, vous devriez pouvoir: Définir les termes associés à la Pratique

professionnelle 8 Décrire les méthodologies utilisées dans la

pratique professionnelle 8 Répondre correctement aux questions du test

de connaissance à la fin de cette leçon

GP 8-2

BCLF-2000 Page 8-5



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Le rôle du professionnel est de …

1. Définir un programme de test et d’exercice.

2. Définir un programme de maintenance.

3. Identifier ou définir des normes appropriées d’industrie ou d’organisation.

4. Définir un processus d’audit du programme de continuité d’activités.

5. Communiquer les résultats de tests, exercices et audit et les recommandations afférentes

GP 8-3

BCLF-2000 Page 8-6



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

a. Développer un programme d’exercice répondant aux objectifs de continuité de l’entité

b. Obtenir l’accord de la direction pour développer le programme de test et d’exercice

c. Développer un programme réaliste, progressif et rentable

- Documenter les normes et lignes directrices à suivre pour les tests et exercices.

- Définir les hypothèses et contraintes du programme de test et d’exercice.

- Identifier les types d’exercices à couvrir pour concevoir un programme d’exercice complet

Définir un programme de test et d’exerciceObjective

GP 8-4

BCLF-2000 Page 8-7



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

d. Identifier les participants, les rôles et responsabilités

e. Définir les objectifs du programme d’exercice et choisir les scenarii appropriés

f. Déterminer les exigences particulières pour chaque exercice à réaliser

g. Planifier les tests ou exercices à tenir

h. Définir et documenter les critères d’évaluation cohérents avec les objectifs et la portée

Définir un programme de test et d’exercice … suite

GP 8-4

BCLF-2000 Page 8-8



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

i. Identifier les activités préexercice

j. Tenir l’exercice

k. Identifier les activités post-exercice

GP 8-4

Définir un programme de test et d’exercice … suite

BCLF-2000 Page 8-9



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

1. Établir un calendrier progressif sur plusieurs années

2. Établir un calendrier particulier pour les tests et exercices à tenir annuellement

Déterminer les besoins pour chaque exercice

Utiliser une approche organisée

• Commencer simplement

• Bâtir sur la maîtrise, accroître la complexité

Planifier les exercices

GP 8-5

BCLF-2000 Page 8-10



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exercer le Plan

• Exercices de protection des personnes

• Revue détaillée et exercice papier

• Exercice papier basé sur un scénario

• Exercice les appels de notification

• Exercice du site alternatif

• Exercice indépendant

• Exercice fonctionnel complet (du début à la fin)

• Exercice complet

• Exercice intégré

Types d’exercices

GP 8-5

BCLF-2000 Page 8-11



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Types d’exercices

Protection des personnes – L’exécution des plans d’interventions tels que l’évacuation ou la mise à l’abri

Revue détaillée / exercice papier – Les participants révisent les plans et procédures dans un environnement sécuritaire et sans stress comme dans une salle de réunion

Exercice papier basé sur un scénario – Les participants valident l’efficacité des plans et procédures en utilisant des scenarii pertinents pour l’entité dans un environnement sécuritaire et sans stress

GP 8-5

BCLF-2000 Page 8-12



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Types d’exercices Appel de notification – Communiquer avec le

personnel et les organisations sur la liste de notification d’urgence pour confirmer que les numéros de téléphone sont exacts et que les équipes de rétablissement et organisations externes sont prêtes à intervenir

Site alternatif – L’exécution des plans d’intervention et de rétablissement pour les édifices et postes de travail dans un emplacement alternatif désigné tel qu’un centre de rétablissement des activités ou un site équipé

Indépendant – L’exécution des plans et procédures de rétablissement d’une seule unité ou processus d’affaires

GP 8-5

BCLF-2000 Page 8-13



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Types d’exercices

Fonctionnel complet– L’exécution des plans et procédures de rétablissement et de reprise d’une ligne d’affaires ou d’un secteur fonctionnel

Complet – L’exécution de tous les plans et procédures de rétablissement de toute l’organisation

Intégré – La transmission de données entre différentes applications et systèmes utilisées subséquemment par les fonctions ou processus d’affaires

GP 8-5

BCLF-2000 Page 8-14



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Définir un programme de maintenancea. Définir la méthodologie et le calendrier de

maintenance

b. Déterminer le processus de contrôle des changements

Objective

GP 8-6

BCLF-2000 Page 8-15



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Déterminer la propriété des données du plan. Préparer le calendrier de maintenance et les

procédures de révision. Choisir les outils de maintenance. Assurer le suivi des activités de maintenance. Déterminer le processus de mise à jour du

Plan. S’assurer que le plan de maintenance établir

couvre toutes les recommandations documentées

Définir la méthodologie et le calendrier de maintenance

GP 8-6

BCLF-2000 Page 8-16



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Analyser les changements d’affaires selon leurs effets sur la planification.

Développer les procédures de contrôle des changements pour assurer la vigie des changements

Établir un contrôle des versions adéquat ; élaborer les procédures pour réémettre, distribuer et diffuser le plan

Déterminer les listes de distribution du plan aux fins de diffusion.

Élaborer un processus pour mettre à jour les plans suite à des constatations d’audit.

Établir les lignes directrices pour la rétroaction sur les changements aux fonctions de planification.

Mettre en œuvre le processus de contrôle des changements

Déterminer le processus de contrôle des changements

GP 8-6

BCLF-2000 Page 8-17



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Identifier ou définir des normes pertinentesa. Réviser les normes d’industries, nationales ou

internationales pertinentes b. Réviser les attentes du responsable de processus c. Élaborer une norme pour l’organisation comprenant

un processus de revue périodique et d’amélioration continue

d. Élaborer une norme pour l’organisation basée sur les normes de l’industrie, nationales ou internationales, de même que sur les attentes de l’organisation ou des clients

e. Fréquence et portée appropriée pour l’organisation. f. Approuvée par la direction

Objective

GP 8-7

BCLF-2000 Page 8-18



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Définir un processus d’audit du programme de continuité d’activités

a. Établir un calendrier d’auto-évaluation.

b. Se préparer pour assister d’autres audits pouvant survenir.

– Audit interne

– Audit externe

– Audit d’autre tiers

c. Documenter les normes et lignes directrices en matière d’audit (diapo suivante)

Objective

GP 8-7

BCLF-2000 Page 8-19



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

1. Choisir ou développer les outils d’audit requis

2. Établir le calendrier d’audit

3. Réaliser ou suivre les activités d’audit

4. Auditer la structure, le contenu et les sections d’actions du Plan

5. Réviser les réponses des gestionnaires aux constatations de l’Audit.

6. Confirmer que des réponses ont été soumises et les plans d’actions documentés.

7. Vérifier que les actions complétées ont été consignées au plan et dans la documentation de soutien

Documenter les normes et lignes directrices en matière d’audit

GP 8-7

BCLF-2000 Page 8-20



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Communiquer les résultats de tests, exercices et audit et les recommandations

a. Identifier les parties prenantes

b. Choisir les méthodes de communication adéquates et communiquer au moment opportun

c. Établir une boucle de validation ou de rétroaction pour confirmer que les actions appropriées ont été prises à la suite des constations rapportées

Objective

GP 8-8



Version 4.0

Pratique professionnelle 8: Exercice, audit et maintenance du plan de continuité d’activités

Application pratique et exercice en classe

GP 8-9

BCLF-2000 Page 8-22



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exercice et programme d’évaluation de la sécurité intérieure

https://hseep.dhs.gov/support/VolumeI.pdf

GP 8-9

Exercices complets Exercices fonctionnels Entraînements Jeux Exercices papier Ateliers Séminaires

Exercices théoriques Exercices pratiques

Planification / formation

Com

plex

ité

BCLF-2000 Page 8-23



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Planifier un exercice

1. Déterminer quelle partie du plan vous voulez exercer

2. Déterminer le type d’exercice à réaliser

3. Identifier les participants à l’exercice

4. Convenir de la portée de l’exercice

5. Convenir des objectifs de l’exercice

6. Fixer la date de l’exercice

7. Obtenir l’approbation de la direction pour tenir l’exercice

8. Rédiger le plan d’exercice

9. Établir l’horaire de l’exercice

10. Réviser le plan et l’horaire d’exercice avec l’équipe

11. Finaliser le plan et l’horaire

GP 8-9

BCLF-2000 Page 8-24



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exemple d’horaire d’exercice

GP 8-10

Tâches Responsable Début/fin estimé(e) Problèmes ou commentaires

Simuler la déclaration de sinistre et aviser les équipes

Responsable du PCA et de l’équipe de gestion d’urgence

8:00 – 8:10

Arrivée des équipes au site alternatif

Membres des équipes 8:15 – 9:30

Récupérer les composants entreposés et déballer

Équipe d’entreposage à l’externe

8:10 - 11:00

Aménager le site alternatif pour soutenir le site interrompu

Équipe d’aménagement 8:15 – 14:00

Attribuer les postes de travail au personnel lorsqu’il devient disponible et valider la connectivité des postes de travail

Responsables des équipes de fonctions d’affaires

8:30 – 14:00

BCLF-2000 Page 8-25



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exemple de calendrier d’exercice

GP 8-10

Unité d’affaires : Processus: Téléphone:

Catégorie de test Type de test Description Date planifiée Date réelle Objectif atteint

(O / N) Élémentaire mobilisation Appeler les

membres de l’équipe pour confirmer les # de téléphone

12 janvier yyyy

Partiel mobilisation Déplacer les membres de l’équipe au site alternaif

20 janvier yyyy

Processus papier Cycle de facturation

29 janvier yyyy 13:00 à 15:00

BCLF-2000 Page 8-26



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exemple de résultats d’exercice

Résultats d’exercice du rétablissement d’activités

Date de l’exercice : 2012/05/18

Le 18 mai 2012, les équipes de rétablissement de la compagnie ont exécuté un exercice de rétablissement avec l’assistance et la collaboration du département de télécommunications. On a simulé une panne à notre site primaire. Un sinistre a été déclaré. Les équipes ont été avisées et réunies au site alternatif. Les plans de rétablissement de nos fonctions critiques du site primaire ont alors été exécutés.

GP 8-11

BCLF-2000 Page 8-27



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exemple de résultats d’exercices (suite)

Les principaux objectifs et résultats de l’exercice sont les suivants :

Une liste complète des actions à prendre est jointe à titre de référence.

GP 8-11

Valider que les procédures de rétablissement existent pour toutes les fonctions critiques à ce site COMPLÉTÉ

Valider que les procédures de rétablissement à jour seront disponibles au site alternatif au moment requis COMPLÉTÉ

Valider que les installations au site alternatif sont suffisantes et ont les équipements adéquats pour permettre le rétablissement des fonctions critiques dans les délais établis PARTIEL

Valider que la connectivité des postes de travail au site alternatif est suffisante pour soutenir les fonctions critiques PARTIEL

Valider que les procédures de rétablissement sont complètes et reflètent correctement les étapes requises pour rétablir les fonctions critiques

COMPLÉTÉ

BCLF-2000 Page 8-28



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Catégories d’exercices

Élémentaire – exercer un seule partie d’un plan (par ex. : communiquer l’état du rétablissement aux clients)

Segmentaire – tester un segment complet d’un plan (par ex.: l’application des comptes payables, le transfert du centre d’appels)

Processus – tester l’intégration des plans soutenant un même processus (par ex.: le rétablissement complet du cycle de facturation, intrants des utilisateurs, création de facture, pliage et mise sous enveloppe, envoi au bureau de poste)

GP 8-12

BCLF-2000 Page 8-29



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exercez, Exercez, Exercez

GP 8-12

• Autant que possible• D’autant de manières que possible• Aussi souvent que possible• Ne provoquez pas un sinistre en

vous exerçant!

Testez le site alternatif

Exercez votre personnel

Révisez votre documentation

BCLF-2000 Page 8-30



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Définition : Audit

« … processus systématique, indépendant et documenté pour recueillir les éléments probants et les évaluer objectivement pour déterminer la mesure dans laquelle les critères d'audit sont remplis… »

(traduction libre) ISO/DIS 19011

GP 8-13

BCLF-2000 Page 8-31



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Définitions d’audit (traduction libre)

Critères d’audit

« ensemble de politiques, procédures ou exigences »Les critères d’audit sont utilisés comme base de référence pour évaluer les éléments probants. Si les critères d’audit proviennent d’exigences légales ou autres, les constatations sont formulées en termes de conformité ou non-conformité.

Éléments probants

« dossiers, état de fait ou autre information qui sont pertinents au critère d’audit et vérifiable »Les éléments probants peuvent être qualitatifs ou quantitatifs.

Constatations d’audit

« les résultats de la comparaison des éléments probants recueillis avec le critère d’audit »Les constatations d’audit peuvent indiquer la conformité, la non-conformité et les possibilités d’amélioration ou les meilleures pratiques.

Conclusion d’audit

« les résultats d’un audit, considérant les objectifs et toutes les constatations de l’audit »

ISO/DIS 19011

GP 8-13

BCLF-2000 Page 8-32



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Concepts importants

Les bénéfices des tests et exercices Commencez simplement, bâtissez sur la

maîtrise Types de tests et exercices Tester et exercer au moins une fois par an Documenter les tests et exercices Sources de changement entraînant la

maintenance Distribution et contrôle du Plan documenté Bénéfices de la maintenance du Plan Audits et revues

GP 8-14

BCLF-2000 Page 8-33



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Exercice en classe

GP 8-15

Travaillez en équipe Élaborez un scénario d’exercice pertinent pour

votre organisation Sélectionnez :

• Le type de test

• Qui sera impliqué

• Ce qui sera testé Rédigez un script de test pour ce test Choisissez un présentateur pour l’équipe



Version 4.0

Test de connaissance

Pratique professionnelle 8Exercice, audit et maintenance

du plan de continuité d’activités

GP 8-16

BCLF-2000 Page 8-35



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Question 1

Qui devrait participer à un exercice ?

a. Ceux qui n’ont pas bien performé lors d’exercices antérieurs

b. Ceux qui assument des responsabilités en matière de continuité lors d’événement

c. Seulement les membres de l’équipe d’interventions d’urgence

d. Les équipes qui n’ont pas identifié de substituts au responsable

GP 8-16

BCLF-2000 Page 8-36



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Question 2

C’est le rôle du planificateur GCA de concevoir des tests et exercices qui :

a. Entraîneront le plus de bénéfices et causeront le moins de perturbations aux opérations normales

b. Identifieront les défaillances pour faire rapport à l’audit et à la direction

c. Assurent la direction que les stratégies sont adéquates

d. Rencontrent les exigences des auditeurs en matière de tests et exercices

GP 8-16

BCLF-2000 Page 8-37



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Question 3

Quel est l’objectif principal d’un exercice du plan ?

a. Assurer un rétablissement réussi

b. Identifier toute faiblesse dans le plan

c. Assurer que le plan a été correctement exercé

d. Identifier les personnes qui ne sont pas familières avec le plan

GP 8-16

BCLF-2000 Page 8-38



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Les audits du programme et revues de plan sont :

a. Une évaluation de l’efficacité du programme de formation et de sensibilisation au plan

b. Une évaluation de la conformité du programme aux lois applicables

c. Une évaluation du programme d’exercice

d. Une évaluation de la documentation du plan de continuité d’activités

e. Toutes ces réponses

Question 4

GP 8-16

BCLF-2000 Page 8-39



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Ai-je répondu à vos questions?

PG 8-17

BCLF-2000 Page 8-40



Version 4.0


Maintenance

Comm.de crise

Agencesexternes

Vous avez maintenant les connaissances et les techniques pour : Définir les termes associés à la pratique

professionnelle 8

Décrire les méthodologies utilisées dans la pratique professionnelle 8

• Utiliser vos connaissances pour passer l’examen de qualification

Résumé

GP 8-17



Version 4.0

Félicitations pour avoir terminé la leçon 8!

Documents

Droits dauteur © DRI International, Inc. Tous droits réservés Version 4.0 BCLF-2000 Leçon 8: Exercice, audit et maintenance du Plan de continuité dactivités