84 Questions d’audits pour évaluer un plan de continuité des affaires!
Un bon Plan de continuité des affaires (PCA) ne devrait pas prendre la poussière dans le bureau du département informatique.
Un plan c’est un ensemble de décisions, de dépendances et de test qui permettent de maintenir en fonction l’organisation face aux catastrophe.
Plan — Photo by charlesdeluvio on Unsplash
Côté sécurité de l’information, la norme ISO 27001:2022/27002:2022 a introduit « Sécurité de l’information pendant les perturbations » (A 5.29) et « Préparation des TIC à la continuité » (A 5.30).
Concrètement il faut être prêt à supporter les RTO/RPO, organiser la reprise des systèmes d’information et tout tester.
Petit rappel: le RTO ( Recovery Time Objective) est le temps maximal acceptable pour rétablir les systèmes ou services après un incident (combien de temps avant que tout refonctionne).
le RPO ( Recovery Point Objective) est la quantité maximale de données qu’une entreprise peut se permettre de perdre depuis la dernière sauvegarde. Donc une copie chaque jour, représente un RPO de 24h (On accepte de perdre une journée de traval avant l’incident).
Pour plus d’information sur une gestion de la continuité des affaires je vous invite à lire mon article sur la norme 22301:2019 et sur la norme 27031:2025.
NIST SP 800–34 reste aussi une référence gratuite pour structurer un plan.
84 questions pour évaluer son PCA
Maintenant que vous avez construit un plan de continuité des affaire (PCA) voici 84 questions pour évaluer si celui-ci est complet!
Gouvernance, politique, imputabilité
1-Une politique de continuité des affaires existe‑t‑elle?
2-La politique a‑t‑elle été approuvée par la direction (date et signature visibles)?
3-Un budget dédié (heures et montants) est‑il alloué pour l’année en cours?
4-Un propriétaire de la continuité des affaires est‑il officiellement désigné?
5-Un remplaçant du propriétaire de la continuité des affaires est‑il désigné et formé?
6-Les rôles et responsabilités (matrice RACI — Responsible, Accountable, Consulted, Informed) sont‑ils publiés et communiqués?
7-Une description du programme (mandat, objectifs, périmètre) est‑elle disponible?
Portée et objectifs
8-La portée (processus, unités, sites, technologies) est‑elle documentée?
9-Des objectifs de continuité mesurables (critères d’impact) sont‑ils définis?
10-Une liste des processus ↔ sites ↔ équipes ↔ fournisseurs existe‑t‑elle?
Analyse d’impact d’affaires (Business Impact Analysis — BIA)
11-L’analyse d’impact d’affaires (BIA) a‑t‑elle moins de 12 mois?
12-Les temps de rétablissement cibles (RTO — Recovery Time Objective) par processus sont‑ils définis et approuvés par les propriétaires d’affaires?
13-Les pertes de données admissibles (RPO — Recovery Point Objective) par processus sont‑elles définies et approuvées?
14-Les niveaux de service minimaux (MBCO — Minimum Business Continuity Objective) sont‑ils documentés?
15-Les coûts d’interruption (directs et indirects) sont‑ils estimés et validés?
16-Les périodes de pointe (saisonnalité) sont‑elles identifiées?
17-Les dépendances (applications, données, équipements, fournisseurs) sont‑elles listées?
Risques et scénarios
18-Un registre des risques de continuité (services informatiques et autres, risques régionaux, chaîne d’approvisionnement) est‑il à jour?
19-Les scénarios de perturbation majeurs (perte de site, réseau, alimentation électrique, infonuagique, rançongiciel, ressources humaines, accès physique, météo) sont‑ils définis?
20-Chaque scénario est‑il relié à des stratégies (prévention, réponse, reprise)?
Stratégies de continuité
21-Les modes dégradés (opérations manuelles, files d’attente, redirections) sont‑ils documentés?
22-Le télétravail d’urgence (licences, authentification multifacteur — MFA, réseau privé virtuel — VPN, postes, impression) est‑il prêt à activer?
23-Un site alternatif ou une capacité de travail distribuée est‑elle définie?
24-Des fournisseurs alternatifs sont‑ils préqualifiés (contrats et capacités)?
25-La bascule réseau/téléphonie (système de noms de domaine — DNS, protocole d’initiation de session — SIP, renvois) est‑elle planifiée et testée?
26-Des critères d’activation et de retour (seuils, décideurs, étapes) sont‑ils établis?
Sauvegardes et restauration
27-Tous les systèmes et données critiques sont‑ils couverts par des sauvegardes?
28-L’immutabilité (stockage en mode WORM — Write Once Read Many / objet verrouillé) est‑elle active pour les données sensibles?
29-Une copie hors ligne ou hors bande et le chiffrement (au repos et en transit) sont‑ils en place?
30-Des tests de restauration mensuels des systèmes critiques sont‑ils réalisés avec preuves?
31-Des indicateurs (taux de succès, durée) sont‑ils suivis et revus?
Guides d’exploitation et procédures
32-Des guides d’exploitation (runbooks) par service (restauration, bascule, retour arrière) existent‑ils?
33-Les dépendances (Active Directory, système de noms de domaine, fournisseur d’identité, infrastructure à clé publique; clefs secrets, licences, coffres) sont‑elles listées dans chaque guide?
34-Les étapes sont‑elles en ordre avec des temps cibles?
35-Une copie hors ligne des guides existent‑ils?
Accès d’urgence
36-Une procédure d’accès d’urgence(ex: code secret dans une enveloppe à la banque) pour déclenchement, approbation, durée est‑elle définie?
37-Un journal de bris de sceau (qui, quand, pourquoi) est‑il tenu?
38-Les secrets sont‑ils modifié et les privilèges révoqués après usage?
Communications de crise
39-Un arbre d’escalade et des contacts à jour (internes, fournisseurs, assureur) existent‑ils?
40-Des modèles de messages (clients, autorités, médias) sont‑ils préapprouvés?
41-Des canaux hors bande (cellulaire/SMS) sont‑ils opérationnels?
42-La synchronisation avec le service juridique et les relations publiques (rôles, approbations rapides) est‑elle définie?
43-Des tests périodiques des canaux et listes sont‑ils réalisés?
Tiers et chaîne d’approvisionnement
44-L’inventaire des dépendances autres (logiciel SaaS, opérateurs, centres de données, fournisseur d’identité, système de noms de domaine, paiements, etc.) est‑il complet?
45-Les clauses de continuité et ententes de niveau de service ( Service Level Agreement) sont‑elles alignées sur l’analyse d’impact d’affaires (BIA) (RTO/RPO, pénalités, droit d’audit)?
46-Des preuves (certifications, rapports, tests conjoints) sont‑elles tenues à jour?
47-Un plan de rechange (remplacement, bascule, contrats en veille) est‑il défini?
Sécurité pendant la perturbation (ISO/IEC 27001 — contrôle 5.29)
48-Des contrôles permettent‑ils d’opérer en mode dégradé sans sacrifier la confidentialité et l’intégrité?
49-Des exemptions temporaires sont‑elles documentées avec fin de vie et mesures de compensation?
50-Un ré‑durcissement des environnements après reprise est‑il systématiquement exécuté?
Alignement PCA ↔ sécurité de l’information (rançongiciel et incidents majeurs)
51-L’isolement et le confinement (réseau, identités, outil de détection et réponse sur l’hôte — EDR, activités judiciaires numériques — forensic) sont‑ils définis dans un guide?
52-Le nettoyage (réimagerie, validation d’indicateurs de compromission — IOC, réintégration) est‑il documenté?
53-La restauration est‑elle validée (intégrité des données, tests applicatifs métiers)?
54-La notification réglementaire (renseignements personnels, autorités) est‑elle planifiée au besoin?
55-Des exercices de rançongiciel (exercices de table et simulations par équipe rouge — red team) sont‑ils tenus au moins annuellement?
Tests et exercices
56-Un calendrier annuel d’exercices (exercices de table, techniques, de bout en bout, non annoncés) est‑il publié?
57-Des critères d’acceptation (RTO/RPO atteints, validations par les équipes d’affaires) sont‑ils définis?
58-Un test de relève (tests sans personnes clés) est‑il réalisé?
59-Des rapports d’exercice avec leçons apprises sont‑ils produits?
60-Des plans de correction sont‑ils suivis jusqu’à fermeture?
Mesures et amélioration continue
61-Le pourcentage de tests réussis est‑il suivi mensuellement?
62-Les écarts de RTO/RPO (différence entre résultats et cibles) sont‑ils mesurés et expliqués?
63-Le temps de décision (activation puis retour à la normale) est‑il mesuré et réduit?
64-Le pourcentage de guides d’exploitation à jour et le taux d’échec des sauvegardes sont‑ils suivis?
65-Les délais moyens de détection (MTTD: Mean Time To Detect) et de rétablissement (MTTR:Mean Time To Restore) des incidents de continuité sont‑ils mesurés et suivis?
66-Une revue de direction avec indicateurs et décisions tracées est‑elle tenue?
Documentation hors ligne
67-Les éléments critiques (plans, guides d’exploitation, contacts) sont‑ils imprimés?
68-Des médias chiffrés (clés USB, coffre) sont‑ils à jour et testés?
69-Une procédure de maintien et de rotation des supports est‑elle appliquée?
Formation et compétences
70-L’intégration(Formation) à la continuité des affaires est‑elle incluse pour les rôles concernés?
71-Des exercices trimestriels pour les équipes des services informatiques et des opérations (incluant remplaçants) sont‑ils exécutés?
72-Les compétences sont‑elles évaluées et les écarts comblés?
Finances et assurance
73-Le coût de l’arrêt (par minute ou par heure) est‑il estimé et validé par l’équipe des finances?
74-Un dossier pour l’assureur (preuves de contrôle et d’exercices) est‑il constitué?
75-Les seuils de perte d’exploitation et conditions de réclamation sont‑ils connus?
Conformité et réglementaire
76-Les obligations pour le secteur d’activité applicables (santé, finance, etc.) sont‑elles identifiées?
77-Les notifications d’incident (délais, contenu, contacts) sont‑elles documentées?
78-Les preuves d’exercices et la traçabilité des décisions sont‑elles conservées?
Intégration avec la gestion des changements
79-Un déclencheur de continuité est‑il intégré au comité d’approbation des changements (CAB: Change Advisory Board) pour tout changement majeur?
80-Les guides d’exploitation (runbooks) et le plan de continuité des affaires (PCA) sont‑ils mis à jour après chaque changement majeur?
81-Des tests d’impact après changement sont‑ils planifiés et réalisés?
Leçons apprises et améliorations
82-Les leçons apprises sont‑elles consignées pour chaque exercice ou incident?
83-Des actions sont‑elles assignées avec échéances 30 / 60 / 90 jours?
84-Une revue de direction semestrielle permet‑elle d’arbitrer et de clore les opportunités d’amélioration (OFI)?
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée.