A. L’adhésion du management
L’adhésion de la direction au plan de continuité d’activité est indispensable. Il est essentiel que l’ensemble des managers soient impliqués sur la question de la gestion des risques. Les enjeux demandent des décisions qui ne peuvent pas être simplement prises par un responsable IT au nom de l’ensemble de la société. Il s’agit de décisions métier, pour lesquelles chaque secteur doit être concerné.
L’un des prérequis pour cela réside dans un discours clair de la part des experts. La personne IT doit être capable de traduire ces termes parfois un peu trop techniques pour des non-spécialistes, et doit transposer ce que signifie la continuité d’activité dans la culture de l’entreprise, mais aussi quel impact elle a sur chacun des métiers. Par exemple, en effectuant de manière régulière, peut-être une fois par an, un exercice avec un des scénarios qu’on a défini dans le PCA.
Si la direction ne s’implique pas de manière visible et crédible dans ce plan de continuité, le risque est grand que les collaborateurs ne jouent pas le jeu lors des tests.
Autre enjeu : les budgets. Si la direction n’est pas pleinement convaincue de l’importance du PCA, elle risque de rechigner à débloquer les fonds nécessaires.
B. Impliquer l’ensemble des équipes
Au-delà de l’indispensable communication de la part de la direction et des managers, l’implication des collègues réside essentiellement dans les exercices. Lors des tests, il convient d’observer si les réponses envisagées fonctionnent correctement, non seulement au niveau des procédures, mais également en ce qui concerne les collaborateurs. Pour s’améliorer et acquérir les réflexes indispensables face à ces enjeux, les exercices doivent être répétés au moins une fois par an.
Il est très utile de familiariser déjà les équipes avec des outils préventifs. Pour implémenter des réponses adéquates, il existe de grands modèles et canevas (frameworks) comme le Cybersecurity Framework du NIST (National Institute of Standards and Technology, aux Etats-Unis) qui comportent ces ressources. Il faut donc intégrer ces éléments sans attendre une situation de crise et former les équipes à leur utilisation. Car si rien n’a été pensé et préparé en amont, le risque est grand lorsque survient l’événement, que des personnes non formées à l’utilisation de ces outils s’emparent, dans la précipitation de solutions inadéquates.