Élaboration de votre plan de continuité des activités (ITSAP.10.005)

Cycle de vie de la continuité des activités

Votre PCA doit être testé, révisé et mis à jour régulièrement. Pour vous assurer que votre PCA est pertinent, utile et fiable, suivez les cinq étapes du cycle de vie de la planification de la continuité des activités.

Amorce

Identifiez les buts et objectifs uniques de votre organisation, ainsi que les personnes et les processus clés requis pour répondre à ces objectifs. Créez une équipe d’intervention et affectez une ou un chef d’équipe. Assurez-vous d’inclure des membres de différents secteurs de votre organisation. Chaque membre doit connaître les menaces pouvant affecter votre organisation ainsi que le niveau d’incidence des risques associés. Communiquez l’objectif de votre PCA ainsi que les résultats attendus à la haute direction à des fins d’approbation.

Analyse

Menez une évaluation des menaces et des risques (EMR) afin d’établir les menaces et les risques d’interruption des opérations de votre organisation. Après la finalisation de l’EMR, réalisez une analyse des répercussions sur les opérations (ARO). Celle-ci identifiera les activités opérationnelles critiques et non critiques de votre organisation. En outre, votre ARO listera les conséquences d’une interruption à partir des risques qui auront été déterminés dans votre EMR. En particulier, examinez les opérations critiques de votre organisation en vue d’établir votre objectif de délai de rétablissement (ODR) et votre objectif de point de rétablissement (OPR). Votre ODR est le temps prévu et le niveau de service nécessaires pour répondre aux attentes minimales de la ou du propriétaire du système.

Pour de plus amples renseignements à propos des EMR et des ARO, lisez les documents suivants :

• Méthodologie harmonisée de l’évaluation des menaces et des risques (TRA-1)
• National Institute of Standards and Technology’s Using Business Impact Analysis to Inform Risk Prioritization and Response (PDF - en anglais seulement)

Élaboration et mise en œuvre

Créez des stratégies qui permettront de rétablir vos activités opérationnelles les plus critiques pour chacun des risques identifiés. Ces stratégies devraient atténuer ou minimiser les répercussions des risques pour les parties prenantes, les opérations et les actifs de votre organisation. Lors de l’élaboration de votre PCA, tenez compte des pratiques exemplaires suivantes :

• équipe d’intervention, ainsi que les rôles et les responsabilités des membres
• moyens de communication et procédures de reprise
• lieu de travail de rechange et plan de déménagement des employées et employés
• liste consolidée des ressources et des fournisseurs de rechange
• plan de reprise informatique
• politiques à mettre en pratique durant une catastrophe, une urgence ou un incident
• déploiement des ressources nécessaires pour les activités du plan
• période pendant laquelle les services et les activités opérationnelles devront être disponibles
• ressources nécessaires pour assurer les niveaux de priorité établis, ainsi qu’une intervention rapide et adaptée
• création de rapports à partager avec les parties prenantes
• sensibilisation et formation des employées et employés à propos des risques identifiés, des préparatifs d’urgence et des stratégies d’intervention
• documentation du plan, validation et partage avec l’équipe de gestion de votre organisation
• stockage du PCA dans un emplacement protégé et connu de votre équipe d’intervention afin qu’il soit disponible en cas de catastrophe ou d’incident

Communications et intégration

Partagez votre PCA avec vos employées et employés et vos parties prenantes. Assurez-vous d’intégrer votre plan aux politiques de votre organisation. Afin d’éviter la mésinformation en cas d’incident, mettez en place un plan de communication et de relations publiques. N’oubliez pas d’inclure des directives à propos des communications avec les parties prenantes internes et externes, y compris les médias.

Tests et validation

Les risques, les priorités et les activités opérationnelles sont appelés à changer au fil du temps. Votre PCA devra être amélioré au moyen d’analyses continues, de tests et de différentes activités de validation et de mise en œuvre. Déterminez les occasions pertinentes pour ce faire, comme les séminaires, les exercices de simulation et les simulations réelles. Ces activités permettront d’évaluer l’état de préparation de votre équipe d’intervention et de déterminer les lacunes de votre plan. Les tests associés à votre PCA permettront d’évaluer et de valider les procédures, les initiatives de formation, les solutions techniques et les activités de reprise que vous aurez identifiées. Utilisez les résultats qui auront été dégagés des tests afin de mettre à jour votre PCA et de vous assurer qu’il reste aligné aux exigences opérationnelles et au contexte des menaces de votre organisation.

Perturbateurs courants des activités opérationnelles

Les catastrophes naturelles, les événements mondiaux, les défaillances d’équipement et les compromissions de votre chaîne d’approvisionnement sont tous des éléments qui peuvent perturber vos activités opérationnelles. En outre, votre organisation doit aussi se préparer à atténuer les effets d’une variété de cybermenaces. Par exemple :

• maliciels et incident de rançongiciel
• vols de données
• attaques par déni de service distribué
• compromissions de compte

Autres stratégies de préparatifs d’urgence

Votre PCA permettra essentiellement d’établir les procédures pour la reprise de vos activités opérationnelles les plus critiques en cas d’incident. Ainsi, votre organisation devra aussi disposer d’autres plans pour s’assurer d’une détection des incidents, d’une intervention appropriée et d’une reprise de toutes ses activités rapidement dans un tel cas.

Votre plan d’intervention en cas d’incident (PICI) détaillera les étapes à entreprendre pour traiter un incident de sécurité particulier, atténuer les risques associés et assurer une reprise rapide. Disposer d’un PICI aidera votre équipe d’intervention à limiter les périodes d’indisponibilité ainsi que les interruptions des activités de votre organisation lors des incidents.

Votre plan de reprise après sinistre (PRS), qui peut contenir un plan de reprise informatique, aidera votre organisation à reprendre ses activités complètes après un incident.

Pour de plus amples renseignements à propos de ces plans, lisez les publications offertes par le Centre pour la cybersécurité :

• Élaborer un plan d’intervention en cas d’incident (ITSAP.40.033)
• Élaboration d’un plan de reprise informatique personnalisé (ITSAP.40.004)

En plus de ces plans, votre organisation peut améliorer sa préparation en cas de vulnérabilités et d’incidents grâce aux mesures préventives suivantes :

• sauvegarde des systèmes et des données en ligne et mécanismes de vérification des sauvegardes
• formation relative à la cybersécurité adaptée aux rôles de votre organisation
• surveillance de votre réseau et consultation des journaux de vérification visant à déterminer les anormalités et les compromissions potentielles
• authentification multifacteur adaptée à l’hameçonnage, lorsque cela est possible
• limitation du nombre de comptes d’administrateur
• tâches d’administration réalisées à partir d’une station de travail administrative dédiée

En savoir plus

• Renforcement de la cyberrésilience grâce à une préparation en cas d’urgence (ITSM.10.014)
• Mesures de cybersécurité de base à l’intention des petites organisations (ITSAP.10.300)
• Les outils de sécurité préventive (ITSAP.00.058)
• Application des mises à jour sur les dispositifs (ITSAP.10.096)
• Sauvegarder et récupérer vos données (ITSAP.40.002)
• Offrir aux employés une formation sur mesure en cybersécurité (ITSAP.10.093)