Politique de continuité d’activité et de reprise après sinistre

La Politique de continuité d’activité et de reprise après sinistre établit les mesures de sécurité, les processus et les responsabilités obligatoires pour maintenir ou rétablir les opérations métier critiques et les services TIC de l’organisation pendant et après des incidents perturbateurs. Elle fournit un cadre structuré pour protéger la vie, assurer la stabilité opérationnelle, respecter les engagements légaux et clients, et préserver la réputation de l’organisation en intégrant la résilience via une planification proactive et des capacités de reprise validées. Cette politique s’applique à toutes les unités organisationnelles, aux systèmes d'information, aux processus opérationnels, au personnel et aux services tiers jugés critiques ou essentiels sur la base des résultats d’une Analyse d’impact sur l’activité (BIA). Le champ d’application est complet et couvre les perturbations naturelles et d’origine humaine telles que les cyberattaques, les défaillances d’infrastructure, les pannes de centre de données, les pandémies et les interruptions de service des fournisseurs. Elle définit les attentes fondamentales en matière de planification, de tests continus et d’amélioration continue des plans de continuité d’activité (BCP) et des plans de reprise après sinistre (DRP), en garantissant le respect des obligations réglementaires, contractuelles et des normes du secteur. Les objectifs clés de la politique incluent la garantie de la continuité des opérations métier via des procédures prédéfinies et testées, la minimisation des impacts opérationnels, réputationnels et juridiques potentiels, et l’assurance d’une reprise dans les délais au regard d’objectifs de temps et de point de reprise définis (RTO et RPO). Elle attribue une responsabilité claire à l’échelle de l’entreprise : la Direction, les responsables de la continuité d’activité et de la reprise après sinistre IT, les chefs de département, les responsables de la sécurité de l’information et l’équipe de réponse de crise disposent chacun de rôles définis pour la stratégie, la planification, l’exécution et la communication. La politique impose la mise en place d’un système de management de la continuité d’activité (BCMS) unifié, conforme aux exigences d’ISO 22301 et d’ISO/IEC 27001. Elle exige une BIA annuelle pour toutes les unités critiques, l’élaboration et l’approbation des BCP/DRP, ainsi que le maintien d’une documentation exacte, de circuits d’escalade et de listes de contacts. Les plans doivent inclure des solutions de contournement manuelles, l’activation de sites alternatifs, la communication de crise et des stratégies de contingence de la chaîne d’approvisionnement. Des tests réguliers, incluant des évaluations annuelles de résilience, des exercices sur table et des bascules simulées, sont obligatoires afin d’examiner l’efficacité, les dépendances et la posture de préparation. La politique traite également de l’intégration de la planification de continuité avec la sécurité et la réponse aux incidents, en veillant à ne pas compromettre les contrôles de sécurité de l’information pendant la reprise. La gestion des exceptions, l’évaluation des risques et les protocoles d’escalade sont définis, tandis que la surveillance de la conformité et les mesures disciplinaires en cas de non-conformité assurent la mise en application de la politique. Cette politique est strictement alignée sur les principales normes mondiales et cadres réglementaires, soutenant la diligence raisonnable en matière de résilience opérationnelle et l’auditabilité au regard des obligations légales ou contractuelles.