| Cette Beez Conférence a été animée le 09 février 2023, par Vincent Iacolare, pour les prestataires engagés beeznet et les membres de l’association Beeznet
Merci à Véronique, Thierry, Gaëtan, Pierre, Vamara, Jean-Philippe pour leur participation. |
 |
- voici ci-après la rediffusion de cette BeezConférence (8 minutes)
- ainsi que les points clés abordés (voir ici)
- Suivi de la séance de questions-réponses retranscrite (voir ici)
- et du cas de mise en application « déploiement d’une démarche de continuité d’activité cyber » pilotée par Afnor avec la contribution de Beeznet (voir).
Pour mémoire, les fondamentaux de la continuité d’activité sont définis dans le BeezMap (voir Beezmap « continuité d’activité »).
Voir présentation générale et liste des BeezConf.
Cette Boite à outils s’inscrit dans le cadre du Parcours Beeznet Confiance Numérique.
Ce contenu a été élaboré avec le soutien inconditionnel de nos membres.
Credit Musical Ode To The Winners par MaxKoMusic – Remerciement Pixabay (photos)
Points clés abordés durant cette BeezConf
Engager les dirigeants dans une démarche de continuité, comment ?
Avec une démarche en 3 étapes:
- un premier atelier de sensibilisation à la continuité. permet d’initialiser la note de cadrage de la démarche
- un travail inter-session, visant à compléter la note de cadrage
- un deuxième atelier permettant de revenir sur les points clés, bonnes pratiques, méthodes et outils… pour chaque point de la note de cadrage
Quel contenu d’une Note de cadrage de lancement ?
La note de cadrage se compose de quatre chapitres pour permettre in fine d’engager les dirigeants dans une démarche de continuité
- Le chapitre 0 contient les éléments de contexte (activités, produits-services, impact de la continuité sur l’activité. ce dernier point est le plus important, les autres points permettent de donner du sens et de la cohérence à cet impact.
- Le chapitre 1 permet de caractériser les dispositions de continuité. Le plus important est le § 1.4 « Dispositions à mettre en place ». Les points 1.1 à 1.3 permettent de donner du sens et de la cohérence au 1.4.
Les § 1.1 et 1.4 s’inscrivent dans une démarche de système de management - Le chapitre 2 permet de résumer tout le chapitre 1 et définir ainsi les modalités de lancement de la continuité cyber
- Le chapitre 3 trace la décision de Go/ NoGo avec les réserves/ ajustements associés
Questions-réponses, partages et échanges
Combien de temps faut-il pour réaliser la note de cadrage?
Il faut compter de une à deux heures (selon la complexité du périmètre retenu) pour initialiser la Note.
il faut éventuellement encore une à deux heures selon son niveau de maturité (maîtrise et formalisation du système de management de l’entreprise).
Puis l’expert Beeznet procède à l’évaluation (de 1 à 7 heures selon la complexité).
Suite aux retours de l’expert, environ une heure pour finaliser la Note de cadrage (feuille de route de lancement).
Ceux qui ne maitrisent pas les notions de système de management peuvent-ils renseigner la Note sans difficulté ?
Oui car le vocabulaire, même s’il reste typé système de management est compréhensible (politique, objectif, impact, risque…).
De plus, des consignes et explications sont précisées point à point.
Enfin, trois exemples (BeezTIC, BeezTAL, BeezPROD) permet d’illustrer le travail à faire (voir tableau récapitulatif de mise en oeuvre)
NB: On peut en plus s’inspirer du cas de mise en pratique présenté » « déploiement d’une démarche de continuité d’activité cyber » qui donne divers cas de figure
Ça s’applique à la continuité en général et/ou à la continuité Cyber …?
En début de telle démarche on définit le périmètre (champ d’application). On peut alors s’intéresser à l’organisme dans son ensemble, à tout ou partie de ses activités-produits-services, à la cyber… Dans tous les cas, la démarche reste la même .
Par exemple, pour un focus « cyber », on commence par se poser la question » en quoi le numérique vient perturber l’activité de mon organisme ». Ca restreint le champ d’application. Sur lequel on applique la démarche.
Quel lien avec les plans de reprise d’informatique ?
La démarche de continuité s’applique à l’organisme. Les dispositions de continuité auxquelles elle aboutit s’appliquent à l’ensemble des activités-produits-services.
Pour certains activités-produits-services, on peut avoir des dispositions spécifiques. Elles sont exprimées dans des plans : plan de reprise informatique, Plan d’Opération Interne (POI), plan d’urgence, plan de continuité ….
La note de cadrage, très verbeuses, ne risque t-elle pas d’en rebuter certains ?
Oui et non.
– Non car beaucoup de dirigeants sont familiarisés avec ce type de démarche : Documents unique, registre de traitement RGPD, conformité réglementaire ….)
– Oui car certains sont plus visuels d’où l’alternative avec une version carte mentale (pour ceux et celles qui maîtrisent ce type d’outils)
Ça s’applique aussi aux sociétés unipersonnelles ?
Oui même si la démarche est plus naturelle pour des entreprises de type PME, ETI ou groupe.
-> pour les structures à taille humaine, ça cadre les points clés et engage les acteurs dans la démarche
-> pour le structures plus conséquentes, ça leur donne le mode opératoire partageable avec tous les managers et dirigeants, qui peuvent alors s’engager dans une démarche plus précise allant au delà de la Note de Cadrage.
Pour la parties liées aux risques, préconise-t-on un référentiel d’identification des risques ?
Depuis près de 10 ans, Beeznet capitalise sur un référentiel optimal d’identification des actifs en support permettant d’optimiser les analyses (de risques, de données sensibles, de biens critique, de continuité…).
Certaines normes ou méthodes préconisent des analyses ciblées: ISO 27005, eBios…
En matière de continuité d’activité on s’intéresse au critère de « disponibilité ».