Guide complet des termes relatifs à la continuité des activités

Le glossaire Preparis pour la continuité des activités a été créé par nos experts en la matière afin de rassembler et de stocker les définitions des termes utilisés dans le secteur de la continuité des activités. Cette page est régulièrement mise à jour afin de promouvoir un ensemble commun de termes universels et d'assurer la cohérence entre les différentes ressources.

Pour assurer le bon fonctionnement d'une entreprise, vous devez vous assurer que les imprévus ou les revers importants n'ont pas d'incidence sur les fonctions clés et les opérations commerciales. Ce domaine étant truffé de jargon technique, nous avons créé le glossaire ci-dessous sur la continuité des activités à partir de plusieurs sources afin de vous aider, vous et votre entreprise.

A 

Temps d'arrêt acceptable 

Également appelé « temps d'arrêt maximal autorisé ». Durée maximale pendant laquelle un système peut être hors service sans conséquences directes ou indirectes pour l'organisation.

Alerte 

Notification officielle d'une situation potentiellement dangereuse imminente ou qui s'est déjà produite. Elle comprend généralement une directive demandant aux employés de se tenir prêts à intervenir.

Tous les risques 

Une approche en matière de préparation, de prévention, d'intervention, d'atténuation, de continuité et de rétablissement qui permettra de faire face à toute une série de menaces et de dangers, qu'ils soient d'origine naturelle, technologique ou humaine.

Site alternatif 

Lorsque les fonctions principales sont hors service, un site alternatif est un lieu d'exploitation distinct destiné à être utilisé par les fonctions commerciales.

Actif 

Tout ce qui a de la valeur pour l'entreprise, comme un équipement ou la main-d'œuvre.

Audit 

Une inspection et une confirmation formelles visant à vérifier si la norme ou l'ensemble de lignes directrices est correctement respecté, si les registres sont exacts et si les objectifs d'efficacité et d'efficience sont atteints.

 

B 

Sauvegarde 

Processus consistant à copier des données vers un autre emplacement afin de disposer d'une autre copie en cas de perte ou de destruction des données d'origine.

Cygne noir 

Un événement imprévisible qui peut avoir des conséquences plus importantes que prévu et potentiellement désastreuses. Les événements « cygne noir » se caractérisent par leur extrême rareté, leur impact grave et le fait qu'ils semblent évidents avec le recul.

Continuité des activités 

Processus continu qui garantit que les mesures nécessaires sont prises pour maintenir la résilience organisationnelle, identifier les pertes potentielles et leur impact, et maintenir des stratégies et des plans de reprise viables ainsi que la continuité des services.

Gestion de la continuité des activités (BCM) 

Un processus complet de gestion de la continuité des activités identifie les menaces qui pèsent sur une entreprise et leurs conséquences potentielles. Ce processus fournit une structure permettant à l'organisation de faire preuve de résilience grâce à une réponse efficace qui protège les principales parties prenantes, la réputation, la marque et les activités créatrices de valeur de l'entreprise.

Programme de gestion de la continuité des activités 

Le processus de gestion et d'administration continu, soutenu par la haute direction, dispose des ressources nécessaires pour garantir que les mesures requises seront prises afin d'identifier l'impact des pertes. Il garantit la viabilité des stratégies de reprise et la continuité des produits et services grâce à la formation, à la mise en pratique, à la maintenance et à la révision.

Système de gestion de la continuité des activités (SCOA) 

Partie du système de gestion générale qui permettra d'établir, de mettre en œuvre, d'exploiter, de surveiller, d'examiner, de maintenir et d'améliorer la continuité des activités.

Modèle de maturité de la continuité des activités (BCMM) 

Outil utilisé pour mesurer le niveau et le degré auxquels les activités de gestion de la continuité des activités (BCM) sont devenues courantes et garanties dans les pratiques commerciales d'une organisation.

Plan de continuité des activités (PCA) 

Ensemble de procédures et d'informations élaborées, compilées, documentées et mises à jour afin d'être prêtes à être utilisées en cas d'incident, afin de permettre à l'organisation de continuer à fournir des produits et services essentiels à un niveau acceptable prédéfini.

Planification de la continuité des activités 

Implique l'élaboration d'arrangements préalables permettant à l'organisation de réagir à un événement afin que les fonctions essentielles puissent se poursuivre dans les limites des niveaux de perturbation prévus. Ce processus aboutira à l'élaboration du PCA.

Programme de continuité des activités 

Le processus continu de gestion et d'administration soutenu par la haute direction et doté des ressources appropriées pour mettre en œuvre et maintenir la gestion de la continuité des activités.

Stratégie de continuité des activités 

Approche adoptée par une entreprise pour assurer la reprise et la continuité de ses activités en cas de catastrophe, d'événement majeur ou de perturbation.

Analyse d'impact sur les entreprises (BIA) 

Processus qui définit les fonctions commerciales cruciales et détermine les priorités et l'ordre de reprise afin de satisfaire les objectifs stratégiques globaux de continuité des activités déclarés par la direction. Les résultats de l'analyse d'impact sur les activités (BIA) constituent la base d'une planification efficace de la continuité, axée sur les priorités commerciales.

Interruption des activités 

Un événement qui perturbe le cours normal des activités dans les locaux d'une entreprise.

 

C 

Arbre d'appel 

Modèle de communication hiérarchique utilisé en cas d'urgence pour alerter certaines personnes et coordonner les opérations de rétablissement. Il s'agit également d'un graphique qui illustre les responsabilités et l'ordre d'appel utilisés pour contacter la direction, les employés, les clients, les fournisseurs et d'autres contacts clés.

Analyse coûts-avantages 

Après une évaluation des risques, l'analyse coûts-avantages est un processus qui calcule les impacts financiers des différentes options de gestion de la continuité des activités et met en balance le coût des options et les économies potentielles.

Crise 

Un événement critique qui peut avoir des répercussions considérables sur la réputation, la rentabilité et la capacité opérationnelle de l'entreprise s'il n'est pas géré correctement.

Gestion de crise 

L'approche et la réponse de l'organisation pour gérer une situation d'urgence de manière efficace et rapide. L'objectif est d'éviter ou de minimiser les temps d'arrêt, les atteintes à la réputation de l'entreprise, sa rentabilité et sa capacité à fonctionner.

cyberattaque 

Tentative, via le cyberespace, de perturber, d'endommager ou d'accéder à un ordinateur, un système informatique ou un réseau de communications électroniques. Il s'agit d'une tentative malveillante visant à cibler l'utilisation du cyberespace par une entreprise afin de désactiver, détruire ou contrôler l'infrastructure informatique, les données ou les informations contrôlées.

 

D 

Évaluation des dommages 

Processus consistant à définir la nature et l'étendue d'une perturbation résultant d'une catastrophe naturelle, accidentelle ou d'origine humaine. L'évaluation des dommages permet d'avoir une bonne connaissance de la situation et fournit des informations essentielles sur le type, l'ampleur et la gravité de l'événement.

Récupération de données 

La récupération de données est un processus qui consiste à récupérer des données indisponibles, perdues, endommagées ou formatées à partir d'un autre support de stockage, d'un support amovible ou de fichiers lorsque les données qui y sont stockées ne sont pas accessibles de manière habituelle.

Déclaration 

Annonce officielle préautorisée indiquant qu'un événement ou une panne grave est prévu(e) ou s'est produit(e). Cette action déclenche des mesures d'atténuation préétablies.

Reprise après sinistre (DR) 

Processus de reprise des activités commerciales après une interruption, consistant à rétablir l'accès aux données, aux équipements réseau, aux sites physiques, à l'alimentation électrique et à la connectivité. L'équipe chargée de la reprise après sinistre doit toujours suivre un plan de reprise après sinistre.

Plan de reprise après sinistre 

Processus écrit ou ensemble de procédures élaborés afin de préparer l'organisation à se remettre le plus rapidement possible d'une perturbation, notamment en ce qui concerne la reprise des systèmes réseau, la sécurité du personnel et la remise en état des locaux.

Gestion des catastrophes et des urgences 

Processus continu visant à prévenir, réduire, préparer, répondre, maintenir la continuité et rétablir la situation après un incident qui menace la vie des employés, les biens de l'entreprise, les activités de la société ou l'environnement.

temps d'arrêt 

Période pendant laquelle les activités commerciales sont suspendues ou ne fonctionnent plus normalement. Également appelée « panne » lorsqu'il s'agit de services ou de systèmes informatiques.

 

E 

Urgence 

Une situation imprévue pouvant entraîner des pertes humaines, des blessures et des dommages matériels, et nécessitant une intervention immédiate. Il peut également s'agir d'une interférence, d'une perte ou d'une perturbation des activités normales d'une entreprise, dans la mesure où cela constitue une menace.

Gestion des urgences  

Organisation et gestion des ressources et des responsabilités pour traiter tous les aspects d'une situation d'urgence, y compris la préparation, l'intervention, l'atténuation et le rétablissement. L'objectif est de minimiser les effets néfastes de tous les dangers, y compris les catastrophes.

Préparation aux situations d'urgence 

Capacité d'une organisation ou d'une communauté à réagir à des circonstances imprévues. Cette capacité doit être mise en œuvre de manière rapide, coordonnée et efficace afin d'éviter les pertes humaines, les blessures ou les dommages matériels.

Plan d'intervention d'urgence 

Un plan bien documenté qui facilite et organise la réaction et la réponse de toutes les personnes impliquées dans la situation à toute situation d'urgence pouvant survenir.

Gestion du risque d'entreprise (ERM) 

Une stratégie commerciale à l'échelle de l'entreprise, fondée sur un plan, qui vise à identifier, évaluer, préparer et atténuer tout danger, risque et autre potentiel de catastrophe, tant physique que figuratif, susceptible d'interférer avec les opérations et les objectifs d'une organisation.

La gestion des risques d'entreprise consiste généralement à identifier les événements et les circonstances pertinents pour les objectifs de l'entreprise (risques et opportunités). Ceux-ci seront évalués en termes de probabilité et d'ampleur de l'impact, afin de déterminer une stratégie et de suivre les progrès réalisés.

En identifiant et en traitant de manière proactive les risques et les opportunités, l'entreprise peut protéger et créer de la valeur pour les parties prenantes, qui peuvent inclure les propriétaires, les employés, les clients, les régulateurs et même la société.

Programme d'entraînement 

Un plan conçu pour évaluer périodiquement les tâches, les équipes et les procédures documentées dans le programme de continuité des activités de l'entreprise afin de garantir la viabilité du programme.

Un exemple de cela est un test d'exercice sur table, au cours duquel les participants examinent et discutent les mesures que chaque employé et membre de l'organisation prendrait.

 

F 

Premier intervenant 

Membre d'un service d'urgence qui est le premier à arriver sur les lieux d'un incident. Il s'agit généralement d'un membre des forces de police, des pompiers ou du personnel ambulancier.

 

G 

Analyse des écarts 

Une comparaison qui permettra d'identifier les différences entre le résultat réel et le résultat souhaité.

 

H 

Site chaud 

Une autre installation où une organisation peut se relocaliser après une catastrophe. Ce site de secours doit disposer de toutes les infrastructures nécessaires, telles que les équipements, les télécommunications et les éléments environnementaux requis pour rétablir les fonctions opérationnelles ou les systèmes d'information.

 

I 

Plan de gestion des incidents (PGI) 

Plan d'action clairement défini et bien documenté à utiliser en cas d'incident. Il couvre le personnel clé, les ressources, les services et les étapes nécessaires à la mise en œuvre du processus de gestion des incidents.

Processus de gestion des incidents 

Ensemble de mesures prises pour répondre aux incidents et les résoudre. Il comprend la manière dont les incidents sont détectés et communiqués, les personnes responsables des différentes mesures, les outils dont l'entreprise aura besoin pour résoudre le problème et les mesures à prendre pour atténuer l'incident.

Système de gestion des incidents (IMS) 

Ensemble d'équipements, d'installations, de personnel, de procédures et de moyens de communication fonctionnant au sein d'une structure organisationnelle afin de faciliter la gestion des ressources lors d'incidents.

Équipe de gestion des incidents 

Un groupe de personnes chargées d'élaborer et de mettre en œuvre un plan complet et détaillé d'intervention en cas d'incident. Cette équipe serait composée d'un groupe de décideurs formés à la gestion des incidents et prêts à réagir à toute situation.

Plan d'intervention en cas d'incident 

Ensemble de documents préparés à l'avance, contenant un ensemble prédéfini d'instructions et de procédures visant à détecter, traiter et limiter les conséquences d'un incident affectant les systèmes informatiques de l'entreprise.

Assurance 

Contrat visant à financer le coût de tout risque précalculé. Le contrat d'assurance versera au titulaire le montant contractuel si un événement à risque survient.

Il est extrêmement important pour toute entreprise de souscrire une assurance. L'assurance sert à couvrir les coûts liés à tout événement imprévu pouvant survenir. Sans assurance, un chef d'entreprise peut être amené à payer de sa poche les dommages ou les frais juridiques, ce qui peut s'avérer très coûteux. Les types d'assurance comprennent :

• Assurance contre les pertes d'exploitation : Typed'assurance qui couvre la perte de revenus due à une fermeture ou à une reconstruction liée à une catastrophe.
• Assurance contre les pertes d'exploitation contingentes : Uneextension d'autres assurances qui indemnise les pertes de bénéfices et les dépenses supplémentaires résultant d'une interruption d'activité dans les locaux du client ou du fournisseur.

Reprise après sinistre informatique (IT/DR)

La reprise après sinistre informatique est la stratégie visant à préserver ou à restaurer les infrastructures et les systèmes informatiques nécessaires après un événement perturbateur, qu'il soit d'origine naturelle ou humaine. La reprise après sinistre implique des politiques, des outils et des procédures conçus pour protéger les systèmes informatiques essentiels aux opérations commerciales. L'objectif est d'assurer la continuité des fonctions commerciales vitales malgré des perturbations importantes, faisant de l'informatique/la reprise après sinistre un élément essentiel de la continuité des activités (BC).

 

M 

Code malveillant (malware) 

Un code malveillant est un logiciel conçu pour obtenir un accès non autorisé à un programme afin de causer des dommages importants, détruire des données ou compromettre sa disponibilité, son intégrité et sa confidentialité. Il peut nuire au système d'exploitation et à ses applications. Les logiciels malveillants comprennent plusieurs variantes de logiciels malveillants, notamment les virus, les ransomwares, les logiciels espions et les vers.

• Ransomware: type de logiciel malveillant utilisé à des fins d'extorsion qui bloque l'accès des utilisateurs à des fichiers importants en cryptant leur disque dur. Le décryptage des fichiers intervient après que l'utilisateur a payé la rançon pour retrouver l'accès à son système.
• Logiciel espion: type de code malveillant installé secrètement dans un système informatique. Il permet d'obtenir des informations sur une organisation ou un individu à leur insu.
• Virus: logiciel malveillant installé à l'insu de l'utilisateur et capable de se répliquer. Il peut parfois se propager à d'autres ordinateurs via des programmes de messagerie électronique et corrompre ou supprimer des données et des informations stockées sur le disque dur de l'ordinateur.
• Ver: programme autonome qui se copie et se propage sur un réseau informatique. Il n'a pas besoin de s'attacher à un logiciel pour causer des dommages et se répliquer sans intervention humaine. Une fois dans un système informatique, il peut effectuer des actions malveillantes.

Temps d'indisponibilité maximal tolérable (MTD) 

Durée totale pendant laquelle un processus métier peut être inopérant avant d'avoir un impact négatif sur la mission d'une organisation.

Mobilisation 

Réponse à une déclaration de catastrophe qui déclenche le processus de reprise de l'organisation. Elle implique le transfert des équipements et du personnel vers des sites alternatifs, ce qui permet la mise en œuvre complète du plan de continuité des activités afin de maintenir des niveaux de service minimaux pour chaque processus métier essentiel.

O 

Emplacement hors site 

Site de stockage des données critiques (informatisées ou papier) ou des équipements. Il est généralement situé à une distance sûre du site principal et permet d'accéder aux données stockées en cas d'incident entraînant l'indisponibilité ou la destruction des données ou des équipements d'origine.

Opérationnel 

Les activités permettant à une organisation de continuer à fonctionner après un événement critique ou une catastrophe. Cela implique une planification à court terme, des activités quotidiennes ou la mise en œuvre d'un processus métier ou d'un processus de gestion des services informatiques. Il s'agit du niveau le plus bas des trois niveaux de planification et de mise en œuvre, qui comprennent également les niveaux stratégique et tactique.

Panne 

La durée pendant laquelle une fonction, un service, un processus ou un système opérationnel est interrompu ou inaccessible et affecte la capacité de l'organisation à atteindre ses objectifs.

R 

Préparation 

Mesures proactives mises en place pour minimiser les effets d'une perturbation. Ces activités aident l'organisation à réagir ou à soutenir la reprise après une perturbation. On parle également de préparation.

Récupération 

Une reprise rapide est essentielle pour rétablir les fonctions opérationnelles après une catastrophe. Elle donne la priorité aux mesures nécessaires pour assurer la stabilité opérationnelle et soutenir les fonctions et les processus après une catastrophe. La reprise est l'un des trois éléments d'un plan de continuité des activités, qui comprend également la résilience et la contingence.

Objectif de point de reprise (RPO) 

Le point auquel le travail doit être restauré ou les données récupérées (à l'emplacement hors site désigné) pour permettre à une activité de fonctionner après une interruption.

Objectif de temps de récupération (RTO) 

Le temps nécessaire à la restauration et à la reprise des fonctions ou des ressources après une panne. Il comprend l'évaluation, l'exécution et la vérification des niveaux de performance sur la base d'un temps d'arrêt acceptable.

Calendrier de rétablissement 

Le chemin critique des activités de reprise pour rétablir un niveau acceptable d'opérations commerciales après une interruption. Il décrit la priorisation et la rapidité du processus de reprise et peut varier de quelques minutes à plusieurs semaines, selon les exigences de reprise.

La résilience 

Capacité d'une organisation à résister et à réagir à des incidents, notamment des catastrophes naturelles, des accidents ou des attaques. Elle identifie les processus et procédures nécessaires pour se remettre rapidement de perturbations opérationnelles. Elle inclut des services essentiels tels que l'accès à distance et l'assistance aux utilisateurs finaux.

Plan d'intervention 

Documentation élaborée et mise à jour afin de se préparer à un incident, qui décrit les informations et les procédures à utiliser.

Temps de réponse 

Le temps de réaction nécessaire pour évaluer l'impact d'un incident. Il détermine le niveau d'activité requis pour contrôler ou contenir la situation.

Risque 

Possibilité qu'un événement survienne et affecte la capacité d'une organisation à atteindre ses objectifs. Elle peut être déterminée à l'aide de mesures quantitatives ou qualitatives. Elle tient compte de la probabilité que la menace se concrétise, de la vulnérabilité d'un actif à cette menace et de l'impact que celle-ci aurait si elle se concrétisait. Il existe trois types de risques : les risques commerciaux, les risques de catastrophe et les risques opérationnels.

• Risque commercial: Risque qu'une organisation subisse une perte imprévue en raison de facteurs internes et externes tels qu'une baisse de la demande ou une incapacité à fournir des produits ou des services.
• Risque de catastrophe: Probabilité de destruction, de blessures, de pertes humaines ou de dommages causés par une catastrophe pouvant toucher une société ou une communauté donnée au cours d'une période donnée. Il est souvent difficile de quantifier ce risque, mais il peut être évalué de manière générale en se basant sur la connaissance des dangers existants, la répartition de la population et le développement socio-économique.
• Risque opérationnel: Risque de perte imprévue résultant de l'inefficacité des contrôles et des procédures. Il peut inclure des défaillances internes liées à l'infrastructure et à la technologie, des problèmes liés au personnel, des interruptions d'activité ou des facteurs externes tels que des changements réglementaires.

Acceptation des risques  

Reconnaissance par la direction que la perte potentielle liée à un risque particulier est minime et ne nécessite donc aucune mesure.

Évaluation des risques 

Processus consistant à identifier les facteurs de risque susceptibles de nuire à une organisation, à analyser les événements pouvant porter préjudice à l'organisation et à identifier les fonctions clés nécessaires à la poursuite des activités de l'organisation si l'événement se produit. Il implique également l'évaluation des coûts associés à l'atténuation du risque. L'évaluation de la probabilité qu'un événement se produise est un facteur essentiel de l'analyse des risques.

Atténuation des risques 

Mise en œuvre de mesures visant à réduire et à contrer l'exposition d'une organisation aux risques. Elle garantit la continuité des opérations commerciales et examine les activités nécessaires pour atténuer la gravité des risques. Le processus de gestion des risques implique la hiérarchisation, l'évaluation et la mise en œuvre de mesures appropriées pour réduire les risques.

S 

Scénario 

Ensemble établi de conditions et d'événements liés à la continuité des activités qui définissent une perturbation, une interruption ou toute perte susceptible d'affecter les opérations commerciales d'une organisation. Il facilite la planification préalable et soutient la réalisation d'une analyse d'impact sur les activités (BIA), l'élaboration d'une stratégie de continuité et la mise en place de plans de continuité et d'exercices. Les scénarios ne sont ni des prévisions ni des prédictions.

Accord de niveau de service (SLA) 

Accord officiel entre un prestataire de services et un client (les deux parties peuvent être internes ou externes). Il comprend les aspects particuliers du service : nature, portée, qualité, disponibilité et rapidité de la prestation de services par le prestataire. Le SLA doit couvrir les variations du service en cas de catastrophe et les changements dans les situations quotidiennes.

Point de défaillance unique (SPOF) 

Élément unique d'un système qui, s'il est défectueux, provoque la défaillance de l'ensemble du système. Il n'existe généralement aucune alternative ni contre-mesure, de sorte que la perte de cet élément entraîne une défaillance d'une fonction ou d'une activité critique. Un SPOF peut être une étape d'un processus ou d'une activité, une personne, un composant ou une partie d'une infrastructure informatique.

Conscience situationnelle 

Perception des éléments environnementaux susceptibles d'affecter une organisation, y compris son niveau de sécurité et les menaces qui pèsent sur elle dans un certain espace-temps. Elle englobe à la fois leur signification combinée (risque) et leur statut futur.

T 

Plan de test 

Document décrivant un calendrier de travail destiné à tester le plan de continuité des activités, les systèmes, les processus et le personnel d'une organisation.

Évaluation des menaces 

Processus qui détermine formellement la gravité d'une menace potentielle pour une organisation ou un système d'information et décrit la nature de la menace.

Formation 

Vise à développer les compétences et les connaissances nécessaires pour améliorer les aptitudes afin d'obtenir de meilleurs résultats professionnels. Elle est plus formelle que la sensibilisation et s'adresse aux employés ayant des responsabilités et des tâches spécifiques. La sensibilisation est plus générale et concerne l'ensemble du personnel. Cependant, la formation fait partie du processus d'apprentissage de la sensibilisation et de l'éducation.

V 

Actes d'état civil 

Les registres informatiques ou papier sont essentiels pour permettre à une organisation de poursuivre ses activités pendant et après une situation d'urgence. Ils sont indispensables pour protéger les droits financiers et juridiques de l'organisation ainsi que les droits des personnes directement concernées par ses activités.

Évaluation de la vulnérabilité 

Processus consistant à évaluer un produit ou un système d'information afin d'en détecter les faiblesses. Il permet de déterminer si les mesures de sécurité sont adéquates et d'identifier les lacunes en matière de sécurité en leur attribuant des niveaux de gravité. L'évaluation fournit des données qui permettent d'évaluer l'efficacité des mesures de sécurité prévues et de confirmer leur adéquation après leur mise en œuvre. Elle recommande des améliorations si et quand cela est nécessaire.

W 

Visite guidée 

Test qui met en œuvre la séquence d'étapes de reprise décrite dans le plan de continuité des activités. L'objectif d'une simulation est de déterminer la viabilité du plan, de révéler les défauts de conception et d'identifier les omissions afin d'améliorer le plan de continuité des activités.

Site de secours 

Site de traitement de secours équipé pour permettre à une organisation de reprendre ses activités essentielles afin d'éviter tout effet négatif à long terme sur ses opérations. Il doit disposer d'électricité, de matériel informatique et de composants de communication qui fournissent un soutien opérationnel de secours après la personnalisation des logiciels et la mise à disposition de ressources supplémentaires.