Audit IT : comprendre le PCA (plan de continuité d’activité)

Dans ce climat d’incertitude où les entreprises sont confrontées à une multitude de risques, allant des catastrophes naturelles aux cyberattaques, la mise en œuvre d’un Plan de Continuité d’Activité (PCA) est devenue une nécessité vitale pour garantir la résilience des organisations face aux crises et aux perturbations.

Une cyberattaque majeure peut, par exemple, paralyser les opérations d’une grande entreprise internationale, entraînant des pertes financières considérables et mettant en péril sa réputation.

Rappel : le questionnaire ITGC dans une approche d’audit 

Objectif du questionnaire ITGC :

L’objectif de ces questionnaires, est de permettre au commissaire aux comptes de conduire les entretiens avec son client, pour mesurer son niveau d’ouverture sur le numérique et d’exposition aux risques.

Cette analyse se fait selon 3 niveaux d’analyse :

• Le niveau de risque inhérent est noté de 0 (faible) à 3 (Élevé).
• La probabilité d’occurrence est également notée de 0 (Faible) à 3 (Élevé).
• Le risque global est une moyenne de ces 2 éléments.

Pour quel public ?

Plusieurs thèmes sont abordés :

• L’ouverture sur la transformation numérique
• L’évaluation de la gouvernance des systèmes d’information
• L’analyse du contrôle des accès
• La conduite de projets informatiques
• L’utilisation des outils d’audit de données
• L’évaluation de la conformité par rapport à la RGPD et la protection des données personnelles
• La conformité à la législation fiscale et aux règles informatiques
• L’exploitation des systèmes d’information
• La maturité du plan de continuité d’activité 
• L’analyse de la cybersécurité mise en place

Nous allons aborder ici le plan de continuité d’activité et l’importance de bien l’auditer dans le cadre d’un audit IT.

Qu’est-ce qu’un plan de continuité d’activité ?

Définition :

La norme ISO 22300 définit la continuité d’activité comme la capacité de l’entreprise à poursuivre, après une perturbation, la livraison ou la fourniture de produits ou de services à des niveaux prédéfinis acceptables.

Un plan de continuité d’activité (PCA) a pour objet de décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image…) et de tenir ses objectifs.

Objectifs du PCA :

Les objectifs principaux d’un Plan de Continuité d’Activité (PCA) sont les suivants :

Structure d’un plan de continuité d’activité

Le Plan de Continuité Informatique  (PCI)

Le PCI est un maillon essentiel de la politique de sécurité informatique de l’entreprise. Il vise la reprise d’activité de l’entreprise après un sinistre important ayant atteint le système d’information, en contribuant le plus rapidement possible à la restauration de l’infrastructure informatique et de ses données afin d’en minimiser la perte.

La cellule de crise

**** Composition de la cellule :

• Identifiez les parties prenantes sur les différents sujets concernés par la crise, en tenant compte de leurs fonctions et de leur importance dans la cellule.
• Composition minimale : Directeur du système d’information ou responsable informatique, administrateurs des outils utilisés/déployés.
• Définissez des suppléants pour chaque rôle en cas d’indisponibilité des titulaires.

**** Rôle de la cellule :

• Faire un état des lieux de l’activité générale et sectorielle.
• Prendre des décisions adaptées à la situation de crise.
• Anticiper et suivre la situation financière.
• Gérer la communication interne et externe.
• Maintenir le dialogue social avec les collaborateurs et leurs représentants.
• Se tenir informé des mesures prises par les partenaires.

**** Mode de fonctionnement de la cellule        

• La cellule exécute ses missions selon les modalités qu’elle juge adéquates au contexte de crise et à ses contraintes matérielles et humaines.

**** Acteurs clés :

• La cellule peut faire appel à des fournisseurs-prestataires externes touchés par la crise, tels que l’hébergeur, le technicien de maintenance, le téléphoniste, etc.

**** Organismes officiels :

• Identifiez les organismes officiels avec lesquels le cabinet doit être en contact pour agir rapidement, tels que la police, l’ANSSI, l’Ordre des experts-comptables, les pompiers, etc.

La Communication :

• Mise en place d’une plateforme téléphonique de crise avec un numéro dédié pour répondre aux besoins urgents.
• Création d’un espace internet/intranet dédié aux questions des clients et des collaborateurs, offrant un canal de communication centralisé et réactif.
• Élaboration de communiqués internes, messages de la direction, affiches et envoi de mails pour diffuser des informations importantes et rassurer les parties prenantes.
• Mise à jour régulière des sites web avec les informations pertinentes sur la situation et les mesures prises.

La charte informatique      

Il est primordial de rédiger une charte informatique contenant les règles et les dispositions adoptées par le groupe.

On y retrouve un ensemble de bonnes pratiques, comme :

• Mettre à jour régulièrement les logiciels
• Bien connaître ses utilisateurs et ses prestataires
• Effectuer des sauvegardes régulières
• Sécuriser l’accès wifi de l’entreprise
• Choisir avec soin son mot de passe
• Être aussi prudent avec son smartphone, sa tablette et son ordinateur personnel à usage professionnel
• Protéger ses données lors de ses déplacements
• Être prudent lors de l’utilisation de sa messagerie
• Télécharger les programmes sur les sites officiels des éditeurs
• Être vigilant lors d’un paiement sur internet
• Prendre soin de ses informations personnelles, professionnelles et de son identité numérique

L’Analyse des risques et des impacts

Le PCA a pour objectif d’analyser les risques et impacts à différents niveaux :

**** État des Lieux des Contrats d’Assurance :

• Examiner les contrats d’assurance souscrits par l’entreprise, en particulier ceux liés aux risques informatiques.
• Vérifier les couvertures d’assurance et les conditions contractuelles, et ajuster si nécessaire en cas de crise.

**** État des Lieux du Système d’Information (SI) :

• Consulter l’inventaire du SI tel que décrit dans le Manuel d’Organisation Cabinet (MOC) pour obtenir des informations détaillées sur la configuration du réseau, sa sécurisation, les prestataires externes, etc.

**** Analyse Économique :

• Évaluer les impacts financiers potentiels en valorisant le SI et en considérant les coûts indirects.
• Prioriser les actions à entreprendre en fonction de ces analyses économiques.
• Décrire l’infrastructure informatique du groupe, y compris l’hébergement des serveurs de production et de données chez un prestataire externe et les équipements présents dans les locaux de l’entreprise.

Les mesures générales       

Les mesures préventives pour une protection optimum :  

• Plan de Sauvegarde des Données : définir la fréquence et le type de sauvegarde pour chaque catégorie d’information, en veillant à leur conservation sécurisée.
• Sécurité Logique : mettre en place et maintenir à jour des outils de base tels que des antivirus, pare-feu, et des contrôles d’accès aux données.
• Sécurité Physique : assurer la sécurité des locaux avec un accès sécurisé et un système d’alarme.
• Sensibilisation du Personnel : fournir une charte informatique à chaque nouvel arrivant pour le responsabiliser et sensibiliser au respect des règles de sécurité informatique.

Les mesures curatives pour une reprise rapide d’activité :

• Mobilisation des Ressources : activer la cellule de crise, réserver les moyens de secours, récupérer les sauvegardes et la documentation nécessaire.
• Communication de Crise : diffuser des informations internes et externes pour maintenir la confiance des collaborateurs, clients et partenaires.
• Collaboration avec les Fournisseurs-Prestataires : coordination avec les prestataires externes pour garantir un retour à l’activité dans les meilleurs délais, conformément à leurs plans de reprise d’activité respectifs.

Présentation du PCA dans le cadre du questionnaire ITGC

Présentation de la norme des NEP Relatives au PCA :

Les Normes d’Exercice Professionnel (NEP) constituent un élément crucial du cadre réglementaire français en matière d’audit. Ces normes sont édictées pour guider les commissaires aux comptes dans la conduite de leurs missions. Parmi elles, la NEP 315 et la NEP 570 jouent un rôle prépondérant dans la méthodologie d’audit, en particulier dans l’évaluation des risques et la continuité d’exploitation. Elles permettent non seulement de définir les procédures d’audit mais aussi d’assurer une qualité et une cohérence dans l’approche d’audit.La NEP 315 se concentre sur la prise de connaissance de l’entité et de son environnement par le commissaire aux comptes, ainsi que sur l’évaluation du risque d’anomalies significatives dans les comptes. Elle fournit un cadre méthodologique pour que le commissaire aux comptes acquière une connaissance suffisante de l’entité, évalue les risques et documente ses travaux d’audit.

La NEP 570 concerne la Continuité d’Exploitation et établit les procédures que le commissaire aux comptes doit suivre pour évaluer si les comptes d’une entité sont établis dans une perspective de continuité d’exploitation et pour identifier les incertitudes significatives pouvant compromettre cette continuité. Elle vise à garantir que les comptes sont préparés dans une perspective de continuité d’exploitation et à identifier et communiquer toute incertitude significative pouvant compromettre cette continuité.

Les conseils d’Emargence pour mettre en place une transformation digitale réussie dans votre organisation :