- 5 network automation startups to watch
- 4 Security Controls Keeping Up with the Evolution of IT Environments
- ICO Warns of Festive Mobile Phone Privacy Snafu
- La colaboración entre Seguridad y FinOps puede generar beneficios ocultos en la nube
- El papel del CIO en 2024: una retrospectiva del año en clave TI
Comment créer un plan de continuité commerciale efficace
Nous sommes rarement prévenus qu’une catastrophe va frapper. Même informés à l’avance, plusieurs choses peuvent mal tourner : chaque incident est unique et se déroule de manière inattendue.
C’est là qu’un plan de continuité des activités entre en jeu. Pour donner à votre organisation les meilleures chances de réussite en cas de catastrophe, vous devez mettre à jour un projet testé par tout le personnel responsable de son exécution. L’absence de plan ne signifie pas seulement que votre organisation mettra plus de temps à se remettre d’un désastre ou d’un incident – vous pourriez devoir fermer vos portes pour de bon.
[ Read the English version: How to create an effective business continuity plan]
Qu’est-ce que la poursuite des affaires?
La continuité des activités (CA) fait référence au maintien des fonctions commerciales ou à leur reprise rapide en cas de perturbation majeure – peu importe qu’elle soit causée par un incendie, une inondation ou une cyberattaque. Un plan de continuité des activités décrit les procédures et directives qu’une organisation doit suivre face à de telles catastrophes; il couvre les processus opérationnels, les actifs, les ressources humaines, les partenaires commerciaux, et plus encore.
De nombreuses personnes pensent qu’un plan de reprise après sinistre (PRS) est identique à un projet de continuité des activités; mais le premier vise principalement la restauration de l’infrastructure et des opérations informatiques. Ce n’est là qu’une partie d’un plan de continuité, qui prévoit quant à lui la poursuite de l’ensemble des opérations commerciales.
Pouvez-vous remettre en marche les RH, la fabrication, les ventes et le support client pour que l’entreprise continue d’avoir des revenus après une catastrophe? Par exemple, si le bâtiment qui abrite vos représentants du service clientèle est rasé par une tornade, savez-vous comment ces employés pourront répondre aux appels des clients? Travailleront-ils temporairement à domicile ou d’un autre lieu ? Un plan de CA répond à ce genre de questions.
Notez qu’une analyse de l’impact sur l’entreprise (AIB) fait partie d’un plan de CA. Une AIB identifie l’effet d’une perte soudaine de fonctions commerciales, généralement évaluée en termes de coût. Cette analyse vous aide également à déterminer si vous devriez externaliser certaines activités non essentielles, ce qui peut comporter ses propres risques. L’AIB permet essentiellement d’examiner l’ensemble des processus de l’organisation et de déterminer lesquels sont prioritaires.
Pourquoi un plan de continuité des activités est-il important ?
Que vous dirigiez une petite ou grande entreprise, vous devez rester compétitif. Il est vital de fidéliser vos clients et d’augmenter la clientèle. Il n’y a pas de meilleur test de votre capacité à faire cela qu’à la suite d’un incident grave.
Le rétablissement de l’informatique étant essentiel pour la plupart des organismes, de nombreuses solutions de reprise après sinistre sont disponibles. Vous pouvez compter sur vos TI pour mettre en œuvre ces procédures. Mais qu’en est-il des autres fonctions de l’entreprise? Son avenir dépend de votre personnel et de vos processus. La capacité à gérer efficacement tout incident peut avoir un effet positif sur la réputation et la valeur marchande de la société, et peut accroître la confiance des clients.
« On observe aujourd’hui une augmentation des attentes des consommateurs, et une importance accrue de la réglementation en matière de sécurité », explique Lorraine O’Donnell, responsable mondiale de la continuité des activités chez Experian. « Les organisations doivent bien comprendre les processus de l’entreprise et l’impact de leur panne éventuelle. Les dommages encourus peuvent être financiers, juridiques, réglementaires – ou altérer la réputation de l’organisme. Le risque de se voir retirer son « permis d’exploitation » par un organisme de réglementation ou de se faire imposer des conditions (rétrospectives ou prospectives) peut avoir un impact négatif sur la valeur marchande de la société et la confiance des clients. Préparez votre stratégie de reprise en fonction de la période d’arrêt autorisée de vos processus. »
Anatomie d’un plan de continuité des activités
Si votre organisation n’a pas de plan de CA, commencez par évaluer vos processus d’affaires, en identifiant les secteurs vulnérables et les pertes possibles si ces opérations sont interrompues pendant une journée, quelques jours ou une semaine. Il s’agit essentiellement d’une AIB.
Élaborez ensuite un plan complet. Cela suppose six étapes générales visant à identifier :
- La portée du plan.
- Les principaux domaines d’activité.
- Les fonctions critiques.
- L’interdépendance entre différents domaines et fonctions de l’entreprise.
- Le temps d’arrêt acceptable de toute opération critique.
- Le plan de poursuite des activités.
Un outil courant de planification visant la continuité des affaires consiste en une liste de contrôle comprenant : fournitures et équipements, emplacements et sites de sauvegarde des données, endroit où le plan est disponible, personnes l’ayant en leur possession, et coordonnées du personnel clé, des intervenants d’urgence et des fournisseurs de sauvegarde des informations.
N’oubliez pas que le plan de reprise après sinistre (PRS) fait partie du projet de continuité commerciale : l’élaboration d’un PRS, si vous n’en avez déjà un, doit donc être un élément du processus. Mais si vous possédez déjà un tel plan, ne croyez surtout pas que vous avez tout pris en compte, prévient Lorraine O’Donnell. Assurez-vous que la période de rétablissement est bien définie et « veillez à ce qu’elle corresponde aux attentes de l’entreprise ».
Lorsque vous élaborez votre plan, pensez à interroger des personnes clés au sein d’organisations ayant traversé avec succès une catastrophe. Les gens aiment généralement partager leurs « histoires de guerre » et parler des étapes et techniques (ou idées géniales!) qui leur ont sauvé la mise. Leur avis pourrait s’avérer extrêmement précieux et vous aider à créer un plan vraiment solide.
L’importance de tester votre projet
Mettre un plan à l’épreuve est le seul moyen de vraiment savoir s’il va fonctionner, dit O’Donnell. « Évidemment, un incident réel est un véritable test et la meilleure façon de voir si quelque chose fonctionne. Mais un test contrôlé est beaucoup plus sûr et permet d’identifier les lacunes et les éléments à améliorer. »
Vous devez donc tester rigoureusement votre plan pour savoir s’il est complet et s’il remplira ses objectifs. En fait, Lorraine O’Donnell suggère que vous essayiez de le faire… échouer: « N’y allez surtout pas avec un scénario facile; rendez le processus crédible et stimulant. C’est le seul moyen de s’améliorer. Et arrangez-vous pour que vos objectifs soient mesurables et ambitieux. Faire le minimum et s’en ‘sortir’ ne mène qu’à un plan inadéquat et un manque de confiance en cas de véritable problème. »
De nombreuses organisations testent leur plan deux à quatre fois par année. Le calendrier dépend du type d’entreprise, du taux de rotation du personnel clé et du nombre de processus opérationnels et de changements informatiques survenus depuis le dernier test.
Les essais les plus courants sont les entrainements « autour d’une table », les exercices préparatoires structurés et les simulations. Les équipes qui procèdent aux tests sont généralement composées d’un coordinateur au rétablissement et de membres de chaque unité fonctionnelle.
Un exercice « de table » se déroule généralement dans une salle de réunion. L’équipe examine le plan, cherche les failles et s’assure que toutes les unités commerciales soient représentées.
Dans les exercices préparatoires structurés, chaque membre de l’équipe examine en détail les éléments du plan qui le concernent afin d’en identifier les points faibles. L’équipe effectue souvent un test en ayant à l’esprit une catastrophe spécifique. Certaines organisations intègrent des exercices et des jeux de rôle pour la simulation de désastres. Toutes les failles doivent être corrigées et un plan mis à jour distribué à l’ensemble du personnel compétent.
Il est également judicieux d’effectuer un exercice complet d’évacuation d’urgence au moins une fois par année. Ce type de test vous permet de déterminer si vous devez prendre des dispositions particulières pour évacuer les membres du personnel qui souffrent de limites physiques.
Enfin, le test de simulation de catastrophe peut s’avérer assez complexe et devrait être effectué chaque année. Pour cet essai, créez un environnement qui représente un désastre réel, avec tous les équipements, fournitures et personnel (dont les partenaires commerciaux et les fournisseurs) susceptibles d’y être engagés. L’objectif est de déterminer si vous pouvez assurer les fonctions essentielles de l’entreprise pendant le déroulement d’un évènement malencontreux.
À chaque étape de mise à l’épreuve d’un plan de continuité, intégrez de nouveaux employés dans l’équipe. Un regard neuf peut permettre de détecter des lacunes ou des manques d’information qui pourraient échapper au personnel plus expérimenté.
Revoir et corriger le plan
Beaucoup d’efforts sont consacrés à la création et au test initial d’un plan de continuité commerciale. Mais une fois la tâche accomplie, certaines organisations délaissent le projet parce que d’autres tâches les accaparent. Les plans deviennent vite désuets et ne sont d’aucune utilité en cas de catastrophe.
La technologie évolue, les gens vont et viennent – le plan doit lui aussi être mis à jour. Réunissez le personnel clé au moins une fois l’an pour revoir votre stratégie et discuter des modifications à apporter.
Avant l’examen, sollicitez les commentaires des employés pour les intégrer au plan. Demandez à tous les services ou unités commerciales de revoir le projet, y compris les succursales ou autres parties externes de l’entreprise. Si vous avez eu le malheur d’être victime d’une catastrophe, assurez-vous au moins d’en tirer la leçon. De nombreuses organisations procèdent ainsi à une révision en même temps qu’une discussion ou un exercice préparatoire structuré.
Comment assurer le soutien et la sensibilisation au plan de continuité
Une façon de garantir que votre plan ne fonctionnera pas est d’adopter une attitude désinvolte à son sujet. Tout projet de continuité opérationnelle doit être soutenu partout dans l’entreprise. Cela signifie que la haute direction doit être représentée lors de la création et la mise à jour du plan : personne ne peut déléguer cette responsabilité à des subordonnés. Le projet a toutes les chances de réussir si la direction en fait une priorité en lui consacrant du temps pour la révision et les tests appropriés.
La direction doit également s’assurer de susciter l’intérêt du personnel. Si les employés ne connaissent pas le plan, comment pourront-ils réagir correctement lorsque chaque minute compte? Bien que la distribution du document et la formation puissent être assurées par les responsables des unités opérationnelles ou le personnel des RH, il est préférable qu’une personne de haut rang donne le coup d’envoi et souligne l’importance de l’exercice. Cela aura un véritable impact sur l’ensemble des employés – conférant au plan sa légitimité et son caractère prioritaire.
Traduction par Daniel Pérusse.