BCM – Préparez-vous à survivre en cas de crise!
Dans un monde de plus en plus risqué, tout peut arriver à tout instant : une catastrophe naturelle, une cyber-attaque, une pandémie, un incendie. Attendre que l’accident arrive serait condamner votre entreprise à une mort plus que probable. Alors inutile d’attendre. Préparez-vous dès maintenant à survivre à une crise lorsqu’elle arrivera.
Nous démarrons aujourd’hui une nouvelle série d’articles consacrés à la Gestion de la Continuité des Activités. Il s’agit une problématique concernant tous les types d’organisations, quelle que soit leur taille. D’ailleurs, de plus en plus de réglementations sectorielles et de lois nationales imposent l’existence d’un processus de gestion de la continuité des activités pour certains types d’entreprises (banques, opérateurs télécoms, santé, agro-alimentaire, etc.). Il est également important d’éviter une confusion fréquente et de bien distinguer la gestion de la continuité des activités business d’une organisation, dont nous parlerons ici, de la continuité informatique qui fera l’objet d’un futur article. Ainsi, la continuité informatique ne peut pas exister sans une Gestion de la Continuité des Activités Business dont elle n’est qu’une conséquence.
Vous êtes à la maison, et on vous apprend qu’un incendie majeur touche votre entreprise… Le temps s’arrête et les questions surgissent dans votre tête : Est-ce que les employés sont en sécurité? Quelles sont les conséquences, qu’avons-nous perdu? Combien de temps serons-nous affectés? Que doit-on prioriser?
Toute entreprise est exposée à de nombreux risques. Ces risques lorsqu’ils sont liés à des incidents majeurs, peuvent avoir des impacts considérables au niveau des opérations. Cependant l’impact le plus important se concrétisera au niveau de la confiance et de l’image. Vos clients risquent alors de vous abandonner. Vos investisseurs risquent également de reprendre leurs fonds, privant l’entreprise de moyens d’opérer. Nous allons donc essayer au travers de cet article de voir quelles sont les bonnes pratiques de gestion de la continuité des activités.
La continuité des activités (Business Continuity Management ou BCM), c’est établir à l’avance, sans les facteurs d’urgence et de panique, comment votre entreprise réagira si un incident survient. Elle permet de mettre en place des stratégies pour diminuer les effets de l’incident sur votre environnement, sur vos actifs, vos activités, vos revenus et votre réputation.
Qu’est-ce que la Gestion de la Continuité des Activités (BCM)?
La continuité des activités business
La continuité des activités (Business Continuity Management ou BCM), c’est établir à l’avance, sans les facteurs d’urgence et de panique, comment votre entreprise réagira si un incident survient. Elle permet de mettre en place des stratégies pour diminuer les effets de l’incident sur votre environnement, sur vos actifs, vos activités, vos revenus et votre réputation. La gestion de la continuité des activités commence donc par l’élaboration de votre plan de continuité business (BCP).
Dans cet article, nous vous présentons les différentes étapes à suivre pour construire votre plan de continuité des activités. Celui-ci devra être simple, efficace et orienté vers l’action. Il sera structuré pour vous permettre de faire face à tout type de situation. Vous devrez déterminer préalablement quelles seront les responsabilités de chacun et les procédures à suivre afin d’éviter de dépendre uniquement de la débrouillardise des individus pour faire face au sinistre. Finalement, il sera important que ce plan soit mis en pratique et tenu à jour afin de demeurer pertinent. Le chef d’entreprise devra donc s’impliquer dans la démarche, et un responsable devra être assigné.
Êtes-vous bien préparé aux catastrophes naturelles et aux phénomènes météorologiques extrêmes? Selon une étude récente d’Environnement Canada, les événements météorologiques extrêmes qui survenaient tous les 40 ans reviennent maintenant tous les 6 ans.
Que feriez-vous en cas de cyberattaque? Selon le gouvernement canadien, environ 70 % des entreprises canadiennes ont été victimes de cyber-attaque l’an dernier, avec un coût moyen de 15 000 $ par incident.
La question n’est donc plus de savoir SI, mais bien QUAND votre entreprise aura à faire face à un incident.
Qu’est-ce qu’un incident?
Un incident, c’est une situation qui peut être, ou conduire à, une perturbation, une perte, une urgence ou une crise. L’incident peut être mineur, comme une perte temporaire d’accès à vos locaux. Il peut aussi être majeur, comme la perte complète de vos systèmes informatiques. Il peut être d’origine naturelle (inondation, incendie), social (grève, émeute) ou technologique (cyber-attaque, etc.).
Pourquoi entreprendre une démarche de continuité des activités (BCM)?
Dans le cas où une urgence se produit, vos employés pourraient être dans l’incapacité d’accéder au lieu de travail. Vos fournisseurs pourraient également ne pas être en mesure de vous fournir le matériel ou les services nécessaires à la poursuite de vos activités. Les incidents provoquant une interruption peuvent survenir n’importe quand et affecter toute entreprise.
Les changements climatiques auront une incidence sur la fréquence et l’ampleur des événements météorologiques auxquels votre entreprise ou vos partenaires pourraient avoir à faire face. De plus, de nouveaux risques émergents, comme les cyberattaques, peuvent aussi concerner tout type d’organisation.
Un plan de continuité des activités vous permet de bénéficier de plusieurs avantages :
- Réponses plus efficaces lors d’un incident afin :
- de protéger la vie des employés et les actifs de l’entreprise;
- de limiter les pertes matérielles et financières;
- d’assurer la poursuite des activités essentielles en permettant ainsi de préserver les revenus et la réputation, et de faciliter le retour à la normale.
- Implantation de solutions qui réduiront votre vulnérabilité aux incidents et qui augmenteront votre résilience et votre robustesse dans vos opérations normales.
- Mise en évidence de l’image d’une entreprise responsable à l’intention des employés, clients, actionnaires, investisseurs, banques et assureurs.
- Avantage concurrentiel, car vous pourrez maintenir vos activités même en cas d’incident.
- Conformité aux attentes de clients qui peuvent requérir un plan de continuité des activités formalisé.
- Respect d’exigences propres à votre secteur telles que les normes AS9100 et IATF 16949 dans le domaine aérospatial, le code SQF dans le domaine alimentaire, Bale III pour le secteur financier ou encore la loi sur les télécommunications (France, Cote d’Ivoire, …) ou les règles de l’Autorité des marchés financiers (AMF) au Canada, .
Etes-vous prêts à affronter un sinistre?
Vous serez peut-être surpris et rassuré d’apprendre que des mesures déjà en place au sein de votre entreprise pourraient vous permettre de répondre à certains scénarios d’incident, tels un problème informatique ou une perte d’accès à votre site opérationnel.
Avant que vous entrepreniez une démarche structurante en continuité des activités, il est recommandé que vous effectuiez une auto-évaluation de votre état de préparation. Ainsi, vous pourrez mieux cerner les enjeux, déceler les forces et les faiblesses de votre entreprise en matière de continuité des activités et comprendre où des efforts seront nécessaires pour répondre adéquatement à un incident.
Éléments potentiellement déjà en place dans votre entreprise (énumération non exhaustive):
- Capacité de travailler à distance (télétravail);
- Produits fournis et/ou services offerts sur plus d’un emplacement;
- Systèmes informatiques (courriels, applications informatiques, données) dans le cloud;
- Procédures de sauvegarde des données à l’externe;
- Plan de sécurité incendie;
- Coordonnées des employés et des partenaires business à jour et disponibles à l’extérieur du bureau;
- Procédure d’alerte et de mobilisation en cas d’urgence;
- Programme de maintenance des équipements;
- Stock réparti sur deux emplacements ou distinct de l’environnement de production;
- Fournisseurs de remplacement;
- Formation croisée des employés ou processus documentés.
Si ce n’est pas déjà fait, dressez une liste des coordonnées des employés et des partenaires clés pour les joindre pendant les heures normales d’ouverture et en dehors de celles-ci. Conservez cette liste à portée de main à l’extérieur de votre site professionnel.
Comment élaborer un plan de continuité?
Pour élaborer un plan de continuité des activités et s’assurer qu’il sera fonctionnel lors d’un incident, quatre grandes étapes sont à suivre. Celles-ci requerront le soutien de la direction et l’implication de tous les secteurs de l’entreprise. Des outils sont disponibles sur le net (par exemple le formulaire d’auto-évaluation élaboré par le Gouvernement du Québec) pour vous soutenir dans la réalisation de chacune de ces étapes. Quand vous aurez rempli les outils, il vous sera ensuite facile de constituer votre plan de continuité des activités.
La planification est aussi importante que le plan lui-même.
Le processus d’élaboration d’un plan de continuité des activités est de plus en plus formalisé. Des normes nationales et internationales (ISO 22301) ainsi que de bonnes pratiques (Business Continuity Institute et Disaster Recovery Institute) définissent les éléments que devrait comporter ce processus.
Dans nos prochains articles consacrés à Gestion de la Continuité des Activités, nous aborderons successivement ces quatre étapes.
Comment démarrer sa Gestion de la Continuité des Activités?
Avant de démarrer vos activités de planification de la gestion de la continuité des activités nous vous invitons à faire suivre aux personnes qui en seront directement en charge, une formation BCM Foundation (les fondamentaux de la Gestion de la continuité des activités).
Si vous êtes confrontés à cette problématique ou si vous avez été victimes d’un sinistre, nous vous invitons à poster vos commentaires. Ceux-ci aideront sans aucun doute d’autres lecteurs confrontés aux mêmes problèmes.