La résilience organisationnelle est obtenue en combinant stratégiquement deux processus clés. L'approche la plus efficace consiste à réaliser conjointement une analyse de l'impact sur les activités (BIA) et une évaluation des risques. Cela permettra de mettre en évidence la manière dont ces deux processus fonctionnent ensemble pour renforcer la résilience organisationnelle, chacun d'entre eux jouant un rôle unique.
Notre récent webinaire, "Analyses de l'impact sur les entreprises et évaluations des risques : Pourquoi vous devriez faire les deux, " que vous pouvez télécharger ici, a attiré une foule record de plus de 200 participants. Il met en évidence une prise de conscience commune de l'importance de la cybersécurité, 94 % des participants se déclarant préoccupés par les cyberattaques et les atteintes à la protection des données. Toutefois, un petit groupe (5 à 6 %) n'est toujours pas convaincu de la nécessité d'une évaluation des risques. Certains sont confiants dans leurs pratiques actuelles, tandis que d'autres trouvent le processus décourageant. Sur une note positive, une grande majorité (76 %) a participé à une analyse d'impact sur l'entreprise (BIA). Malgré cela, 6 % hésitent encore en raison d'idées fausses sur sa complexité, ce qui reflète les préoccupations liées à l'évaluation des risques.
Ces observations soulignent l'importance d'une éducation et d'une sensibilisation complètes pour démystifier ces processus et faire en sorte que chaque organisation puisse s'acquitter efficacement de la tâche complexe que représente la gestion des risques.
Nous avons demandé à Kiana Freeman, experte du CBCP, de démystifier ces questions.
Q : La qualité d'une évaluation des risques ne dépend-elle pas de la connaissance que la personne a des risques possibles ? Par exemple, pour effectuer une évaluation des risques de cybersécurité, il faut connaître toutes les menaces possibles, qui peuvent être inconnues ou auxquelles on n'a pas pensé. C'est le problème du "on ne sait que ce que l'on sait". (Directeur de l'assistance Internet, services financiers)
C'est pourquoi il est recommandé que plusieurs personnes de votre agence réalisent une évaluation des risques dans le cadre d'un travail d'équipe. Des ressources telles que l'USGS, le CDC, la recherche universitaire et bien d'autres devraient être utilisées pour réaliser une évaluation des risques. En faisant appel à plusieurs participants et en utilisant plusieurs ressources, l'évaluation des risques comprendra une liste de dangers et de menaces plus solide. Vous pouvez également faire appel à un consultant ou à une plate-forme d'évaluation des risques intégrant plusieurs menaces.
Q : Avez-vous un exemple d'utilisation des résultats de l'évaluation des risques et de l'évaluation des incidences sur la vie privée ? (Administrateur de régime de la C.-B., services financiers)
Les résultats d'une évaluation des risques permettent à une organisation de réussir en comprenant quels types de formation, d'exercices et de stratégies de préparation l'agence ou l'organisation doit adopter. Avant COVID, la planification en cas de pandémie n'était pas toujours intégrée à l'évaluation des risques. Cette lacune a posé de nombreux problèmes aux organisations une fois que le COVID a été mis en place. Une fois l'évaluation des risques terminée, l'organisation peut se pencher sur les stratégies d'atténuation, les politiques et les opérations d'intervention pour faire face à cette menace. L'évaluation des risques, à un niveau élémentaire, permet aux employés d'avoir une meilleure connaissance de la situation et des types de menaces ou de dangers auxquels ils doivent faire attention. Une carte thermique est un excellent moyen d'obtenir l'adhésion des parties prenantes, des conseils d'administration et des décideurs d'une organisation. Le visuel coloré met les menaces/risques en perspective pour ceux qui ne travaillent pas quotidiennement dans le monde des catastrophes.
Les résultats d'une analyse d'impact sur l'activité permettent à l'organisation ou à l'agence de commencer à élaborer des plans opérationnels pour répondre à un incident. C'est l'une des premières étapes de l'élaboration d'un plan de continuité et elle est essentielle pour mettre en évidence les lacunes d'une agence. Elle permet ensuite à l'agence de savoir quelles lacunes doivent être comblées afin d'éviter tout retard en cas d'incident.
Q : Chaque secteur d'activité aura une vision subjective du risque et de la criticité. Comment une entreprise peut-elle développer un langage commun dans cet espace de "risque" de sorte que lorsqu'un secteur d'activité déclare un processus critique, il s'aligne sur d'autres processus critiques dont l'ampleur quantitative de l'impact est similaire ? (Directeur de la gestion de crise, services professionnels)
Si le niveau de risque et de criticité varie d'une organisation à l'autre, le langage utilisé est le même dans tous les secteurs d'activité. Il est important d'établir des définitions et des accords clairs avec votre organisation sur le langage à utiliser avant de procéder à une évaluation des risques ou à une analyse d'impact sur les activités. De nombreux consultants créent un glossaire ou une liste de termes pour une organisation afin de s'assurer que toutes les personnes, où qu'elles se trouvent, utilisent le même langage. Il est également important de clarifier la terminologie avec les parties prenantes et les partenaires afin de s'assurer que toutes les parties sont sur la même longueur d'onde. L'évaluation des risques et l'AIPMB ne doivent pas être réalisées par un seul service ou une seule personne. Ils doivent être réalisés dans le cadre d'un travail d'équipe afin de s'assurer que tout le monde est sur la même longueur d'onde en ce qui concerne la langue, le niveau de risque et la criticité de ce risque.
Q : De nombreuses organisations pratiquent la politique de l'autruche en matière de gestion des risques. L'ignorance des risques peut être fatale aux entreprises. Quelle est la meilleure approche pour vaincre la résistance de ceux qui limitent notre capacité à en mener une, et comment montrer le retour sur investissement ? (Vice-président, industrie inconnue)
L'élaboration d'une évaluation des risques n'est pas toujours la priorité de tout le monde. Il est important de partager avec les parties prenantes les statistiques qui existent sur le terrain et qui indiquent combien d'argent les organisations perdent en l'absence d'évaluations des risques, de plans et de formations appropriés. L'une des meilleures stratégies pour amener tout le monde à réfléchir à l'évaluation des risques consiste à entamer des conversations importantes dès le début et de manière fréquente. Les études de cas sont un excellent outil pour parler des évaluations des risques et de l'importance de la mise en œuvre de ce projet.
Q : Quels types de formations ou de certifications recommandez-vous pour la formation et l'approfondissement des connaissances dans le "monde" de la continuité des activités pour les nouveaux employés ou les employés chevronnés (responsable informatique, services financiers)?
Il existe de nombreuses ressources à utiliser dans le monde de la continuité des activités. Le Certified Business Continuity Professional (CBCP) est l'une des certifications délivrées par le Disaster Recovery Institute International (DRII) que les individus peuvent s'efforcer d'obtenir. De nombreuses organisations, comme Preparis, disposent de professionnels CBCP pour aider à créer des formations et fournir une expertise sur la manière d'accroître la résilience d'une organisation.
Q : Existe-t-il une liste de risques possibles que les organisations devraient prendre en compte ? (Analyste BC & Records Management, Services financiers)
Bien que l'évaluation des risques ne soit pas une méthode unique, de nombreux consultants recommandent de considérer quatre catégories principales de menaces avec plusieurs types de dangers dans chaque catégorie. Ces catégories sont les suivantes
- Risques naturels (ouragan, tremblement de terre, tempête hivernale, etc.)
- Impact humain(alerte à la bombe, menace active, violence sur le lieu de travail, etc.)
- Technologique/Cyber(cyber-attaque, ransomware, panne de système, alimentation électrique, etc.)
- Fonctionnement de l'entreprise(rupture de la chaîne d'approvisionnement, grève des employés, risque lié aux fournisseurs, etc.)
Q : Comment définissez-vous un COOP par rapport à un BCP ? (Fournisseur de services médicaux)
La planification de la continuité des opérations [ou COOP] et les plans de continuité des activités[BCP] présentent de légères différences d'éléments selon le type d'industrie. Les agences gouvernementales utilisent généralement le COOP, tel que le Department of Homeland Security l'a mis en place au sein de la FEMA, tandis que les organisations privées peuvent utiliser le BCP. Il est important de vérifier les exigences de votre agence et de votre assurance lors de l'élaboration de vos plans. Certains organismes financiers peuvent exiger un PCA et des plans de reprise après sinistre en raison de leurs réglementations en matière d'assurance.
Q : J'ai peut-être raté le coche, avez-vous des modèles pour nous aider à démarrer ? (Senior Manager of Business Resiliency, Engineering Software)
Preparis dispose d'une poignée de ressources qui peuvent être utilisées pour vous aider à démarrer. Nos modèles d'exercices sur table peuvent être téléchargés ici. N'attendez pas ! Donnez à votre équipe les moyens de faire face à la complexité des cybermenaces avec résilience et précision.
Note de l'éditeur : Cet article a été publié à l'origine sur Preparis Business Continuity Software. En octobre 2024, Mitratech a acquis Preparis, un fournisseur de premier plan de solutions de planification de la continuité des activités et d'intervention d'urgence. Le contenu a été mis à jour pour refléter les offres de produits élargies de Mitratech, les progrès de l'industrie et les développements réglementaires.
