Planification de la continuité des activités : Les choses à faire et à ne pas faire dans ce processus

Personnel de Mitratech
Personnel de Mitratech 19 octobre 2020 9 min de lecture
Mitratech Preparis

Dans un monde de plus en plus interconnecté et en constante évolution, il est essentiel que votre organisation continue à revoir régulièrement ses plans de continuité des activités. Il y a certaines mesures à prendre et d'autres à éviter. L'évolution des stratégies commerciales et opérationnelles mondiales ajoute de nouveaux risques d'interruption des activités à une liste croissante de menaces. Il est plus difficile de mettre en place des opérations résilientes et récupérables lorsque le temps est limité et que les défis se profilent. Outre tous les éléments à prendre en compte lors de la conception d'une stratégie de continuité des activités, la clé d'un plan de continuité des activités réussi réside dans l'élaboration d'un plan bien pensé et dans son test à l'échelle de l'organisation. 

Cet article présente les principes directeurs et les éléments clés d'un plan de continuité des activités, explique les déclencheurs d'incidents de continuité et examine en détail les choses à faire et à ne pas faire pour élaborer un plan de continuité des activités.

Perspectives récentes

Les menaces pesant sur la continuité des activités commerciales sont en augmentation depuis quelques années. Des études récentes confirment que les cyberincidents, les interruptions d'activité, les changements réglementaires et les catastrophes naturelles constituent les principaux risques commerciaux cette année.  

Catastrophes majeures de 2018 à 2020

Tout comme il existe de nombreux types de menaces susceptibles de perturber vos activités, il existe également de nombreux scénarios différents quant à la manière dont ces événements indésirables peuvent se dérouler. Souvent appelés « déclencheurs de continuité » (un événement susceptible d'entraver le fonctionnement normal de votre entreprise), ces incidents peuvent aller d'un événement planifié ou d'un problème de réputation à une perturbation de la chaîne d'approvisionnement d'un fournisseur ou à une blessure au sein de l'équipe de direction. 

Parmi les déclencheurs d'incidents de continuité les plus courants, on trouve :

  • Événements prévus ou planifiés (conditions météorologiques, événements planifiés susceptibles de perturber le déroulement normal des activités, pandémie ou problèmes de santé publique)

  • Incidents « au bureau » (dommages ou perturbations dans les bâtiments, autres répercussions sur les opérations, blessures ou décès d'employés, violence au travail)

  • Allégations publiques contre l'entreprise ou les médias / préoccupations liées à la réputation

  • Incidents critiques impliquant des fournisseurs ou des prestataires

  • Changements importants sur les marchés financiers

  • Problèmes majeurs liés aux opérations informatiques ou à l'infrastructure (en fonction de leur ampleur et de leur durée prévue)

  • Incidents ou violations majeurs liés à la sécurité de l'information et liés à la technologie, aux opérations ou aux pratiques commerciales.

  • Blessure ou décès d'un membre de la direction de l'organisation

Principes directeurs pour la planification de la continuité des activités

Bien que chaque secteur d'activité puisse avoir des exigences différentes et des aspects qui lui sont propres, un plan de continuité des activités fournit des orientations à toute entreprise confrontée à une situation imprévue. Lorsque vous êtes chargé d'élaborer une stratégie de continuité des activités pour votre organisation, abordez votre processus de planification en suivant les étapes suivantes et en tenant compte des mesures suivantes :

  • Concentrez-vous sur l'IMPACT, pas sur la cause. Déterminez les mesures à prendre, avec des membres désignés de l'équipe pour diriger le groupe de travail, lorsque vous répondez aux scénarios suivants :

    Perte d'emplois
    Perturbations technologiques, sécuritaires ou liées aux fournisseurs
    Implications juridiques, financières ou réglementaires
    Impact sur la réputation
    Sécurité des employés

  • Adoptez une approche « tous risques ». Cela signifie que vous devez prendre en compte et identifier tous les risques potentiels susceptibles d'affecter vos activités, puis évaluer les vulnérabilités et les impacts potentiels. Les plans tous risques traitent des ressources disponibles et des mesures à prendre avant et après une situation d'urgence. Ils visent à garantir le bien-être des personnes, à minimiser les dommages causés aux biens de l'entreprise et à éliminer les temps d'arrêt des activités. Grâce à l'approche tous risques, les entreprises peuvent améliorer l'efficacité et l'évolutivité de leur préparation aux situations d'urgence.

  • Veiller à ce qu'une structure de « commandement et contrôle » soit mise en place et comprise. Une fois définis par l'OTAN, le commandement et le contrôle correspondent à l'exercice de l'autorité et de la direction par une personne dûment désignée sur les ressources assignées dans le cadre de la réalisation d'un objectif commun.

  • Assurez-vous que chacun comprend son rôle et est prêt à agir. Organiser un exercice sur table est le moyen le plus efficace de coordonner les membres de l'équipe et de s'assurer que chacun connaît ses responsabilités en cas d'urgence.

  • Donnez la priorité aux processus métier – commencez par le commencement.Une analyse d'impact sur l'activité doitêtreréaliséeafin d'évaluer les objectifs de temps de reprise (RTO) critiques pour chaque service et d'établir une compréhension globale des besoins métier fondamentaux.

  • Élaborez des plans « réalisables » et tenez-les à jour.

  • Mettre l'accent sur la continuité des opérations, qui consiste en un effort au sein de chaque service pour garantir que tous les processus critiques continuent d'être exécutés en cas d'événement imprévu ou de perturbation.  

  • Sensibilisez l'ensemble de l'organisation et faites régulièrement de l'exercice. 

Cadre de continuité des activités

Le cadre de continuité des activités de votre entreprise est essentiel à son succès. Les composantes respectives de votre cadre peuvent varier d'une entreprise à l'autre, mais les objectifs sous-jacents sont toujours les mêmes :

  • Se prémunir contre les risques de perturbation (prévention)
  • Rétablir les opérations après une perturbation (Réponse)

Tableau du cadre de continuité des activités

Un cadre global de continuité des activités définit une structure pour la réponse, la continuité des opérations et le retour à la normale. Les plans sont élaborés selon une approche « tous risques » et se concentrent sur l'impact sur le site, les personnes, la technologie, les fournisseurs ou la réputation.

Création d'un plan de continuité des activités

Votre PCA est le plan directeur de votre cadre de continuité des activités. Il doit s'agir d'un document complet conservé dans un emplacement centralisé où tous les membres de l'équipe PCA peuvent y accéder à tout moment et en tout lieu. Un plan solide doit décrire tous les éléments essentiels et être mis à jour suffisamment souvent pour aider votre organisation à se conformer aux réglementations et à s'adapter aux changements dans le secteur. 

1. Définir

Commencez votre processus de planification en définissant précisément le type de plan dont votre organisation a besoin ou qu'elle exige, puis hiérarchisez tous les processus métier critiques à l'aide d'une analyse d'impact sur les activités (BIA). Idéalement, chaque service de votre organisation doit disposer d'un plan de continuité des activités (PCA), car ils ont tous des processus métier importants qui leur sont propres. Ces plans alimentent à leur tour un PCA à l'échelle de l'organisation. 

Créer un PCA en 3 étapes

Bien sûr, le nombre et la portée des plans de continuité des activités sont déterminés par l'organisation et la structure de l'entreprise, mais cette logique s'applique à tout type d'entreprise. Votre stratégie peut englober différents services qui, à leur tour, doivent également mettre en place leurs propres plans spécifiques, car chaque service a ses propres processus opérationnels essentiels à prendre en compte. 

processus BCP

 

2. Établir les priorités et planifier

Pour cette étape, envisagez la logique d'actions suivante :

  • Hiérarchiser les processus dans chaque service en fonction de leur impact sur l'activité (financier, client, membre, employé, marque/réputation, prestation de services, conformité ou réglementation).

  • Identifier les exigences de continuité d'unpoint de vue commercial pour chaque processus (0 à 24 heures, 2 à 5 jours ouvrables, 6 jours ouvrables ou plus).

  • Précisez toutes les dates importantes(non courantes, susceptibles de modifier les exigences en matière de continuité). ​

  • Définir la ou les stratégies à adopter pour poursuivre l'activité (télétravail, autre espace de travail, autre bureau, suspension ou report) ​

  • Exigences en matière de continuité du catalogue(déploiement du personnel, informations clés sur les fournisseurs et alternatives, exigences technologiques et solutions de contournement, documents essentiels, équipements spéciaux, etc.)

N'oubliez pas que les résultats de l'analyse d'impact sur les activités (BIA) constituent la base d'une planification efficace de la continuité, axée sur les priorités opérationnelles.

analyse d'impact sur les activités

Un plan de continuité des activités doit fournir un « guide » décrivant les mesures à prendre pour poursuivre les activités en cas de perturbation, quelle qu'elle soit, des opérations normales. En ce qui concerne les éléments à inclure dans votre plan et ceux à éviter lors de sa conception, nous vous suggérons de suivre ces recommandations :

À FAIRE

À NE PAS FAIRE

Rendez votre plan réalisable

Sans ambition


indépendant du scénario (approche tous risques)

Indépendant du scénario

Faites de votre plan un guide

Ce n'est pas une procédure.

Priorité à la continuité des activités quotidiennes

Ce n'est pas un plan de relance à long terme.

Définir des stratégies de continuité

N'attendez pas pour vous décider

Un BCP solide doit également inclure :

  • Processus opérationnels

Les processus, leur priorité et quand ils doivent être poursuivis pour « assurer la continuité des activités ». ​

  • Dates importantes

Dates importantes périodiques susceptibles de modifier les priorités en matière de continuité.

  • Déploiement des employés

Calendrier de déploiement et lieu de travail pour chaque employé.

  • Tâches de continuité

Ce qui doit être fait : le jour même, dans les 24 heures, dans les 2 à 5 jours suivants ou dans plus de 6 jours.

  • Principaux fournisseurs / prestataires

Qui ils sont, ce qu'ils proposent, comment les contacter.

  • Dépendances technologiques

Quelles technologies sont nécessaires et à quel moment ?

  • Actes d'état civil

Quels « documents » (généralement papier) devraient être reproduits pour permettre la poursuite des activités ?

  • Équipement spécial

Tout équipement spécifique nécessaire à l'exécution des processus prioritaires

3. Valider

Une fois que vous avez constitué votre équipe et élaboré un plan, veillez à valider la stratégie à tous les niveaux.

  • Tous les membres de l'entreprise doivent connaître leur rôle et leurs responsabilités – ne présumez pas qu'ils les connaissent.

  • Il ne suffit pas de se concentrer uniquement sur la technologie.

  • Validez vos stratégies de continuité

  • Pouvez-vous mettre vos plans à exécution ? Est-ce qu'ils fonctionnent ?

  • Concentrez-vous sur la question suivante : « Puis-je maintenir mon activité ? »

  • Juste ce qui est nécessaire pour maintenir l'activité, alternatives minimales, etc.

  • Ce n'est pas un test de réussite ou d'échec, mais un exercice d'apprentissage... les lacunes sont une bonne chose.

En conclusion

De nos jours, différents facteurs contribuent à la continuité des activités. Le nombre croissant d'interruptions dans le secteur industriel a rendu nécessaire l'élaboration de plans de résilience plus solides. Les directives réglementaires exigent désormais une stratégie claire en matière de résilience des tiers, ainsi que la mise en place d'un partenariat résilient au sein de votre organisation. L'accent mis sur la gouvernance, la gestion des risques et la conformité (GRC) à l'échelle de l'entreprise pousse les organisations à réduire leurs coûts de conformité et à fournir une meilleure visibilité sur les risques. Les clients s'attendent à avoir accès à des produits et services 24 heures sur 24, 7 jours sur 7, grâce aux nouvelles technologies qui offrent des offres compétitives et personnalisées. La tolérance des régulateurs à l'égard des temps d'arrêt des systèmes critiques diminue également. Enfin, l'identification rapide et la réponse interne/externe aux situations d'urgence peuvent protéger et accroître la valeur et la réputation de la marque.

Note de l'éditeur : Cet article a été publié à l'origine sur Preparis Business Continuity Software. En octobre 2024, Mitratech a acquis Preparis, un fournisseur de premier plan de solutions de planification de la continuité des activités et d'intervention d'urgence. Le contenu a été mis à jour pour refléter les offres de produits élargies de Mitratech, les progrès de l'industrie et les développements réglementaires.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.