Comment gérer un fournisseur de services de continuité des activités : Meilleures pratiques

Si votre entreprise a besoin d'aide pour élaborer une stratégie de BCDR, elle ne sera pas la seule à faire appel à un fournisseur de services de continuité des activités. Le programme national d'examen (NEP) de la SEC considère comme une bonne pratique le recours à un prestataire de services tiers pour examiner chaque année votre PCA et formuler des recommandations.

La confiance dans les fournisseurs de solutions de continuité des activités continue de gagner du terrain dans l'industrie. Les objectifs d'amélioration de l'efficacité, de stimulation de la croissance et de transformation opérationnelle font pencher la balance dans le processus de prise de décision. Votre organisation surveille-t-elle les capacités de résilience et de reprise de vos fournisseurs essentiels ? Si ce n'est pas le cas, les opérations critiques risquent-elles d'être entravées par la combinaison de fournisseurs non préparés et d'une résilience interne et d'une planification d'urgence insuffisantes ?

Souvent, les organisations adoptent une approche cloisonnée de leurs besoins en matière de résilience et de reprise en cas de risque d'interruption d'activité. Plus la structure de l'entreprise est complexe et plus elle évolue (par exemple, l'informatique et la gestion de la chaîne d'approvisionnement), plus le nombre de processus internes et externes et d'interdépendances technologiques nécessaires pour réduire les impacts opérationnels et financiers associés aux interruptions d'activité est élevé.

En outre, l'ensemble des besoins d'une entreprise en matière de résilience et de capacité de récupération sont souvent négligés, en l'absence de structures ou de mécanismes permettant des tests et des vérifications intégrés. En conséquence, les dirigeants comprennent très mal les besoins et les capacités réels de l'organisation en matière d'interruption d'activité.

Même lorsqu'un fournisseur donne un aperçu de son plan de continuité, les entreprises ont du mal à comprendre comment le programme de continuité du fournisseur s'aligne sur leur propre stratégie de résilience. Seule l'organisation qui a développé et mis en œuvre ses propres processus de gestion de la continuité des activités aura une idée des capacités de reprise du fournisseur. Une interruption réelle peut montrer où se situe votre entreprise sur la liste des priorités du fournisseur par rapport à d'autres entreprises. Si vous ne bénéficiez pas d'une attention et d'un soutien appropriés, votre part de marché, votre marque et votre réputation en pâtiront, comme si la catastrophe avait directement affecté vos activités.

Évaluation du plan de continuité des activités de votre fournisseur

Pour vérifier que toutes les règles adéquates sont en place, examinez les six domaines suivants du plan de continuité des activités de votre fournisseur :

1. Perte de personnel et planification
2. Stratégie de relocalisation
3. Disponibilité de l'accès à distance
4. Pertes éventuelles de l'installation
5. Stratégie de communication de crise
6. Des procédures d'essai qui comprennent
   1. Tests annuels
   2. Aborder les résultats des tests montrant qu'il y a place à l'amélioration

Les plans de continuité des activités doivent également détailler l'analyse de l'impact sur les activités (BIA) de votre fournisseur. Votre organisation doit s'assurer qu'une telle analyse est effectuée chaque année ou lorsque des changements ou des incidents majeurs se produisent.

Quatre inconvénients du PCA d'un fournisseur

Voici quatre éléments à surveiller de près dans le PCA d'un fournisseur : 

1. Les PCA qui couvrent uniquement la reprise après sinistre informatique. Certains fournisseurs ne font pas de distinction entre la continuité des activités (par exemple, les personnes, les processus et les installations) et la reprise après sinistre informatique (par exemple, les systèmes d'information, les données et les réseaux). 
2. Les PCA qui n'ont pas été revus ou testés au cours des 12 derniers mois. Toute entreprise est une entité en évolution, de même que son PCA, qui doit refléter ces changements.  
3. Les PCA qui ne couvrent pas les produits/services pertinents pour votre relation avec le vendeur. Si votre fournisseur a élaboré plusieurs PCA, veillez à n'examiner que le plan qui s'applique aux services et aux produits pour lesquels vous payez. 
4. Définition imprécise des objectifs de temps de reprise (RTO) et des objectifs de point de reprise (RPO). Si les RTO et les RPO ne répondent pas à vos besoins, votre entreprise devra peut-être prendre des mesures supplémentaires. En convenant d'un niveau de service et de priorité pour votre organisation auquel vous pouvez vous attendre après une interruption d'activité, vous serez prêt à faire face à toute perturbation. 

Remarque : le RTO est le délai de rétablissement d'un "niveau de service établi" et ne couvre pas le rétablissement total de l'exploitation. 

En outre, le PEN recommande de prendre en compte les points suivants lors de l'examen d'un fournisseur de services de continuité des activités :

1. Tenir à jour une liste de vendeurs et d'autres contacts importants.. Si le moment est venu de communiquer en cas de crise ou d'activer votre plan de continuité des activités, vous voudrez vous assurer que l'équipe chargée de la réussite des clients qui vous a été attribuée est prête à intervenir.
2. Préparez et testez vos processus comme si vous ne pouviez pas compter sur les serveurs de votre bâtiment, et consultez les fournisseurs sur les serveurs externes dans plusieurs emplacements géographiques ou dans le nuage pour assurer la redondance.
3. En ce qui concerne la technologie de votre fournisseur, examinez l'infrastructure informatique de vos prestataires de services pour vous assurer qu'ils stockent vos documents dans un système basé sur l'informatique en nuage avec plusieurs serveurs de sauvegarde.
4. Comme votre fournisseur doit connaître les exigences de votre entreprise en matière de continuité des opérations, il doit être prêt à vous recommander un déménagement si vous ne pouvez pas accéder à votre bâtiment, qu'il s'agisse de travailler à domicile, dans un autre bureau de votre entreprise, ou même de réserver des chambres à l'avance dans un hôtel local.

Note de l'éditeur : Cet article a été publié à l'origine sur Preparis Business Continuity Software. En octobre 2024, Mitratech a acquis Preparis, un fournisseur de premier plan de solutions de planification de la continuité des activités et d'intervention d'urgence. Le contenu a été mis à jour pour refléter les offres de produits élargies de Mitratech, les progrès de l'industrie et les développements réglementaires.