Le monde ne devient pas moins risqué.
Conditions météorologiques catastrophiques. Cybermenaces dévastatrices. Catastrophes d'origine humaine inimaginables. Aujourd'hui plus que jamais, il est impératif que les organisations sachent comment réagir face à des événements critiques et garantir le maintien des fonctions essentielles.
Mais votre organisation est-elle parfaitement préparée en cas de crise ? De nombreuses agences et organisations ne disposent toujours pas d'un plan de continuité des opérations (COOP) formalisé. Ou, si elles en ont un, il est incomplet ou prend la poussière dans des classeurs sur une étagère.
Que votre organisation soit experte en matière de planification d'urgence ou qu'elle commence tout juste à formaliser le processus, éviter les sept erreurs critiques suivantes vous aidera à garantir une planification plus efficace et une meilleure résilience de votre organisation.
Erreur n° 1 : négliger les fonctions essentielles de l'entreprise et ne pas identifier les risques qui y sont associés
Pour se préparer à des événements perturbateurs, les gestionnaires doivent reconnaître les fonctions les plus essentielles à la survie de l'organisation, puis identifier les dangers potentiels qui pourraient avoir une incidence sur ces fonctions. Ce n'est pas une mince affaire, mais plutôt un processus qui mérite beaucoup de temps et d'attention. Voici quelques conseils clés à prendre en compte pour s'assurer que les fonctions essentielles de l'entreprise sont correctement identifiées :
Obtenir l'adhésion de la direction.
Une évaluation approfondie des risques est un exercice sérieux. Elle nécessitera des contributions et des ressources à plusieurs niveaux. Assurez-vous que la haute direction
apporte son soutien total et soit disposée à approuver le processus.
Intégrez les commentaires provenant de diverses sources.
Ne vous fiez pas uniquement à une poignée de cadres supérieurs pour dresser une liste exhaustive des dangers potentiels. Bien que leurs points de vue soient précieux et pertinents à bien des égards, ils passeront inévitablement à côté de risques moins évidents qui peuvent entraîner des problèmes beaucoup plus graves.
Associez les détails aux risques identifiés.
Pour chaque menace, décrivez son impact potentiel ainsi que d'autres éléments clés, notamment :
- Probabilité que le danger se produise
- Ampleur/gravité de l'événement
- Délai d'alerte associé au risque
- Durée typique du danger
- Objectifs de temps de récupération
Rendez l'évaluation des risques exploitable.
Identifier les risques et leurs caractéristiques associées est une chose. Définir les mesures appropriées à prendre face à la menace en est une autre. Pour chaque danger, les responsables doivent définir et documenter les mesures appropriées à prendre afin de minimiser les perturbations et les pertes.
Une erreur courante consiste à se concentrer uniquement sur les mesures prises pendant l'événement. Bien que cela soit essentiel, les planificateurs doivent également tenir compte des mesures liées à la préparation avant l'événement, au rétablissement après l'événement et à l'atténuation des risques. Ces mesures doivent être documentées et facilement accessibles à un large éventail de personnes autorisées.
Erreur n° 2 : ne pas mettre en place un processus permettant de garantir l'exactitude et la fiabilité des coordonnées
Une préparation et une réponse adéquates commencent et finissent avec les personnes. À ce titre, l'organisation doit tenir un registre précis de son personnel, de leurs responsabilités et des multiples moyens permettant de les contacter.
Cela semble assez simple. Cependant, il est surprenant de constater à quel point les organisations supposent souvent à tort que leurs coordonnées sont à jour. Les employés vont et viennent. Les responsabilités changent. Les appareils de contact sont abandonnés ou adoptés. En cas de crise, cela peut causer des problèmes importants.
L'organisation doit mettre en place un processus cohérent et reproductible afin de garantir que les employés puissent vérifier leurs informations. Des campagnes de sensibilisation à l'intention des employés doivent être menées au moins deux fois par an. Des campagnes trimestrielles sont encore mieux. Outre la vérification des coordonnées de base telles que le numéro de téléphone et l'adresse e-mail, assurez-vous que les coordonnées secondaires telles que le titre, la division, le lieu, etc. sont correctes.
De plus, n'oubliez pas de recueillir des informations provenant de l'extérieur de l'organisation. Dans la plupart des cas, les parties prenantes externes jouent un rôle clé dans la résilience de l'entreprise. Ces contacts doivent également être entretenus avec diligence.
Erreur n° 3 : ne pas définir clairement les équipes clés et ne pas communiquer les rôles/fonctions attribués
Pour garantir une réponse et une reprise efficaces, il est judicieux de créer des équipes axées sur des menaces, des responsabilités ou des capacités décisionnelles spécifiques (par exemple, direction, pandémie, relocalisation, etc.). Dans le cadre du développement des équipes, les responsables doivent :
Définissez clairement la mission de l'équipe.
Chaque équipe devrait disposer d'une « mini-charte » écrite qui décrit les paramètres des rôles de l'équipe. Dans une situation critique réelle, les limites entre les responsabilités des différentes équipes peuvent être floues. Une liste bien définie des rôles de chaque équipe peut aider à clarifier la situation.
Assurez-vous que les listes des membres de l'équipe sont tenues à jour.
Tout comme les coordonnées, les données relatives à l'équipe doivent également être vérifiées et mises à jour régulièrement. Il peut être frustrant, voire préjudiciable, de constituer une équipe pour ensuite découvrir qu'une partie de ses membres ne sont plus employés ou que des membres clés ont changé de poste et ne sont plus « connectés » au domaine dans lequel ils étaient censés apporter leur expertise.
Assurez-vous que les membres de l'équipe sont parfaitement préparés.
Comme les responsabilités de l'équipe COOP ne sont probablement pas quelque chose auquel les employés lambda pensent quotidiennement, il est impératif que les responsables de la résilience veillent à rappeler leurs devoirs aux membres. Les équipes doivent être encouragées à se réunir régulièrement tout au long de l'année afin de passer en revue les rôles, les membres, les responsabilités individuelles, etc. Des tests et des exercices réguliers doivent également être organisés.
Erreur n° 4 : créer des ordres de succession insuffisamment « approfondis » et ne pas définir clairement les délégations de pouvoirs
Une structure managériale familière peut apporter un certain réconfort, même lors d'un événement critique stressant. Cependant, que se passe-t-il si cette hiérarchie décisionnelle est affectée ? Que faire lorsqu'un cadre supérieur clé est dans l'incapacité d'agir ou injoignable ?
Définir et documenter les ordres de succession.
Si un décideur clé se trouve dans l'incapacité d'exercer ses fonctions à long terme, il est impératif que l'organisation sache vers qui se tourner pour assurer la direction. À cet effet, un plan de succession clair doit être élaboré. Il est recommandé que le plan de succession comporte au moins trois niveaux (il est conseillé de définir des niveaux supplémentaires si possible). Il est également recommandé que le titre du successeur soit l'élément déterminant dans le plan, plutôt que de se référer uniquement au nom d'une personne en particulier.
Documenter les délégations de pouvoirs.
Des décisions immédiates ou des approbations de routine peuvent être nécessaires pendant l'absence temporaire d'un décideur clé. Des situations telles que les autorisations de congé, les demandes d'achat, la paie, etc. peuvent s'enliser, perturbant ainsi le
déroulement des activités. En cas d'interruption temporaire du leadership, il est
précieux de disposer de délégations de pouvoirs clairement documentées. Le plan doit énumérer 1) le ou les titulaires de poste qui ont l'autorité quotidienne habituelle sur la décision/le processus et 2) le ou les titulaires de poste qui ont délégué leur autorité. Ceux-ci doivent être identifiés dans l'ordre de délégation préféré.
Erreur n° 5 : ne pas tenir à jour des informations précises et détaillées sur les installations
Les détails relatifs aux installations sont un élément du plan d'urgence qui est souvent négligé ou, à tout le moins, traité de manière incomplète. S'il est vrai que la plupart des employés connaissent bien les principales installations de leur organisation, le manque de connaissances concernant les autres sites et leurs caractéristiques peut nuire à la résilience. Voici quelques questions à se poser :
- Les nouveaux employés connaissent-ils l'emplacement d'une sauvegarde et savent-ils où elle se trouve ?
- Qu'en est-il des employés à distance ? Sont-ils correctement identifiés, sensibilisés et informés ?
- Les employés transférés arriveront-ils au centre de colocation avec les identifiants d'accès appropriés ?
- Les employés mutés connaissent-ils les procédures d'urgence applicables à leur nouveau lieu de travail ?
Pour combler ces lacunes, les organisations doivent tenir à jour une liste précise et accessible de toutes les installations principales et secondaires, y compris leur adresse physique. De plus, des informations doivent être documentées pour chaque site concernant les points d'entrée/de sortie, les mesures de contrôle d'accès, les infrastructures de communication, etc. Il est également judicieux de détailler les procédures d'évacuation, y compris les points de rassemblement pour les personnes évacuées.
Erreur n° 6 : ne pas documenter les enregistrements essentiels et les systèmes critiques
Pratiquement toutes les organisations s'appuient sur une multitude de systèmes, de tableurs, de formulaires, etc. pour assurer leur fonctionnement. Les systèmes comptables, les dossiers des ressources humaines, les données sur les clients/parties prenantes, les archives publiques, etc. peuvent tous être utilisés quotidiennement pour remplir la mission d'une organisation.
Même si les informations peuvent se trouver dans plusieurs systèmes et endroits, les planificateurs peuvent prendre deux mesures clés pour rationaliser la réponse et la récupération des documents essentiels.
Déterminez ce qui est « vital ».
Pour chaque source de données essentielle, il peut exister des dizaines de sources utiles mais non essentielles. Les responsables doivent déterminer quelles sources d'
s
sont véritablement cruciales pour la résilience de l'organisation et les répertorier.
Capturez les détails pertinents concernant la source de données critiques.
Une fois les sources de données les plus importantes identifiées, les responsables doivent décrire les détails pertinents de ces sources. Selon le type de ressource, ces détails peuvent inclure :
- Emplacement physique des documents papier
- Emplacements des disques partagés
- Applications logicielles locales
- Solutions SaaS (Software-as-a-Service) et administrateur
- Ressources réseau telles que les imprimantes, les télécopieurs, etc.
Erreur n° 7 : ne pas rendre les données COOP accessibles, modifiables et sécurisées
L'époque où l'on empilait des classeurs contenant les plans COOP devrait vraiment être révolue. À l'heure actuelle, où les solutions logicielles en ligne sécurisées sont monnaie courante, les approches papier laissent beaucoup à désirer. Voyez comment les solutions de planification en ligne améliorent le processus COOP :
Une meilleure collaboration
La planification COOP nécessite une collaboration étroite entre plusieurs personnes, services et agences externes. Les solutions en ligne facilitent la collaboration et la rendent plus efficace.
Édition et maintenance plus faciles
Les solutions de planification en ligne permettent de modifier rapidement et facilement les dossiers, les équipes et les plans. Il suffit aux utilisateurs de se connecter, d'apporter les modifications souhaitées et de les enregistrer. Les affectations, les tâches, les équipes, etc. seront automatiquement mises à jour dans l'ensemble du plan.
Sécurité renforcée
Les plans d'intervention d'urgence doivent être protégés, car ils contiennent généralement des informations sensibles sur l'organisation et ses employés. Les étagères à classeurs n'ont pratiquement aucune restriction d'accès ni mesure de sécurité, et il n'existe aucune piste d'audit permettant de savoir qui a consulté les documents et à quel moment.
Le logiciel de planification en ligne permet d'accéder aux détails du plan et aux coordonnées à l'aide d'un nom d'utilisateur et d'un mot de passe attribués, selon les autorisations accordées.
Mobilité supérieure
Une étagère remplie de classeurs est difficile, voire impossible, à déplacer en cas de catastrophe. Les fournisseurs actuels de logiciels de planification en ligne offrent des fonctionnalités mobiles qui mettent littéralement les plans d'intervention d'urgence entre les mains des bonnes personnes, où qu'elles se trouvent. Dans l'ensemble, ces fonctionnalités mobiles élargissent l'application pratique de la planification de crise.
Réponse plus rapide
Un plan complet de préparation aux situations d'urgence est en réalité un ensemble de nombreux mini-plans. C'est la raison pour laquelle la plupart des plans occupent plusieurs classeurs sur plusieurs étagères. Ainsi, un temps précieux peut être perdu à parcourir manuellement les tables des matières ou les index imprimés à la recherche de la bonne information.
Grâce à un logiciel de planification en ligne bien conçu, les informations sont facilement accessibles et les éléments clés peuvent être recherchés électroniquement pour découvrir des données cruciales en quelques secondes.
La planification coopérative ne doit pas nécessairement être pénible
Les meilleures pratiques décrites ici s'appuient sur l'expérience de BOLDplanning, une division d'Agility, qui a aidé plus de 9 300 organisations à planifier et à se préparer à des événements critiques.
Nous offrons une combinaison unique d'expertise, de facilitation, de formation et de gestion de projet, associée à un logiciel de planification en ligne à la pointe de l'industrie.
Cette combinaison vous aidera à rendre votre prochain processus de planification plus facile, plus rapide et plus efficace, ce qui améliorera en fin de compte la résilience de votre organisation.
Contactez-nous dès aujourd'hui pour en savoir plus.
Note de l'éditeur : Cet article a été publié à l'origine sur Preparis Business Continuity Software. En octobre 2024, Mitratech a acquis Preparis, un fournisseur de premier plan de solutions de planification de la continuité des activités et d'intervention d'urgence. Le contenu a été mis à jour pour refléter les offres de produits élargies de Mitratech, les progrès de l'industrie et les développements réglementaires.
