La FEMA définit la résilience comme "la capacité des individus, des communautés, des entreprises, des institutions et des gouvernements à s'adapter à des conditions changeantes et à se préparer, à résister et à se remettre rapidement des perturbations de la vie quotidienne, telles que les aléas" (Source : FEMA, 2017). La résilience face à tous les aléas doit être une priorité pour protéger votre organisation, vos employés et vos biens contre les pertes potentielles.
Quelques statistiques récentes permettent d'illustrer le paysage des risques aujourd'hui :
-
En 2022, plus de 165 milliards de dollars ont été dépensés pour des incendies, des inondations et des ouragans.
-
Certains ne seront peut-être pas surpris d'apprendre que 100 % des entreprises ont été touchées par la pandémie de COVID-19. Les conséquences de la pandémie comprennent de nouvelles structures de travail pour les employés, des exigences en matière de vaccination et des environnements de travail changeants.
-
En 2022, il y a eu plus de 300 incidents impliquant des tireurs actifs aux États-Unis.
-
D'après les recherches, la cybercriminalité devrait atteindre 10 500 milliards de dollars d'ici 2025.
La première étape de la protection de vos employés et de votre organisation est la préparation. Pour planifier la continuité des efforts de réponse et de récupération, l'évaluation des risques est essentielle pour comprendre les menaces auxquelles votre organisation peut être et sera confrontée.
Qu'est-ce qu'une évaluation des risques ?
L'évaluation des risques est une méthode et un outil qui permet d'identifier toutes les menaces et tous les dangers afin de mieux comprendre quels sont les secteurs de l'entreprise les plus susceptibles de subir les conséquences les plus importantes en cas de catastrophe. Ces dangers sont classés en fonction de l'impact et de la probabilité les plus élevés pour votre organisation. Lors de l'évaluation des risques, les experts posent généralement les questions suivantes :
-
Quelle est la probabilité que cet événement se produise dans notre organisation ?
-
Si cet événement se produit, quelle sera l'ampleur de l'interruption ?
-
Quelles sont les capacités et les mesures d'atténuation dont nous disposons si cette menace a un impact sur nos activités ?
-
Avons-nous réfléchi à tous les types de menaces (impact humain, fournisseur, technologie, chaîne d'approvisionnement, risque naturel) ?
Pourquoi votre organisation devrait-elle procéder à une évaluation des risques dès maintenant ?
Il est essentiel que votre organisation procède à une évaluation des risques chaque année. En se préparant aux dangers et aux interruptions potentielles par le biais d'une évaluation des risques, une organisation peut éviter de perdre de l'argent ou, pire, de devoir fermer définitivement ses portes. Lorsqu'une organisation subit un temps d'arrêt en raison d'une interruption d'activité, les risques de pertes plus importantes peuvent survenir. Ces pertes peuvent concerner, entre autres, les actifs, les employés, les revenus de l'entreprise et les clients. Il est également essentiel d'améliorer les objectifs de temps de rétablissement (RTO) pour lutter contre les pertes potentielles liées à l'interruption.
L'évaluation des risques est un excellent outil pour repérer les lacunes et évaluer l'efficacité d'un plan de continuité. Les experts en la matière souhaitent que les organisations adoptent une approche tous risques en décrivant les risques potentiels et les solutions auxquelles elles peuvent être confrontées, afin d'être proactives et de se préparer aux opérations de récupération. L'approche tous risques est "une approche intégrée de la planification de la préparation aux situations d'urgence qui se concentre sur les capacités et les compétences essentielles à la préparation à un éventail complet de situations d'urgence ou de catastrophes, y compris les situations d'urgence internes et les situations d'urgence d'origine humaine (ou les deux) ou les catastrophes naturelles".Source : Centers for Medicare & Medicaid Services des États-Unis, 2017.
En outre, les mises à jour annuelles des évaluations des risques aident les organisations à éviter les idées fausses. Les idées fausses les plus courantes sont les suivantes :
-
Nous n'avons pas besoin d'un plan car notre assurance couvre les pertes.
-
Réalité : Il est important de faire des recherches et de discuter avec votre assurance pour comprendre exactement ce que votre plan couvre et ne couvre pas. Le plus souvent, les compagnies d'assurance refusent de couvrir 100 % des pertes dues à certains types de risques.
-
-
Je n'ai pas le temps d'élaborer un plan.
-
La réalité : Il est fréquent que les évaluations des risques et les plans de continuité soient exclus des calendriers et des budgets des projets. Lorsqu'un incident ou une interruption survient, la plupart des organisations qui n'ont pas de plan de continuité disent qu'elles regrettent de ne pas en avoir fait une priorité.
-
Comment commencer l'élaboration d'une évaluation des risques ?
Il existe de nombreuses méthodologies et façons d'entreprendre une évaluation des risques. La première règle empirique consiste à effectuer des recherches sur les menaces auxquelles votre entreprise peut être confrontée. Les recherches peuvent inclure l'utilisation d'outils tels que les systèmes d'information géographique (SIG), les cartes des risques, les taux statistiques, les plans d'infrastructure, etc.
Une fois les recherches effectuées, dressez une liste et classez les risques sur une échelle basée sur la probabilité que l'événement se produise et le niveau d'impact qu'il aurait sur votre entreprise.
Quelles autres ressources puis-je utiliser ?
Investissez dans un logiciel : De nombreuses entreprises proposent des logiciels qui classent et structurent les menaces et les risques pour votre organisation, comme Preparis Planner. Ces logiciels constituent une ressource précieuse et leur utilisation ne prend pas beaucoup de temps.
Engager un consultant externe : des experts dans ce domaine sont formés et certifiés pour mener des évaluations des risques pour les organisations et les agences. Faire appel à un professionnel dans ce domaine permet d'avoir un point de vue extérieur pour s'assurer que les menaces et les dangers ne sont pas oubliés. Cela permet également aux organisations de gagner du temps pour réaliser une évaluation des risques et de limiter le temps consacré à d'autres projets et priorités.
Effectuer une évaluation manuelle des risques : Il existe plusieurs méthodes pour réaliser une évaluation des risques, telles que le système de classement des priorités et les cartes thermiques. Le système de classement des priorités permet de classer les menaces et les dangers selon un système numérique basé sur la probabilité et l'impact. La méthode de la carte thermique représente la menace sur une matrice basée sur la probabilité et l'impact, qui est catégorisée par des couleurs (rouge = élevé ; vert = faible).
La recherche et le classement par ordre de priorité des menaces et des dangers potentiels pour votre entreprise contribueront à renforcer le plan de continuité de votre organisation. Il est essentiel de former et d'informer les employés et le personnel sur les menaces auxquelles votre organisation peut être confrontée afin d'améliorer la coordination et la communication au sein de votre équipe.
En fin de compte, la résilience est l'objectif que les entreprises et les organisations devraient s'efforcer d'atteindre, et l'évaluation des risques est la première étape sur la voie de la résilience.
Note de l'éditeur : Cet article a été publié à l'origine sur Preparis Business Continuity Software. En octobre 2024, Mitratech a acquis Preparis, un fournisseur de premier plan de solutions de planification de la continuité des activités et d'intervention d'urgence. Le contenu a été mis à jour pour refléter les offres de produits élargies de Mitratech, les progrès de l'industrie et les développements réglementaires.
