Le nouveau paradigme de la gestion de continuité des activités créé par la pandémie
Les dernières années, marquée par des changements rapides, ont posé un défi de gestion des risques pour les organisations sous la forme d’une volatilité et d’une imprévisibilité accrues. Outre une pandémie mondiale sans précédent, les entreprises ont dû composer avec des risques externes tels que les bouleversements sur les marchés, les interruptions de chaînes d’approvisionnement, les remous politiques, les cybermenaces et l’augmentation du nombre de phénomènes météorologiques extrêmes.
En réaction, de nombreuses entreprises ont fait de leur gestion des risques et de leur résilience des priorités stratégiques critiques, les gestionnaires de risques assumant un rôle de premier plan et adoptant des techniques et des idées reconnues. La gestion de la continuité des activités (GCA) est l’un des aspects incontournables de la résilience : elle consiste à cerner, à atténuer et à réduire les risques tout en assurant la continuité des processus opérationnels essentiels. La pandémie de COVID-19 et les très contagieux variants Delta et Omicron ont apporté une nouvelle base de référence pour les programmes de GCA, ainsi que des leçons précieuses pour mieux préparer les organisations aux risques et aux défis qui les attendent. Voici un aperçu de ce nouveau paradigme de GCA.
Une évolution de la mentalité de GCA
Avant la pandémie, plus de huit entreprises sur dix ne considéraient pas une pandémie ou une autre crise de santé majeure comme un des dix principaux risques. En effet, moins de 31 % des organisations nord-américaines avaient un plan en cas de pandémie,[1] et de nombreuses entreprises ont constaté que leur couverture ne compenserait pas les pertes d’exploitation liées à la pandémie.[2]
Mais la pandémie en cours a sonné l’alarme pour les entreprises, les amenant à repenser leurs programmes de GCA.[3] Plus de huit entreprises sur dix ont déclaré que la pandémie a créé le besoin d’adopter une approche à l’échelle de l’organisation en matière de risque afin de résoudre des problèmes complexes et de maintenir la résilience opérationnelle.[4] Bon nombre d’entre elles ont maintenant intégré les leçons tirées de la pandémie pour élaborer des plans et des trousses d’outils en vue d’affronter une pandémie. Plus important encore, les entreprises ont élargi leur perspective quant aux risques existants, émergents et inconnus pour la continuité de leurs activités.
Plus de huit entreprises sur dix ont déclaré que
la pandémie a créé le besoin d’adopter une approche à l’échelle de l’organisation en matière de risque afin de résoudre des problèmes complexes et de maintenir la résilience opérationnelle.
Organizations' Pandemic Response: React and Respond," Aon
Fonctionnement reposant sur le nuage
La continuité des activités pendant la pandémie était largement tributaire de l’infonuagique et de l’infrastructure des TI qui a permis aux gens de continuer à travailler, à acheter et à vendre à distance. Les fournisseurs de logiciels en tant que service (SaaS), comme Amazon, Google et Microsoft, sont devenus indispensables et ont contribué à un changement de paradigme dans la façon dont nous travaillons aujourd’hui.
Toutefois, la dépendance à l’infonuagique est assortie de son propre ensemble de risques, dont les entreprises doivent tenir compte dans leurs plans de GCA. Le plus flagrant est la montée des cybermenaces. L’an dernier, les attaques de rançongiciels ont augmenté de façon spectaculaire (hausse de 715 %), avec une augmentation des paiements de 60 % par rapport à 2019.[5] Si les mesures préventives de sécurité sont essentielles pour se protéger contre les cyberrisques, les entreprises devraient également avoir un plan d’urgence en cas de cyberattaque.
Dans certains cas, cela signifie qu’il faut préserver la capacité d’utiliser des processus manuels avérés comme solution de rechange pour les activités essentielles. Par exemple, un détaillant de vêtements établi aux États-Unis a récemment subi une attaque par rançongiciel qui a mis hors service l’intégralité de son système infonuagique, y compris les systèmes en ligne des points de vente et les comptes de courriel des employés. Cette entreprise est rapidement et discrètement revenue au rapprochement manuel (p. ex., au moyen d’un stylo et de papier) et aux ventes hors ligne pendant les semaines qu’il a fallu pour reconstruire le système. Ainsi, elle a pu poursuivre ses activités commerciales essentielles sans gravement compromettre la confiance des consommateurs ou ses résultats.
Schématisation des risques liés à la chaîne d’approvisionnement
Ces dernières années ont mis en lumière l’interconnexion mondiale des personnes et des entreprises, ainsi que des chaînes d’approvisionnement dont elles dépendent. Les pénuries en cours touchant les secteurs de la construction automobile et de la construction résidentielle, notamment, ont révélé à quel point les chaînes d’approvisionnement peuvent être fragiles, particulièrement face aux risques émergents comme les pénuries d’employés, les phénomènes météorologiques extrêmes, les cybermenaces et l’incertitude géopolitique.
Les gestionnaires de risques se rendent compte qu’il ne suffit plus de s’appuyer uniquement sur leur propre plan de gestion de la continuité des activités de la chaîne d’approvisionnement lors d’une catastrophe. Il est tout aussi important d’évaluer la résilience des fournisseurs clés (et des fournisseurs de ses fournisseurs) pour veiller à ce que les risques ne se répercutent pas en aval. Les entreprises reconnaissent de plus en plus la valeur d’une analyse de résilience des fournisseurs, soit un examen des fournisseurs permettant d’attester qu’ils pourront continuer de fournir les produits et les services essentiels aux activités principales de l’entreprise en cas de crise. De plus, exiger de ses fournisseurs qu’ils aient leur propre plan de gestion de la continuité des activités peut refouler le risque en amont et réduire au minimum le temps d’arrêt et les coûts associés à l’interruption d’une chaîne d’approvisionnement ou d’un service d’un fournisseur.[6]
C’est en forgeant qu’on devient forgeron
Lorsque la pandémie de COVID-19 a frappé, de nombreuses entreprises ont constaté que leurs plans de GCA étaient désuets, incohérents ou tout simplement inefficaces dans la pratique. Un plan de gestion de la continuité des activités, c’est beaucoup plus qu’un simple document. Il s’agit d’un plan d’action qui ne fonctionne que si les intervenants clés sont en mesure de le comprendre et de l’exécuter correctement.
Un plan de gestion de la continuité des activités, c’est beaucoup plus qu’un simple document.
Il s’agit d’un plan d’action qui ne fonctionne que si les intervenants clés sont en mesure de le comprendre et de l’exécuter correctement.
Tirant des leçons des erreurs du passé, les entreprises consacrent maintenant plus de temps à des simulations et à des exercices sur maquettes qui testent leur plan. Ces exercices permettent aux cadres supérieurs et aux décideurs de s’entraîner à intervenir en cas d’urgence, de clarifier leurs rôles et responsabilités, et de combler toute lacune dans le plan de GCA avant qu’un événement ne survienne qui pose un risque réel. Même un exercice sur maquette de deux heures peut mieux préparer les employés à gérer les risques futurs, ce qui peut faire gagner du temps et des ressources inestimables en cas de crise.
Toutes ces ressources sont en anglais :
[1] “Reprioritizing Risk and Resilience for a Post-COVID-19 Future,” Aon
[2] “Businesses Thought They Were Covered for the Pandemic. Insurers Say No,” New York Times
[3] “5 Steps to Help Rethink Your BCM Program,” Aon
[4] “Organizations’ Pandemic Response: React and Respond,” Aon
[5] “Consider These 10 Critical Steps to Prevent and Detect Ransomware Threats,” Aon
[6] “The Role of Business Continuity Management in Moving Risk Upstream,” Aon