Skip to main content

Assurer la résilience des plans de GCA en évaluant régulièrement leur maturité

La gestion de la continuité des activités (GCA) se résume à la planification et à la préparation que doit effectuer une organisation pour survivre en cas de crise. Elle permet d’identifier les risques et de quantifier leur incidence sur les processus opérationnels essentiels, la satisfaction de la clientèle, la stabilité financière, la conformité aux contrats et aux règlements, les capacités opérationnelles et la réputation de la marque de l’organisation.

Alors que la pandémie de COVID-19 se poursuit, contribuant à la hausse des cybermenaces, des risques liés au climat et à la chaîne d’approvisionnement, entre autres, un plan bien élaboré de GCA est plus important que jamais. Il en va de même pour ce qui est de mesurer la résilience et la préparation d’une organisation à répondre aux principales menaces et à protéger ses intérêts opérationnels au moyen de protocoles de reprise rationnels, efficients et rapides.

 

Favoriser la maturité des programmes de gestion de la continuité des activités (GCA)

Le changement est une constante dans tous les environnements opérationnels; c’est pourquoi votre plan de GCA doit être flexible pour être efficace. Il est extrêmement important que vous meniez régulièrement des évaluations de la maturité de votre plan de GCA afin de mettre à l’essai son efficacité et d’atténuer ainsi les principaux risques pour, en fin de compte, favoriser la résilience opérationnelle au sein de l’organisation.

Une évaluation de la GCA est une méthode officielle permettant d’évaluer la façon dont les processus de continuité des activités sont gérés. Un des objectifs de l’évaluation est de déterminer si le programme ou le plan a été élaboré et est géré conformément aux meilleures pratiques de l’industrie, de cerner ses faiblesses et de formuler des recommandations visant à améliorer le programme ou le plan de continuité des activités, le cas échéant. Pourquoi investir du temps, des ressources et de l’argent dans l’élaboration d’un plan de continuité des activités si ce n’est que pour le laisser devenir obsolète?

Bien que les évaluations du plan de GCA puissent nécessiter beaucoup de temps, une planification initiale et proactive peut contribuer à réaliser des gains d’efficacité et à accélérer le processus de mise à jour du plan tout en tenant compte des besoins organisationnels.

Une évaluation efficace de la continuité des activités nécessite un cadre structuré ainsi que l’accès à un personnel qualifié ou à des consultants externes afin d’obtenir des résultats de haute qualité. Votre courtier est une excellente ressource pour vous aider à évaluer la maturité.

Les activités d’évaluation de la maturité d’un programme de GCA peuvent comprendre :

  • La rencontre des principaux intéressés et participants au programme;
  • L’examen des documents d’élaboration du plan, y compris l’analyse des répercussions sur l’organisation et les évaluations des risques;
  • La vérification de l’état actuel des stratégies de reprise;
  • La vérification des objectifs en matière de délai et de jalons de la reprise;
  • L’examen des plans individuels de continuité des activités des unités fonctionnelles et des plans de reprise après sinistre afin de veiller à ce qu’ils soient complets, exacts et à jour;
  • L’examen des protocoles de communication et de notification au sein de la direction, du personnel et des intervenants externes;
  • L’examen des documents de formation, des procédures et les lignes directrices;
  • L’examen des résultats de l’exercice et des critères de l’exercice;
  • L’examen des plans d’urgence des entrepreneurs et des fournisseurs de services;
  • La vérification de la responsabilité et de l’obligation de rendre compte de l’équipe de direction.

Si vous avez un programme de gestion de la continuité des activités en place, vous voulez avoir l’assurance que votre investissement dans la planification de la continuité des activités sera efficace en cas de catastrophe. Un plan viable doit non seulement aider à protéger les intérêts de votre organisation, mais aussi prendre en compte l’étendue des responsabilités d’une organisation envers d’autres entités et prendre conscience des risques liés à la chaîne d’approvisionnement.

Il est essentiel que des mesures soient élaborées et mises en œuvre en matière de suivi de vos risques afin que la direction soit régulièrement informée des capacités de préparation et de continuité de l’organisation en cas de catastrophe, et qu’elle soit prête à les évaluer et à les améliorer.

 

Situation actuelle des plans de GCA de plusieurs entreprises:

  • Définition du comité de parrainage et du comité directeur
  • Évaluation des risques et analyse des répercussions sur l’entreprise effectuées régulièrement
  • Établissement d’objectifs en matière d’actifs technologiques essentiels et de délai de rétablissement pour le cadre initial de reprise/restauration
  • Documentation des dépendances critiques
  • Documentation existante qui ne peut toutefois pas être validée pour les divers types de plans (PAE, CMP, plans de reprise après sinistre et PCO)
  • Mise à l’essai sur une base limitée des programmes de l’entreprise et des TI
  • Mise en place d’outils de communication (ces outils n’ont pas été entièrement testés)
  • Révision objective et périodique du programme

Comment faire passer le plan de GCA au niveau supérieur:

  • Documentation des politiques et des normes du programme de continuité des activités
  • Analyse détaillée des répercussions sur les activités, où les risques sont déterminés, quantifiés et régulièrement passés en revue
  • Plans intégralement consignés, y compris les coordonnées à jour, les besoins en ressources pour la reprise, la liste des fonctions critiques et les dépendances recensées
  • Élaboration de plans détaillés de basculement et de reprise pour tous les systèmes essentiels
  • Employés qui connaissent le programme et participent à des exercices de simulation de reprise avec succès dans le respect des objectifs de délai de rétablissement (ODR) établis
  • Déclencheurs prédéfinis établis et respectés pour effectuer la mise à jour automatique du plan
  • Mise en place d’un calendrier d’essais officiel pour les essais opérationnels et technologiques

 

Mettre les normes au service de l’élaboration d’une approche efficace en matière de GCA

Aujourd’hui, de nombreuses organisations cherchent à obtenir une accréditation et une certification officielles pour leurs programmes de GCA. Les normes sont les suivantes :

ISO 22301:2012 : Sécurité sociétale – Systèmes de management de la continuité d’activité
ISO 22330:2017 : Lignes directrices concernant les aspects humains de la poursuite des activités
NFPA 1600 : Disaster/Emergency Management and Business Continuity Programs, édition 2013
ASIS International SPC.1-2009, Organizational Resilience: Security, Preparedness and Continuity Management Systems – Requirements with Guidance for Use Standards

Le cahier sur les évaluations de la maturité de la GCA d’Aon s’appuie sur trois des normes reconnues de l’industrie (NFPA 1600, ISO 22301 et ISO 22330). Il permet aux organisations de mettre en œuvre une évaluation comparative de leur stratégie en fonction des meilleures pratiques. Ce cahier contient un répertoire d’exigences et de comparaisons/références ainsi qu’un tableau de bord regroupant les conformités aux meilleures pratiques qui repose sur des normes reconnues.


Remarque : L’évaluation de la maturité de la GCA vise à déterminer si les processus en matière de meilleures pratiques applicables ont été suivis lors de la conception du plan. Elle ne vise pas à valider la viabilité ou l’efficacité du plan. Au-delà de ces normes, il existe d’autres codes et normes qui traitent des aspects techniques de la planification, comme l’évacuation et l’hébergement sur place, entre autres éléments essentiels, qui doivent être pris en compte dans le cadre de l’élaboration du plan de continuité des activités, en fonction des exigences particulières de l’organisation.

Références :

ISO 22301:2012 : Sécurité sociétale – Systèmes de management de la continuité d’activité 

NFPA 1600 : Disaster/Emergency Management and Business Continuity Programs, édition 2013

Disaster Recovery Institute International

FEMA