Skip to main content

Cinq étapes pour vous aider à repenser et à renforcer votre programme de GCA

La pandémie de COVID-19 a mis en lumière la nécessité d’adopter une nouvelle approche en matière de programmes de gestion de la continuité des activités (GCA) et a permis une prise de conscience aux organisations qui leur permettra de mieux se préparer au prochain sinistre catastrophique en renforçant leur résilience au risque, qu’il s’agisse d’une catastrophe naturelle, d’une atteinte à la cybersécurité, d’une rupture d’approvisionnement ou d’une autre pandémie.

Et même si cela peut sembler évident, le rôle de la GCA est de planifier et de se préparer afin que les organisations puissent cerner, atténuer et réduire les risques tout en assurant la continuité de leurs processus opérationnels essentiels. Durant la pandémie, les entreprises dotées d’un solide programme de GCA ont mieux géré la reprise et ont pu reprendre plus rapidement leurs activités. Celles qui n’avaient pas de programme de GCA se sont empressées de réagir lorsqu’elles ont constaté qu’elles n’avaient aucun plan, que celui-ci était désuet ou qu’il ne fonctionnait tout simplement pas lorsqu’il était mis en pratique.

Quelle que soit la maturité actuelle de la GCA d’une entreprise, la planification et la préparation en vue du prochain incident constituent un processus constant axé sur l’amélioration continue, ce qui est d’autant plus essentiel à un moment où les organisations sont vulnérables et fatiguées par un effort d’intervention continu en réponse à la COVID-19. À la lumière des leçons tirées de la pandémie, voici des mesures que les entreprises peuvent prendre dès maintenant pour aider, à l’avenir, à protéger leur entreprise contre des risques imprévus.

 

1. Réajustez votre perception du risque.

Un plan de gestion de la continuité des activités commence par une évaluation des risques sous-jacents. Le Sondage sur la gestion du risque pour les entreprises d’Aon de 2019 a révélé que 82 % des organisations considéraient qu’une pandémie faisait partie des 10 principaux risques, et pourtant, moins de 31 % des organisations nord-américaines disposaient d’un plan en cas de pandémie[1]. Depuis, de nombreuses entreprises ont ajouté des sections supplémentaires sur l’intervention en cas de pandémie à leurs plans de continuité des activités. Il s’agit d’une première étape nécessaire, mais les entreprises devraient régulièrement recalibrer leur registre des risques en réponse à un environnement externe qui évolue rapidement. Par exemple, le passage au travail à distance et la dépendance croissante à l’égard de la technologie vont probablement augmenter la probabilité et l’incidence d’une cyberattaque.

 

Le Sondage sur la gestion du risque pour les entreprises d’Aon de 2019 a révélé que 82% des organisations considéraient qu’une pandémie faisait partie des 10 principaux risques, et pourtant, moins de 31% des organisations nord-américaines disposaient d’un plan en cas de pandémie.

 

Alors que notre compréhension collective des risques futurs et de leur incidence sur l’entreprise repose sur une expérience directe et sur un nombre croissant de recherches, il est essentiel que les gestionnaires de risques tiennent compte de ces risques et mettent à jour leurs plans de GCA en conséquence.

 

2. Décloisonner les programmes de gestion des risques.

S’il y a un côté positif à la COVID-19, c’est que de nombreuses entreprises ont pris connaissance de la valeur d’un programme de GCA centralisé et global. Un fabricant d’appareils électroniques, par exemple, a récemment reconnu que son approche fragmentée et cloisonnée créait des incohérences et de la confusion sur le terrain. Une fois que les six unités fonctionnelles de l’entreprise se sont regroupées pour partager de l’information et discuter de ce qui fonctionnait et de ce qui ne fonctionnait pas, le fabricant a été en mesure de centraliser et de coordonner un cadre de gestion de la continuité des activités qui a tiré parti des pratiques exemplaires de chaque unité. Le résultat final a été non seulement une approche de GCA plus robuste à l’échelle de l’organisation, mais, ce qui est tout aussi important, une base de communication et de collaboration entre les unités qui est au cœur d’une intervention future réussie.

 

3. Mettre à jour, tester et tester de nouveau.

Trop d’entreprises traitent leurs plans de gestion de la continuité des activités comme des documents statiques qui accumulent la poussière sur les étagères. Cependant, à mesure que l’information devient obsolète, les plans deviennent désuets; c’est pourquoi il est judicieux de revoir et d’actualiser les plans chaque année pour tenir compte des changements dans les fournisseurs, le personnel, les clients, la technologie et les activités. Idéalement, une équipe de continuité des activités travaillant à temps plein serait responsable de tenir le plan à jour en tout temps.

Pourtant, il ne suffit pas de les mettre à jour. La mise à l’essai de scénarios est une composante essentielle de la GCA et un élément des programmes qui est souvent négligé. Les simulations de crise peuvent contribuer à révéler des lacunes et des éventualités non envisagées. Lorsque les entreprises ont demandé à leurs employés de travailler à domicile au début de la pandémie, nombre d’entre elles ont constaté que les travailleurs n’avaient pas d’ordinateur portable ou ne savaient pas comment se connecter au réseau privé virtuel (VPN) de l’entreprise. Le traitement de ces points de défaillance potentiels au cours de la phase de mise à l’essai peut faire gagner des ressources et un temps précieux au moment de l’exécution. Et contrairement à ce que certains peuvent penser, les tests ne nécessitent pas nécessairement beaucoup de temps. Même un exercice sur maquette de deux heures avec des décideurs clés permettra à votre équipe de mieux se préparer à prendre les décisions essentielles en cas d’urgence.

 

Questions à poser lors du test de votre plan BCM

À quand remonte le dernier test de votre plan de continuité des activités?

Quel est le protocole à suivre pour invoquer le plan?

Comment serait-il retiré?

Y a-t-il des points de défaillance critiques?

Les rôles et les responsabilités sont-ils bien définis?

Quelles sont les dépendances?

Comment communiquerons-nous?

De quelle technologie avez-vous besoin?

Quelles sont les compétences requises?

 

4. Demandez à vos fournisseurs de respecter vos propres normes de responsabilité.

Alors que l’économie est de plus en plus interconnectée, les perturbations de la chaîne d’approvisionnement ont bouleversé des secteurs entiers. Au cours des derniers mois seulement, les constructeurs automobiles ont pâti d’une grave pénurie de micropuces et les constructeurs de maisons ont vu les coûts grimper en flèche en raison de la pénurie de bois d’œuvre. Il ne suffit plus d’avoir un plan pour protéger vos activités commerciales en cas de sinistre catastrophique. Si vos fournisseurs n’ont pas de plan de continuité des activités adéquat, les effets négatifs peuvent se répercuter rapidement et mettre votre entreprise en danger.

Veiller à ce que les fournisseurs aient un plan de gestion de la continuité des activités est un bon départ. Les entreprises avant-gardistes, dirigées par des FEO européens, vont encore plus loin et exigent que les fournisseurs respectent leurs propres exigences rigoureuses en matière de continuité des activités. Cela crée un cycle vertueux d’atténuation du risque et assure une croissance en matière de gestion du risque[2]. De plus, de plus en plus de compagnies d’assurance demandent à voir les plans de GCA dans le cadre du processus de souscription, soulignant la nécessité d’une résilience accrue contre le risque externe.

 

5. Intégrez la continuité des activités à l’ADN de votre entreprise.

La GCA va au-delà d’un plan de continuité des activités. Il s’agit d’un état d’esprit et d’un cycle d’amélioration continue pour les organisations qui ont besoin d’une énergie soutenue et d’un cadre robuste. Offrir ce type d’ADN à une organisation commence par un engagement du chef de la direction, mais exige également de donner aux gestionnaires de risques et aux autres parties prenantes le mandat de mettre en œuvre des pratiques exemplaires, de propager la GCA de façon globale à l’échelle de l’organisation et de veiller à ce qu’elle ne passe pas entre les mailles du filet. Des canaux de communication efficaces sont également essentiels pour soulever les préoccupations liées au risque et harmoniser l’organisation en matière de prévention du risque et d’intervention. Ces éléments culturels et structurels de la GCA sont tout aussi importants que le plan lui-même.


[1] Redéfinir les priorités en matière de risque et de résilience pour l’après-COVID-19 (en anglais)

[2] Le rôle de la gestion de la continuité des activités dans la croissance en matière de gestion du risque