Skip to main content

Le rôle de la gestion de la continuité des activités dans la croissance en matière de gestion du risque

Comment la gestion de la continuité des activités peut améliorer vos conversations sur les risques avec les assureurs et les fournisseurs

La gestion de la continuité des activités (GCA) a gagné en importance et a pris une place de premier plan dans les stratégies de gestion des risques des entreprises pendant la pandémie de COVID-19, et elle conservera cette importance alors que les entreprises se préparent en vue de l’avenir. Dans le dur marché de l’assurance que nous connaissons aujourd’hui, de nombreuses entreprises cherchent des moyens de prendre en main leur programme d’assurance. Disposer d’une solide stratégie de GCA peut s’avérer utile.

 

Les enjeux sont assurément élevés. Une panne d’infrastructure peut coûter en moyenne 100 000 $ l’heure, et une panne d’application essentielle peut coûter entre 500 000 $ et 1 M$ l’heure[1].

  • Pour cette raison, les assureurs encouragent de plus en plus les assurés à présenter leurs propres plans de GCA dans le cadre du processus de souscription. Vous devriez toutefois faire preuve de prudence en ce qui a trait à la transmission de renseignements à l’extérieur de votre organisation.
  • Les organisations prospères demandent également à voir les plans de GCA de leurs fournisseurs à titre de pratique exemplaire pour mieux comprendre la résilience des fournisseurs et assurer une croissance en matière de gestion du risque.
  • Parallèlement, il est judicieux d’évaluer l’agilité de vos propres plans de GCA afin de tester votre propre résilience en cas de perturbation.

Voici des recommandations détaillées pour chacun de ces trois importants volets :

 

Sachez quoi communiquer à votre assureur lorsqu’il vous demande votre plan de GCA.

Il n’est pas obligatoire de communiquer vos plans de GCA à votre assureur dans le cadre du processus de souscription; cependant, de nombreux assureurs encouragent fortement leurs assurés à le faire. Les souscripteurs cherchent des preuves que vous avez pris les mesures de planification nécessaires pour protéger vos activités commerciales, y compris contre les cyber-risques croissants. Dans le marché difficile actuel, certains assureurs demandent même à voir des copies du plan.

Les leaders en matière de continuité des activités recommandent de considérer votre plan de GCA comme une propriété intellectuelle opérationnelle, et les gestionnaires du risque devraient faire preuve de prudence en ce qui a trait à la communication de détails dans leur intégralité à l’extérieur de l’organisation, et ce, même avec votre souscripteur. Il peut être difficile de tracer la limite, car il faut s’assurer que le souscripteur obtient ce dont il a besoin, sans s’encombrer de promesses précises.

Si votre souscripteur demande à voir votre plan de GCA, restez vague et indiquez à l’assureur que vous disposez d’un programme de gestion de la continuité des activités, que celui-ci comprend, par exemple, un plan d’intervention d’urgence, un plan de gestion de crise, un plan de reprise après sinistre des TI, etc., que vous avez cerné les processus essentiels et les ressources qui s’y rattachent, et que vous les avez testés au fil du temps. Évitez de communiquer les détails de votre plan à une organisation externe, sauf pour vous conformer aux exigences de la FDA, du département de l’Agriculture des États-Unis, de la SEC, de la FDIC, ou à d’autres règlements fédéraux aux États-Unis, auquel cas vous devez fournir des renseignements précis.

Il y a trois grandes organisations qui peuvent fournir des normes en matière de continuité des activités et vous aider à comprendre ce qu’il faut communiquer à l’assureur, maintenant et à l’avenir : Disaster Recovery Institute International (DRII), le Business Continuity Institute (BCI) et la National Fire Protection Association (NFPA). Vous pouvez également obtenir les certifications ISO 22301 et ISO 22330 pour montrer aux souscripteurs que vous respectez les normes générales en matière de continuité des activités.

 

Effectuez une analyse de la résilience des fournisseurs.

Une perturbation de la chaîne d’approvisionnement du côté des fournisseurs peut avoir un effet d’entraînement, et les entreprises doivent montrer qu’elles ont géré leurs risques et qu’elles tâchent de maintenir la continuité des activités depuis différents angles.

Le fait de vous assurer que vos fournisseurs disposent d’un plan de GCA peut assurer une croissance en matière de gestion du risque et réduire au minimum l’arrêt de vos activités et les coûts associés à la perturbation du service d’un fournisseur. En avisant votre assureur que vous avez examiné les plans de GCA des fournisseurs, vous jouirez également d’une meilleure position au moment du renouvellement.

Dans le pire des cas, si les fournisseurs n’ont pas de plan de GCA, ils devront déterminer les mesures et les procédures de reprise à la volée en cas de perturbation. Cela pourrait mener à l’omission de mesures importantes, à la négligence de risques et à l’augmentation des perturbations de votre côté.

Il est important que les gestionnaires du risque connaissent les risques liés à leur chaîne d’approvisionnement pour évaluer la résilience des fournisseurs et veiller à ce que les problèmes de ces derniers ne se répercutent pas sur votre entreprise et ne menacent pas vos activités. Pour évaluer vos risques, effectuez une analyse de la résilience de vos fournisseurs clés, c’est-à-dire tout fournisseur dont les engagements manqués pourraient empêcher l’organisation de répondre aux attentes importantes d’une partie prenante, ou qui est essentiel à la reprise après une situation de crise.

Une analyse de la résilience d’un fournisseur est l’examen d’un fournisseur essentiel pour s’assurer que, en cas de crise, il pourra continuer de soutenir votre organisation au moyen de ses produits et services. Les leaders en matière de gestion de la continuité des activités recommandent d’effectuer cette analyse avec tous vos fournisseurs, et même de leur demander de le faire avec leurs fournisseurs, aussi loin en amont que vous pouvez aller, pour savoir à quel point votre chaîne d’approvisionnement est résiliente.

Pour commencer, assurez-vous de ne pas dépendre d’un fournisseur tiers, ce qui pourrait mettre en péril votre propre programme de gestion de la continuité des activités. Un fournisseur exclusif pourrait perturber vos activités commerciales s’il éprouvait lui-même des difficultés. Si vous choisissez tout de même d’avoir recours à un fournisseur exclusif, veillez à avoir une conversation avec la direction et assurez-vous qu’il s’agit d’une décision réfléchie qui tient compte de l’appétit pour le risque global et de la stratégie d’affaires de l’entreprise.

Ensuite, demandez à vos fournisseurs ce qu’ils ont fait pour cerner les risques et quantifier les répercussions sur leurs activités dans les quatre domaines de la GCA suivants : intervention d’urgence, gestion de crise, continuité des activités de l’unité commerciale et reprise des TI.

  • Intervention d’urgence. Ont-ils planifié une intervention coordonnée, efficace et rapide en cas d’urgence? Le but est d’éviter ou de réduire au minimum les blessures infligées au personnel et les dommages causés aux biens de l’entreprise.
  • Gestion de crise. Ont-ils déterminé leurs stratégies pour gérer un événement, y compris la communication interne et externe nécessaire à la protection de la réputation et de l’image de marque de l’entreprise?
  • Continuité des activités de l’unité commerciale. Ont-ils effectué les préparations nécessaires pour déterminer l’incidence des interruptions d’activités potentielles? Cela comprend la formulation de stratégies de reprise, l’élaboration de plans de continuité des activités et la gestion d’un processus de formation, de simulation et de maintenance.
  • Reprise après sinistre des TI. Ont-ils dressé la liste des préceptes technologiques de leur programme de continuité des activités en accordant une grande importance à la restauration, éventuellement à un autre endroit, des services du centre de données et des capacités informatiques?

Ensuite, demandez-leur ce qu’ils feront pour soutenir votre entreprise en cas de crise, par une augmentation ou une diminution des matériaux, des services ou des renseignements. Vous devriez recevoir l’une des trois réponses suivantes :

  1. Le fournisseur dispose d’un plan de GCA complet : c’est le meilleur scénario possible. Vous pouvez compter sur ce fournisseur.
  2. Le fournisseur dispose de certains plans de continuité des activités.
  3. Le fournisseur affirme que, du point de vue contractuel, il n’a pas l’obligation de vous divulguer quoi que ce soit. Il se peut que vous ne puissiez pas compter sur le soutien de ce fournisseur en cas de perturbation.

Peu importe la réponse que vous recevrez, vous obtiendrez des renseignements importants sur le bien-être opérationnel du fournisseur. Vous aurez une meilleure compréhension de vos risques par rapport aux fournisseurs externes, ainsi qu’une façon de gérer la perte potentielle du soutien des fournisseurs.

Une fois que vous êtes au courant du plan de GCA de vos fournisseurs, vous pouvez leur demander quelle place occupe votre entreprise dans leur hiérarchie globale de clients : êtes-vous le principal client ou vous situez-vous plus bas dans la hiérarchie? Vous pouvez également profiter de cette occasion pour déterminer les personnes-ressources et les procédures en cas d’urgence au sein des deux organisations. Les leaders en matière de gestion de la continuité des activités encouragent les entreprises à inclure le plan de GCA des fournisseurs dans leur accord sur les niveaux de service.

 

Évaluez votre propre agilité.

Dans le cadre d’une pratique robuste de gestion des risques, les leaders en matière de continuité des activités recommandent de vérifier vos propres stratégies, structures et processus pour déterminer dans quelle mesure votre entreprise est prête – ou non – à s’adapter au changement en cas de crise ou de perte de soutien de la part de ses fournisseurs. L’objectif est de protéger les cinq principales variables à risque en cas d’événement : les opérations, les finances, le service à la clientèle, la réputation de la marque et la conformité réglementaire.

Vérifiez votre stratégie : Que tentez-vous d’accomplir, et en quoi votre intervention d’urgence s’harmonisera-t-elle avec la mission principale de l’organisation?

Vérifiez votre structure : Quelles sont les ressources dont vous aurez besoin en cas d’événement? Comment allez-vous procéder à la reprise de vos activités, et dans quel ordre? Avez-vous une structure horizontale claire, une responsabilisation associée aux postes et une gouvernance pratique?

Vérifiez vos processus : Pouvez-vous effectuer des tâches rapidement, votre technologie est-elle à jour, avez-vous une façon normalisée de travailler et faites-vous la promotion de l’apprentissage continu?

Un plan de GCA bien documenté devrait comprendre des solutions de reprise fondées sur les scénarios de sinistres possibles suivants :

  • perte d’installations;
  • perte de TI (à l’échelle locale ou dans l’ensemble de l’entreprise);
  • perte de personnel clé;
  • perte d’un fournisseur clé.

[1] Adapt and respond to risks with a business continuity plan (en anglais seulement)