La Gestion de la Continuité des Activités (GCA) garantit que les fonctions critiques d’une organisation restent opérationnelles pour minimiser l’impact des perturbations sur les parties prenantes. Explorons les étapes pratiques pour mettre en œuvre la Gestion de la Continuité des Activités dans le cadre de la planification stratégique.
Gestion de la Continuité des Activités. Une approche de la gestion de la continuité des activités selon la norme ISO 22301 implique :
- Identifier les éléments critiques de l’entreprise
- Analyser les menaces et les risques
- Créer des plans de prévention et de réponse, y compris des formations et des simulations
- Suivre et apprendre des incidents
Pour intégrer ces éléments dans la planification stratégique :
- Nous utiliserons une méthode de décomposition basée sur la valeur
- Quantifier les stratégies et les plans avec des indicateurs de performance
- Maintenir des dossiers exploitables sous forme d’initiatives, de risques et de commentaires
Identification des éléments critiques de l’entreprise
Notre objectif est d’identifier les éléments clés de l’entreprise critiques pour la continuité des affaires. Nous utilisons les perspectives suivantes comme point de départ :
- Systèmes d’information
- Installations et emplacements
- Partenaires et parties prenantes
- Ressources humaines
- Actifs physiques
- Ressources financières
Business Continuity Management. Une fois les éléments et sous-éléments définis, nous pouvons quantifier leur susceptibilité aux événements à risque en établissant des objectifs de temps de récupération (RTO).
Pour l’objectif de temps de récupération, nous définissons :
- Unités de mesure (par exemple, heures ou jours)
- Le « Baseline » comme le temps de récupération catastrophique
- La « Cible » comme le temps de récupération désiré
- La valeur actuelle, comme le temps de récupération estimé basé sur les technologies et politiques en place
Business Continuity Management. Avec ces données, nous pouvons calculer la performance de chaque élément de l’entreprise en termes de susceptibilité ou de préparation en cas d’événement d’urgence.
Dans ce contexte :
- Une valeur plus basse (par exemple, un temps de récupération plus rapide) entraînera une performance plus élevée
- La fonction de performance ne doit pas être linéaire ; la zone étendue à côté de la ligne de base « catastrophique » devrait être la zone rouge
Business Continuity Management. Dans BSC Designer :
- Définissez la ligne de base de récupération requise, la cible et la valeur actuelle dans l’onglet Données.
- Utilisez la fonction « Décroissance exponentielle » pour créer une fonction de performance avec une zone verte relativement petite pour les temps de récupération proches de la cible et une zone rouge significative pour les temps de récupération plus longs.
Le logiciel permet le suivi des RTO pour chaque élément d’entreprise au fil du temps.
Analyse des menaces et des risques
Analyser les menaces potentielles en utilisant ces perspectives comme point de départ :
- Opérationnel
- Technologique
- Économique
- Personnel
- Sûreté et sécurité
- Environnemental
- Réputation
- Légal
Pour chaque menace pertinente, effectuez une décomposition en risques spécifiques et réalisez une Analyse d’Impact sur l’Entreprise (BIA).
Business Continuity Management. Par exemple, vous pouvez décomposer les menaces technologiques en ‘menaces de cybersécurité’ et plus loin en ‘attaque par ransomware’.
Le risque dans ce cas peut être quantifié à l’aide d’une formule d’estimation simple, telle que la probabilité multipliée par l’impact. Diverses façons de définir les risques ont été discutées dans un article séparé.
Scénarios de réponse
Développer des scénarios de réponse pour les menaces avec les scores d’estimation d’impact de risque les plus élevés.
Un scénario typique comprendra :
- Plans de continuité d’activité (prévention, réponse, récupération)
- Plan de communication
- Plans de formation et de test
Ces plans peuvent être quantifiés par :
Indicateur de mise à jour régulière
Couverture de la formation
Succès des simulations / exercices
Gestion de la Continuité d'Activité. Considérons le ‘Scénario 1 – Attaque Ransomware,’ qui est décomposé en :
- Plans de Continuité d’Activité
- Former et Tester
La section ‘Plans de Continuité d’Activité’ inclut plusieurs initiatives :
- Stratégie de Prévention
- Stratégie de Réponse
- Stratégie de Récupération
- Plans de Communication
Dans les ‘Plans de Communication,’ l’indicateur ‘Plan révisé régulièrement’ quantifie la fréquence des mises à jour. Le responsable de l’indicateur reçoit des rappels réguliers pour réviser les plans de communication, garantissant que les personnes de contact et leurs coordonnées restent à jour.
Gestion de la Continuité d'Activité. Pour valider l’efficacité de l’initiative ‘Stratégie de Réponse,’ nous la quantifions avec l’indicateur ‘Simulations / Exercices.’
La section ‘Former et Tester’ inclut l’initiative ‘Formation et simulation d’attaque par phishing,’ ainsi que deux indicateurs :
- Couverture de la formation
- Simulations / Exercices
Bien que ces plans de continuité soient présentés comme des initiatives, une décomposition plus poussée est possible. Nous pouvons les diviser en sous-objectifs et indicateurs plus spécifiques.
Cartographier les incidents ou perturbations
Pour cartographier les incidents actifs, inclure les détails des perturbations et l’analyse des causes profondes.
Pour quantifier l’impact, nous pouvons utiliser l’indice d’évaluation de l’impact pondéré composé de :
Impact financier
Impact sur les relations clients (quantifié en pourcentage de clients affectés)
Impact sur les opérations (quantifié en pourcentage d’opérations critiques affectées)
Impact légal et conformité (quantifié par les amendes et autres conséquences légales)
Impact sur la réputation à long terme (quantifié en pourcentage de clients perdus sur une période d’un an attribuée à la crise)
Business Continuity Management. Pour automatiser cet indice sur la plateforme BSC Designer, envisagez d’utiliser la fonction de synchronisation à partir du modèle, qui permet de maintenir les critères de quantification de l’impact synchronisés avec le modèle établi.
Après avoir résolu un incident :
- Mettez à jour la date de fin dans l’élément ‘Détails des perturbations et analyse’
- Changez son statut en ‘Terminé’
- Cartographiez les leçons apprises et les initiatives d’amélioration
- Déplacez le groupe ‘Incident 1’ dans la section ‘Incidents passés’.
Héritage et intervalles de mise à jour pour les indicateurs
En fonction de la nature de la quantification, les indicateurs dans le tableau de bord de continuité des activités doivent être configurés de différentes manières.
Métriques réutilisant les valeurs précédentes (héritées)
Les indicateurs quantifiant le RTO (objectif de temps de récupération) sont configurés pour utiliser des valeurs héritées. En pratique, cela signifie que le RTO défini pour l’année en cours sera automatiquement appliqué pour l’année suivante, sauf redéfinition. L’intervalle de mise à jour de ces indicateurs est fixé à des mises à jour annuelles ou semestrielles.
Les indicateurs utilisés pour quantifier le BIA (analyse d’impact sur les affaires) sont également configurés pour utiliser des valeurs héritées. Les intervalles de mise à jour dans ce cas peuvent être ajustés en fonction de la dynamique attendue de la menace, en utilisant mensuel pour les menaces plus dynamiques et des intervalles trimestriels/annuels pour les menaces stables.
Gestion de la continuité des affaires. Métriques ne réutilisant pas les valeurs précédentes (valeurs saisies)
Les métriques utilisées pour quantifier les plans de continuité des affaires, telles que « plans révisés régulièrement », « couverture de formation » et « exercices de simulation », sont configurées pour des intervalles de mise à jour trimestriels ou annuels. L’option d’héritage dans ce cas est configurée comme « Utiliser les valeurs saisies, » ce qui signifie que nous ne réutilisons pas la valeur précédente pour la période suivante.
Par exemple, si les plans sont marqués comme révisés pour l’année en cours, pour l’année suivante, nous devrions réviser les plans à nouveau et mettre à jour l’état de la métrique correspondante.
Métriques sans mise à jour programmée
Enfin, l’intervalle de mise à jour des métriques utilisées pour l’évaluation de l’impact des incidents est configuré sur ‘Jamais‘, indiquant que nous souhaitons capturer uniquement l’état actuel de l’indicateur sans intention de suivre son évolution dans le temps.
Lier par contexte et données
Le concept fondamental de la gestion de la continuité des activités implique d’établir des connexions entre :
- Éléments commerciaux critiques
- Menaces et risques
- Scénarios
- Incidents réels
En créant ces connexions, nous équipons notre équipe de tous les détails nécessaires pour répondre efficacement aux menaces et tirer des leçons des incidents.
Pour mettre en œuvre ce concept dans la planification stratégique, nous lions tous les éléments mentionnés par le contexte. De cette manière, nous pouvons naviguer des incidents réels aux scénarios correspondants et, si nécessaire, explorer les menaces et l’analyse des risques.
Business Continuity Management. Pour établir un contexte dans BSC Designer :
- Copiez l’élément source (par exemple, scénario pertinent) dans le presse-papiers.
- Sélectionnez l’élément de destination (par exemple, incident couvert par le scénario).
- Collez depuis le presse-papiers et choisissez entre ‘Lier par contexte’ ou ‘Lier par données.’
Les connexions contextuelles seront disponibles dans l’onglet ‘Contexte’ pour les deux éléments.
Pour naviguer entre les éléments, double-cliquez sur la connexion pertinente.
En appliquant la même logique, les stratégies de réponse avec des tableaux de bord stratégiques dédiés peuvent être alignées avec les incidents, les évaluations des risques et les éléments commerciaux critiques.
Une carte de score stratégique pour la réponse à la crise : Utiliser le COVID-19 comme exemple
La stratégie de continuité des affaires assure la préparation globale d’une organisation à un événement de crise. En fonction de l’ampleur de la crise, une stratégie de réponse spécifique peut être conçue. La pandémie de COVID-19 en est un exemple, où une telle stratégie a permis de concentrer les efforts et d’assurer l’alignement stratégique.
Examinons la stratégie COVID-19 comme un exemple de stratégie de réponse à une crise. La carte de score stratégique a suivi l’approche classique du Balanced Scorecard :
Covid-19 Strategy Scorecard. Dans la perspective Apprentissage et Croissance, nous nous concentrons sur les compétences et l’infrastructure nécessaires pour exécuter la stratégie de continuité des affaires :
- Sensibiliser les employés sur le COVID-19 (mesuré par l’indicateur avancé « Pénétration du programme de sensibilisation, % » et l’indicateur retardé « % des pratiques effectivement mises en œuvre« )
- Réaliser une planification de scénario global (avec certaines initiatives spécifiques alignées)
- Aligner les systèmes informatiques avec les défis du travail à distance
- Initier les employés aux principes du travail à distance
Dans la perspective Interne, nous formulons les objectifs liés aux systèmes internes de l’entreprise qui aideront à exécuter efficacement la stratégie de continuité des affaires :
- Protection de la main-d’œuvre
- Stabilisation de la chaîne d’approvisionnement
- Informer les parties prenantes
- Mettre en œuvre le travail à distance (y compris les réunions stratégiques pour une équipe distribuée)
Dans la perspective des parties prenantes, nous nous concentrons sur les besoins de nos parties prenantes (employés, clients, partenaires). Ici, nous cartographions des objectifs tels que :
- Anticiper l’impact sur les besoins de santé
- Anticiper l’impact sur les besoins éducatifs
- Anticiper l’impact sur les besoins quotidiens
Une autre partie prenante importante est la communauté et ses besoins. Si vous avez un tableau de bord prospectif à but non lucratif, vous y trouverez un objectif similaire.
Le modèle de carte stratégique de continuité des affaires comprend plusieurs initiatives alignées sur l’objectif « Besoins de la communauté ». Ces initiatives décrivent des moyens possibles par lesquels une organisation peut contribuer :
- Réaffectation des lignes de production. Par exemple, Inditex, propriétaire de la chaîne de magasins Zara, commence à fabriquer des blouses d’hôpital.
- Réaffectation des produits et services. Par exemple, Decathlon donne des masques de plongée aux hôpitaux. Splendid du Groupe MSC a été converti en navire-hôpital.
- Contribution à la distanciation sociale. Par exemple, La Poste tchèque permet l’envoi de courrier recommandé gratuit via sa « Datová schránka » pendant la durée de l’urgence déclarée.
En raison des limitations de voyage, de nombreuses entreprises sont passées des formats d’événements en personne à des événements en ligne. Bien que les coûts des plateformes de streaming soient inférieurs, les organisations doivent lutter pour l’attention des participants. Dans cet article, nous partageons notre approche des événements en ligne qui a prouvé délivrer des résultats stables en termes d’engagement client et d’impact commercial à long terme.
Enfin, dans la perspective financière, nous cartographions les objectifs financiers pertinents et les résultats attendus. Dans ce cas, nous parlons de :
- Impact sur le chiffre d’affaires
- Polices d’assurance applicables
Utiliser le modèle Business Continuity Management
BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :
- Inscrivez-vous pour un plan gratuit sur la plateforme.
- Utilisez le modèle
Business Continuity Management comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles. - Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.
Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !
Alexis Savkin est un consultant senior en stratégie et le PDG de BSC Designer, une plateforme de tableau de bord équilibré. Il possède plus de 20 ans d’expérience dans le domaine, avec une formation en mathématiques appliquées et en technologies de l’information. Alexis est l’auteur du « Système de mise en œuvre de la stratégie ». Il a publié plus de 100 articles sur la stratégie et la mesure de la performance, intervient régulièrement lors d’événements sectoriels, et son travail est fréquemment cité dans la recherche académique.