Gardons le contact
Abonnez-vous pour recevoir des nouvelles, des opinions et des conseils sur la protection de votre entreprise.
S’ABONNERSi vos activités venaient à être interrompues par un sinistre, même une bonne police d'assurance ne suffira pas. Il vous faudra un plan. L'élaboration d'un plan de continuité des activités (PCA) robuste est un excellent moyen pour l'organisation de minimiser les perturbations et de gérer un événement imprévu ou regrettable. Cela peut inclure différentes situations, comme la perte d'un membre important de l'équipe, une inondation, une atteinte à la protection des données ou une attaque cybernétique ciblées. Quel que soit votre secteur d'activité ou la taille de votre entreprise, un PCA bien pensé permet de garantir la continuité des fonctions clés de votre entreprise, même si le pire devait se produire. Voici les cinq étapes clés pour vous aider à établir le plan de continuité des activités de votre organization:
Cette première étape cruciale implique une évaluation approfondie de tous les risques et dangers pouvant perturber vos activités commerciales. En fait, le PCA devrait être élaboré en prévision du « pire des scénarios », tout en gardant à l'esprit que votre réaction pourra être ajustée pour s'adapter à l'incident réel. Il vaut donc mieux identifier tous les risques potentiels, même les plus improbables. Ensuite, vous pourrez vous concentrer sur les scénarios les plus pertinents pour votre entreprise. Par exemple, les risques liés aux conditions météorologiques extrêmes dépendent généralement de la situation géographique et ne s'appliquent pas à toutes les entreprises, tandis que les risques émergents tels que les attaques cybernétiques sont pertinents pour toutes les organisations; il est donc primordial lors de cette première étape d'examiner la sécurité de votre réseau informatique et l'efficacité de vos pare-feu.
De plus, ne faites pas l'erreur de négliger les risques plus banals et quotidiens qui peuvent affecter votre entreprise, tels que les dangers physiques ou liés à la sécurité.
Lors de cette deuxième étape, évaluez l'impact sur les affaires des scénarios perturbateurs mis en évidence dans l'analyse initiale des risques et calculez les différents coûts associés à ces risques. Vous pourrez ainsi quantifier l'incidence de chacun d’eux sur la prestation de services de votre entreprise, en plus de déterminer si ou pendant combien de temps vous pouvez continuer à exploiter vos activités sans pouvoir accéder à certains services.
L’analyse d'impact sur les affaires permet aux dirigeants d'établir des objectifs et des priorités en examinant les perturbations potentielles qui pourraient affecter les employés, la technologie, l'infrastructure et les fournisseurs de l'entreprise.
Cette analyse d’impact peut aller de pair avec le calcul du plafond de garantie des pertes d'exploitation de votre entreprise, un autre calcul important dont il vous faut tenir compte en tout temps.
Les activités de votre entreprise ont été perturbées : désormais, il s’agit de protéger votre organisation et votre personnel des dommages additionnels. En vous fondant sur les conclusions de l’analyse d’impact sur les affaires, vous êtes maintenant prêt à créer un plan d’intervention et de relance détaillé. Il s'agit de mettre en œuvre des procédures et des mesures pour aider votre entreprise à prévenir les événements perturbateurs et à récupérer le cas échéant. Votre plan devrait aborder tous les objectifs de votre PCA, à savoir:
Par exemple, pour atteindre ces objectifs, le plan devrait inclure une stratégie permettant d’accéder aux renseignements clés sur les activités commerciales et les clients, de gérer la paye et d’expliquer où les employés doivent se rassembler ou travailler si le site de l’entreprise devenait inaccessible. Il devrait comprendre également une feuille de route indiquant des moyens alternatifs de gérer les opérations quotidiennes si les systèmes informatiques, l'équipement, les fournisseurs, les employés ou autres ressources s'avéraient inaccessibles ou indisponibles. Vous devriez également établir et imprimer une liste de contacts importants au cas où la perturbation affecterait les ordinateurs, le réseau ou le système de gestion de la relation client (logiciel CRM). Cette liste devrait inclure vos employés, vos clients, vos détaillants, les services d’intervention d’urgence, vos fournisseurs, votre courtier d'assurances et votre comptable.
Une fois que vous aurez rédigé le PCA, vous devrez réunir une équipe responsable de l’apprentissage, de la mise à l’essai et du déploiement du plan au moment opportun. À ce stade, vous devez identifier le coordonnateur du PCA. Cette personne est non seulement chargée de superviser et de faciliter la coordination du PCA lors de son activation, mais doit aussi s'assurer que :
Bien joué, vous avez maintenant un plan et tout le monde connaît son rôle en cas de catastrophe (ou d'interruption). Or, la mise à exécution du plan en cas d’incident imprévu est une toute autre histoire. C'est pourquoi il est si important de le mettre à l'épreuve. Vous devriez élaborer une simulation recréant en réalité l’une des perturbations à haut risque identifiées, pour ensuite évaluer la mise en œuvre du plan par les principaux intervenants. Les équipes et les dirigeants pourront ainsi évaluer son efficacité et l'exercice mettra en évidence les ratés ou les étapes qui doivent être rectifiées. Il est beaucoup plus facile de déceler les problèmes en temps réel plutôt que dans un document Word ou une présentation PowerPoint. Le plan devrait être mis à l'essai au moins une fois par an.
Il ne faut jamais s’asseoir sur ses lauriers et se contenter d'admirer le fruit de son travail. Votre organisation évolue constamment, tout comme les risques potentiels. Si vous déménagez vos bureaux ou remplacez votre système informatique, votre profil de risque changera de manière significative et votre plan devra être peaufiné et testé en conséquence. Même un roulement de personnel élevé sur un court laps de temps pourrait rendre obsolètes certaines parties de votre plan initial.
L'analyse doit être continue et vous devez réunir les intervenants au moins une fois par an pour revoir le plan et discuter des rubriques pouvant nécessiter une mise à jour. À ce stade, votre attitude face au risque est tout aussi importante que le risque lui-même. Après avoir créé le plan et l'avoir mis à l'épreuve, vous serez en mesure de bien comprendre les facettes vulnérables de votre entreprise. Il s'agit désormais de rester à l'affût des changements organisationnels au fur et à mesure qu'ils se produisent et de réfléchir à leur incidence sur votre exposition aux risques.
Il est difficile d'éviter les événements imprévus, mais il incombe à toutes les entreprises de prévoir les mesures à prendre si cela devait se produire.
Abonnez-vous pour recevoir des nouvelles, des opinions et des conseils sur la protection de votre entreprise.
S’ABONNER