Evaluation des risques, analyse d’impact, stratégie, ressources… Ce qui a été patiemment construit constitue sans doute une base solide. Mais êtes vous sûr que les mesures prises sont les bonnes? Les testez-vous? A quel rythme? Adaptez-vous votre plan de continuité? Bref, à quel niveau de maturité vous situez-vous?

La question est d’importance. Le niveau méthodologique -première brique du modèle de maturité, - ne peut suffire. Identifier et évaluer les risques ne sont que des préliminaires. Encore faut-il être en mesure de répondre à des événements imprévus, assurer les missions critiques, conduire une analyse post-mortem.

Au début des années 1990, les efforts étaient centrés sur le plan de reprise d’activité des systèmes d’information: sécurisation physique du data center, sauvegarde des données et basculement d’un site principal à un site de secours. Simultanément, on s’est intéressé aux activités métier -quelles applications sécuriser en priorité? Quels utilisateurs privilégier et, éventuellement, dans quels locaux les installer? « La démarche même de plan de continuité conduit à questionner le quotidien sous un autre angle. Si on ne peut pas compter sur les ressources habituelles (infrastructures, applications, personnes), que doit-on faire en priorité et pour sauvegarder quoi? Bref, la vision est devenue systémique » souligne Chantal Walzer, Business Development Manager, eBRC .

Méthodologie, management, mesure… Dans le modèle de maturité que propose eBRC, ce sont trois couches distinctes, qui néanmoins se complètent et s’enrichissent. «A quoi bon avoir identifié et analysé les risques si, en même temps, on ne peut pas les gérer et en mesurer l’efficacité, questionne Bérengère Broutin, Senior Consultant, eBRC. La continuité n’est pas un projet, ce qui supposerait un début et une fin, mais une démarche permanente, qu’il s’agit donc de reconsidérer régulièrement. De là l’importance à vérifier son niveau de maturité.»

L’entreprise peut le faire seule. Ou se faire conseiller et accompagner. eBRC agit aux différents niveaux du modèle de maturité; eBRC peut aussi en assurer la responsabilité sur base de son portefeuille de services.

Business Continuity Methodology
Business Impact Analysis – Risk Assessment – BMC Strategy – BCM Response

Recensement des risques, analyse d’impact de ceux-ci et types de réponses proposées. Il s’agit de tenir compte des ressources au sens global: collaborateurs et actionnaires, mais aussi bâtiment, équipements et, bien sûr, système d’information. Brique de base du modèle de maturité, la Business Continuity Methodology est d’un bon niveau en général. Les carences se situent au niveau du suivi, de la maintenance. Les organisations éprouvent des difficultés à évaluer leur niveau de sécurité.

Business Continuity Manager
BCM Programme Management – Embedding BCM in the organization’s culture

Rôle d’orchestrateur, le plus souvent confié à un gestionnaire connaissant parfaitement les différents rouages de l’organisation et capable d’insuffler une culture de gestion de crise aux collaborateurs afin de leur permettre de faire face à un contexte déstabilisant. Le Business Continuity Manager sensibilise, anime, organise, décide et s’assure de la mise à jour des plans. Il a aussi pour mission de créer une culture de la réactivité et de la mobilisation en cas de problème grave.

Business Continuity Measurement
Exercising, maintaining and reviewing BCM arrangements – BCM dashboards

Les meilleurs plans de continuité n’ont de valeur que s’ils sont testés d’un point de vue techniques, que si le personnel a l’occasion de s’exercer et, enfin, si les améliorations nécessaires sont apportées. Ces opérations (revues, améliorations, tableaux de bord de suivi) peuvent être programmées ou non; elles peuvent aussi être progressives. La mesure, qui aboutit à l’amélioration, s’inscrit naturellement dans la continuité.


Business Continuity Management Lifecycle

La continuité n’est pas un projet. Sa mise en œuvre et sa gestion s’inscrivent dans un cycle continu. Les tests et autres exercices vont permettre de corriger, et donc de renforcer les éléments de méthodologie (analyse d’impact, stratégie, réponse…). La résilience, but ultime de la continuité, repose précisément sur l’expérience acquise, la capacité à rebondir, à tirer profit des difficultés. C’est la permanence qui est ici évaluée.

° Pourquoi élever le niveau de maturité de la Business Continuity s’il est démontré que les processus établis fonctionnent?

«Le paradigme de gestion des risques a fondamentalement changé depuis l’an 2000 et il évolue encore constamment. De nouveaux risques apparaissent et certaines menaces jugées totalement irréalistes il y a quelques années encore deviennent très concrètes -songez aux menaces terroristes qui peuvent complètement bloquer une grande agglomération comme Londres ou Paris ou à la menace actuelle de pandémie. Aujourd’hui, l’objectif est non seulement de rendre résiliente une organisation dans un monde nomade, afin comme conséquence que l’organisation en ressortira plus forte mais de rendre résilient une région ou un pays entier comme le Luxembourg. Pour ce faire, il est vital de monter rapidement dans les différents niveaux de maturité de la résilience, tant au niveau micro d’une entreprise que macro d’une région, voire d’un pays entier»

° Faut-il voir la continuité comme une finalité?

«L’incertitude est aujourd’hui partout. Or, les organisations humaines ont horreur de l’incertitude. Maîtriser l’incertitude à venir consiste à devenir résilient, c’est-à-dire à acquérir la capacité à vivre et à se développer en anticipant et en surmontant l’adversité et, par là, les changements, les accélérations ou les ralentissements brutaux ou les crises engendrant trop souvent des chocs traumatiques. Ces chocs s’avèrent souvent destructeurs de valeur pour ceux qui ne sont pas préparés. On ne parle évidemment plus ici seulement du système d’information, mais de toute la structure organisationnelle et fonctionnelle de l’entreprise.»

«La continuité est une des composantes de la résilience, tout comme l’agilité. En somme, comment tirer parti des difficultés engendrées par l’incertitude croissante pour se renforcer. Pour ce faire, il est important d’évaluer le niveau de maturité des organisations. Au-delà du recensement des risques et de l’analyse de leur impact, il faut s’assurer que les organisations intègrent une culture de résilience. Cela passe évidemment par un volet que l’on pourrait qualifier de « défensif » : mettre en place des plans de continuité et de gestion des risques opérationnels, les affiner et les tenir à jour. Mais cela peut se traduire également pour les organisations les plus avancées par un volet offensif. Celui-ci consiste à mettre en place des dispositifs de gestion et d’anticipation, une culture de la réactivité et de mobilisation pour tirer des avantages compétitifs d’une situation de crise. L’objectif est, à travers l’agilité, d’être plus réactif face à une crise que ses compétiteurs et d’en tirer profit : là où l’entreprise choquée par une crise et qui n’est pas préparée, doit se concentrer sur ses blessures, voire sa survie, l’entreprise résiliente peut se concentrer sur son expansion. Le monde économique est aujourd’hui une « jungle », c’est malheureusement une réalité. Développer la « résilience » pour une entreprise aujourd’hui, c’est sortir gagnant et compétitif demain de manière durable. »

° Concrètement, quel est votre apport?

«eBRC conseille et supporte les organisations où qu’elles se situent sur le modèle de maturité. Voilà bientôt dix ans que nous développons des compétences uniques –internationalement reconnues- autour de la résilience.»