Comment créer un plan de continuité d’activité efficace

Évaluez la criticité et la vulnérabilité des processus métier : La planification de la continuité des activités « commence par comprendre ce qui est le plus important pour l’entreprise », explique Joe Nocera, directeur du département Cyber-Risques et réglementation chez PwC, un cabinet de services professionnels.

Ainsi, la première étape dans l’élaboration de votre plan de continuité des activités consiste à évaluer vos processus métier afin de déterminer lesquels sont les plus critiques ; quelles sont les plus vulnérables et à quel type d’événements ; et quelles sont les pertes potentielles si ces processus s’arrêtent pendant un jour, quelques jours ou une semaine.

« Cette étape détermine essentiellement ce que vous essayez de protéger et ce que vous essayez de maintenir pour les systèmes », explique Todd Renner, directeur général principal de la pratique de cybersécurité chez FTI Consulting.

Cette évaluation est plus exigeante que jamais en raison de la complexité du lieu de travail hybride d’aujourd’hui, de l’environnement informatique moderne et de la dépendance à l’égard de partenaires commerciaux et de fournisseurs tiers pour exécuter ou prendre en charge les processus critiques.

Compte tenu de cette complexité, Goh affirme qu’une évaluation approfondie nécessite un inventaire non seulement des processus clés, mais également des composants de support – y compris les systèmes informatiques, les réseaux, les personnes et les fournisseurs externes – ainsi que des risques pesant sur ces composants.

Il s’agit essentiellement d’une analyse d’impact sur les entreprises.

Déterminez le RTO et le RPO de votre organisation : La prochaine étape dans l’élaboration d’un plan de continuité des activités consiste à déterminer l’objectif de temps de récupération (RTO) de l’organisation, qui est le délai cible entre le point de défaillance et la reprise des opérations, et l’objectif de point de récupération (RPO), qui est le délai maximum. quantité de perte de données qu’une organisation peut supporter.

Chaque organisation possède ses propres RTO et RPO en fonction de la nature de son activité, de son secteur d’activité, des exigences réglementaires et d’autres facteurs opérationnels. De plus, différentes parties d’une entreprise peuvent avoir différents RTO et RPO, que les dirigeants doivent établir, explique Nocera.

« Lorsque vous rencontrez des aspects individuels de l’entreprise, tout le monde dit tout [they do] est important; Personne ne veut dire que sa part de l’entreprise est moins critique, mais en réalité, vous devez avoir des conversations et des déterminations difficiles sur ce qui est réellement critique pour l’entreprise et sa continuité », ajoute-t-il.

Détaillez les étapes, les rôles et les responsabilités pour la continuité : Une fois cela fait, les chefs d’entreprise doivent utiliser le RTO et le RPO, ainsi que l’analyse d’impact sur l’entreprise, pour déterminer les tâches spécifiques qui doivent être exécutées, par qui et dans quel ordre pour assurer la continuité des activités.

« Il s’agit de prendre les éléments clés de votre analyse et de concevoir un plan qui décrit les rôles et les responsabilités, indiquant qui fait quoi. Cela entre dans le vif du sujet sur la façon dont vous allez maintenir l’entreprise opérationnelle », explique Renner.

Un outil courant de planification de la continuité des activités est une liste de contrôle qui comprend les fournitures et l’équipement, l’emplacement des sauvegardes de données et des sites de sauvegarde, où le plan est disponible et qui devrait l’avoir, ainsi que les coordonnées des intervenants d’urgence, du personnel clé et des fournisseurs de sites de sauvegarde.

Même si la liste des scénarios possibles pouvant avoir un impact sur les opérations commerciales peut sembler longue, Goh affirme que les dirigeants d’entreprise ne sont pas obligés de dresser une liste exhaustive des incidents potentiels. Ils devraient plutôt dresser une liste comprenant les incidents probables ainsi que les incidents représentatifs afin de pouvoir créer des réponses plus susceptibles d’assurer la continuité, même face à une catastrophe inimaginable.

« Ainsi, même s’il s’agit d’un événement inattendu, ils peuvent retirer ces éléments de base du plan et les appliquer à la crise unique à laquelle ils sont confrontés », explique Nocera.

L’importance de tester le plan de continuité d’activité

L’élaboration d’un plan de continuité des activités ne suffit pas à assurer la préparation ; les tests et la pratique sont d’autres éléments essentiels.

Renner affirme que les tests et la pratique offrent quelques avantages importants.

Premièrement, ils montrent si un plan fonctionnera ou dans quelle mesure.

Les tests et la pratique aident à préparer toutes les parties prenantes à un incident réel, en les aidant à développer la mémoire musculaire nécessaire pour réagir aussi rapidement et avec la plus grande confiance possible en cas de crise.

Ils aident également à identifier les lacunes du plan élaboré. Comme le dit Renner : « Chaque exercice sur table que j’ai fait a été une révélation pour toutes les personnes impliquées. »

De plus, ils aident à identifier les domaines dans lesquels il peut y avoir un mauvais alignement des objectifs. Par exemple, les dirigeants peuvent avoir minimisé l’importance de restaurer certains systèmes informatiques pour se rendre compte au cours d’un exercice que ceux-ci sont essentiels au support des processus critiques.

Types et calendrier des tests

De nombreuses organisations testent un plan de continuité des activités deux à quatre fois par an. Les experts affirment que la fréquence des tests, ainsi que des examens et des mises à jour, dépend de l’organisation elle-même : de son secteur d’activité, de sa vitesse d’innovation et de transformation, du taux de rotation du personnel clé, du nombre de processus métier, etc.

Les tests courants incluent exercices sur table, des visites guidées structurées et des simulations. Les équipes de test sont généralement composées du coordinateur de récupération et de membres de chaque unité fonctionnelle.

Un exercice de simulation se déroule généralement dans une salle de conférence, l’équipe examinant le plan, recherchant les lacunes et s’assurant que toutes les unités commerciales y sont représentées.

Au cours d’une visite guidée structurée, chaque membre de l’équipe passe en revue en détail ses composants du plan pour identifier les faiblesses. Souvent, l’équipe réalise le test en pensant à une catastrophe spécifique. Certaines organisations intègrent des exercices et des jeux de rôle en cas de catastrophe dans la visite structurée. Toute faiblesse doit être corrigée et un plan mis à jour doit être distribué à tout le personnel concerné.

Certains experts conseillent également un exercice d’évacuation d’urgence complet au moins une fois par an.

Parallèlement, les tests de simulation de catastrophe – qui peuvent s’avérer très complexes – devraient toujours être effectués chaque année. Pour ce test, créez un environnement qui simule une catastrophe réelle, avec tout l’équipement, les fournitures et le personnel (y compris les partenaires commerciaux et les fournisseurs) qui seraient nécessaires. Le but d’une simulation est de déterminer si l’organisation et son personnel peuvent exercer des fonctions commerciales critiques lors d’un événement réel.

Au cours de chaque phase de test du plan de continuité des activités, incluez de nouveaux employés dans l’équipe de test. Un « regard neuf » peut détecter des lacunes ou des lacunes dans les informations que des membres expérimentés de l’équipe pourraient négliger.

La révision et la mise à jour du plan de continuité des activités devraient également avoir lieu de manière continue.

« Ce devrait être un document évolutif. Cela ne devrait pas être mis de côté. Il ne devrait pas s’agir simplement d’un exercice consistant à cocher des cases », déclare Renner.

Sinon, les plans deviennent obsolètes et ne sont d’aucune utilité en cas de besoin.

Réunissez le personnel clé au moins une fois par an pour examiner le plan et discuter de tous les domaines qui doivent être modifiés.

Avant l’examen, sollicitez les commentaires du personnel à intégrer dans le plan. Demandez à tous les départements ou unités commerciales d’examiner le plan, y compris les succursales ou autres unités distantes.

En outre, une fonction solide de continuité des activités nécessite de revoir la réponse de l’organisation en cas d’événement réel. Cela permet aux dirigeants et à leurs équipes d’identifier ce que l’organisation a bien fait et les points à améliorer.

Comment assurer le soutien et la sensibilisation au plan de continuité des activités

Une façon de garantir votre plan est pas Pour réussir, il faut adopter une attitude désinvolte face à son importance. Tout plan de continuité des activités doit être soutenu de haut en bas. Cela signifie que la haute direction doit être représentée lors de la création et de la mise à jour du plan ; personne ne peut déléguer cette responsabilité à des subordonnés. En outre, le plan restera probablement frais et viable si la haute direction en fait une priorité en consacrant du temps à un examen et à des tests adéquats.

La gestion est également essentielle pour sensibiliser les utilisateurs. Si les employés ne connaissent pas le plan, comment pourront-ils réagir de manière appropriée lorsque chaque minute compte ?

Bien que la distribution et la formation du plan puissent être assurées par les responsables des unités commerciales ou le personnel des ressources humaines, demandez à quelqu’un du haut niveau de lancer la formation et d’en souligner l’importance. Cela aura un impact plus important sur tous les employés, donnant au plan plus de crédibilité et d’urgence.