7 défis pour évaluer facilement votre programme de GCA

7 défis pour évaluer facilement votre programme de GCA
Quels sont les 7 défis pour évaluer facilement votre programme de GCA ? Il existe des évaluations de la gestion de la continuité des activités qui sont pratiquement gratuites et d’autres qui coûtent beaucoup d’argent. La différence réside dans la préparation, le niveau de détail et la profondeur. La question clé que les gens posent souvent est la suivante : « Comment puis-je savoir si je suis prêt si quelque chose de grave arrive à mon organisation ? ». Il n’est pas très difficile de répondre à cette question. Toutefois, la réponse dépend en grande partie de votre volonté de vous engager dans un domaine que vous ne connaissez pas parfaitement. Et où, par conséquent, vous ne vous sentez généralement pas à l’aise. C’est pourquoi il s’agit toujours d’un défi, plutôt que de simplement répondre à des questions. Virtual Corp propose une liste très complète de questions qui peuvent être utilisées pour évaluer en détail la maturité de votre organisation en matière de gestion de la continuité des activités. Mais ces questions sont tout simplement trop nombreuses pour un premier démarrage.Dans cette contribution, j’exprime ma propre opinion, et non celle d’une quelconque organisation.

Auteur : Manu Steens

C’est pourquoi je vous propose ici 7 défis pour évaluer votre programme de GCA. Chaque défi comporte une ou deux questions en guise d’amuse-bouche. Chaque défi est accompagné d’une brève discussion.

Savez-vous ce qu’il faut faire en cas d’incendie ? Ou en cas d’inondation ? Ou en cas d’intrusion violente ? Une panne d’électricité ou une défaillance prolongée des systèmes informatiques ?

Il s’agit essentiellement d’une courte liste d’événements susceptibles d’affecter le personnel ou les ressources d’une organisation. Les personnes sont prioritaires à cet égard. Après tout, ce sont eux qui ont le plus de valeur avec leurs connaissances et leurs compétences, et ce sont eux et eux seuls qui sont capables de remettre l’organisation « sur pied ». Vous avez donc besoin d’un ensemble de procédures simples et claires pour que vos collaborateurs sachent exactement ce qu’il faut faire en cas d’événement de ce type. Et ils doivent le savoir à l’avance, pas une fois que tout s’est passé. Ils doivent le savoir et être capables de le faire. Personne ne tire profit d’une procédure parfaite qui se trouve dans un livre quelque part et dont personne ne se souvient….

Connaissez-vous les risques les plus graves auxquels votre organisation est exposée ? Avez-vous mis en œuvre des mesures pour réduire/éviter/relocaliser ces risques ou les avez-vous acceptés ?

Ce défi est étroitement lié au point précédent. Les événements auxquels vous devriez vous intéresser sont ceux qui ont une forte probabilité et un impact important. Il est donc bon de prendre un peu de recul, de s’éloigner de votre existence quotidienne où « cela ne nous arrive pas » et où « tout se passe comme d’habitude » et de réfléchir en profondeur aux risques qui sont réalistes dans votre secteur, dans votre environnement, avec votre personnel, dans votre climat politique et économique… Pour ce faire, vous pouvez dresser une liste des problèmes auxquels vous avez été confrontés dans le passé, de leur probabilité, de l’ampleur de leur impact et de ce qu’ils auraient pu être. Pensez également à ce que vous avez déjà fait pour les réduire. Selon le type de risque, il convient d’agir sur la probabilité, l’impact ou les deux. Vous ne pouvez pas modifier la probabilité d’un tremblement de terre, mais vous pouvez modifier la probabilité et l’impact d’un incendie ou d’un cambriolage. Par exemple, avec des systèmes de badges, des serrures, des sauvegardes dans un autre lieu….

Avez-vous déjà déterminé les tâches minimales et initiales que vous devez accomplir pour que votre organisation survive après une interruption longue et prolongée ?

Le problème, c’est qu’il n’est pas possible de tout remettre en marche en même temps. Vous devez déterminer quels sont vos processus critiques, quels sont vos processus essentiels, quels sont vos processus nécessaires et quels sont les processus utiles. Pour ce faire, vous pouvez utiliser le modèle des 6 FORCES. Les consultants connaissent certainement des méthodes beaucoup plus complexes pour définir vos priorités. Mais pour une petite ou moyenne entreprise, une méthode de travail telle que le modèle des 6 FORCES est tout à fait gérable. Les objectifs sont simples : quel processus est le plus important pour vous et pourquoi ? Prenez le temps d’élaborer une méthode personnalisée pour vous, de trouver les bonnes questions.

Une fois que vous avez pu dresser la liste des processus critiques en termes de temps, l’idée est de dresser la liste de ce dont vous avez besoin pour remettre ces processus en marche le plus rapidement possible. Combien de personnes, quelles personnes, quelles applications informatiques ? Et d’ordinateurs portables ? Combien de serveurs ? Un réseau ? Quels documents sur papier ? Quelles informations sur l’ordinateur ? Quelles installations ? Combien de postes de travail ? Etc. etc. Déterminez ensuite comment vous allez procéder. Où les gens travailleront-ils si cela ne peut pas être fait au « bureau de la tanière » ? Qu’en est-il de l’hébergement d’urgence ? Où allez-vous trouver l’équipement nécessaire ? Si vous savez tout cela, vous êtes déjà sur la bonne voie.

Disposez-vous de plans formels de continuité des activités que vous et votre personnel connaissez et pouvez mettre en œuvre si la résilience de votre organisation est interrompue ?

Le terme « formel » ne signifie ni plus ni moins que « documenté ». La caractéristique d’un plan est qu’il n’existe que s’il peut être transmis, et qu’il est donc préférable de le mettre par écrit. S’il ne fait qu’une page ou deux, ce n’est pas non plus un vrai plan. Il s’agit alors d’une idée. Vous devez réfléchir sérieusement aux mesures que vous souhaitez tous prendre si quelque chose de grave se produit, et les mettre par écrit. Vous devrez parfois prendre des décisions difficiles au cours de ce processus. Ensuite, il faut les mettre en œuvre. Le terme « mise en œuvre » a souvent le sens d' »achat ». Et vous devez payer pour cela. Vous devez donc réfléchir attentivement à ce dont vous avez besoin comme minimum et si c’est un soutien suffisant pour continuer à fournir un service minimum au client ou à d’autres organisations. Et ainsi survivre en tant qu’organisation. Les mots clés sont donc « minimum nécessaire » et « suffisant pour survivre ».

Vos données précieuses sont-elles en sécurité en toute circonstance ?

Les mots clés sont ici « quoi qu’il arrive ». Conserver les documents papier essentiels dans des archives et les données numériques sur une copie de sauvegarde dans une autre pièce du même bâtiment est tout simplement insuffisant. Vous devez utiliser certains paramètres pour cela : est-ce dans la même zone de déconnexion ? Se trouve-t-il dans la même zone géologique ? Se trouve-t-il dans une zone présentant les mêmes problèmes d’eau ? Les mêmes conditions météorologiques ? Vous devez les stocker de manière à ce qu’un autre événement ne puisse pas vous empêcher d’utiliser vos données. Et j’entends par là les données numériques aussi bien que les données sur papier.

Votre personnel est-il en mesure de réagir rapidement et efficacement ? Est-il formé à cet effet ?

C’est déjà un peu plus difficile. Il se peut que vous ayez rédigé des plans et qu’ils soient fondés sur une bonne analyse et un bon jugement. Mais si votre personnel ne sait pas ce qu’ils contiennent, comment pouvez-vous exiger d’eux qu’ils sachent ce que l’on attend d’eux en cas de besoin ? Un plan parfaitement élaboré, mais qui prend la poussière dans un placard, n’est d’aucune utilité. Vous devez donc lancer un programme de formation pour le personnel. En tant que responsable du BCM, assurez-vous qu’ils connaissent les procédures d’urgence et qu’ils savent quoi faire lorsque l’alarme d’évacuation se déclenche. Il est alors trop tard pour passer en revue les procédures et apprendre comment les utiliser pour sauver des vies.

Avez-vous pratiqué les plans avec le personnel pour voir s’ils fonctionnent ? Pour voir si vous êtes prêt ?

En anglais, il y a un dicton qui dit : « The proof of the pudding is in the eating » (la preuve du pudding, c’est qu’on le mange). La meilleure façon de former votre personnel est d’exécuter les plans. C’est en pratiquant que l’on devient parfait. C’est pourquoi les plans doivent être mis en œuvre au moins une fois par an. Avec des exercices en bac à sable, des exercices d’évacuation, des simulations de TIC … Laissez-les durer une heure ou deux au maximum. Ou organisez une séance de consolidation d’équipe autour de cet exercice. Examinez d’un œil critique si les participants savent ce qu’ils doivent faire. Évaluez leurs réactions et décidez si vous devez mettre à jour les plans.

Conclusion

Si vous pouvez affirmer positivement tous ces défis en les cochant sur une liste de contrôle, alors je pense qu’il est juste de dire qu’en tant qu’organisation, vous êtes prêt lorsque quelque chose de grave se produit. Si vous n’avez pas encore pu cocher toutes ces cases, vous disposez d’une belle liste d’actions à entreprendre sur lesquelles vous pouvez vous concentrer dans un avenir proche pour être « prêt ».

Manu Steens

Manu travaille au sein du Gouvernement flamand dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes. Depuis 2012, il travaille au Centre de crise du Gouvernement flamand (CCVO), où il a progressé en BCM, gestion des risques et gestion de crise. Depuis août 2021, il est travailleur du savoir pour le CCVO. Depuis janvier 2024, il travaille au Département de la Chancellerie et des Affaires étrangères du Gouvernement flamand. Il combine ici BCM, gestion des risques et gestion de crise pour créer une forme de gestion de la résilience sur mesure répondant aux besoins du gouvernement flamand.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts