Quelle est la plus grande faiblesse de la plupart des programmes de continuité ?

Auteur : Manu Steens

Dans ce post, j’écris ma propre opinion, pas celle d’une organisation.

La faiblesse est la familiarité du terme « PCA » (Plan de continuité des activités).

Souvent, lorsque je parle à des collègues des missions GCA, j’entends dire qu’ils sont chargés de « rédiger un PCA (Business Continuity Plan) ». C’est un risque énorme pour l’organisation qui émet une telle ordonnance. L’objectif est pour le moins incomplet.

Où est le piège ?

Parce qu’un PDG donne la mission de créer un PCA pour son organisation, il y a de fortes chances que ce document devienne exactement l’objectif. L’affectation est enregistrée en tant que projet. On embauche rapidement un consultant pour rédiger ce document, et ensuite on peut le soumettre à un audit, qui le coche de la liste. Et cela cause des problèmes.

Quels sont les problèmes ?

L’approche décrite comporte plusieurs risques systématiques en raison de la non-mise en œuvre d’un processus de gestion de la continuité des activités (PGCA).

Tout d’abord, il faut savoir que le processus est un événement cyclique qui comporte plusieurs étapes de processus. Des problèmes peuvent alors survenir avec chacune des étapes manquantes à prendre. Selon Joop Franke :

• Recherche préliminaire
• Proposition Organisation PGCA
• Politique
• Réalisation de l’organisation PGCA
• BIA
• Analyse du risque
• Coûts-avantages
• Réalisation PCA et plans de reprise
• Test du PCA
• Contrôle de processus PGCA

Je discute maintenant des risques liés à l’omission de chacune de ces étapes.

1. Recherche préliminaire

Dans l’enquête préliminaire, on détermine avec quel type d’organisation vous traitez. Il est important de savoir où placer le responsable de la continuité d’activité dans l’organigramme. Si vous ne savez pas où il est placé de manière optimale, il ne sera pas en mesure d’effectuer son travail correctement. Le PGCA (GCA Process) est alors voué à l’échec car il n’est pas pris au sérieux.

En outre, la recherche préliminaire détermine comment l’organisation se comporte en termes de GCA. Il détermine, entre autres, le parrain. Si cela n’est pas connu, le PGCA n’a pas le droit d’exister.

En outre, il analyse les parties prenantes. Si cette analyse n’est pas effectuée, le PGCA ne leur accordera pas l’attention qu’ils méritent. Le PGCA se comporte alors comme si l’organisation était dans le vide. En cas de crise, l’organisation ne pourra pas compter sur eux. Nos propres employés sont également parties prenantes. Sans connaître leurs forces et leurs faiblesses, le PGCA ne sera pas en mesure d’aiguiser leurs compétences de manière ciblée, ce qui les empêchera d’être utilisées de manière optimale en cas de crise.

Si les mesures de risque existantes ne sont pas connues, le PGCA peut faire double emploi, ce qui équivaut à un gaspillage d’heures de travail et de ressources.

Sans l’enquête préliminaire approfondie, l’appétit pour le risque et la capacité sont également inconnus. Cela signifie que l’organisation ne traitera pas les risques de manière appropriée.

De plus, les lois et règlements applicables sont importants. Si elle n’est pas bien connue et appliquée, l’organisation commettra trop d’erreurs juridiques et sera en proie à des poursuites.

Enfin, la maturité actuelle du GCA doit être estimée. Si vous ne le faites pas, vous ne saurez en fait pas quels sont les pôles de croissance du GCA et vous risquez de rester immobile ou de rester coincé.

• Proposition et réalisation PGCA Conception de l’organisation

En l’absence d’une organisation rigoureuse du PGCA, il existe une incertitude quant aux activités à entreprendre. Les activités que l’on connaîtrait de toute façon n’auront pas été assignées aux employés. Les personnes, les ressources, l’encadrement et la formation nécessaires dont les gens auront besoin sont alors ponctuels ou inexistants. En conséquence, il y a beaucoup de gaspillage, de dédoublement du travail et d’activités manquantes. La façon de travailler ensemble n’est pas définie et n’a pas de guide. Comment faire rapport et de qui n’est pas déterminé, pas connu.

Les structures de consultation pertinentes pour le PGCA n’ont pas été déterminées.

• Politique

Sans une politique approuvée par la haute direction, il n’y a pas de « base juridique » pour avoir une opération GCA, et encore moins qu’un PCA pourrait être intégré dans un PGCA structuré.

• BIA (Analyse d’impact)

Sans BIA, l’organisation n’aura aucune idée de ce qu’elle peut potentiellement perdre en cas de crise où un processus, un bâtiment ou une partie de la main-d’œuvre échoue. Il ne saura pas non plus quelle quantité de ce qui est nécessaire et rapidement pour assurer la continuité d’un service ou d’une production opérationnelle. Ces choses sont essentielles à un PCA. L’entreprise n’aura aucune idée des processus les plus importants et pourquoi. Ni quels outils sont les plus importants. Il n’a aucune idée du temps d’arrêt maximal tolérable de chacun des processus critiques.

• RA (analyse des risques)

Sans analyse des risques, l’entreprise n’a aucune idée des causes qui peuvent être liées à quelles conséquences de quels événements. Il ne peut pas évaluer les menaces et manquera de nombreuses opportunités. Cela signifie qu’il ne connaît pas ses vulnérabilités, ni leur taille, et quelle menace est la plus importante en raison de quelle combinaison de cause à effet. Sans univers de risque, l’entreprise est sans gouvernail pour déterminer les menaces en termes de gestion des risques opérationnels et d’entreprise.

En bout de ligne : il y a un problème pour identifier les mesures contre les risques sans précédent.

• Coûts-avantages

Sans une analyse coûts-avantages et sans une analyse de la « valeur de l’investissement » des mesures, l’organisation ne peut pas déterminer quelles mesures sont utiles et nécessaires. Donc, avec beaucoup de chance, il fera trop d’investissements, ou trop peu, ou les mauvais.

• Réalisation PCA et plans de reprise

En ayant un PCA fabriqué « à l’improviste », il y a de très bonnes chances qu’il devienne un PCA « unitaire saucisse ». Une chance d’un PCA pertinent dans toutes ses facettes utilisées par l’organisation est nulle. Nous travaillerons avec l’opinion du consultant concernant l’interprétation de la « situation raisonnablement la plus grave ». Ce n’est pas nécessairement pertinent pour l’organisation. L’approche de cette situation dépend également en grande partie de l’improvisation de ce consultant, car il n’a ni le temps ni l’ordre de mettre en place un PGCA opérationnel. Il n’y aura aucun plan de redressement dans le cadre du PCA. Au mieux, il comprend plusieurs listes de contacts qui, espérons-le, sont complètes et pertinentes pour l’entreprise.

• Test du PCA

Étant donné que l’accent est mis sur un « PCA ad hoc », les tests n’ont peut-être pas été impliqués dans la commande. S’il devait y avoir un test du PCA, cela indiquerait qu’il est en défaut grave et qu’il devrait être classé verticalement. Cela place l’entreprise aussi loin devant qu’elle l’était avant l’externalisation de la mission.

• Contrôle de processus PGCA

Parce que le processus n’est pas créé, il n’y aura pas d’amélioration continue de la garantie de continuité de l’organisation. La gestion ne s’améliorera pas dans sa capacité à gérer les crises. Entre les mains d’un auditeur alerte, l’organisation obtiendra un score insuffisant.

Conclusion

Il est inutile de commander un PCA sans qu’il puisse être intégré dans un PGCA pleinement fonctionnel. C’est de l’argent jeté, alors vous feriez mieux de ne pas le faire. En n’intégrant pas le PCA dans un PGCA, on crée un faux sentiment de sécurité, de sorte que tout se passe bien pendant un certain temps, jusqu’à ce que ça tourne mal. Ensuite, cela va vraiment mal tourner. Et pas pour une seule raison, mais pour une multitude de raisons comme je l’ai souligné ici. Les raisons décrites peuvent simplement être le couvercle sur la boîte de Pandore.