Quelles sont les stratégies de rétablissement d’un plan de continuité des activités ?

Written by Manu Steens in GCA 

Auteur : Manu Steens

Dans ce post, j’écris ma propre opinion, pas celle d’une organisation.

Les stratégies de rétablissement font partie d’un plan de continuité des activités (PCA). Elles décrivent comment une organisation devrait agir pour rétablir les opérations commerciales après une perturbation ou une crise. Certaines peuvent être prises ensemble.

Quelles sont les principales stratégies de rétablissement ?

Voici quelques stratégies de rétablissement courantes que vous trouverez dans la littérature :

  • Stratégies de rétablissement de données
  • Stratégies de rétablissement des installations
  • Stratégies de rétablissement informatique
  • Stratégies de rétablissement des communications
  • Stratégies de rétablissement de la main-d’œuvre
  • Stratégies de rétablissement des fournisseurs et des partenaires
  • Stratégies de rétablissement financier
  • Stratégies de test et de pratique

Que devez-vous savoir à ce sujet ?

Je donne ici une explication de base et quelques contextes dans lesquels les stratégies de rétablissement sont pertinentes.

  • Stratégies de récupération de données : Il peut s’agir de sauvegardes régulières des données les plus importantes. Vous l’enregistrez ensuite hors site. Une fois qu’un sinistre se produit, vous avez besoin d’une récupération de données, ainsi que de procédures pour restaurer ces données.

Les sauvegardes incluent la planification de la conservation régulière de toutes les données critiques. Cela se fait sur des supports fiables, comme recommandé dans les normes et standards. Le cryptage est recommandé.

Ensuite, il y a la récupération de données pour après une urgence. À cette fin, vous développez des procédures étape par étape. Ces procédures sont complètes en ce sens qu’elles désignent également les responsables de la mise en œuvre, ainsi que leurs coordonnées. Enfin, il donne une indication du nombre de tests utilisant des sauvegardes nécessaires pour continuer à s’appuyer sur eux.

Un cas courant de problèmes de données est une violation de données. Cela peut être dû à des cyberattaques ou à une erreur humaine (par exemple, à cause de l’ingénierie sociale). Cela implique souvent de l’extorsion, et des appels sont faits devant les tribunaux.

Un exemple est lorsqu’une agence gouvernementale est frappée par une cyberattaque qui corrompt des données sensibles. La stratégie de récupération peut ensuite récupérer ces données vers les dernières sauvegardes protégées.

Un premier exemple politique a été en 2017 lorsque le Royaume-Uni a été touché par l’attaque de ransomware « WannaCry ». Il a crypté les données des patients de plusieurs services nationaux de santé (NHS). Ce problème a été résolu à l’aide de sauvegardes. Par la suite, des mesures de sécurité plus strictes ont été mises en œuvre.

Un deuxième exemple politique a été les révélations de Snowden. Cela impliquait la divulgation d’informations provenant d’agences de renseignement. Ensuite, plusieurs pays ont révisé leurs politiques de stockage des données et ont appliqué le cryptage aux informations sensibles.

Un troisième exemple politique concerne le RGPD dans l’Union européenne en 2018. À cette fin, les organisations ont dû développer des stratégies pour se conformer aux normes de protection des données plus strictes.

  • Programmes de rétablissement des installations : Cela comprend d’autres emplacements et des espaces de travail temporaires. Avant que le travail à domicile ne devienne monnaie courante à grande échelle, d’autres lieux de travail ont été identifiés où les activités peuvent se poursuivre si le lieu principal n’est pas disponible. L’accès à des espaces temporaires, tels que des espaces de coworking, a été fourni pour reprendre rapidement les activités. Pour rendre cela possible, des accords mutuels ont été conclus avec des organisations voisines.

Par exemple, pour d’autres emplacements, il y avait des espaces de bureaux spécifiques ou des centres de données externes, qui sont rapidement disponibles pour poursuivre les opérations commerciales. Pour les espaces de travail temporaires, des accords pourraient être conclus avec des entreprises spécialisées et des bureaux équipés pour faire en sorte que les espaces de travail dotés de l’infrastructure et des installations nécessaires soient prêts temporairement mais en temps voulu. Pendant ce temps, leurs installations principales sont en cours de restauration.

Une cause possible est une catastrophe naturelle. L’Europe connaît des catastrophes naturelles telles que des tremblements de terre ou des incendies de forêt, mais les inondations sont principalement dans la mémoire collective.

Un exemple possible de problème est lorsque des bâtiments gouvernementaux sont endommagés lors de manifestations ou de troubles sociaux. La stratégie de rétablissement assure alors en partie la continuité des services essentiels. En raison de Covid19 dans un passé récent, une grande partie de ce phénomène est actuellement consacrée au télétravail.

Un exemple politique a été la guerre du Kosovo, lorsque de nombreux bâtiments gouvernementaux ont été détruits en 1999. En réponse à cette crise, plusieurs organisations internationales et l’ONU ont élaboré des stratégies de relèvement pour leurs installations.

Un deuxième exemple a été après les attentats terroristes de Madrid en 2004. Les gares ont été ciblées. Le gouvernement espagnol a ensuite utilisé des stratégies de récupération pour restaurer rapidement les stations touchées afin que les transports publics puissent reprendre leurs fonctions.

Un troisième exemple est celui où, après les inondations en Europe centrale en 2013, des pays comme l’Allemagne et la République tchèque ont développé des stratégies pour réparer les routes, les ponts, … afin que la mobilité puisse se rétablir.

  • Les stratégies de récupération informatique consistent en un plan de récupération informatique, un basculement et une redondance. Élaborer un plan avec des procédures adaptées pour restaurer les systèmes et les réseaux informatiques. Cela inclut les procédures de récupération matérielle et logicielle. Avec le basculement et la redondance, vous mettez en œuvre des solutions pour maintenir la disponibilité des systèmes critiques en cas de panne. Cela inclut l’aspect continuité en cas de crise.

Le plan de récupération informatique comprend une liste des systèmes critiques, des exigences matérielles et logicielles et des procédures de récupération avec des délais. C’est l’un des résultats de l’analyse des répercussions sur les activités. Pour le basculement et la redondance, utilisez des technologies telles que le clustering avec basculement, l’équilibrage de charge et la redondance géographique.

Un problème possible pour lequel cela semble nécessaire est une cyberattaque. Comme les attaques de ransomware. Par conséquent, les entreprises et les organisations doivent avoir des plans de récupération informatique en place pour restaurer rapidement les systèmes critiques.

Un premier exemple est lorsqu’un pays devient la cible d’une cyberattaque à grande échelle qui perturbe des sites Web gouvernementaux critiques. La stratégie de récupération informatique implique alors non seulement la récupération (rapide) de ces services, mais aussi l’amélioration de la cybersécurité.

Par exemple, l’Estonie a été frappée par une cyberattaque visant des sites gouvernementaux et des institutions financières en 2007. La solution a finalement consisté en une meilleure cybersécurité et la récupération de l’infrastructure informatique.

Un deuxième exemple a été l’attaque Stuxnet en 2010. Il était à l’origine axé sur le programme nucléaire iranien. Cependant, il a causé beaucoup d’autres dommages.

Troisième exemple, pendant la pandémie de COVID-19 en 2020-2021, des stratégies informatiques ont été élaborées pour répondre à la demande accrue de télétravail et d’éducation en ligne.

  • Stratégies de rétablissement de la communication. Il s’agit notamment d’un plan de communication et d’autres moyens de communication. Le plan de communication sert à informer les parties prenantes internes et externes de la situation actuelle Les moyens de communication alternatifs sont des choses telles que les téléphones satellites ou les points d’accès mobiles.

Dans un plan de communication, vous incluez une liste de contacts, y compris les équipes internes, les partenaires externes, les fournisseurs et les clients. Vous définissez les canaux et les méthodes de communication à l’avance. En outre, vous fournissez d’autres moyens de communication tels que les téléphones satellites, les points d’accès mobiles et les services de conférence Web.

Une utilisation possible de ce plan est une urgence nationale telle que des pandémies ou des catastrophes naturelles à grande échelle. Ensuite, les organisations doivent disposer d’outils et de plans de communication efficaces pour tenir les employés, les clients et les fournisseurs informés.

Un exemple est lors d’une crise politique ou d’une urgence nationale, comme l’attaque terroriste à l’aéroport de Zaventem en 2016. Ensuite, les autorités publiques doivent être en mesure de communiquer rapidement et efficacement avec le public. C’est important pour tenir la population informée et garder son calme.

  • Les stratégies de rétablissement de la main-d’œuvre portent sur la dotation et la formation du personnel. Le personnel doit pouvoir être mobilisé rapidement, il doit connaître ses tâches et ses responsabilités à l’avance lors d’une crise. Par conséquent, assurez-vous que les employés sont formés pour faire face aux urgences. Parfois, la stratégie de rétablissement de la main-d’œuvre implique la mobilisation d’employés supplémentaires et l’ajustement de leurs horaires de travail.

Pour la dotation, dressez une liste des postes cruciaux et nommez des employés responsables et des employés de remplacement.

Vous offrez de la formation et de la sensibilisation du personnel sur son rôle pendant une crise.

En cas de crise sanitaire, comme le Covid19, les organisations doivent avoir des plans de protection du personnel. Cela comprend la mise en œuvre du travail à domicile et la détermination des responsabilités pour la continuité opérationnelle.

Par exemple, lors d’une crise géopolitique telle que le tremblement de terre en Turquie en 2023, il pourrait être nécessaire de déployer du personnel supplémentaire pour la sécurité de la population et l’application de la loi.

  • Stratégies de rétablissement des fournisseurs et des partenaires : Pour les relations avec les fournisseurs, vous entretenez de bonnes relations avec les fournisseurs clés en « temps de paix ». De plus, vous fournissez des fournisseurs alternatifs en cas d’urgence. Dans le cadre des partenariats, vous travaillez avec des partenaires stratégiques sur des plans de redressement conjoints. Ceux-ci peuvent être testés par toutes les parties ensemble.

Avec les fournisseurs critiques, vous développez de bonnes relations qui assurent un soutien en cas d’urgence. Cela peut être stipulé contractuellement.

Vous travaillerez régulièrement avec des partenaires stratégiques pour élaborer, tester et maintenir des plans de rétablissement partagés. Les efforts de rétablissement sont coordonnés ensemble, y compris dans le cadre d’exercices.

Un exemple concerne les conflits commerciaux internationaux. De plus, ou en cas de restrictions douanières, les organisations doivent déjà avoir d’autres fournisseurs. Ils devraient l’inclure à l’avance dans la planification de leur chaîne d’approvisionnement.

Un exemple politique est lorsque l’UE est impliquée dans un conflit commercial international, comme avec la Russie en raison de la guerre en Ukraine. Cela crée des perturbations de la chaîne d’approvisionnement des deux côtés. La solution semble être de développer des voies d’approvisionnement alternatives pour maintenir la stabilité économique. Diversifier la clientèle et la base de fournisseurs est alors une stratégie de survie.

  • Les stratégies de redressement financier comprennent les réserves financières et l’assurance. L’organisation maintient des réserves financières pour les coûts opérationnels, y compris le rétablissement et les mesures d’urgence. En outre, ils fournissent une assurance appropriée. Les exemples incluent une captive et une assurance pour une perte d’exploitation.

Pendant les crises économiques, il faut disposer de réserves financières pour couvrir les coûts. Envisager une éventuelle restructuration financière pour maintenir la stabilité. Le gouvernement peut alors prendre des mesures financières pour stimuler l’économie. Les ressources financières sont utilisées pour rétablir la stabilité économique.

Un exemple politique d’intervention gouvernementale a été la crise de Fortis. Un autre exemple a été pendant le Covid19 où les autorités belges ont fourni un soutien financier de base aux personnes qui ne pouvaient plus effectuer leur travail.

  • Stratégies de test et de pratique : Ce sont la dernière pièce de toute stratégie. Tout d’abord, il y a le régime de test. Tester régulièrement l’efficacité et l’efficience du plan de rétablissement. Le but des tests et de la pratique est les leçons apprises. Identifiez les domaines à améliorer et tirez des leçons de chaque perturbation et ajustez le plan en fonction des leçons identifiées.

Par conséquent, planifiez des tests et des exercices réguliers avec des exercices de crise qui s’appuient sur le PCA et les stratégies de rétablissement. Évaluer les résultats, identifier les problèmes dans les plans et améliorer les plans et les stratégies.

Les organisations devraient également simuler des situations d’urgence nationales pour tester et évaluer l’intervention et le rétablissement de différentes stratégies de rétablissement. Ils le font en partenariat avec les gouvernements lorsque cela est utile et nécessaire.

Par exemple, lorsque les gouvernements nationaux, provinciaux ou municipaux mènent des exercices ensemble ou séparément pour évaluer l’intervention en cas d’urgence différente. Les sujets sont divers, tels que les catastrophes naturelles, les attaques terroristes ou les cyberattaques. Cela contribue à rendre la société résiliente.

Conclusion

Il y a plusieurs types de programmes de rétablissement. Ceux-ci devraient être régulièrement évalués et retravaillés pour rester pertinents et efficaces. Après tout, l’environnement des affaires est en constante évolution. Chacun d’eux doit être spécifiquement adapté à votre organisation.

Il peut y avoir diverses crises qui nécessitent des stratégies de rétablissement. Il est important de noter que la nature et l’ampleur des crises peuvent varier. La mise en œuvre effective dépendra donc des circonstances spécifiques. Un PCA bien testé est essentiel pour pouvoir répondre efficacement aux imprévus.

Manu Steens

Manu travaille au sein du Gouvernement flamand dans la gestion des risques et la gestion de la continuité des activités. Sur ce site Web, il partage ses propres opinions sur ces domaines et sur des domaines connexes. Depuis 2012, il travaille au Centre de crise du Gouvernement flamand (CCVO), où il a progressé en BCM, gestion des risques et gestion de crise. Depuis août 2021, il est travailleur du savoir pour le CCVO. Depuis janvier 2024, il travaille au Département de la Chancellerie et des Affaires étrangères du Gouvernement flamand. Il combine ici BCM, gestion des risques et gestion de crise pour créer une forme de gestion de la résilience sur mesure répondant aux besoins du gouvernement flamand.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts