Lorsque vous abordez pour la première fois la planification de la continuité des activités (CA) et de la reprise après sinistre (SR), il se peut que vous ne disposiez pas de tous les détails et de toutes les ressources dont vous avez besoin. Pour cette raison, il se peut que vous commenciez votre programme par des hypothèses sur l’impact opérationnel et l’efficacité du plan.
Si les plans moins matures peuvent s’appuyer sur ces hypothèses, les plans mieux établis et plus résistants devraient tester ces hypothèses pour les valider. Cela est essentiel pour développer un programme de CB plus mature au fil du temps.
Pour les 75 % d’organisations qui ont fait appel à leur plan de continuité des activités au cours des cinq dernières années, l’un des principaux enseignements tirés est que leur plan comportait beaucoup trop d’hypothèses intégrées.
Quelles sont donc les hypothèses les plus courantes en matière de planification de la continuité des activités ?
Voici 7 exemples qui peuvent faire dérailler vos plans et comment vous pouvez les atténuer :
Supposer que les membres de l’équipe connaissent leur rôle et que chacun apportera son aide en cas de crise
De nombreuses organisations ne parviennent pas à former plusieurs personnes à des rôles critiques. Vous ne pouvez pas supposer que, parce que vous avez rédigé un bon plan et désigné des rôles, les membres clés de l’équipe seront en mesure de réagir et de fonctionner comme prévu en cas de catastrophe ou de perturbation majeure.
Que se passe-t-il si une catastrophe empêche des employés clés d’accéder à votre site ? Que se passe-t-il si la personne est malade ou a une urgence familiale ? Que se passe-t-il si cette personne quitte votre organisation et qu’un nouveau membre de l’équipe n’a pas été informé de la marche à suivre ?
Ne vous fiez jamais à un seul point de contact ou à un seul point de connaissance pour les rôles critiques au sein de votre programme. Assurez toujours une formation polyvalente. Révisez et actualisez fréquemment vos plans au fur et à mesure que les membres de l’équipe se succèdent ou changent de poste au sein de votre entreprise.
Prévoyez toujours des remplaçants formés et informés pour combler les lacunes. Lorsque vous effectuez vos examens, tests ou simulations de routine, veillez à ce que ces remplaçants soient pleinement impliqués. Formez-les de manière à ce qu’ils soient tout aussi capables de répondre aux exigences que votre principal point de contact.
Vous pensez avoir une stratégie de communication parfaite
Les stratégies de communication en matière de continuité des activités sont complexes. Qu’il s’agisse de la sensibilisation et de la formation des membres de l’équipe, de l’adhésion des parties prenantes, des notifications d’urgence ou de la sensibilisation du public, ne partez jamais du principe qu’une approche unique conviendra pour la communication.
Commencez à travailler sur la communication avec les employés dès qu’un nouveau membre rejoint votre équipe. Tout au long de l’année, menez des campagnes de sensibilisation pour tenir tout le monde au courant de vos plans de continuité des activités et de reprise après sinistre, de leur rôle et des changements ou améliorations.
Faites de même avec votre équipe de direction et les principales parties prenantes dès le début. Ils peuvent jouer un rôle important dans la diffusion de votre message d’entreprise et dans l’instauration d’une culture de la continuité des activités au sein de votre organisation.
Veillez également à impliquer plusieurs services dans votre planification, à chaque fois que vous effectuez des examens et des tests, et sollicitez toujours le retour d’information de l’équipe, en particulier de la part des personnes les plus directement concernées par vos projets.
Croire que vos employés savent quoi faire lorsqu’ils reçoivent une alerte d’urgence
La planification de crise met l’accent sur la criticité et, pour cette raison, il est facile de supposer que vos employés sont à l’écoute et qu’ils savent exactement ce qu’ils doivent faire s’ils reçoivent une notification d’urgence.
Comme pour la sensibilisation à la CB, il est important de mener des campagnes de sensibilisation distinctes sur le système de notification d’urgence (ENS).
Ne partez pas du principe que chaque employé recevra une notification simplement parce que vous l’envoyez. Il se peut que le téléphone d’une personne ait été éteint ou que quelqu’un n’ait pas de données sans fil ou de connexion internet. Avez-vous vérifié que vous envoyez les notifications sur plusieurs canaux de communication ?
Ne partez pas du principe que tous les employés liront une notification dès que vous l’enverrez, même si votre message d’alerte est bien rédigé et audacieux. En raison de la prévalence du phishing et d’autres escroqueries, vous ne pouvez pas supposer qu’ils sauront qu’une alerte que vous avez envoyée est réelle ou qu’elle provient de votre organisation.
Ne vous endormez jamais lorsqu’il s’agit de la valeur de la sensibilisation à l’ENS. Communiquez souvent. Envoyez des exemples. Demandez à vos employés de s’engager à leur tour dans votre système pour voir qui reçoit et comprend votre message. Testez, testez et retestez votre ENS avant une crise.
En espérant que vos plans fonctionneront exactement comme prévu
Lorsque vous réunissez des membres de l’ensemble de votre organisation et que vous consacrez du temps à une planification minutieuse, il peut être facile de supposer que vos plans fonctionneront comme prévu, en particulier si ces plans n’ont pas échoué ou ne se sont pas révélés inefficaces au cours des tests et des simulations.
L’hypothèse selon laquelle tout va bien et tout fonctionne bien peut s’avérer préjudiciable. La plupart des organisations qui ont été confrontées à de véritables perturbations vous diront qu’il se produit toujours quelque chose qui n’avait pas été envisagé ou qu’un élément censé fonctionner correctement ne l’a pas fait. Voici quelques exemples de l’échec des plans de continuité des activités. Ne pensez donc jamais qu’ils sont à l’épreuve des défaillances.
Mettez en œuvre des mesures de réussite et procédez régulièrement à l’évaluation et à l’analyse de votre programme afin d’orienter les mises à jour et les révisions de votre plan, le cas échéant.
Votre entreprise change et évolue en permanence, c’est pourquoi vous avez besoin d’un programme de prévention des crises qui soit également évolutif et flexible.
Croire que vous avez réglé tous les problèmes d’infrastructures critiques
Les questions relatives aux infrastructures critiques et la réponse à y apporter sont importantes pour les plans de continuité des activités et de reprise après sinistre. Vous disposez peut-être de générateurs de secours pour vos opérations en cas de panne prolongée. Vous avez probablement beaucoup investi dans du matériel pour que votre équipe reste en ligne et connectée, mais qu’en est-il de l’impact des perturbations de l’infrastructure critique à l’extérieur de votre organisation ?
Que se passe-t-il si toute votre région n’est pas approvisionnée en eau ? Vos employés peuvent-ils utiliser les toilettes sur place ou se laver les mains ? Que se passe-t-il si les routes principales pour se rendre au travail sont fermées ou endommagées ?
Que se passe-t-il si vos employés peuvent travailler hors site, comme à domicile, mais que leurs sites distants n’ont pas accès aux infrastructures critiques ?
Ces oublis d’infrastructure peuvent vous empêcher de démarrer rapidement votre activité. Ne soyez pas pris au dépourvu. Prévoyez tous les problèmes d’infrastructure possibles – pas seulement sur site – et sachez comment votre équipe peut s’adapter afin d’atténuer les obstacles et de redevenir opérationnel.
Ne pas inclure l’informatique dans les plans de la CB parce qu’ils ont leurs propres plans techniques
En matière de prévention des crises et de reprise après sinistre, il est facile de supposer que vos équipes informatiques savent exactement ce qu’il faut faire en cas de crise ou de perturbation.
Par nature, ces équipes sont habituées aux obstacles. Les réseaux tombent en panne, les serveurs tombent en panne, les ordinateurs et les téléphones cessent soudainement de fonctionner. C’est pourquoi les équipes informatiques sont généralement parmi les plus flexibles et les plus dynamiques de votre organisation. La plupart d’entre elles disposent de plans de sauvegarde des données et savent ce qu’il faut faire pour faire fonctionner les systèmes afin que votre équipe puisse fonctionner malgré les revers.
Mais comme l’informatique peut être plus axée sur les fonctions quotidiennes, vous risquez de faire échouer votre programme de prévention des crises si vous n’incluez pas l’informatique dans votre planification globale.
Discutez avec les services informatiques de leurs plans et processus existants. Travaillez ensemble pour les intégrer dans votre stratégie globale. La connaissance intime que votre équipe informatique a des besoins technologiques de votre organisation peut s’avérer cruciale pour la réussite de votre projet.
N’oubliez pas non plus vos fournisseurs informatiques tiers. Par exemple, si vous utilisez un produit SaaS, des applications, des logiciels spécifiques à un service ou des outils de commerce électronique, vous devez vous assurer qu’ils disposent de leurs propres processus de continuité d’activité et de reprise après sinistre.
Mauvaise évaluation de l’ampleur de la catastrophe ou de l’impact qu’elle aura
Ne pas avoir une vision d’ensemble lors de la planification peut avoir des effets dévastateurs sur vos opérations. Supposons, par exemple, que vous n’ayez jamais planifié un tremblement de terre parce que vous n’en avez jamais eu. Quelques secousses sismiques et vous vous demanderez pourquoi vous n’y avez jamais pensé.
Ou peut-être avez-vous prévu de faire face à un ouragan sur la côte, mais pas à l’intérieur des terres, où les dégâts causés par les tempêtes pourraient être plus étendus et plus graves que prévu.
Ou peut-être avez-vous prévu une coupure de courant et un rétablissement pour un seul site, mais que se passe-t-il si tous vos sites subissent une coupure de courant en même temps ? Êtes-vous prêt ?
Ne pensez jamais pouvoir prédire exactement la durée de l’impact d’une perturbation sur votre organisation, ni même sa portée financière totale. Le vieil adage – espérer le meilleur mais se préparer au pire – doit guider vos attentes en la matière.
Au revoir les hypothèses
Pour garantir la réussite de votre programme de CB, essayez d’éviter les hypothèses lorsque vous le pouvez, mais si vous devez en faire, validez-les dès que vous le pouvez. Remplacez les hypothèses par des données et des informations exploitables et travaillez en permanence à l’amélioration de la résilience et de la maturité de votre programme de prévention des crises.
