Dès le début du développement d’un programme de continuité d’activité, un cadrage minutieux et pragmatique peut faire la différence entre des gains rapides et appropriés et un effort de planification sans fin avec peu de capacité. Cependant, au lieu de prendre le temps de bien définir le périmètre et les priorités de l’effort de continuité d’activité (et de fournir des ressources en conséquence), les organisations adoptent souvent une approche « tout ou rien » de la planification – planifier pour chaque « case de l’organigramme », chaque installation, chaque application et chaque ressource. Beaucoup d’organisations ne réalisent pas que la continuité des activités peut, et souvent doit, concerner dans un premier temps les produits et services les plus critiques ou sensibles au facteur temps d’une organisation, pour s’étendre ensuite à d’autres parties de l’organisation.

Un périmètre approprié permet à une organisation de planifier efficacement un incident perturbateur. En outre, une définition efficace du périmètre permet à une organisation de donner la priorité aux produits et services critiques lors de la mise en œuvre initiale de la continuité d’activité et d’étendre le programme à des domaines moins critiques au fil du temps. Dans l’idéal, une entreprise définit le périmètre de la continuité d’activité en fonction des facteurs suivants, qui sont abordés plus en détail dans la suite de ce billet :

  1. Exigences des parties prenantes
  2. Produits et services
  3. Appétence pour le risque

Comprendre les besoins
Le plus important est qu’un programme de continuité d’activité bien défini tienne compte des besoins des parties prenantes. Les parties prenantes comprennent les clients, les régulateurs, la direction et d’autres parties intéressées. Chaque groupe de parties prenantes a des attentes et, pour être efficace, la continuité d’activité doit répondre à ces attentes et protéger l’organisation contre leur violation. Par conséquent, une organisation doit concevoir son programme de continuité d’activité de manière à se protéger contre les conséquences de la violation d’exigences clés, telles que

  • Obligations contractuelles (accords de niveau de service)
  • Exigences réglementaires
  • Promesses des clients
  • Engagements des employés
  • Exigences en matière de santé et de sécurité

Bien que les besoins varient considérablement en fonction d’un certain nombre de facteurs, une organisation aura beaucoup de mal à établir des priorités, et encore plus à construire et à maintenir un programme efficace de continuité des activités, sans comprendre ses besoins. En outre, une fois les besoins compris, une organisation peut documenter un ensemble spécifique et approprié d’objectifs de continuité d’activité.

Définir les produits et les services
Après avoir compris ses obligations et établi des objectifs de continuité des activités, une organisation peut poursuivre l’effort de cadrage en comprenant et en évaluant ses produits et ses services (résultats bénéfiques fournis par une organisation à ses clients, destinataires et parties intéressées – ISO 22301) fournis à chaque groupe de parties prenantes concerné. La définition des produits et des services est un moyen efficace de gérer l’effort de cadrage à un niveau stratégique, car les produits et les services sont facilement compris par la direction, les employés, les régulateurs et les clients. Ils créent de la valeur ! Après avoir dressé l’inventaire de ses produits et services, l’organisation doit déterminer si une interruption de chaque produit et service entraînerait l’impossibilité de se conformer aux exigences de l’organisation et/ou aux objectifs de continuité des activités (tels que décrits ci-dessus), ou aurait des conséquences inacceptables. Les produits et services dont l’interruption entraînerait le non-respect d’obligations ou des conséquences inacceptables doivent être considérés comme faisant partie du champ d’application, de même que tous les services, activités et ressources qui les soutiennent.

Une fois que l’organisation a défini une liste de produits et de services « dans le champ d’application », elle peut et doit récupérer l’organigramme et commencer à mettre en correspondance les départements ou les unités d’affaires avec ces produits et services (en gardant à l’esprit que chaque département ne sera pas inclus). Cet exercice permet à l’entreprise de commencer à comprendre et à hiérarchiser les domaines d’activité critiques qui doivent être couverts par la continuité d’activité et donne également une idée du temps et des ressources nécessaires à la mise en œuvre de la continuité d’activité. À l’issue de cette activité, l’organisation devrait avoir une idée des produits et services concernés et une liste ou une « carte » des départements qui soutiennent ou fournissent ces produits et services.

Le graphique ci-dessous illustre la relation entre les produits et services, les départements, les activités et les ressources. Remarque : Avalution recommande d’identifier les activités et les ressources au cours de l’analyse d’impact sur l’entreprise et non au cours de la phase de cadrage.

Définir l’appétit pour le risque
À ce stade de l’effort de cadrage, une organisation doit avoir une compréhension claire des exigences et des objectifs en matière de continuité des activités, ainsi qu’un inventaire initial des produits, des services et des départements concernés par le cadrage.

La dernière activité du processus de cadrage consiste à définir la propension au risque d’une organisation (les impacts qu’une organisation n’est pas disposée à tolérer ou qui sont jugés inacceptables). Pour parvenir à un consensus sur ce sujet, l’organisation doit s’appuyer sur les informations recueillies lors des deux activités précédentes et présenter à la direction les impacts potentiels associés à l’incapacité de fournir les produits et services entrant dans le champ d’application. La direction doit ensuite donner des indications sur les impacts qui sont inacceptables, et notamment sur le temps d’arrêt que l’organisation est prête à tolérer.

Bien que les impacts potentiels varient selon les organisations et les secteurs, les catégories suivantes constituent un bon point de départ pour comprendre et définir les impacts potentiels associés à un incident perturbateur :

  • Impacts réglementaires
  • Incidences juridiques et/ou contractuelles
  • Impacts sur les clients
  • Impacts financiers
  • Impacts opérationnels
  • Impacts sur la réputation

Sur la base des orientations fournies par la direction, une organisation peut formellement définir et documenter son appétit pour le risque en utilisant des critères qui décrivent l’impact inacceptable. Les temps d’arrêt associés aux produits et services, aux départements et aux ressources susceptibles de dépasser la tolérance au risque d’une organisation doivent être inclus dans le champ d’application du programme de continuité des activités.

Conclusion
Sur la base des exigences et des obligations, de l’importance des produits et services de l’organisation et d’une appétence pour le risque documentée, une organisation peut documenter une déclaration formelle sur le champ d’application qui établit les limites de l’effort de continuité de l’activité.

Les organisations se retrouvent souvent à développer ou à essayer de maintenir des programmes de continuité des activités sans avoir une compréhension ou une définition formelle du champ d’application du programme. Cela entraîne une série de problèmes, notamment une mauvaise affectation des ressources, des objectifs de préparation mal définis, une incapacité à maintenir des stratégies de reprise et des difficultés à faire appliquer la politique. Un cadrage efficace permet non seulement de cibler le programme, mais aussi de formaliser les objectifs de continuité des activités, de définir les produits et services concernés et de faciliter l’accord sur l’appétit pour le risque.

En d’autres termes, un cadrage efficace est l’un des moyens les plus sûrs d’éviter (ou de remédier à) l’inefficacité des programmes de continuité des activités et d’aligner le champ d’application d’un programme sur les attentes des parties prenantes.

La continuité des activités et la planification de la reprise des activités informatiques sont nos activités principales. Si vous cherchez de l’aide pour mettre en place ou améliorer votre programme de continuité des activités, nous pouvons vous aider.