Cet article donne un aperçu de la pratique professionnelle 4 (PP4) – Conception, qui est la pratique professionnelle qui « identifie et sélectionne les stratégies et tactiques appropriées pour déterminer comment la continuité et le rétablissement après une perturbation seront réalisés ». Les activités de conception de stratégies sont essentielles pour traduire les résultats recueillis au cours de la phase d’analyse en stratégies exploitables que l’organisation peut mettre en œuvre et affiner au fil du temps afin d’améliorer sa capacité à réagir et à se remettre d’une perturbation.
VUE D’ENSEMBLE DE LA PP4
Le PP4 décrit trois domaines principaux à prendre en compte dans le processus d’élaboration de la stratégie, à savoir la conception de stratégies et de tactiques de continuité et de reprise, de mesures d’atténuation des menaces et d’une structure de réponse aux incidents. Examinons chacun de ces domaines de plus près.
- Stratégies et tactiques de continuité et de récupération. Des activités de conception stratégique et tactique sont entreprises pour traiter les risques liés à la continuité identifiés au cours de la phase d’analyse afin de faciliter le rétablissement d’un produit, d’un service, d’un processus, d’une activité ou d’une ressource. Les BPM recommandent d’identifier les stratégies à différents niveaux au sein d’une organisation, de la même manière que l’approche recommandée pour la réalisation des analyses d’impact sur les activités (AIA). L’identification des stratégies comprend le développement des niveaux stratégique, tactique et opérationnel. Ces distinctions peuvent être quelque peu artificielles et les BPM en tiennent compte en divisant les approches recommandées en stratégies de reprise de haut niveau (conçues pour continuer à fournir des produits et des services) et en tactiques (conçues pour rétablir les exigences en matière de ressources).
- Mesures d’atténuation des menaces. Alors que les stratégies de continuité et de reprise sont hiérarchisées et conçues en fonction du produit, du service ou du processus, l’atténuation des menaces (risques) cible des menaces ou des événements spécifiques. L’objectif des efforts d’atténuation des menaces est d’identifier les contrôles permettant de réduire la probabilité ou l’impact d’une menace spécifique. Dans certains cas, les processus d’atténuation des menaces peuvent ne pas relever directement de la continuité des activités et comprendre des mesures d’atténuation nécessitant l’intervention d’autres experts en la matière.
- Une structure de réponse aux incidents. La mise en place d’une structure d’intervention en cas d’incident implique de constituer les bonnes équipes et de créer des cadres d’intervention pour s’assurer qu’une organisation peut réagir à une perturbation et s’en remettre. Le PP4 indique que l’objectif de la conception d’une structure de réponse aux incidents est de « s’assurer qu’il existe un mécanisme documenté et parfaitement compris pour répondre à un incident susceptible de perturber l’organisation ». Il peut être utile de mettre en place des équipes d’intervention à chaque niveau de l’organisation (stratégique, tactique et opérationnel), et le PP4 souligne qu’il incombe à l’organisation de concevoir la structure et le cadre les plus pertinents.
En abordant chacun de ces domaines, le PP4 suppose qu’une organisation aura mis en place des processus et des stratégies suffisants pour permettre la documentation du plan et des activités supplémentaires au cours de la phase de mise en œuvre (PP5). La combinaison des résultats des PP4 et PP5 permettrait une réponse et un rétablissement suffisants à la suite d’un incident.
PP4 VALEUR
La difficulté de concevoir une stratégie de continuité des activités, d’atténuation des menaces ou de structure de réponse consiste à s’assurer qu’elle est adaptée à l’organisation. « Il n’existe pas de solution universelle. En raison de cette réalité, la norme ISO 22301 est volontairement vague, indiquant que les organisations doivent déterminer et sélectionner des stratégies et établir des exigences en matière de ressources, sans fournir de détails sur ce à quoi ces stratégies peuvent ressembler. La PP4 reconnaît également cette réalité ; cependant, elle documente des stratégies, des tactiques et des conseils de haut niveau qui peuvent être appliqués à des organisations individuelles. Examinons quelques-uns des avantages les plus significatifs :
Identifie les approches stratégiques et tactiques pour réduire les risques liés à la continuité des activités
Étant donné qu’un plan de continuité ne vaut que par la stratégie qu’il reflète, il est essentiel que les organisations se concentrent sur les activités de conception de la stratégie. La conception de la stratégie implique de comprendre les exigences recueillies au cours de l’analyse de l’impact sur la continuité des activités et de l’évaluation des risques et de les traduire efficacement en stratégies réalisables. En outre, les praticiens doivent prendre en compte les coûts/bénéfices de toute stratégie proposée. Le PP4 apporte une valeur ajoutée à ce processus en fournissant aux praticiens un point de départ pour l’identification de stratégies de haut niveau :
Pour compléter les stratégies de haut niveau, le PP4 décrit en outre les considérations tactiques à prendre en compte pour qu’une stratégie de haut niveau soit efficace :
Pour être le plus efficace possible, les praticiens doivent sélectionner une stratégie appropriée basée sur les exigences de récupération, puis l’évaluer en fonction de toute considération tactique afin de s’assurer que la stratégie sera efficace.
Identifie les contrôles visant à minimiser les risques spécifiques à la menace
Le PP4 permet de documenter le processus qui peut être utilisé pour identifier les contrôles spécifiques à la menace et les mesures proactives visant à réduire la probabilité ou l’impact d’un événement spécifique. Cette activité complète l’analyse des menaces (si elle a été entreprise) au cours de la phase d’analyse. Une organisation utilisera l’analyse pour déterminer les menaces les plus pertinentes et travaillera avec des experts en la matière pour développer des contrôles supplémentaires. Le processus d’identification des contrôles nécessitera probablement une analyse coût/bénéfice pour déterminer si le coût de mise en œuvre d’un contrôle est justifié par le niveau de risque qui serait corrigé et les coûts potentiels pour l’organisation si le risque n’était pas atténué. Parmi les exemples de contrôles, on peut citer l’amélioration de la sécurité de l’information, les systèmes d’extinction des incendies, etc.
Facilite la conception de structures de réponse aux incidents pertinentes pour l’organisation
Afin d’utiliser des stratégies de continuité des activités et d’assurer le commandement et le contrôle à la suite d’une perturbation, les organisations doivent établir un certain type de structure de réponse aux incidents. La norme ISO 22301 (section 8.4.2) et le PP4 contiennent tous deux des orientations similaires pour la mise en place d’une structure de réponse aux incidents. Le PP4 apporte une valeur ajoutée en documentant les considérations que le praticien doit évaluer au cours du processus de conception. Aucune des deux sources n’indique à quoi doivent ressembler les équipes ou les types de personnes qui doivent en faire partie ; cependant, le PP4 fournit des conseils concernant les rôles et les responsabilités de la structure d’intervention dans son ensemble. Cela signifie que toute équipe créée dans le cadre de ce processus doit être en mesure de.. :
- Mobilisez les équipes [response and recovery]
- Activer les plans
- Invoquer des ressources
- Communiquer avec les parties intéressées
- Communiquer avec les médias
- Rendre compte du bien-être du personnel
- Escalade des activités
- Assurer le commandement et le contrôle
- Fixer des limites aux dépenses et à la délégation
- Tenir compte de l’évolution des priorités en fonction de la situation
En élaborant des stratégies et des tactiques de continuité et de reprise, des mesures d’atténuation des menaces et une structure appropriée de réponse aux incidents, une organisation sera prête à mettre en œuvre les solutions décrites dans les plans de continuité et de reprise des activités.
PP4 ETUDE DE CAS
L’entreprise X est une organisation du secteur privé en plein essor qui fournit des services de surveillance de la sécurité aux propriétaires de maisons. Elle a récemment mis en place un programme de continuité des activités et de reprise après sinistre informatique et a achevé la phase d’analyse en réalisant un BIA et une évaluation des risques. Tout au long de ce processus, elle a identifié une poignée de services critiques au niveau stratégique, dont le plus urgent est la capacité à fournir des services de surveillance à domicile et à avertir les autorités en cas d’effraction sur le site d’un client. Au niveau tactique/opérationnel, l’organisation a ensuite identifié une série de ressources nécessaires pour continuer à fournir ce service critique, notamment un centre d’appel (centre de surveillance des événements), une infrastructure informatique (y compris un système téléphonique), le personnel du centre d’appel et une série de systèmes nécessaires pour se connecter aux alarmes des clients et contacter les autorités locales. L’entreprise X dispose d’une équipe de gestion de crise (CMT), mais n’a pas d’autres équipes d’intervention formelles.
En raison d’accords contractuels très stricts dans les contrats des clients, du risque de responsabilité juridique et de l’impact potentiel sur la sécurité des clients, le service de surveillance à domicile se voit attribuer une période d’interruption maximale tolérable de 30 minutes. Le RTO associé n’est que de 15 minutes, ce qui rend la réponse et la reprise très difficiles. En outre, au cours d’une analyse des menaces, ils ont noté que les pannes d’électricité et de télécommunications représentaient le niveau de risque le plus élevé. En utilisant les informations du PP4 comme point de départ, l’organisation entame le processus de conception de la stratégie :
Sur la base d’une analyse initiale de la stratégie, le praticien propose deux solutions potentielles à la direction : la diversification ou l’utilisation d’un fournisseur sous contrat pour fournir un centre d’appel et des capacités de réponse à la suite d’une perturbation. Le praticien note que la reproduction peut être une stratégie acceptable si la direction est prête à accepter un risque supplémentaire ; toutefois, la direction indique que cette stratégie ne correspond pas à sa tolérance au risque. La direction demande au praticien de poursuivre la stratégie de diversification et d’identifier un site secondaire potentiel qui assure la redondance et la haute disponibilité.
À l’aide des critères tactiques du PP4 et des conseils de la direction, le praticien évalue les options disponibles :
L’entreprise X décide qu’elle doit revoir sa structure de réponse aux incidents pour s’adapter à la nouvelle stratégie. L’entreprise X disposait déjà d’une CMT, mais elle décide maintenant qu’elle aura besoin d’entités d’intervention supplémentaires pour gérer le nouveau site. L’entreprise X décide de créer des équipes de récupération départementales pour surveiller les activités de récupération tactique/opérationnelle pour les centres de surveillance des événements sur les sites principal et secondaire, en plus des équipes pour les autres départements impliqués dans le processus de réponse et de récupération, tels que l’informatique et les installations. En utilisant le PP4 comme point de départ, le praticien a conçu des stratégies et des structures de réponse adaptées à l’organisation.
DERNIÈRES RÉFLEXIONS
Documenter le processus de traduction des exigences de la phase d’analyse en stratégies concrètes est une activité essentielle pour les professionnels de la continuité d’activité. Le PP4 fournit des exemples de stratégies et de tactiques de haut niveau qui peuvent servir de point de départ aux praticiens et de feuille de route pour l’ensemble du processus.
Si vous souhaitez discuter des BPM, de l’alignement sur la norme ISO 22301 ou de la poursuite de la certification, n’hésitez pas à nous contacter. Nous nous réjouissons d’avoir de vos nouvelles !
