Par Dr. Philip Moulton | Conseiller en risques stratégiques | Directeur des risques

La GRE et la résilience organisationnelle ont traditionnellement fonctionné en parallèle, mais dans des programmes séparés. L’un suit l’appétit pour le risque stratégique et les expositions de l’entreprise. L’autre assure la continuité lorsque l’inattendu survient.

Mais cette séparation n’est plus seulement inefficace. Elle peut également attirer l’attention des organes de surveillance.

Aujourd’hui, les régulateurs, les agences de notation et les conseils d’administration attendent davantage. La résilience ne consiste pas seulement à se remettre d’une crise, mais à continuer de performer pendant celle-ci. La GRE et la résilience doivent travailler en parfaite harmonie pour optimiser les deux programmes.

La nouvelle attente

Cette convergence des meilleures pratiques devient rapidement la nouvelle norme de référence.

Au cours des dix dernières années, et dans de nombreux secteurs d’activité – services financiers, santé, services publics, télécommunications et plus encore – les régulateurs ont relevé le niveau d’exigence.

  • La règle de divulgation cybernétique de la SEC exige des sociétés cotées qu’elles divulguent les incidents cybernétiques importants dans un délai de quatre jours, ainsi que des mises à jour annuelles sur la surveillance de la gouvernance.
  • L’ORSA de la NAIC attend des assureurs qu’ils intègrent la planification de la continuité dans leurs stratégies de capital.
  • Les directives NERC CIP, AWIA de l’EPA et CISA exigent une planification validée de la reprise pour les secteurs d’infrastructures critiques.
  • Dans les industries de la santé et pharmaceutique, les CMS et la FDA exigent une préparation aux situations d’urgence, des analyses d’impact sur les activités et des tests de continuité conformes aux priorités basées sur les risques.

Le message de ceux chargés des responsabilités de surveillance est cohérent : identifier les risques et les atténuer ne suffit pas. Les organisations doivent démontrer qu’elles peuvent continuer à fonctionner lorsque des événements à fort impact se produisent.

Malgré ces attentes, les équipes de GRE et de résilience peuvent rester déconnectées, parlant des langages différents, utilisant des données différentes, et rapportant par des canaux et des parties différentes de l’organisation.

Cette division mènera inévitablement à des objectifs mal alignés, des efforts dupliqués et une vision fragmentée du risque et de la reprise.

En revanche, lorsque les équipes de GRE et de résilience collaborent, les organisations gagnent un avantage stratégique. Les déclarations d’appétit pour le risque élaborées par l’équipe GRE peuvent se transformer en objectifs de reprise quantifiables développés par l’équipe de résilience. Les exercices de continuité des activités peuvent servir de tests de scénarios de stress. Les conseils d’administration obtiennent un récit cohérent et détaillé sur les expositions aux événements perturbateurs et la capacité opérationnelle à les gérer. Et le programme de résilience est plus étroitement lié aux objectifs stratégiques et prioritaires de l’entreprise.

Défis quotidiens

Un défi dans l’intégration est que les équipes de GRE et de résilience fonctionnent différemment au quotidien. La GRE est axée sur les scénarios, orientée vers la stratégie et souvent concentrée sur les questions et défis financiers, réputationnels ou réglementaires. La résilience organisationnelle est procédurale, opérationnelle et concernée par le maintien du fonctionnement des personnes, des processus et des systèmes sous stress. C’est peut-être une simplification excessive, mais d’après mon expérience, ce n’est pas trop loin de la réalité.

Passer de fonctions parallèles dans différentes voies à un programme intégré de risque et de résilience ne nécessite pas un effort total de reconstruction et de transformation. Cela peut simplement commencer par quelques initiatives de base, mais importantes :

  1. Définir ensemble la « résilience » et la « criticité ». Des définitions partagées sont fondamentales. Les équipes de GRE et de résilience devraient définir conjointement ce que signifie « critique » pour les produits, services, systèmes et fournisseurs – et s’assurer que le registre des risques de l’entreprise et les analyses d’impact sur les activités reflètent les mêmes hypothèses.
  2. Établir une structure de gouvernance conjointe. Un comité de pilotage partagé maintient l’alignement du risque et de la résilience avec la stratégie de l’entreprise et assure une communication cohérente vers la direction et le conseil d’administration.
  3. Utiliser les données de la GRE pour prioriser les tests de résilience organisationnelle. Utilisez le registre des risques de l’entreprise pour prioriser les scénarios de test de résilience. Par exemple, si un fournisseur ou une installation spécifique apparaît dans la catégorie de risque supérieure en GRE, cela devrait orienter les exercices sur table et les tests de récupération.
  4. Traduisez l’appétit pour le risque en objectifs de récupération – Les équipes de GRE établissent les tolérances. Les équipes de résilience les opérationnalisent. Alignez les objectifs de temps de récupération (RTO) avec l’appétit pour le risque déclaré afin de relier la stratégie à l’exécution opérationnelle.
  5. Menez des exercices conjoints. Les exercices codirigés et les rapports post-action permettent à la GRE et à la résilience de valider les hypothèses, de révéler les angles morts et de communiquer conjointement les résultats aux dirigeants et aux conseils d’administration.
  6. Synchronisez les métriques et les tableaux de bord. Connectez les indicateurs clés de risque (KRI) avec les performances de récupération opérationnelle. Les tableaux de bord partagés dans les plateformes GRC peuvent montrer quand les seuils sont dépassés – et avec quelle rapidité l’organisation récupère.

Les avantages de la synchronisation

Au-delà de la synchronisation de la gouvernance et des processus, le reporting intégré est l’endroit où les avantages deviennent tangibles et très visibles pour les décideurs. Lorsque les résultats des risques et de la continuité sont alignés :

  • Les conseils d’administration peuvent voir comment les tolérances au risque déclarées sont liées à la capacité opérationnelle réelle. Par exemple, ils peuvent vérifier que les tolérances au risque approuvées pour les systèmes critiques sont cohérentes avec les RTO réels.
  • Les régulateurs gagnent en confiance dans la gouvernance et la préparation à l’échelle de l’entreprise. En ce qui concerne le risque cyber, par exemple, la GRE peut démontrer une évaluation structurée à travers les catégories d’impact, tandis que la résilience montre comment les plans de réponse abordent chacune de ces catégories.
  • La direction voit où les investissements dans la résilience protègent la valeur. Dans une entreprise alimentaire américaine fin 2021, un atelier conjoint GRE/résilience d’entreprise sur les risques géopolitiques a signalé qu’un ingrédient clé était sourcé d’Ukraine. L’équipe de résilience a initié des contrats d’approvisionnement optionnels avec des fournisseurs canadiens. Alors que la crise russo-ukrainienne s’intensifiait, ces contrats ont été finalisés avant l’invasion, assurant la continuité tandis que les concurrents se débattaient.

Le dernier exemple est la raison la plus convaincante pour laquelle nous devons intégrer. Lorsqu’une perturbation survient – ou est sur le point de survenir – l’organisation peut agir rapidement car la stratégie, les fonctions et les opérations sont davantage synchronisées.

Trop souvent, la résilience d’entreprise est perçue comme un document, un test ou un plan sur une étagère. C’est bien plus que cela. La véritable résilience est une capacité à l’échelle de l’entreprise – une capacité continuellement informée par une compréhension stratégique des risques et une préparation opérationnelle.

En réunissant la GRE et la résilience, les organisations construisent non seulement une défense plus forte, mais aussi une réponse plus intelligente et plus rapide. Des solutions proactives sont identifiées plus tôt – avant qu’une perturbation ne survienne. Et dans un monde où les crises ne sont plus rares, ce n’est pas seulement un avantage concurrentiel. C’est une question de survie.

Pour un examen plus approfondi de l’unification de la GRE et de la résilience, rejoignez notre webinaire du 27 mai, Adopter une approche transversale de la GRE et de la résilience, et découvrez les solutions GRE et Continuité des activités & Résilience de Riskonnect.