Cet article donne un aperçu de la pratique professionnelle 1 (PP1) de GPG – Gestion des politiques et des programmes, la première des six pratiques professionnelles, et examine l’importance et les recommandations pour établir les bases d’un programme de continuité des activités reproductible et évolutif.

VUE D’ENSEMBLE DU PP1

Le PP1 décrit un certain nombre d’activités que les organisations devraient envisager de mener à bien avant de réaliser des activités de planification de la continuité des activités (de l’analyse de l’impact sur les activités à l’exercice) :

  • DÉFINIR UNE POLITIQUE DE CONTINUITÉ D’ACTIVITÉ qui « communique aux parties intéressées les principes auxquels l’organisation aspire » en décrivant le but et les objectifs du programme de continuité d’activité. Une déclaration de politique de programme solide doit être courte et succincte, tout en fournissant les détails nécessaires au programme pour en mesurer les performances. Le PP1 suggère que les politiques fournissent la définition de la continuité d’activité de l’organisation, le champ d’application du programme, les parties concernées et la manière dont le programme sera géré.
  • DÉTERMINER LE CHAMP D’APPLICATION DU PROGRAMME qui définit « ce que [the program] est conçu pour protéger et l’étendue maximale des dommages, des pertes ou des interruptions auxquels l’organisation peut raisonnablement survivre ». Souvent, les organisations choisissent d’abord d’axer leur programme de continuité d’activité sur un sous-ensemble de l’organisation (plutôt que sur l’ensemble de l’organisation), généralement en sélectionnant les produits ou services les plus importants fournis par l’organisation (par exemple, ceux qui génèrent des revenus, ceux qui sont tournés vers l’extérieur). Une déclaration de portée bien élaborée documente clairement ce qui est inclus dans le programme et ce qui ne l’est pas (exclusions). Cela permet de concentrer les ressources sur ce qui est le plus important et le plus urgent, et d’éviter que les activités de planification (par exemple l’élaboration du plan) ne se déroulent en dehors des limites approuvées du programme.
  • DÉFINIR LA GOUVERNANCE qui établit un programme soutenu par la direction. Cela permet de s’assurer que la direction dirige en permanence la mise en œuvre du programme et qu’elle contrôle/valide les performances et les résultats du programme. Le soutien requis de la direction peut inclure l’approbation du budget ou de l’investissement nécessaire, la mise à disposition d’un personnel adéquat, la participation à des activités de programme très visibles et l’examen régulier des résultats du programme.
  • METTRE EN ŒUVRE UN PROGRAMME DE GCA durable, reproductible et fondé sur une portée et des objectifs approuvés par la direction. Dans le cadre de la mise en œuvre du programme, les praticiens devraient procéder à l’intégration des parties prenantes (par exemple, présentation, introduction au programme ou table ronde), exécuter les éléments du programme (par exemple, analyse de l’impact sur l’entreprise, élaboration du plan et activités de test), sensibiliser les employés et assurer une amélioration continue en adoptant des techniques de gestion de projets/programmes.
  • Attribuez les rôles et les responsabilités aux personnes capables de mettre en œuvre et de maintenir le programme de continuité des activités conformément aux attentes de la direction. Dans le cadre du processus d’intégration du personnel, la direction doit s’assurer que le personnel affecté possède les compétences nécessaires en fonction de son rôle dans le programme de continuité des activités ; si ce n’est pas le cas, le personnel doit suivre et obtenir la formation interne ou externe nécessaire.
  • ADOPTER DES TECHNIQUES DE GESTION DE PROJET ET DE PROGRAMME pour permettre un déploiement cohérent du projet qui réponde aux attentes de la direction et respecte les délais et les budgets approuvés. Pour ce faire, le personnel doit établir une liste des éléments de gestion du programme, tels que l’objectif, la portée, le calendrier, les tâches, le personnel, les ressources et les étapes, et veiller à ce que ces éléments soient correctement identifiés avant le lancement du projet. Une fois les projets terminés et le programme entièrement mis en œuvre, le personnel doit poursuivre un cycle d’amélioration continue pour garantir l’efficacité du programme, ce qui peut se faire par le biais d’auto-évaluations régulières, d’audits ou d’études comparatives.
  • GÉRER LES ACTIVITÉS EXTÉRIEURES ET LA CONTINUITÉ DE LA CHAÎNE D’APPROVISIONNEMENT afin de minimiser l’impact sur l’organisation d’un incident affectant un tiers sur lequel l’organisation s’appuie. Les organisations peuvent choisir (et doivent) de présélectionner les fournisseurs entrants en examinant et en évaluant leur programme et leur documentation en matière de continuité des activités, et elles doivent contrôler régulièrement les accords de niveau de service et les stratégies de reprise des fournisseurs pour s’assurer qu’ils répondent aux attentes internes.
  • GÉRER LA DOCUMENTATION DU PROGRAMME de manière à ce que les documents soient cohérents et faciles à utiliser. Selon la taille de l’organisation, certains praticiens choisissent d’utiliser un logiciel pour maintenir la documentation interne relative à la continuité des activités (par exemple, les BIA et les plans). Quelle que soit la méthode utilisée, les organisations doivent veiller à ce que toute la documentation nécessaire soit élaborée, accessible à toutes les parties participantes et révisée/réactualisée régulièrement.

PP1 VALEUR

Le PP1 contient un ensemble d’éléments fondamentaux nécessaires pour garantir que la continuité des activités s’aligne sur la stratégie de l’organisation. Le PP1 contribue également à la mise en place d’un processus de planification reproductible permettant d’obtenir des résultats en matière de continuité des activités conformes aux besoins et aux attentes des parties prenantes.

Sans les résultats du PP1, le programme de continuité des activités manquerait d’orientation et de priorité, et il est probable que les participants au programme ne sauraient pas en quoi consiste leur rôle et quelle est la meilleure façon de s’engager dans l’effort de planification.

Aperçu de la valeur du PP1 :

  • UNE POLITIQUE QUI ALIGNE LE PROGRAMME DE CONTINUITÉ DES ACTIVITÉS SUR LES MEILLEURES PRATIQUES DU SECTEUR. Les professionnels de l’industrie développent des bonnes pratiques et des normes (par exemple, les bonnes pratiques de BCI et ISO 22301) basées sur des pratiques communes et des conseils à travers divers secteurs, pays et considérations organisationnelles. Les praticiens qui suivent les meilleures pratiques de développement de programme aident à garantir que le programme de continuité d’activité de l’organisation reflète les stratégies communes et éprouvées de l’industrie et l’évolution des menaces et de l’environnement de planification.
  • UNE POLITIQUE FOURNIT UNE ASSURANCE AU CLIENT. De nombreuses organisations exigent que leurs vendeurs et fournisseurs disposent d’un programme de continuité des activités afin d’assurer la continuité des fournisseurs et des vendeurs. Une politique de programme établie fournit à l’organisation un résumé cohérent et concis de son programme qui peut être fourni aux clients à titre de référence.
  • UNE POLITIQUE ASSURE LA COHÉRENCE DU PROGRAMME. Les grandes organisations choisissent souvent de mettre en place une équipe internationale dédiée à la continuité des activités ou de faire appel à du personnel de soutien local/régional pour les aider à mettre en œuvre le programme. Une déclaration de politique claire définit les attentes pour tous les employés et les participants au programme dans l’organisation, assure une exécution cohérente du programme et communique les objectifs, les moteurs et les attentes de la direction. En outre, des activités de programme bien établies, des stratégies de gestion de projet et des rôles et responsabilités contribuent également à cet effort.
  • UNE POLITIQUE GARANTIT LA REPRODUCTIBILITÉ DU PROGRAMME. Un énoncé de politique bien conçu qui définit clairement la portée, les participants et les activités du programme empêche la direction de redéfinir et de réinventer le programme année après année. Bien que le programme lui-même doive être modifié pour tenir compte de l’évolution des priorités de l’organisation ou des menaces, une politique documentée fournit à la direction une base de référence à revoir et à modifier, le cas échéant.
  • UNE POLITIQUE ENGAGE LA DIRECTION ET S’ASSURE DE SON SOUTIEN. L’adhésion de la direction est essentielle pour apporter des améliorations au programme et faire face aux changements en cours afin de s’adapter à l’évolution de l’environnement des menaces tout en respectant les engagements internes et externes. L’adhésion de la direction permet également de sensibiliser l’organisation et d’orienter les activités du programme. L’adoption d’une politique approuvée par la direction permet de maintenir l’élan et d’aligner les stratégies de planification sur les priorités de l’organisation.

ÉTUDE DE CAS PP1

Lorsque les organisations décident de mettre en œuvre un programme de continuité d’activité, beaucoup ont tendance à passer directement aux éléments tactiques du programme (tels que la réalisation d’une analyse d’impact sur l’activité et l’élaboration de plans), ignorant ainsi la nécessité d’établir d’abord une base solide sur laquelle ces éléments du programme pourront être construits. Bien que les éléments tactiques soient souvent les plus visibles, il y a de nombreuses raisons pour lesquelles une organisation devrait faire l’effort de suivre les conseils fournis dans le PP1.

L’étude de cas suivante illustre pourquoi les organisations ont intérêt à établir un programme reproductible et une politique avant de passer directement à la mise en œuvre des éléments tactiques du cycle de vie de la continuité d’activité.

Le conseil d’administration de l’entreprise X a émis une directive demandant à l’organisation de mettre en œuvre un programme de continuité des activités. Pour se conformer à cette directive, l’organisation a chargé une ressource interne, le coordinateur de la continuité des activités, d’entamer ce processus. Après avoir lu un certain nombre d’articles sur le web, le coordinateur a décidé de commencer par effectuer une analyse d’impact sur les activités et de rédiger la documentation du plan de continuité des activités. Une fois la documentation du plan finalisée, le coordinateur s’est rendu compte de quelques problèmes majeurs :

  • Elle ne savait pas si l’organisation pouvait réellement répondre aux attentes de la direction en cas d’incident perturbateur.
  • Elle s’est rendu compte que ses efforts constituaient une évaluation ponctuelle et qu’elle ne savait pas comment les efforts se poursuivraient après l’effort initial
  • Elle ne pensait pas que l’organisation était en meilleure position qu’elle ne l’était avant ses efforts parce qu’elle n’avait pas investi de ressources dans des capacités de reprise réelles (par exemple, un espace de travail alternatif ou une reprise après sinistre informatique).
  • Les personnes qu’elle souhaitait à l’origine voir participer aux efforts ne l’ont pas fait, car elles ont délégué à des niveaux inférieurs de l’organisation.

En raison de ces préoccupations, la coordinatrice de la continuité des activités a commencé à effectuer des recherches plus approfondies et à s’entretenir avec des groupes industriels. Ces recherches supplémentaires lui ont permis de réaliser qu’elle n’avait pas établi de programme avant d’entreprendre des activités spécifiques à la continuité des activités. Elle n’a donc pas obtenu les résultats escomptés. La coordinatrice a alors pris du recul et a mis en œuvre les actions suivantes :

  • Elle a élaboré et présenté sa politique de continuité des activités, qui a été publiée et communiquée à l’ensemble de l’organisation, et a reçu l’aval de la direction générale.
  • Elle a élaboré des procédures opérationnelles normalisées qui décrivent le processus par lequel elle a mis en œuvre les activités de continuité des activités afin de s’assurer que le processus continuerait à se dérouler de manière récurrente.
  • Création d’un comité de pilotage qui a contribué à définir la portée du programme et les tolérances en matière de temps d’arrêt, qui a examiné et approuvé les résultats et les investissements, qui a joué un rôle de chef de file et qui a assuré le « bon » niveau de participation et de soutien.

À la suite de ces actions, le coordinateur a constaté que le programme était aligné sur les objectifs stratégiques de l’organisation, qu’il était soutenu par les niveaux appropriés de l’encadrement supérieur de l’organisation et qu’il pouvait effectivement répondre aux attentes des parties prenantes internes et externes en cas d’incidents perturbateurs réels.

CONCLUSION

Les conseils contenus dans les bonnes pratiques du BCI aident les praticiens à comprendre et à mettre en œuvre le programme tout en garantissant la cohérence avec les normes internationales contenues dans la norme ISO 22301.