La planification de la continuité des activités est intrinsèquement transversale, car il est nécessaire de prendre en compte les risques qui pèsent sur les offres de produits et de services d’une organisation, ainsi que sur les ressources nécessaires pour remplir les obligations. Comme les organisations dépendent de plus en plus d’un réseau mondial de fournisseurs et de prestataires de services, les praticiens de la continuité des activités ont la responsabilité de comprendre et d’analyser ces relations et de diriger les efforts d’identification de la stratégie pour protéger leur organisation lorsqu’elle est confrontée à une perturbation d’une tierce partie.
L’élaboration et la mise en œuvre de stratégies de continuité des activités et d’options de traitement des risques liés aux tiers peuvent s’avérer difficiles, car les stratégies peuvent apparemment contredire les efforts stratégiques d’une organisation visant à exploiter les fournisseurs uniques, à alléger les chaînes d’approvisionnement et à réduire les niveaux de stocks entreposés. Cependant, les praticiens de la continuité des activités doivent fournir à la direction générale les informations nécessaires pour équilibrer les initiatives stratégiques avec la nécessité de réduire les points de défaillance uniques et de protéger l’organisation en cas d’indisponibilité d’une ressource.
Cette perspective aborde les outils disponibles pour identifier et documenter les ressources tierces et les méthodes par lesquelles les risques peuvent être présentés à la direction générale pour examen et action.
Identifier les fournisseurs et les niveaux de risque
Avant de pouvoir traiter les risques ou d’identifier et de mettre en œuvre des stratégies de continuité, les praticiens de la continuité des activités doivent comprendre quels sont les tiers nécessaires pour continuer à fournir les produits et services (critiques) dans le champ d’application, ainsi que le niveau auquel les tiers sont requis dans l’exécution des activités qui soutiennent la fourniture de ces produits et services critiques. La meilleure façon de parvenir à cette compréhension est de veiller à ce que le processus d’analyse de l’impact sur les activités (BIA) comprenne une méthode éprouvée et efficace pour identifier les tiers utilisés par l’organisation, la manière dont ils sont utilisés et engagés, ainsi que l’impact potentiel d’une interruption due à un tiers. Pour ce faire, l’organisation devra réaliser une analyse d’impact sur les activités (si elle ne l’a pas déjà fait) ou mettre à jour une analyse d’impact existante afin d’y intégrer une analyse des fournisseurs tiers.
Une fois que le praticien de la continuité d’activité a identifié les fournisseurs critiques, compris leur utilisation et documenté les impacts potentiels, il doit identifier les contrôles existants et considérer la probabilité qu’un incident perturbateur se produise et affecte chaque tiers. Dans certaines organisations, l’approvisionnement, les achats ou même l’équipe chargée des risques liés aux fournisseurs (ou l’équivalent) constituent une source complète d’informations et peuvent probablement fournir des informations sur les capacités de continuité et de reprise après sinistre des tiers ou décrire des incidents antérieurs qui ont entraîné une perturbation du produit ou du service. Dans les petites organisations, ces informations devront peut-être être obtenues en procédant à une analyse approfondie des incidents antérieurs et en contactant directement les tiers. Les impacts stratégiques (tels que les impacts financiers totaux) peuvent également être obtenus en effectuant cette recherche et aideront à justifier les recommandations de stratégie auprès de la direction générale.
Parallèlement à l’identification et à la documentation de ces informations, ou immédiatement après, les praticiens de la continuité des activités doivent procéder à une évaluation formelle des risques (ou mettre à jour une évaluation existante) afin de prendre en compte la probabilité d’un événement perturbateur, les menaces potentielles, l’impact d’une perte et les contrôles existants, dans le but d’identifier le niveau de risque associé à chaque fournisseur. Le principal résultat de l’évaluation des risques est l’établissement d’une note de risque pour chaque fournisseur (généralement la note de probabilité multipliée par la note d’impact ou une méthode similaire). Les notes d’impact et de probabilité doivent être définies sur la base de critères mesurables et appliquées de manière cohérente dans l’ensemble de l’organisation.
En combinant les résultats de l’évaluation de l’impact sur les entreprises et de l’évaluation des risques, les praticiens de la continuité des activités sont mieux à même de comprendre les relations avec les tiers les plus critiques de leur organisation, ainsi que les risques et les opportunités les plus urgents associés à ces relations. Le praticien peut être amené à effectuer une analyse supplémentaire pour déterminer si les fournisseurs les plus à risque qui émergent nécessitent des mesures correctives supplémentaires. Dans de nombreux cas, les organisations peuvent choisir de classer les fournisseurs en deux catégories, critique et non critique, afin de faciliter une analyse plus approfondie :
- Le fournisseur en question est nécessaire à l’exécution d’une activité qui contribue à la fourniture d’un produit ou d’un service (critique) faisant partie du champ d’application ;
- Le produit ou le service fourni ne pourrait pas l’être par un autre fournisseur déjà utilisé par l’organisation ; et
- Le niveau d’intégration du fournisseur au sein de l’organisation et la complexité du remplacement du fournisseur à la suite d’un incident perturbateur dépassent un niveau acceptable (fixé par la direction générale).
L’examen des fournisseurs à haut risque (identifiés par l’évaluation) et la détermination de la nécessité de mesures d’atténuation supplémentaires permettent de discuter avec la direction générale afin de déterminer si des mesures d’atténuation supplémentaires peuvent être nécessaires.
Gardez à l’esprit que si les risques peuvent aller à l’encontre des autres priorités d’une organisation (telles que des chaînes d’approvisionnement hautement efficaces et peu coûteuses), il est essentiel que les praticiens de la continuité des activités informent et conseillent la direction générale sur les risques existants afin de permettre une prise de décision stratégique et appropriée.
Présentation des résultats
La présentation des résultats de l’analyse d’impact et de l’évaluation des risques par un tiers permet aux praticiens de la continuité d’activité d’atteindre deux objectifs :
- informer l’encadrement supérieur des risques et des possibilités d’atténuation liés aux fournisseurs essentiels et aux tiers (y compris les vulnérabilités liées aux fournisseurs à source unique et aux points de défaillance uniques) ; et
- Permettre une prise de décision stratégique concernant le traitement des risques.
En présentant les résultats de l’AIB et de l’évaluation des risques de manière simple et hiérarchisée, les praticiens de la continuité d’activité peuvent fournir à la direction générale les informations dont elle a besoin pour équilibrer efficacement les initiatives stratégiques évoquées précédemment et les risques inhérents à un réseau mondial de fournisseurs et de prestataires de services. La réalisation de cette tâche nécessite une planification délibérée, une collecte/analyse détaillée des données et une capacité à travailler de manière transversale (idéalement, cette présentation devrait avoir lieu dans le cadre d’un processus récurrent d’examen de la gestion). Lors de la présentation de ces informations à la direction générale, il convient de veiller à mettre en évidence les points de défaillance uniques qui ont été identifiés, ainsi que les impacts stratégiques associés aux fournisseurs qui permettent la fourniture de plusieurs produits et services. La présentation des fournisseurs présentant les risques les plus élevés constitue un bon point de départ.
La direction attend des professionnels de la continuité des activités qu’ils ne se contentent pas de présenter une liste de risques classés par ordre de priorité, mais qu’ils suggèrent également des recommandations pour combler ces lacunes.
Il est également important que les praticiens de la continuité des activités travaillant dans de grandes organisations reconnaissent que si les équipes chargées des risques liés aux achats et aux fournisseurs apportent une valeur ajoutée significative et sont des partenaires clés dans ce processus, elles ne sont souvent pas responsables de la documentation des impacts potentiels en ce qui concerne les départements internes ou de l’identification des stratégies de continuité des activités pour les tierces parties individuelles. Les équipes chargées des risques liés aux fournisseurs se concentrent souvent davantage sur la minimisation des risques financiers et opérationnels que sur la préparation de l’organisation et la continuité des activités.
Conclusion
Les praticiens de la continuité des activités qui cherchent de manière proactive à comprendre, documenter et traiter les risques associés aux relations avec les tiers peuvent réduire de manière significative la probabilité d’un incident perturbateur, ainsi que les impacts en cas d’incident. Cette activité est une composante essentielle de nombreux systèmes de gestion de la continuité des activités, principalement en raison d’un environnement commercial de plus en plus mondialisé dans lequel de nombreuses organisations s’appuient sur des relations complexes avec des tiers pour assurer la fourniture de leurs produits et services les plus importants. Les praticiens de la continuité des activités jouent un rôle essentiel dans l’évaluation et la gestion des risques liés à ces relations, car ils sont chargés de fournir à la direction générale les informations nécessaires pour équilibrer les besoins de l’entreprise avec les risques et les opportunités liés aux relations avec les tiers.
La continuité des activités et la planification de la reprise des activités informatiques sont nos activités principales. Si vous cherchez de l’aide pour mettre en place ou améliorer votre programme de continuité des activités, nous pouvons vous aider.
N’hésitez pas à nous contacter dès aujourd’hui pour commencer. Nous sommes impatients de vous lire !
Publication de la spécification technique ISO :
Le 16 septembre 2015, l’Organisation internationale de normalisation (ISO) a publié une spécification technique (alignée sur la norme ISO 22301) traitant de la continuité de la chaîne d’approvisionnement. Pour en savoir plus, cliquez ici :
