Trois entreprises sur quatre (73 %) mettent à jour leurs plans de continuité des activités pour se préparer à une crise. Cependant, seulement 5 % d’entre elles se sentent prêtes à évaluer, à gérer et à se remettre d’un futur événement à risque inconnu et imprévisible.

Telles sont les conclusions d’un nouveau rapport de Riskonnect. Ce rapport a interrogé plus de 300 professionnels du risque et de la conformité dans le monde entier sur les nouvelles menaces auxquelles les organisations sont confrontées aujourd’hui et sur la manière dont elles réorganisent leurs règles de gestion du risque pour naviguer en terrain inconnu.

Pourriez-vous en faire plus ?

Aujourd’hui, la plupart des entreprises s’appuient sur des plans de continuité des activités au coup par coup, qui sont construits en silos ou qui ne tiennent pas compte de la nature en cascade des risques. Le problème de ces approches est que des problèmes qui semblent sans rapport ou isolés d’un département spécifique peuvent se propager pour créer des perturbations plus importantes et stopper net l’activité de l’entreprise. Si tous les membres de l’organisation ne travaillent pas à partir du même manuel, les plans de continuité des activités sont créés en vain.

L’autre lacune fréquente dans la planification de la continuité des activités est le manque d’harmonisation entre les parties prenantes en ce qui concerne la tolérance au risque. Supposons qu’une organisation se prépare à une éventuelle attaque de ransomware. Les dirigeants pensent que l’organisation peut remettre le réseau en état de marche en quelques jours. En réalité, les services informatiques ont besoin de plusieurs semaines. Le problème : les parties prenantes ne se sont jamais concertées.

LISEZ CETTE ÉTUDE DE CAS

Ce manque d’alignement entre les principales parties prenantes n’est que trop fréquent. L’une des façons dont les organisations peuvent surmonter ce défi est d’animer des ateliers sur les risques. En effet, 37 % des organisations déclarent organiser des ateliers sur les risques aujourd’hui, ce qui est encourageant.

Ces ateliers réunissent toutes les parties prenantes concernées dans la même pièce pour avoir des conversations réelles et productives sur la préparation, la tolérance et le plan d’action de l’organisation pour des événements de risque spécifiques. En reprenant l’exemple du ransomware, les points importants à aborder sont les suivants :

  • Que se passerait-il si l’entreprise était victime d’une attaque de ransomware aujourd’hui ?
  • Quel est le temps d’arrêt tolérable ?
  • Combien de temps faut-il pour que le système soit à nouveau opérationnel ?
  • Envisagerions-nous de payer la rançon – et quelles sont les implications du fait de payer ou de ne pas payer ?
  • Comment, quoi et quand communiquerions-nous avec les clients, les partenaires, les employés et les investisseurs ?
  • Quels autres risques pourraient découler de cet événement et nuire à l’organisation ?

Les entreprises interrogées prennent d’autres mesures pour se préparer aux crises :

  • Réévaluer en permanence leur environnement de risque (66%)
  • Évaluer les plans de réponse aux crises (64%)
  • Préparer les dirigeants à gérer des crises inattendues (53%)
  • Collaborer avec les parties prenantes interdépartementales (51%)

« La gestion des risques consiste à gérer l’incertitude. Lorsque l’activité devient incertaine, c’est là que la capacité à s’asseoir dans la tour de contrôle, à comprendre ce qui se rapproche, à avoir une visibilité sur ce qui pourrait se produire ensuite – y compris les effets périphériques – et sur l’impact que cela pourrait avoir sur l’activité, vous donne une base solide de visibilité des risques pour définir des stratégies de réponse. Vous pouvez ensuite utiliser ces stratégies pour vous adapter et pivoter en fonction de l’évolution de la situation.

– Bob Bowman, Sr. Directeur, Chief Risk Officer
Gestion des risques, gouvernance des données d’entreprise
The Wendy’s Company

Combler le fossé pour améliorer la résilience

Alors que les entreprises changent enfin leur façon de gouverner, de hiérarchiser et de superviser les risques, la majorité d’entre elles (63 %) n’ont pas simulé leurs pires scénarios, qui, selon la plupart des personnes interrogées, concernent les catastrophes naturelles, les cybermenaces et les risques géopolitiques.

Cette constatation est surprenante si l’on considère le nombre d’événements « les plus graves » qui se sont produits ces dernières années – pandémie, perturbations de la chaîne d’approvisionnement et faillites bancaires, pour n’en citer que quelques-uns. Les organisations ont été touchées ou témoins de nombreux événements perturbateurs qui, au fond, étaient connus et prévisibles, et pourtant la plupart d’entre elles n’accordent toujours pas la priorité à une planification ou à des tests de scénarios robustes.

Plus précisément, l’effondrement de la Silicon Valley Bank a constitué un scénario presque catastrophe pour de nombreuses entreprises. Malgré l’ampleur et l’impact économique mondial de l’effondrement, près de 42 % des entreprises ayant déclaré que l’effondrement les concernait n’ont pas modifié leur stratégie de gestion des risques par la suite. La planification de scénarios est un élément clé de la gestion des risques et doit être intégrée dans les stratégies à venir pour renforcer la résilience.

Un plan de continuité des activités efficace n’est pas un exercice unique. Ils sont régulièrement discutés, pratiqués, révisés et, surtout, coordonnés au sein de l’entreprise. En procédant ainsi, vous disposerez d’un guide inestimable pour assurer le fonctionnement de l’entreprise au moment où vous en avez le plus besoin.

Pour un aperçu complet des résultats de l’enquête, téléchargez le rapport The New Generation of Risk et découvrez la solution Business Continuity & Resilience de Riskonnect.