Cette perspective donne un aperçu de la pratique professionnelle 5 (PP5) du Business Continuity Institute – la mise en œuvre, qui est la pratique professionnelle qui  » exécute les stratégies et tactiques convenues à travers le processus d’élaboration du plan de continuité des activités (PCA) « . Dans le cadre du cycle de vie du plan de continuité des activités, les activités de mise en œuvre se poursuivent après la sélection de la stratégie dans la PP4, dans le but de documenter les plans de continuité des activités qui aident l’organisation à se rétablir aux niveaux stratégique, tactique et opérationnel.

VUE D’ENSEMBLE DU PP5

Le PP5 fournit au praticien de la continuité d’activité des conseils sur deux sujets spécifiques à la documentation des plans de continuité d’activité de l’organisation. Tout d’abord, les lignes directrices en matière de bonnes pratiques (GPG) fournissent une description détaillée d’un plan de continuité des activités, y compris les principes généraux, ainsi que les concepts et les hypothèses pour la documentation des plans. Ensuite, le PP5 fournit des conseils sur l’élaboration d’un plan de continuité des activités, ainsi que sur la gestion du plan après sa création. Nous allons nous pencher plus en détail sur chacun de ces domaines.

Le plan de continuité des activités
Les principes directeurs généraux posent les bases d’une documentation efficace en définissant ce qu’est un plan de continuité des activités. L’objectif principal d’un plan de continuité des activités, tel qu’il est décrit dans les lignes directrices, est « d’identifier et de documenter les priorités, les procédures, les responsabilités et les ressources afin d’aider l’organisation à gérer un incident perturbateur, tout en mettant en œuvre des stratégies de continuité et de reprise à un niveau de service prédéterminé ». Les BPM décrivent le public visé par le plan et rappellent au praticien que les plans doivent être directs, adaptables, concis et pertinents. Afin de mieux définir le fonctionnement d’un plan au sein d’une organisation, les BPM recommandent de créer des plans de continuité d’activité aux niveaux stratégique, tactique et opérationnel. Cette démarche est similaire aux approches décrites dans le cadre des activités d’analyse de l’impact sur l’entreprise et de conception de la stratégie. Si le modèle des niveaux stratégique, tactique et opérationnel peut s’appliquer à la plupart des organisations, les BPM recommandent d’utiliser la structure globale de l’organisation pour personnaliser l’approche en fonction de la taille et de la structure uniques de l’organisation. Appliqués aux activités de mise en œuvre, ces niveaux sont les suivants :

  • Plans stratégiques – Un plan stratégique, tel que défini par les BPM, « est un plan de haut niveau qui définit la manière dont les questions stratégiques résultant d’un incident majeur doivent être abordées et gérées par la direction générale ». En d’autres termes, ces plans supposent une vision plus macro de l’organisation et sont conçus pour fournir des conseils sur l’orientation à long terme ou la « vue d’ensemble ».
  • Plans tactiques – Les plans tactiques, tels que définis par les BPM, « coordonnent et gèrent le rétablissement d’une partie définie d’une organisation ». En d’autres termes, ces plans sont davantage axés sur les processus et se concentrent sur le rétablissement d’un groupe d’activités interdépendantes qui fournissent un résultat essentiel.
  • Plans opérationnels – Les plans de niveau opérationnel, tels que définis par les BPM, « prévoient la reprise des activités commerciales couvertes par le PCA ». En d’autres termes, les plans opérationnels supposent une vision plus microéconomique de l’organisation. Alors que les plans tactiques traitent d’un processus composé de plusieurs activités, les plans opérationnels traitent d’une activité commerciale spécifique.

Élaboration et gestion des plans
Alors que la première section du chapitre PP5 définit ce qu’est un plan de continuité d’activité, comment il peut être appliqué à différents niveaux au sein d’une organisation et pourquoi il est important pour l’entreprise, la deuxième section fournit des conseils sur la manière de documenter les plans. Les BPM soulignent que le praticien peut documenter les plans de niveau stratégique avant que la direction générale ne choisisse une stratégie de reprise (en raison de la nature de haut niveau des plans). Les plans tactiques et opérationnels, en revanche, nécessitent des stratégies de reprise définies avant l’élaboration du plan, étant donné que les plans sont constitués d’étapes spécifiques décrivant comment mettre en œuvre des stratégies spécifiques et comment fonctionner avec ces stratégies jusqu’à ce que l’organisation revienne à la normale. En outre, les BPM décrivent les informations spécifiques que les plans doivent couvrir, y compris, mais sans s’y limiter, les éléments suivants :

  • Objectif et champ d’application
  • Objectifs et hypothèses
  • Structure de gestion des incidents
  • Responsabilités et membres de l’équipe d’intervention
  • Activation du plan
  • Coordonnées (pour les parties prenantes internes/externes)
  • Lieux des réunions d’équipe
  • Communications (pour les parties prenantes internes/externes)
  • Informations clés (par exemple, détails des activités prioritaires de l’organisation et délais)
  • Listes d’actions et procédures

Les autres sections du PP5 fournissent des conseils supplémentaires sur la documentation des plans stratégiques, tactiques et opérationnels, y compris des conseils sur le type d’informations à recueillir en fonction du niveau du plan, ainsi que des conseils sur la manière de structurer les procédures de recouvrement pour les différents niveaux de plans.

Le tableau suivant montre à quel point le PP5 reflète les exigences décrites dans la norme ISO 22301 :

PP5 VALEUR

Définit la composition des plans à tous les niveaux
Une grande partie de la valeur du PP5 réside dans sa définition du contenu des plans aux niveaux stratégique, tactique et opérationnel et dans la manière dont chacun de ces types de plans peut s’appliquer à des organisations de différentes tailles. En fournissant une vue d’ensemble et une portée de haut niveau de l’objectif de chaque type de plan, le praticien chargé de la création des plans peut élaborer des plans qui fournissent le niveau de détail approprié pour l’objectif et le public visés. Cette orientation est importante car les cadres dirigeants ne veulent pas de procédures étape par étape à suivre pour recouvrer une activité commerciale spécifique. Inversement, un plan stratégique de haut niveau n’aidera pas un chef de service chargé de rétablir une activité commerciale spécifique. En résumant le contenu souhaité pour chacun des trois niveaux, le praticien s’assure que tous les plans sont pertinents pour l’objectif et le public visés.

Identifie le type de plan adapté aux différentes organisations
Comme indiqué précédemment, les plans stratégiques, tactiques et opérationnels conviennent à la plupart des organisations et les BPM fournissent des conseils pour la mise en œuvre de chacun de ces trois types de plans dans les différents types d’organisations. Ces informations sont précieuses car elles garantissent la pertinence du plan et l’adéquation des procédures de reprise en fonction des besoins spécifiques de l’entreprise. Par exemple, une petite organisation à site unique peut être en mesure de saisir toutes les informations pertinentes dans un seul plan, tandis qu’une grande organisation multinationale peut avoir besoin de plusieurs plans différents couvrant tous les niveaux afin de saisir le niveau de détail approprié. Tant qu’une organisation saisit les bonnes activités et se concentre sur les niveaux stratégique, tactique et opérationnel, les BPM offrent un certain niveau de flexibilité.

Démontre les bases du contenu du plan
L’une des choses les plus importantes que le PP5 aide à clarifier est peut-être le type d’informations qu’un plan doit contenir. Les BPM fournissent un cadre pour les besoins minimaux en matière d’information. Ces exigences relatives au contenu des plans reflètent presque à l’identique la norme ISO 22301 (clause 8.4.4). La section relative à l’élaboration et à la gestion des plans (mentionnée ci-dessus) garantit un certain degré de normalisation entre tous les plans, qu’ils se situent au niveau stratégique, tactique ou opérationnel. Cette normalisation garantit que les plans sont directs, adaptables, concis et pertinents, ce qui est nécessaire pour s’assurer que les plans sont utilisables au moment de la perturbation.

PP5 ETUDE DE CAS

L’entreprise X est une grande multinationale dont le siège se trouve aux États-Unis et qui fournit du matériel de nettoyage et des solvants aux entreprises de nettoyage commercial. Elle possède des sites de production au Mexique, aux États-Unis, en Allemagne et en Inde. Récemment, l’un de ses principaux clients a demandé à l’entreprise X de prouver qu’elle disposait d’un programme de continuité des activités dans le cadre d’un renouvellement de contrat. En réponse à la demande du client, l’entreprise X a entamé le processus de mise en œuvre d’un programme de continuité des activités.

Après avoir déterminé les départements et les processus concernés, effectué une analyse de l’impact sur les activités et une évaluation des risques, et identifié les stratégies de réponse et de récupération appropriées, l’organisation a entamé le processus de documentation des plans de continuité des activités. En raison de la structure de l’entreprise, l’organisation a déterminé qu’elle devrait mettre en œuvre des plans aux niveaux stratégique, tactique et opérationnel. Des plans de gestion de crise existeraient à ces trois niveaux, avec un plan stratégique pour l’équipe de gestion de crise de l’entreprise (CMT), des plans tactiques pour les CMT au niveau des sites, et des plans opérationnels pour les équipes de récupération de chaque département.

Le plan stratégique de l’équipe de gestion des risques de l’entreprise s’est concentré sur les risques importants mis en évidence lors de l’analyse d’impact sur les activités et de l’évaluation des risques, et sur la manière dont l’équipe de gestion des risques de l’entreprise donne la priorité au rétablissement de ses produits et services essentiels en cas de perturbation majeure. Par exemple, l’entreprise X possède un produit qui représente près de 40 % de son chiffre d’affaires total. L’équipe de gestion de crise de l’entreprise a identifié ce produit comme étant la priorité principale pour le rétablissement, les autres produits étant rétablis en second lieu sur la base des priorités et des échéances identifiées précédemment. Le plan stratégique documente les priorités de reprise afin d’aider l’équipe de gestion des crises de l’entreprise à prendre des décisions lors d’un incident perturbateur affectant l’ensemble de l’organisation.

Les plans tactiques des CMT de site se concentrent sur l’orientation et la garantie de ressources adéquates pour la réponse et la reprise des processus opérationnels et des départements. Les CMT de site assurent la liaison avec la CMT de l’entreprise, si un soutien supplémentaire est nécessaire. Le plan tactique aidera les CMT de site à aider les différents départements à se rétablir. En cas de perturbation plus importante ou plus grave, les CMT de site transmettent les demandes de ressources au nom du site et des départements à la CMT centrale, et font redescendre les ressources vers les départements. Le diagramme ci-dessous illustre cette relation entre l’équipe de gestion de site et les équipes de rétablissement des départements.

Les plans opérationnels des équipes de rétablissement des départements se concentrent sur le rétablissement d’un département spécifique et des activités commerciales subordonnées. Lors d’un incident perturbateur, les plans opérationnels fournissent aux départements les procédures à suivre pour faire remonter les demandes d’informations et de ressources aux CMT du site, et les CMT du site font en retour redescendre les priorités et les ressources de rétablissement vers le département. Les plans opérationnels répondent également à deux questions essentielles :

  1. Comment le département récupère-t-il ses activités les plus sensibles au facteur temps lorsqu’il est confronté à une perturbation au niveau du personnel, du lieu de travail, de la technologie ou des fournisseurs ?
  2. Comment le département fonctionne-t-il avec ces stratégies et ressources de récupération jusqu’à ce qu’il puisse revenir à la normale ?

Grâce à la structuration des plans aux niveaux stratégique, tactique et opérationnel, l’entreprise X est désormais en mesure de réagir en toute confiance à une perturbation à n’importe quel niveau de l’entreprise. Sur la base des orientations des BPM, des plans directs, adaptables, concis et pertinents guideront les utilisateurs avec succès dans leurs efforts d’intervention et de rétablissement.

DERNIÈRES RÉFLEXIONS

L’élaboration et la gestion de plans de continuité d’activité à tous les niveaux est un élément essentiel de la mise en œuvre d’un programme de continuité d’activité réussi. Le PP5 fournit aux lecteurs une compréhension de haut niveau de ce qu’un plan de continuité des activités doit couvrir, ainsi que de la manière de développer et de gérer des plans pour des organisations de toutes formes et de toutes tailles.