Dans un récent article de blog, j’ai expliqué comment la résilience opérationnelle modifie notre approche de la continuité des activités, en soulignant, en termes simples, comment la résilience opérationnelle et la continuité des activités travaillent main dans la main pour rendre les organisations plus fortes.

Mais que signifie la résilience opérationnelle pour votre organisation ? À quoi ressemble-t-elle concrètement dans les applications d’entreprise ?

J’ai élaboré cette étude de cas fictive pour montrer ce qu’est la résilience opérationnelle, illustrer comment elle renforce l’organisation et partager des conseils sur la façon dont vous pouvez mettre en œuvre les concepts de résilience opérationnelle au sein de votre organisation et en comprendre les avantages, le tout dans un format de récit pratique.

Dans cette étude de cas, vous découvrirez comment notre entreprise fictive a transformé son programme de continuité des activités en utilisant les principes de la résilience opérationnelle. Voici quelques exemples des nombreux avantages dont l’entreprise a bénéficié immédiatement :

  • Développer le bon niveau de résilience grâce à un équilibre entre les exigences internes et les besoins, les attentes et les comportements de nos clients.
  • Nous avons développé une version numérisée du modèle d’entreprise et des chaînes de valeur de notre organisation, qui est facilement accessible pour aider chacun à prendre des décisions éclairées – avant et pendant une perturbation.
  • Naviguer avec succès dans un parcours de résilience priorisé et orienté vers le cas d’entreprise, informé par les données de l’entreprise, les vulnérabilités et les capacités connues.

Commençons par un aperçu de notre entreprise fictive et de ses initiatives en matière de continuité des activités :

Pourquoi nous avons commencé à repenser la continuité des activités

Avec 120 000 employés et des activités dans 35 pays, nous sommes un fournisseur de produits de consommation haut de gamme, au service des clients par l’intermédiaire d’un réseau de détaillants dans le monde entier, de nos propres magasins phares dans les grandes villes et d’un marché en ligne qui s’adresse directement aux consommateurs.

Nous avions ce que nous pensions être un programme de continuité des activités efficace et mature, offrant une capacité qui nous a bien servi en cas de problème.

Voici quelques-unes des choses que nous avons bien faites :

  • Nous avons établi les exigences en matière de continuité des activités au niveau des processus par le biais d’une analyse de l’impact sur les activités.
  • Nous avons mis en évidence les risques liés aux perturbations au moyen d’évaluations des risques.
  • Nous avons documenté et régulièrement mis à jour les plans.
  • Nous avons utilisé un programme d’exercices qui exigeait des tests fréquents et un mécanisme de réponse qui faisait partie des activités courantes. (Ce dernier point nous a permis de nous assurer que la continuité était assurée).
  • Nous utilisons fréquemment nos capacités de réaction et de récupération pour lutter contre les nombreuses perturbations que connaît une grande entreprise comme la nôtre, et nous y parvenons toujours.
  • Avec des normes de résilience d’entreprise pour la protection des personnes, des biens, de la technologie et des fournisseurs, nous avons coché toutes les bonnes cases de conformité et nous nous sommes sentis prêts à tout.
  • Notre capacité de continuité a permis de protéger ce que nous savions être important.

Mais ensuite, comme pour beaucoup d’organisations, COVID-19 a brisé notre confiance et nous a fait repenser notre approche.

Qu’est-ce qui nous a poussés à changer ?

Pour être tout à fait franc, notre engagement exécutif en dehors d’une perturbation n’a pas été très bon. Nous le disons d’emblée parce que nous avons finalement conclu qu’il s’agissait d’un problème central, dû à une mauvaise délimitation du champ d’application et à une mauvaise définition des besoins au niveau de la direction.

C’était un problème récurrent pour nous ; puis le COVID-19 a frappé. Pendant la pandémie, la demande immédiate de nos clients s’est maintenue, mais bon nombre de nos principaux canaux de distribution se sont évaporés lorsque les détaillants ont fermé leurs portes. Le comportement des consommateurs a changé presque du jour au lendemain, mettant à rude épreuve notre présence en ligne et notre chaîne d’approvisionnement de bout en bout. Les niveaux de stock se sont rapidement épuisés et le réapprovisionnement a été lent.

Notre activité de contact avec la clientèle s’est transformée en conséquence, tandis qu’un grand nombre de nos collaborateurs ont opté pour le travail à domicile sur le long terme.

Pour ne rien arranger, nous avions toujours envisagé la continuité des activités sous l’angle des 30 jours, ce qui signifie que nous planifions les perturbations à un niveau plus tactique – autour de perturbations dont nous supposions qu’elles seraient résolues en l’espace d’un mois.

Pensions-nous vraiment qu’une pandémie se déroulerait sur une scène mondiale pendant plus d’un an ? Peu de gens, voire personne, répondraient par l’affirmative.

Malgré ces difficultés, nous nous en sommes sortis, mais cela a mis notre personnel à rude épreuve, nous a obligés à sortir des sentiers battus, a accéléré rapidement les projets de numérisation et a entamé notre confiance en matière de continuité. Nos dirigeants ont remis en question la valeur de notre travail et de nos efforts de préparation à ce jour.

Nous avions suivi les meilleures pratiques en matière de continuité des activités et disposions d’une liste de réalisations à souligner. Pourquoi ces capacités de continuité, qui nous ont bien servis, ont-elles été si peu utiles pendant la pandémie ?

Nos points faibles

Les défis posés par la pandémie ayant mis en évidence les lacunes des programmes, nous nous sommes demandé comment rétablir la confiance de notre équipe de direction et de toutes les parties prenantes afin d’être prêts pour le prochain événement perturbateur grave, mais plausible.

Dans le même temps, nous avons vu des gens s’engager, former des équipes opérationnelles pour planifier à l’avance. Les équipes les plus efficaces nous ont expliqué les informations dont elles avaient besoin pour être les plus efficaces possible.

Plutôt que d’attendre la fin de la conférence COVID-19, nous nous sommes immédiatement mis au travail. Nous nous sommes mis à poser davantage de questions et la plupart d’entre elles commençaient par « Et si… ».

La voie à suivre

Nous avons cherché des réponses à nos questions fondamentales et les avons trouvées dans les principes et la pensée émergents en matière de résilience opérationnelle, soutenus par Riskonnect et son système unique d’exploitation de la continuité des activités (BCOS).

L’approche de Riskonnect était différente. Elle n’a pas remplacé tout ce que nous faisions, mais a repositionné certains aspects clés de la continuité et a mis l’accent sur les parties manquantes de notre programme.

Le BCOS, en particulier, a introduit une nouvelle façon d’axer stratégiquement notre programme sur les produits/services, les clients et les marchés, ainsi que sur les canaux qui relient nos fournisseurs à notre client en passant par nous.

Tout aussi puissant, le BCOS a pris les devants avec une narration et un langage qui l’ont rendu simple, pratique et facilement accessible à tous.

Pour nous, que vous l’appeliez continuité ou résilience opérationnelle n’a pas vraiment d’importance. Ce qui compte, c’est de commencer par la stratégie et d’entrer ensuite dans le vif du sujet pour régler les détails.

La perturbation est inévitable

Nous avons également adopté un changement de philosophie, en commençant par le sommet avec nos produits/services et en continuant à partir de l’hypothèse sous-jacente que les perturbations sont inévitables, un principe clé de la résilience opérationnelle.

Changer cet état d’esprit, accepter la certitude d’une perturbation quelle qu’en soit la source, a également entraîné une nouvelle façon de recentrer nos priorités. Il s’agit d’une rupture importante par rapport à notre mode de pensée fondé sur le risque.

Riskonnect nous a soutenus dans le cadre du processus BCOS Frame pour réexaminer quatre questions clés :

  • Pourquoi faire de la continuité d’activité ?
  • Qu’essayons-nous de protéger ?
  • Quel est le degré de continuité des activités dont nous avons besoin ?
  • Qui doit participer au programme ?

C’est autour des questions deux et trois que nous avons eu un déclic.

Regarder vers l’extérieur pour s’orienter vers l’intérieur

Riskonnect nous a aidés à réimaginer ce que nous essayons de protéger d’un point de vue externe, en examinant les produits et les services du point de vue du consommateur et du marché.

Nous avons simplifié une liste de produits/services pour décrire les résultats que le consommateur final souhaitait obtenir. Ces résultats représentaient les éléments de création de valeur de notre modèle d’entreprise et les domaines qui contribuaient le plus à notre marque.

Le processus d’encadrement

Le processus Frame a conduit notre équipe de gestion du programme à préparer une recommandation de cadrage en utilisant des énoncés de services simples et centrés sur le client, tels que « Je veux passer une commande en ligne », « J’ai besoin d’aide pour un produit que j’ai acheté » et/ou « Je veux être le premier à acheter votre nouveau produit ».

Ce qui était important, c’est que nous pouvions facilement calculer la valeur créée par ces services, en quantifiant pour la première fois la valeur à risque.

En associant cela à des mesures simples telles que le volume des transactions, les canaux alternatifs disponibles et la rapidité avec laquelle les clients peuvent trouver des alternatives auprès d’un concurrent, cette nouvelle réflexion nous a permis de décider facilement quels services centrés sur le client étaient les plus importants et comment nous devions donner la priorité à chacun d’entre eux pour assurer leur résilience.

Ensuite, nous avons cherché à répondre à la question suivante : « De quel niveau de continuité des activités avons-nous besoin ? » Pour chaque service, nous avons examiné l’impact dans le temps, sur des périodes beaucoup plus longues qu’un mois (ce qui était notre horizon de planification actuel), car l’expérience COVID nous a appris qu’il fallait voir beaucoup plus loin.

Nous avons examiné l’impact dans trois catégories principales :

  • Pour le client qui n’est pas en mesure d’obtenir des résultats en matière de service
  • Au marché sur lequel nous opérons (nous sommes un acteur important du marché et notre image de marque est très forte).
  • Viabilité et solidité de l’organisation (douleur interne)

Avant de nous lancer dans notre nouvelle aventure de résilience opérationnelle, nous nous étions concentrés presque exclusivement sur la douleur interne (bien que nous ayons essayé de modéliser les attentes des clients dans une certaine mesure). En revanche, une vision externe nous a permis d’obtenir des résultats différents et de remettre en question nos anciennes hypothèses sur les priorités.

Nous avons travaillé à l’élaboration d’une recommandation sur la tolérance à l’impact pour chaque service, qui comprenait une durée (la période maximale tolérable d’interruption), mais aussi la capacité que nous pouvions nous permettre de perdre dans le contexte de la souffrance des clients, du marché et de l’entreprise.

Associés à la tolérance d’impact, nous avons également identifié certains scénarios plausibles, d’une manière différente de ce que nous avions fait auparavant.

En éliminant la probabilité de l’équation, nous avons mis à profit les enseignements de COVID pour nous concentrer sur des scénarios de « perte de » de grande envergure ayant un impact sur la prestation de services importants pour l’entreprise. Nous avons cherché des perturbations à grande échelle qui ont eu un impact sur d’autres acteurs de notre secteur, des perturbations dont nous ne pensions pas qu’elles pourraient nous arriver.

Le logiciel de Riskonnect a rassemblé toutes ces informations – l’identification des services commerciaux importants proposés, les tolérances d’impact et les scénarios plausibles – pour former un rapport de pilotage, créé en tant que lecture préalable avec nos cadres supérieurs, afin d’obtenir leur retour d’information et leur approbation de nos conclusions.

Transformation des programmes

Le fait de pouvoir définir clairement à quel moment l’impact devient intolérable (pour nous-mêmes, nos clients et le marché) – et de le faire directement par rapport aux aspects de création de valeur de notre modèle d’entreprise – a créé des liens avec les flux de revenus, ce qui a ensuite permis de décider facilement « ce que nous essayons de protéger » et d’apporter « le degré de continuité de l’activité dont nous avons besoin ».

À partir de là, le reste de notre voyage a été relativement simple.

  • En nous appuyant sur la valeur du travail déjà effectué, nous avons cartographié nos départements, nos activités et nos ressources de bout en bout pour soutenir les services convenus dans le cadre du processus Frame avec les cadres supérieurs.
  • En numérisant notre organisation de bout en bout, nous avons facilement identifié les lacunes et vu où nos priorités antérieures ne s’alignaient pas sur ce nouveau point de vue.
  • Nous avons appris où nos hypothèses internes sur l’importance étaient erronées.
  • Nous pouvions commencer à voir les points d’échec, là où nous étions isolés, non seulement en interne, mais aussi dans notre chaîne d’approvisionnement et dans nos canaux vers nos clients – tout cela dans le contexte des résultats des clients et du marché, en plus de la douleur interne.
  • Nous avons revu nos normes de résilience interne en fonction de ces nouvelles priorités, mis à jour nos évaluations de contrôle et découvert des failles cachées, des domaines dans lesquels nous devions investir davantage dans la résilience.
  • Nous avons même identifié certains domaines dans lesquels nous pourrions investir moins.

Aujourd’hui, notre programme protège notre modèle d’entreprise, ainsi que les activités et les ressources créatrices de valeur, sur la base d’une hiérarchisation de la valeur à risque.

Pour la première fois, nous procédons à des changements proactifs afin d’atteindre le bon niveau de résilience. Si seulement nous l’avions fait l’année dernière.

Prochaines étapes

Si vous ne savez pas comment aborder les leçons tirées de COVID-19 ou comment transformer un programme stratégique en utilisant la philosophie de la résilience opérationnelle, cela vaut la peine de consacrer un peu de temps à ce blog. Ce n’est pas en parcourant ce blog et en le classant « pour une utilisation future » que vous parviendrez à vos fins.

Avec l’aide de nos solutions, cela peut devenir votre réalité :

  • La capacité de définir l’état de préparation en fonction de ce qui importe à votre équipe de direction, à vos clients et aux autorités de réglementation.
  • Mettre en lumière les failles cachées de votre organisation dans le but de réduire la fréquence des perturbations.
  • Développer un modèle numérisé de votre organisation que vous pouvez exploiter, dans le but d’accélérer la réponse aux perturbations.

Prenez le temps de tracer votre parcours vers un état d’esprit plus stratégique en matière de résilience opérationnelle.

Si vous êtes prêt à obtenir rapidement des résultats, réservez dès aujourd’hui une session de stratégie avec un membre de l’équipe Riskonnect afin que nous puissions identifier la meilleure façon de vous aider à atteindre vos objectifs !