Les entreprises n’ont jamais été confrontées à un mélange aussi complexe de défis qu’aujourd’hui, allant d’obstacles réglementaires de plus en plus complexes, d’incidents météorologiques mondiaux, de craintes en matière de cybersécurité et même du Brexit.
Compte tenu de ce large éventail de menaces à surveiller, il n’est pas surprenant que le rôle du responsable de la continuité des activités soit parvenu à maturité pour faire face à l’assaut, dépassant le rôle traditionnel de centre de coûts et assumant un rôle plus central dans la stratégie commerciale.
Yusuf Ukaye, spécialiste de la continuité des activités chez IT Specialists (ITS), révèle ce dont un responsable de la continuité des activités a besoin dans la boîte à outils pour suivre le monde des affaires en 2017 :
La valeur de la compréhension
Les truismes les plus anciens sont les meilleurs, et il en va de même pour la continuité des activités. Connaître son ennemi (comme dans « L’art de la guerre » de Sun Tzu), c’est bien, mais la suite logique est peut-être encore plus importante : connaître en profondeur ses collègues et son entreprise. Il pourrait s’agir de BC 101, mais il s’agit d’un point de départ essentiel pour cartographier le profil de risque unique de toute taille d’entreprise.
Engagez l’ensemble de l’organisation en comprenant ce qui fait que chacun travaille. Ce processus commence par analyser l’importance d’un département et comprendre combien de temps chaque département et fonction doit être opérationnel en cas d’urgence. Si l’entreprise s’attend à ce que les applications critiques soient sauvegardées et exécutées dans les quatre heures, par exemple, le service informatique sera-t-il en mesure de répondre dans ce délai ?
Il est essentiel de se rappeler que l’industrie de la continuité des activités est rapide et dynamique, il est donc essentiel de consulter les différents départements avant, pendant et après la phase de planification initiale. Les meilleures pratiques changent constamment, tout comme le type et la nature des menaces qui pèsent sur votre entreprise – la continuité des activités ne consiste certainement pas seulement à rédiger un plan et à rester assis dans une pièce avec votre titre sur la porte.
La possibilité de choisir les bons indicateurs
Une fois que vous avez élaboré un plan, il est temps de définir des mesures pour le tester, puis de passer au sérieux. Le plan le plus brillant ne vaut rien s’il ne peut pas être mis en œuvre dans le monde réel, et il est essentiel de le savoir bien à l’avance.
Les tests et la planification de scénarios généreront des commentaires pour prouver – ou réfuter – si votre compréhension initiale est au cœur de ce qui fait fonctionner l’entreprise. De plus, des tests et des exercices réguliers donneront à une organisation la capacité d’encourager davantage le leadership et de sensibiliser les employés au paysage des menaces existantes. Il est préférable d’aborder cette pièce du puzzle de l’éducation interne à autant de niveaux que possible pour assurer une diffusion maximale.
Une partie du développement d’une culture de continuité des activités implique des tests périodiques basés sur des scénarios, qui sont essentiels pour s’assurer que les employés clés comprennent comment ils doivent réagir en cas de catastrophe. Les exercices de bureau sont des moyens simples d’évaluer comment réagir à des scénarios spécifiques. Par exemple, à mesure que le risque d’inondation augmente au Royaume-Uni, demander aux employés de reproduire un scénario d’inondation peut vous aider à identifier l’efficacité de votre plan de continuité des activités dans cette situation. Les employés peuvent parler de divers problèmes, tels que décider quand il est dangereux de se déplacer, communiquer avec des collègues et des clients et accéder à des applications critiques.
Pour s’assurer que les fonctions techniques fonctionnent comme prévu, les exercices sur le bureau doivent être régulièrement complétés par des tests de reprise après sinistre. Par exemple, Rentsys Recovery Services, la filiale américaine d’ITS, effectue des tests semestriels d’un composant technologique critique prédéterminé, comme la connectivité Internet alternative, les applications et données critiques et la redirection des appels entrants ou sortants. Au moins une fois par an, l’entreprise effectue un test complet de continuité d’activité dans des conditions réelles. Ces tests aident non seulement à identifier les défis techniques, mais aident les employés à se familiariser avec ce qu’il faut faire en cas de catastrophe.
Le pouvoir de motiver les gens
Derrière chaque bon plan se trouvent les personnes qui le réalisent. Il y aura un nombre minimum de personnes possédant les compétences et les connaissances nécessaires pour mener des activités et maintenir la confiance dans la chaîne d’approvisionnement. Les facteurs externes tels que les vulnérabilités de la chaîne d’approvisionnement sont particulièrement faciles à négliger ou à sous-estimer lors de la phase de planification. Inspirer les parties prenantes internes à répondre à tout incident avec passion et compétence, faire preuve d’empathie et être capable d’établir et de nouer ces relations est une compétence clé pour un responsable de la continuité des activités performant.
Le Business Continuity Manager est une personne réactive, proactive et innovante, accessible et hautement technologique. Cette dernière ressource est particulièrement importante, car la cybersécurité et la sécurité de l’information deviennent de plus en plus critiques pour 99 % des opérations commerciales, c’est pourquoi la continuité des activités basée sur la culture évolue. Par exemple, une entreprise n’aurait jamais eu de politique de médias sociaux intégrée à la planification de la continuité des activités, mais en 2017, c’est une grave erreur. La gestion des médias sociaux en cas d’incident est un élément central de l’atténuation et de la gestion du risque de réputation pour l’organisation.
Les connaissances nécessaires pour choisir la bonne technologie
La compréhension, la planification et les personnes sont trois des outils les plus essentiels de la boîte à outils de continuité des activités, mais le quatrième doit exploiter efficacement la technologie. Des outils de planification et de stratégie à la restauration et à la sauvegarde des données essentielles, il existe une pléthore d’assistants techniques brillants, et il est tout aussi important que de les utiliser de savoir lesquels ne sont pas pertinents pour un scénario donné. La gestion des données est un grand défi et parfois l’externalisation est un must, en particulier pour les PME ou les grandes entreprises qui n’ont pas de budgets infinis.
Maintenir les systèmes d’entreprise en ligne et opérationnels est généralement extrêmement important. Considérer une solution de reprise après sinistre en tant que service (DRaaS) est une tendance de plus en plus populaire, et tirer parti de l’infrastructure cloud hybride peut être essentiel pour certains profils de risque. Un avantage clé de la technologie hybride est que non seulement les données critiques de l’entreprise sont sauvegardées sur le cloud (atténuant ainsi les incidents locaux, à la fois techniques et physiques), mais également sur du matériel local dédié, de sorte que la récupération des données n’a pas besoin d’être téléchargée depuis le cloud. . Utilisés à bon escient, les clouds hybrides peuvent donner l’assurance que vos données et votre environnement informatique sont protégés sans épuiser vos ressources informatiques.
Par Yusuf Ukaye, spécialiste de la continuité des activités et de la reprise après sinistre, IT Specialists (ITS) UK