in

Les 5 règles de la « Business Resilience » selon EBRC

L’analyse d’impact métier : garantie de la continuité des activités

Ayant pour objectif la responsabilité sociétale, c’est par une approche du business que l’entreprise doit aborder la continuité et la reprise de ses activités. Pour y parvenir, le Business Impact Analysis (BIA) est crucial. Cette démarche est un préalable fondamental pour l’obtention de la certification ISO 22301, relative aux systèmes de management de la continuité d’activités. Entretien avec Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead au sein d’EBRC.

Le concept de Business Continuity est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les disaster recovery plans. Les efforts portaient essentiellement sur l’informatique, avec la volonté de garantir la disponibilité des systèmes ou permettre leur remise en fonction rapide après un incident. Ce n’est que plus récemment, avec, au début de cette décennie, la publication de la norme BS 25999 et l’établissement de la certification ISO 22301, que le concept a été élargi.

 Désormais, les projets relatifs à la continuité d’activités couvrent un spectre étendu. Ils sont portés par le board, en considérant l’activité avec une approche holistique, commente Christophe Ruppert.

EBRC accompagne ses clients avec la volonté de les rendre plus cyber-résilients. A ce titre, la continuité d’activités fait partie de ses principaux domaines d’expertise.

Règle n° 1 : Partez du métier pour évaluer les impacts

C’est en considérant le métier que l’analyse doit se construire, en prenant en compte l’ensemble des facteurs qui peuvent nuire à la bonne marche de l’activité, assure Christophe Ruppert. Ces enjeux dépassent de loin la gestion des systèmes. Cela implique de commencer par identifier les activités essentielles à l’organisation, à travers une meilleure compréhension des processus, pour ensuite effectuer une analyse d’impact. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité.

Cette première étape relève du Business Impact Analysis. Elle ne peut être conduite qu’en menant une étude approfondie de l’ensemble des départements constituant l’organisation pour identifier les activités entreprises et la manière dont chacun prend part aux procédures.

Règle n° 2 : Identifiez les activités critiques et évaluez le niveau de tolérance à l’interruption

A travers les entretiens menés, identifiez les activités critiques, les liens d’interdépendance existants vis-à-vis d’autres départements ou d’acteurs externes, indique Christophe Ruppert. Dans chaque département et direction, challengez les équipes. Au départ d’un framework établi au regard de notre expérience et des bonnes pratiques reconnues, évaluez également les effets d’une interruption de l’activité au niveau de chaque équipe selon différents critères comme le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO). A travers ces indicateurs, on relève ce qui est acceptable en terme d’interruption pour chaque département, et ce jusqu’à la capacité réelle de l’IT à supporter les métiers.

Règle n° 3 : Alignez les besoins au service du business

Parce que, d’un département à l’autre, les perceptions de ce qui est acceptable peuvent diverger, un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier.

Dans la plupart des cas, c’est au sommet de l’entreprise que les arbitrages ont lieu, le top management étant souvent le seul à pouvoir statuer vis-à-vis des risques encourus. Le management rationalise et décide souvent par rapport au niveau d’exposition admissible des affaires, donc du secteur d’activité et de la clientèle de l’entreprise, en cas d’incident majeur, précise Christophe Ruppert. Pour l’obtention d’une certification liée à la continuité d’activités, il est indispensable de réconcilier l’ensemble des besoins des équipes autour d’un processus critique.

Règle n° 4 : Evaluez les processus afin de retenir les meilleures solutions

L’analyse de l’impact business est au cœur de toute démarche relative aux enjeux de continuité d’activités. Elle sera complétée par une analyse des risques. Celle-ci se traduit par l’identification des menaces pouvant conduire à l’interruption d’une activité jugée critique et par l’évaluation de la probabilité de leur survenance.

Considérant l’ensemble de ces éléments, on peut imaginer des scénarii et des plans de reprise de l’activité dans les meilleurs délais selon les différents cas de figure. Prenez les processus, soumettez-les à la menace afin d’envisager les solutions à mettre en place, comme par exemple la relocalisation des collaborateurs ou un plan de redéploiement des systèmes des garanties relatives à la restauration des lignes de télécommunication, sans oublier d’évaluer le niveau de résilience de vos fournisseurs critiques, conseille Christophe Ruppert.

Distinguer le risque de la menace

Selon Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead, EBRC, beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente.

Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation, ou encore vis-à-vis des obligations réglementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter. 

Règle n° 5 : Simplifiez-vous la vie. Tirez parti de la certification ISO 22301

La certification ISO 22301 a été élaborée spécialement afin de permettre aux organisations de s’inscrire dans une démarche d’amélioration continue : c’est un cadre standardisé idéal pour démarrer.

L’enjeu n’est autre que de mieux protéger l’activité dans sa globalité, par une meilleure compréhension des processus et des risques, et de s’assurer de sa robustesse avec l’ensemble des parties prenantes tels que les clients, les partenaires ou encore le régulateur de l’entreprise, explique Christophe Ruppert. Une telle certification est de nature à rassurer, à garantir la confiance vis-à-vis de la tenue des activités.

EBRC accompagne des institutions actives dans le secteur de la finance, des banques, de l’industrie et de l’assurance pour l’obtention de cette certification.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.