Pratiquement toutes les organisations disposent de procédures et instructions en support de leurs activités courantes. En revanche, plus rares sont celles qui disposent également de procédures pour les cas où les actes à poser ne relèvent pas des opérations courantes (‘not business as usual’), comme les perturbations de l’exploitation, les menaces et les situations de crise. C’est pour le moins étonnant, d’autant que c’est précisément dans ces cas-là que des instructions claires seraient les bienvenues. Il faut dire que ce n’est pas tous les jours qu’une organisation est confrontée à une situation de crise. De telles procédures de continuité peuvent être consignées dans un ‘Business Continuity Plan’ (‘BCP’ ou plan de continuité des activités). La continuité des activités n’est plus une option (‘nice-to-have’). Elle est devenue une nécessité (‘need-to-have’).
En quoi consiste exactement un Business Continuity Plan?
Un BCP est un scénario qui définit les mesures à prendre directement après qu’une situation de crise se soit produite. Ces mesures visent non seulement à éviter qu’il y ait des victimes, mais également à assurer la continuité de l’organisation. Un BCP a pour but de minimiser l’impact d’une crise, d’une menace ou de toute autre perturbation de vos processus journaliers.
Attention: un BCP vise uniquement à garantir la continuité des activités après une menace, il ne vise pas à prévenir la menace. La prévention de la menace relève en effet de votre processus de gestion des risques.
Champ d’application d’un Business Continuity Plan
Un BCP n’est pas un outil de prévention. Il vise exclusivement à assurer la continuité de votre organisation si une menace se produit. Les dommages directs d’une telle menace sont généralement couverts, mais pas les dommages indirects. Le BCP vise à prévenir les dommages indirects. Un BCP est essentiellement constitué de plusieurs scénarios spécifiques, qui peuvent être utilisés individuellement ou en combinaison lorsqu’une menace se produit. L’élaboration d’un tel scénario n’est pas axée sur la menace elle-même, mais sur l’impact de la menace et sur les solutions pour que votre organisation puisse poursuivre ses activités en cas d’indisponibilité prolongée de ressources et biens d’équipement critiques.
Par cette approche, le champ d’application devient très clair. Il s’agit de:
- l’indisponibilité prolongée de:
- personnes
- bâtiments
- l’accès à des bâtiments ou sites
- services d’utilité publique, y compris les télécommunications
- TIC
- sous-traitants, et
- l’atteinte à la réputation.
Définissez dès lors au préalable tous les aspects à prendre en compte. Pour ce faire, procédez à une analyse de risques détaillée. Autrement dit, faites état des éléments qui risquent de compromettre la continuité de l’entreprise. Inventoriez tous les risques et examinez qui ou ce qui pourrait être affecté par ces risques. Sur la base de cette analyse de risques, vous pourrez ensuite définir le contenu, les priorités et l’étendue du Business Continuity Plan. Il est judicieux de bien délimiter ce BCP et de ne pas en faire un processus complexe de gestion de la continuité des activités.
Une fois votre BCP mis en œuvre, vous ne pouvez pas pour autant vous reposer sur vos lauriers. Il est absolument indispensable de tester votre BCP, de s’exercer à sa mise en œuvre, de l’entretenir et de l’améliorer car votre organisation est un ensemble dynamique. Si votre Business Continuity Plan n’évolue pas avec elle ou s’il n’est pas suffisamment testé, il n’aura rapidement plus aucune utilité.
