Qu'est-ce que la continuité des affaires ? Comment planifier une urgence

Une once de préparation vaut une livre de remède.

Quelle que soit la taille de votre organisation, le risque de perturbation des activités est réel. De nombreux dangers peuvent perturber les fonctions commerciales critiques, y compris les attaques physiques ou cybernétiques, les catastrophes naturelles, les pandémies et les impacts sur la chaîne d'approvisionnement.

La continuité des activités est la pierre angulaire de la capacité de votre organisation à répondre aux perturbations. Elle aborde les principaux risques commerciaux qui peuvent entraîner des perturbations et aide à planifier la réponse attendue.

Les services technologiques courants axés sur la continuité des activités incluent les logiciels de reprise après sinistre en tant que service (DRaaS) pour les défaillances d'infrastructure et les politiques de sécurité gérées qui protègent contre les cyberattaques plus sophistiquées, entre autres.

Comme la continuité des activités est essentielle pour garder votre infrastructure informatique sous contrôle pendant une catastrophe, elle doit être développée à travers un processus bien orchestré.

La continuité des activités a deux aspects :

1. La planification de la continuité des activités (PCA) définit les processus de gestion des risques et les techniques pour prévenir les interruptions de services critiques et reprendre les opérations complètes aussi rapidement et efficacement que possible. Ces plans incluent souvent des processus, des solutions de contournement manuelles et des procédures de sauvegarde pour faire face à la perte d'espace de travail, d'infrastructure, de personnel, de logiciels et de fournisseurs.
2. La gestion de la continuité des activités (GCA) est une approche holistique de l'évaluation des risques et de son impact sur les processus opérationnels. Elle combine la réponse d'urgence, la gestion de crise, la reprise après sinistre et la continuité des activités.

Pourquoi la continuité des activités est-elle importante ?

Toute institution, des petites entreprises aux grandes corporations, dépend de la technologie numérique pour générer des revenus, fournir des services et soutenir les consommateurs qui souhaitent des services et des données disponibles à tout moment. Les clients ne sont pas les seuls à souffrir de la perturbation. Un incendie, une inondation, une attaque par ransomware ou d'autres catastrophes peuvent causer des pertes financières importantes, nuire à l'image de l'entreprise et, dans le pire des cas, forcer une entreprise à fermer définitivement.

Les organisations mettent l'accent sur la continuité des activités car maintenir des services vitaux pendant une crise ou une perturbation peut faire la différence entre le succès et l'échec. Si des capacités commerciales critiques échouent, un temps de récupération court pour la restauration du système peut être d'une grande valeur. 

La continuité des activités peut :

• Assurer la sécurité du personnel, des contractants, des clients et des visiteurs
• Réduire l'impact d'une interruption en accélérant l'effort de récupération
• Protéger l'image, les processus et les relations avec les parties prenantes d'une entreprise

La planification et la préparation sont essentielles à une stratégie de continuité des activités holistique. Les professionnels peuvent aider une entreprise à développer un plan de résilience. Établir une telle stratégie est un processus chronophage qui implique de mener une analyse d'impact sur les affaires (BIA) et une analyse des risques et de concevoir des plans de continuité, des tests, des exercices et des formations.

Par exemple, récupérer des ensembles de données massifs à partir d'une sauvegarde peut prendre un temps douloureusement long. Par conséquent, le basculement vers un centre de données distant est une alternative préférable pour les entreprises avec de grands ensembles de données.

Un plan de contingence peut être la dernière alternative lorsque les efforts de résilience et de récupération échouent, ou qu'un événement inattendu se produit. Un plan de contingence contient une approche pratiquée et une stratégie pour les besoins de dernier recours. Ces besoins peuvent aller de la recherche d'un soutien tiers à la localisation d'un deuxième site pour un espace de bureau urgent ou des serveurs de sauvegarde à distance.

Types de risques de continuité des activités

Les risques de continuité des activités affectent grandement les organisations. L'impact de la pandémie de Covid-19 sur les entreprises du monde entier est peut-être le meilleur exemple de risques de continuité des activités. 

Les entreprises ont subi de lourdes pertes alors qu'elles fermaient définitivement, et les clients ont été contraints de rester à l'intérieur pendant les confinements. De nombreux employés ont été licenciés alors que les entreprises luttaient pour payer les salaires et le loyer.

Un plan de continuité des activités peut aider à prévenir de telles menaces potentielles et à maintenir des opérations fluides et efficaces. Examinons cinq principaux risques de continuité des activités qu'une entreprise devrait surveiller et gérer :

1. Les cyberattaques sont une grande préoccupation. Les cybercriminels peuvent nuire à la réputation et aux finances d'une entreprise en causant des dommages au réseau et au système. Par exemple, en octobre 2020, le ransomware Clop a frappé Software AG, une entreprise technologique allemande. Les cybercriminels ont menacé de divulguer les données des clients (telles que les informations de contact et d'autres informations personnellement identifiables (PII)) si l'entreprise ne payait pas une rançon de 23 millions de dollars.
2. La violation de données se produit lorsque des informations essentielles, privées et sensibles sont divulguées ou révélées à une personne ou un environnement peu fiable. Les violations de données incluent la perte de clés USB, d'appareils mobiles ou informatiques, d'ordinateurs portables et de réseaux informatiques. De telles violations peuvent exposer des informations critiques de l'entreprise et des clients à des individus inconnus et causer un préjudice important à l'entreprise.
3. Le terrorisme menace un pays ou une communauté. Il instille la peur et l'incertitude parmi le grand public. Les employés et les forces de sécurité d'une entreprise ne sont pas équipés pour faire face aux attaques terroristes. Les conséquences les plus visibles du terrorisme sont la destruction de biens et la perturbation des activités. De plus, le tourisme et la vie quotidienne sont fortement affectés après un événement terroriste. Il faut un certain temps pour que les entreprises reprennent leurs activités normales.
4. Les incendies se produisent généralement soudainement et sans préavis. Tout peut les provoquer, comme un dysfonctionnement de la propriété commerciale ou une mauvaise utilisation des outils et appareils organisationnels, tels que des configurations informatiques (IT) défectueuses ou surchauffées. Maintenir une stratégie de contrôle des incendies qui inclut des brigades de pompiers, des alarmes et des extincteurs comme mesure préventive pour prévenir et combattre les incendies est nécessaire pour tous les types d'entreprises.
5. La perturbation de la chaîne d'approvisionnement : Les entreprises doivent également être prudentes face à la perturbation de la chaîne d'approvisionnement. Les calamités naturelles telles que les inondations, les ouragans, les tremblements de terre, les tsunamis et les tempêtes causent fréquemment de telles perturbations. En conséquence, le système de distribution entre les entreprises et les fournisseurs s'effondre, et la chaîne d'approvisionnement en souffre.

Que comprend la continuité des activités ?

La continuité des activités aborde la planification et la préparation essentielles pour renforcer et équiper une entreprise à mener des services commerciaux vitaux pendant une crise. Elle détermine, planifie et développe :

• Les équipes nécessaires pour gérer les urgences
• Comment communiquer avec les consommateurs, les fournisseurs et d'autres intermédiaires pour fournir des informations précises et une assistance
• La séquence et le timing essentiels pour restaurer les opérations
• Comment s'assurer que les clients continuent de recevoir des services ou des produits
• La technologie essentielle pour soutenir les flux de travail commerciaux
• Comment assister les employés en cas d'urgence
• Où et comment déplacer les parties prenantes internes si les sites commerciaux sont impactés ou indisponibles
• Les procédures de contournement qui entrent en jeu lorsque les processus ne sont pas disponibles
• Des exercices réguliers pour s'assurer que les plans et les actions répondent aux normes et fonctionnent lors d'un incident réel
• La documentation des processus commerciaux et des étapes nécessaires

Une continuité des activités appropriée intègre différentes classes de réponse. Comme tout n'est pas critique pour la mission, il est essentiel de séparer ce qui est le plus critique à maintenir en fonctionnement et ce qui peut attendre un peu plus longtemps. Il est vital d'être impartial sur les objectifs de temps de récupération (RTO) et les objectifs de point de récupération (RPO).

Composants d'un plan de continuité des activités

Un plan de continuité des activités a trois composants majeurs : la résilience, la récupération et la contingence.

La résilience d'une organisation s'améliore lorsqu'elle planifie des services et des infrastructures essentiels en tenant compte de multiples scénarios de crise, tels que les rotations de personnel, la redondance des données et le surplus de capacité. Assurer la résilience face à diverses situations peut également aider les entreprises à maintenir des services vitaux sur site et hors site sans interruption.

Une récupération rapide est essentielle pour restaurer les services après une catastrophe. Établir des objectifs de temps de récupération pour différents systèmes, réseaux ou applications peut déterminer quels composants doivent être récupérés en premier. D'autres options de récupération incluent des inventaires de ressources, des partenariats avec des entreprises tierces pour reprendre les opérations commerciales, et des installations modifiées pour les opérations critiques pour la mission.

Un plan de contingence inclut des techniques pour une gamme d'événements externes et une hiérarchie qui distribue les tâches au sein d'une entreprise. Ces tâches peuvent également impliquer le remplacement de matériel, l'acquisition d'un espace de bureau d'urgence, l'évaluation des dommages et l'embauche de fournisseurs tiers.

Continuité des activités vs. reprise après sinistre

La continuité des activités et la reprise après sinistre (DR) sont étroitement alignées et aident une organisation à rester active après une catastrophe. L'intégration de la continuité des activités et de la reprise après sinistre en un seul terme, BCDR, découle d'une compréhension croissante que les dirigeants d'entreprise et de technologie devraient travailler en étroite collaboration pour préparer des solutions de crise plutôt que de construire des stratégies en isolation. BCDR vise à réduire les risques et à remettre une organisation en marche aussi rapidement que possible après une panne imprévue.

La continuité des activités est plus proactive et se réfère à la gestion des systèmes et processus critiques pour la mission afin d'assurer une opération continue pendant et après une crise. Elle inclut une planification plus approfondie qui cible les menaces à long terme pour le succès de l'entreprise. La continuité des activités se concentre généralement sur les processus organisationnels.

La reprise après sinistre est plus réactive et implique des mesures spécifiques qu'une entreprise doit suivre après une perturbation pour reprendre ses opérations. La reprise après sinistre a lieu après la catastrophe, avec des temps de réaction allant de quelques secondes à plusieurs jours. La DR traite de l'infrastructure technique.

Contrairement aux plans de continuité des activités, les stratégies de reprise après sinistre peuvent également inclure des précautions supplémentaires pour la sécurité des employés, telles que des exercices d'incendie ou des fournitures d'urgence. Combiner les deux aide une entreprise à se concentrer à la fois sur les opérations et la sécurité des employés.

La reprise après sinistre est un composant essentiel des programmes de continuité des activités qui rendent les données accessibles après une catastrophe. Cet aspect est inclus dans la continuité des activités, mais il prend également en compte la gestion des risques et d'autres préparations dont une entreprise a besoin pour rester à flot pendant une urgence.

La continuité des activités et la reprise après sinistre ont quelques parallèles. Elles considèrent toutes deux divers événements imprévus, tels que les cyberattaques, les erreurs humaines et les catastrophes naturelles. Elles se concentrent sur la récupération des activités, en particulier pour les applications critiques pour la mission. Dans de nombreuses situations, la même équipe travaille sur la continuité des activités et la reprise après sinistre.

Des plans de continuité des activités réussis réduisent les temps d'arrêt opérationnels, tandis que des plans de reprise après sinistre efficaces réduisent les fonctions système aberrantes ou inefficaces. Les entreprises ne peuvent se préparer pleinement aux urgences qu'en intégrant les deux stratégies.

Résilience des activités vs. continuité des activités

Alors que les plans de continuité des activités sont essentiels pour réussir dans un monde imprévisible, la résilience des activités va au-delà des plans pour favoriser une culture agile.

La résilience des activités est la volonté d'une organisation de s'adapter aux situations et de fonctionner efficacement face à un risque ou un changement externe ou interne. Les entreprises résilientes peuvent s'adapter et gérer les menaces de sécurité, de risque, de préparation et de survie.

La résilience des activités répond aux risques et intègre la continuité des activités et la gestion de crise. Elle englobe également la capacité d'une entreprise à s'adapter à de nouveaux environnements et à fusionner plusieurs disciplines en un ensemble unique de procédures intégrées. C'est une approche plus stratégique de la gestion des risques. La résilience des activités est personnalisée pour chaque entreprise, car différentes entreprises ont des besoins différents.

En termes simples, il s'agit d'absorber un coup et de rebondir. Pour une entreprise, cela signifie qu'en cas de perturbation, vous avez des mesures en place pour absorber l'impact sans interrompre gravement vos activités. Les entreprises doivent suivre certains principes pour créer un cadre de résilience organisationnelle réussie.

La résilience nécessite généralement :

• Un comportement cohérent avec une vision et un objectif partagés
• Une compréhension à jour de l'environnement de l'entreprise
• La capacité d'absorber, d'adapter et de répondre efficacement au changement
• Un bon leadership et une bonne gestion
• Une coordination entre les disciplines managériales et des contributions d'experts techniques et scientifiques

Normes de continuité des activités

Les normes de continuité des activités favorisent l'uniformité dans une approche particulière de la continuité des activités. Suivre des normes et des processus établis permet aux entreprises d'obtenir des délais de réponse rapides.

• ISO 22301 : Cette norme de continuité des activités établit une structure pour les tactiques de réponse et les méthodes de récupération via un système de gestion défini. Elle inclut la planification stratégique, la conception, la mise en œuvre, la facilité d'opérabilité, la surveillance, l'évaluation, la gestion et les mises à jour en temps opportun.
• ISO 22313 : Ce protocole est une extension de l'ISO 22301 qui met en évidence des clauses réglementaires particulières.
• ISO 27001 : Cette stratégie se concentre sur les systèmes de gestion de la sécurité de l'information (ISMS). Elle implique la conception, la mise en œuvre, la gestion et la promotion d'une culture d'amélioration continue.
• ISO 22320 : Cette norme de continuité des activités définit les conditions de réponse aux incidents et une approche fondamentale de la structure de commandement, des informations opérationnelles et de l'engagement avec les groupes de réponse aux incidents.
• ISO 31000 : Il s'agit d'un cadre général de gestion des risques qui peut être adapté à toute entreprise, quel que soit le type, la taille ou la complexité de ses activités. Il couvre la gestion des risques et l'allocation efficace des ressources.
• ISO 27000 : Il s'agit d'un ensemble de règles réglementaires applicables aux ISMS. Il se concentre sur la sécurité des systèmes d'information, y compris les données financières, les profils de personnel, les données des consommateurs et les bases de données tierces.
• ISO 28000 : Cette norme décrit les exigences pour un système de gestion de la sécurité du point de vue de la gestion de la chaîne d'approvisionnement.
• NFPA 1600 : C'est une source de référence qui explique comment se préparer, faire face et se remettre des catastrophes.
• NFPA 72 : Cette norme fournit les meilleures pratiques pour déployer des systèmes de détection d'incendie, de signalisation, d'alarme, de notification de masse, de gestion météorologique et de notification similaire pour alerter les équipes de continuité des activités des dangers potentiels.

Outils de continuité des activités

Vous pouvez choisir parmi une large gamme d'outils de continuité des activités, chacun avec son propre ensemble de fonctionnalités :

• Sauvegarde : La sauvegarde des données est l'une des techniques les plus basiques pour assurer la continuité des activités. Bien que maintenir des données hors site ou sur un lecteur distant assure une certaine continuité des activités, d'autres systèmes sont nécessaires pour sauvegarder l'infrastructure informatique et la maintenir opérationnelle en cas de catastrophe. Le logiciel de sauvegarde protège les données de l'entreprise en répliquant les données des serveurs, des bases de données, des ordinateurs de bureau et d'autres appareils lorsque des erreurs humaines, des fichiers endommagés ou des calamités physiques rendent les données essentielles inaccessibles.
• Sauvegarde en tant que service (BaaS) : La sauvegarde en tant que service est comparable à la sauvegarde de données à un emplacement distant, mais elle est effectuée par une source tierce. Encore une fois, les données sont sauvegardées, mais l'infrastructure informatique ne l'est pas.
• DRaaS : DRaaS migre le traitement des données d'une organisation vers une plateforme cloud. Les fournisseurs de DRaaS offrent un modèle d'abonnement ou de paiement à l'utilisation pour que les entreprises utilisent le service. Un avantage du DRaaS est que les entreprises peuvent continuer à fonctionner normalement depuis le site du fournisseur même si leurs serveurs ne sont pas disponibles. Utiliser un fournisseur local de DRaaS entraîne une latence plus faible, mais si les serveurs du fournisseur sont trop proches du site de la catastrophe, leurs serveurs pourraient être affectés par la même crise.

Avantages de la continuité des activités

Des événements inattendus peuvent dérailler une organisation à tout moment. Que l'incident soit une catastrophe naturelle ou un accident, un revers intentionnel ou une attaque, l'impact sur votre entreprise peut être sévère. Si vous ne planifiez pas pour une telle urgence, les conséquences peuvent être beaucoup plus graves.

Les stratégies de continuité des activités peuvent vous aider à :

• Assurer que votre entreprise continue de fonctionner pendant et après un événement
• Protéger la réputation de votre entreprise
• Restaurer les opérations dès que possible après une interruption
• Réduire le coût de gestion des temps d'arrêt de l'entreprise
• Réduire les risques et l'impact des risques sur votre entreprise
• Augmenter la confiance et la confiance des clients

Défis de la continuité des activités

Avec la continuité des activités offrant tous les avantages énumérés ci-dessus, il pourrait être contre-intuitif de supposer que l'adoption d'une stratégie de continuité des activités peut avoir des inconvénients. Peut-être que "limitations" est un meilleur terme à utiliser lors de la discussion des inconvénients. Bien que la planification de la continuité des activités offre plusieurs avantages, elle peut donner aux entreprises un faux sentiment de sécurité et conduire à une préparation inadéquate.

Voici quelques défis courants de la continuité des activités :

• C'est un processus chronophage. Développer une stratégie de continuité des activités prend du temps. De plus, l'établir comme une partie critique de la culture organisationnelle n'est pas facile.
• Elle s'accompagne de contraintes financières. Un plan de continuité des activités peut entraîner des pertes économiques substantielles s'il est mal exécuté.

Planifiez pour le pire

Il est peu utile d'organiser des plans de reprise après sinistre et de continuité des activités si vous ne les mettez pas à jour. Révisez régulièrement les hypothèses sur lesquelles votre programme était basé. Développez plus d'un scénario de récupération pour choisir la solution la plus appropriée pour chaque situation. Enfin, identifiez les systèmes et les données critiques à récupérer rapidement et complètement.

Vous voulez évaluer les risques commerciaux et les planifier ? Découvrez comment le logiciel de gestion de la continuité des activités aide les entreprises à identifier et à se remettre des pannes opérationnelles.