---

---

Le Business Continuity Management (BCM) a évolué au fil du temps, passant d'une prévention purement technique des pannes de systèmes informatiques dans les années 1980 à un système de gestion complet. Aujourd'hui, le BCM ne s'occupe pas seulement de la protection des systèmes informatiques, mais de toutes les ressources importantes qui sont essentielles à la survie d'une entreprise en cas d'urgence. Certains principes et procédures importants se sont établis au fil du temps et seront expliqués plus loin.

Le concept du pire des cas

Lors de la mise en place d'un système de gestion de la continuité des activités (BCMS), on applique le concept dit du "pire des cas". Dans ce cas, la planification ne porte pas sur la cause de la défaillance des ressources, mais sur le résultat, à savoir la perte de bâtiments, de personnel dans les processus critiques en termes de temps, d'informatique, de services/livraisons et d'installations de production. La cause d'une éventuelle perte n'est pas au centre des préoccupations.

Le cycle de vie BCM

Basé sur le modèle BCM du Business Continuity Institute (BCI) et sur les exigences de la norme ISO pour le BCM (ISO 22301), le cycle de vie BCM se compose de six phases. Celles-ci comprennent deux phases de gestion et quatre phases de réalisation. Les phases de gestion représentent les tâches principales pour les responsables BCM, tandis que les phases de mise en œuvre se font en collaboration avec différents départements de l'entreprise. L'approche est plus pragmatique et doit permettre une mise en œuvre efficace du système BCM.


Source : Les six phases du cycle de vie BCM (d'après The Business Continuity Institute)

PHASE DE GESTION 1 : POLITIQUE ET GESTION DU PROGRAMME

La première phase du cycle de vie BCM consiste à concevoir le programme BCM de l'entreprise ou de l'organisation. La politique BCM est alors définie en fonction des exigences de la gestion de la continuité des activités et fixée par écrit. La politique doit être compréhensible et concise (10 à 15 pages) et décrire sommairement la motivation, les objectifs, les responsabilités et la mise en œuvre prévue. Cette politique est signée par les plus hauts niveaux de management et communiquée à tous les collaborateurs afin de créer les bases de la mise en œuvre du programme de continuité des activités. L'étape suivante consiste à élaborer la politique par le responsable BCM en affinant le cadre général sous la forme de descriptions de processus et de tâches. Ensuite, les outils et les modèles nécessaires sont développés pour soutenir la gestion du programme. La gestion du programme se base sur la politique BCM et la met en pratique.

PHASE DE GESTION 2 : ANCRAGE

La phase d'ancrage dans le cycle de vie BCM a pour objectif de sensibiliser l'ensemble de l'organisation à la gestion de la continuité des activités (BCM) et de l'intégrer dans les processus existants. Pour ce faire, un programme de formation et de sensibilisation sera développé pour tous les collaborateurs. En outre, les principes du BCM doivent être ancrés dans le plus grand nombre possible de processus de l'organisation, comme par exemple dans le processus d'intégration des nouveaux collaborateurs ou dans les listes de contrôle pour les grands projets. L'ancrage des aspects BCM dans les processus commerciaux doit permettre d'augmenter la capacité de résistance de l'organisation.

PHASE DE RÉALISATION 1 : ANALYSE

La phase d'analyse est une partie importante du cycle de vie BCM, car elle constitue la base des phases suivantes. Au cours de cette phase, les processus opérationnels de l'entreprise sont examinés afin de déterminer quels processus sont absolument nécessaires pour maintenir l'activité. Ces informations sont ensuite utilisées pour déterminer les priorités en matière d'exploitation d'urgence. En outre, la phase d'analyse examine et évalue les menaces qui peuvent toucher l'entreprise. Ces menaces sont identifiées sous la forme d'une analyse des menaces et les résultats sont utilisés pour éliminer les points faibles éventuels et trouver des ressources alternatives. La phase d'analyse permet de mieux comprendre les menaces et les risques auxquels l'entreprise est confrontée, ce qui permet de développer une stratégie BCM plus appropriée et plus efficace.

PHASE DE RÉALISATION 2 : DESIGN

Pendant la phase d'analyse, les processus d'entreprise critiques en termes de temps sont identifiés, leurs interdépendances sont déterminées et les conséquences sont établies pour différents scénarios de sinistre. Lors de la phase de conception, des solutions sont ensuite identifiées, évaluées et sélectionnées par la direction pour des scénarios tels que la défaillance des bâtiments, la défaillance du personnel, la défaillance informatique et la défaillance des fournisseurs/prestataires de services. Ces solutions consistent en des mesures organisationnelles et techniques qui contribuent à minimiser les risques encourus en cas de sinistre. Dans ce contexte, ces mesures sont appliquées de manière proactive et réactive afin de limiter l'ampleur du dommage et d'éviter une menace existentielle pour l'entreprise. À la fin de la phase de conception, les options de solution pour chaque site doivent être résumées dans un concept qui sera présenté à la direction, y compris l'analyse coûts-bénéfices, comme base de décision.

PHASE DE RÉALISATION 3 : MISE EN ŒUVRE

Pendant la phase de mise en œuvre, les plans de continuité des activités (PCA) sont formulés sur la base des solutions choisies. En fonction de la taille et de la complexité de l'entreprise, on établit soit un plan commun pour tous les scénarios, soit des plans individuels pour chaque scénario. En cas d'incident critique, ces plans fournissent une orientation aux secteurs concernés et veillent à ce que le redémarrage se fasse le plus rapidement possible dans les délais fixés. Les PCA contiennent des informations détaillées sur les priorités, les procédures, les responsabilités et les ressources nécessaires pour gérer une situation de crise et rétablir le fonctionnement normal le plus rapidement possible. En outre, cette phase permet de définir l'organisation nécessaire pour gérer une crise, notamment une cellule de crise, une équipe d'assistance et de service (AST) et des équipes de réponse opérationnelle.

PHASE DE RÉALISATION 4 : VALIDATION

La dernière phase du cycle de vie du Business Continuity Management (BCM), la validation, est divisée en trois domaines : Tester/exercer, entretenir et vérifier.

Les plans développés pour la structure de réponse sont vérifiés chaque année par des tests et des exercices proches de la réalité à tous les niveaux, afin d'identifier les erreurs et d'améliorer les solutions et les plans.

La maintenance fait référence à la révision et à la mise à jour régulières des documents.

La vérification sert à assurer la qualité et comprend des auto-évaluations, des audits internes ou externes, des contrôles aléatoires par le BC-Manager, des vérifications des fournisseurs et prestataires de services critiques, ainsi que des vérifications annuelles par la direction basées sur les rapports du BC-Manager.

Mise en place et fonctionnement d'un BCMS

La mise en place d'un système de gestion de la continuité des activités (BCMS) est complexe et nécessite un investissement personnel non négligeable. Il est important de faire la distinction entre la mise en place et l'exploitation du BCMS. Pour simplifier la mise en place, il est conseillé de faire appel à des experts externes expérimentés si les collaborateurs ne disposent pas des connaissances nécessaires. Pour l'exploitation du BCMS, les entreprises de taille moyenne employant 1000 personnes sur un seul site doivent prévoir un poste à temps plein pour un BC manager. Les sites plus petits peuvent se contenter d'un personnel moins nombreux.

Pour un projet d'introduction, il faut se donner un an pour réaliser le cycle de vie du BCM. Cela permet d'éviter une surcharge de l'organisation et s'inscrit parfaitement dans le cycle de vie BCM.

Gestion de la continuité des activités et interfaces avec d'autres disciplines

Il existe une idée fausse de ce que le BCM implique réellement, car tout ce qui est qualifié de BCM n'est pas forcément du BCM. Il convient de faire quelques distinctions :

BCM et Gestion de la continuité des services informatiques (ITSCM)

L'IT Service Continuity Management (ITSCM) est un sous-domaine du BCM qui est utilisé de manière proactive pour couvrir les pannes informatiques et leurs risques. L'ITSCM trouve ses origines dans les années 1980, lorsque des concepts de reprise après sinistre ont été développés. Comme pour la GCB, l'ITSCM est exploitée via un cycle de vie qui est presque identique à celui de la GCB. L'ITSCM se concentre sur un petit nombre de scénarios de défaillance techniques, comme la panne d'un centre de données, l'inaccessibilité d'un centre de données et la défaillance des connexions réseau. Il se base sur les résultats de l'analyse d'impact sur l'entreprise du BCM et accorde une attention particulière au temps de rétablissement requis d'un service informatique. Sur cette base, des concepts de solutions sont élaborés, qui sont ensuite traités au cours du cycle de vie ITSCM.

BCM UND GESTION DE LA SÉCURITÉ DE L'INFORMATION (ISM)

L'interface entre le BCM et la gestion de la sécurité de l'information (ISM) résulte du sous-domaine du BCM concernant les services informatiques (ITSCM). La sécurité de l'information se concentre principalement sur le respect des objectifs de sécurité définis pour les données de l'entreprise. Les objectifs de sécurité les plus connus sont le respect de la confidentialité (Confidentiality), de l'intégrité (Integrity), de la disponibilité (Continuity) et de l'authenticité (Authenticity) des informations. Lors de la mise en place d'un système ISM, une analyse des besoins de protection est effectuée, qui fournit à son tour des résultats pour l'analyse des écarts (gap analysis) pour l'ITSCM... Étant donné que l'ITSCM ne s'occupe pas de scénarios tels que les attaques de pirates, il est important de clarifier avec l'ISM qui planifie ces scénarios. D'un point de vue BCM, la panne informatique implique de développer des solutions de contournement manuelles ou des procédures techniques alternatives. Mais si une attaque est réussie, il doit exister des plans qui décrivent comment l'organisation doit réagir après une telle attaque.

BCM ET GESTION DE CRISE

La gestion de crise (CM) entre en action lorsque le Business Continuity Management (BCM) atteint ses limites et doit gérer une crise que le BCM n'a pas pu éviter. Cela peut être le cas lorsqu'une perturbation ou un incident critique, en raison de ressources indisponibles ou du dépassement du délai fixé au préalable, conduit à une crise. Comme les scénarios traités par le BCM (défaillance des bâtiments, du personnel, de l'informatique et des prestataires/fournisseurs critiques) sont souvent aussi des incidents critiques, il est judicieux de faire intervenir l'organisation de crise le plus tôt possible. L'organisation de crise est divisée en domaines stratégiques (cellule de crise), tactiques (équipe d'assistance et de service, éventuellement centre de situation) et opérationnels (équipes de réaction des services spécialisés).

En cas de crise, la gestion de crise assure la direction stratégique et la coordination tactique. Le BCM prépare les plans de continuité des activités qui seront activés par la cellule de crise en cas de crise. Une bonne communication à l'intérieur et à l'extérieur de l'organisation est essentielle pour les deux systèmes (BCM et CM) et doit être prise en compte lors de la planification. Le BCM est un système de gestion fortement orienté vers la prévention, qui fournit des plans de continuité des activités et prépare les équipes opérationnelles à la crise par des exercices. La cellule de crise prend le relais au niveau stratégique lorsque les plans BC ne suffisent pas, lorsque des situations non couvertes par le BCM surviennent ou lorsque les ressources d'urgence ne fonctionnent pas.

  Quel est l'objectif du Business Continuity Management?

• Le BBCM identifie les menaces potentielles et minimise les risques qui en découlent. 

• Développer la résilience de l'organisation et préparer une réponse au pire scénario grâce à des procédures établies pour les pertes éventuelles de ressources critiques (personnel, bâtiments, informatique et fournisseurs). 

• Assurer la continuité des processus commerciaux critiques en développant des plans d'urgence à l'aide de méthodes analytiques, en soulageant les collaborateurs pendant une crise et en définissant des priorités pour le retour à la normale.

• Répondre aux exigences au sein de l'organisation et à celles des clients et autres parties prenantes. 

  Comment la gestion de la continuité des activités peut-elle aider mon entreprise?