Rien de neuf : la Business Continuity a toujours existé. Elle a juste évolué, explique Dr Sandra Bell, Head of Resilience Consulting, Sungard AS.

On fait de la Business Continuity depuis des siècles ! Être en mesure de protéger et de poursuivre les opérations de création de valeur d’une organisation en cas de perturbation est une question de résilience. Une affaire de bon sens. Et cela a toujours existé, martèle Dr Sandra Bell, Head of Resilience Consulting, Sungard AS

«Remontons à la révolution industrielle. Les entrepreneurs de l’époque craignaient de voir couler les bateaux acheminant leurs matières premières. Même crainte durant la Seconde Guerre mondiale. Les entreprises, alors, craignaient de voir leurs approvisionnements affectés en raison des bombardements ou, plus simplement, du rationnement…»

Aujourd’hui, on pense davantage aux catastrophes naturelles, aux pandémies. Egalement à l’instabilité économique et politique généralisée. Sans oublier les attaques éco-terroristes. Et, bien sûr, au cybercrime organisé. Entretemps, les vulnérabilités ont changé. Des technologies perturbatrices telles que l’AI et l’IoT ainsi que des chaînes d’approvisionnement hyper-étendues ont créé un niveau de complexité opérationnelle. Résultat : les vulnérabilités sont difficiles à détecter. La protection est de plus en plus complexe.

Le sujet sera évidemment soulevé lors de la Business Continuity Convention 2020 qui se tiendra au Cercle de Wallonie à Namur le 12 mars prochain.

La révolution technologique et la nécessité d’une reprise après sinistre

«Planifier, investir et engager des ressources pour des événements que vous ne souhaitez pas voir se produire pose une dichotomie pour une entreprise, estime Sandra Bell. D’une part, il semble prudent d’investir sur la base des coûts de la baisse potentielle. Mais, d’autre part, il est impossible d’anticiper tous les scénarios possibles et donc l’investissement peut s’avérer futile. Pendant de nombreuses années, cette dichotomie a conduit les organisations à répondre principalement de manière ponctuelle aux perturbations. Ce n’est que lors de la révolution technologique des années 1970 que la continuité des activités est devenue une discipline formelle.»

Ensuite, lorsque les technologies de l’information ont commencé à avoir un impact direct sur le bien-être économique, tout a été très vite. La continuité des activités est apparue comme une discipline formelle dans le but de préserver les services clients essentiels, la génération de revenus, les services de support essentiels, la confiance des clients, des actionnaires et des employés et, enfin, l’image publique de l’entreprise.

La création de l’US Disaster Recovery Institute (DRI) en 1988 et du Business Continuity Institute (BCI) au Royaume-Uni en 1994 ont contribué à formaliser la continuité des activités en tant que discipline de gestion avec des critères d’adhésion, des normes de certification et des directives de formation.

Après le 11 septembre…

Les attentats terroristes de New York et de Washington en septembre 2001 ont mis en évidence la possibilité d’événements extrêmes. On a compris que la résilience des nations dépend largement de la résilience des entreprises -grandes et petites. Les directives, les normes et les réglementations ont fait boule de neige. Ce qui était auparavant une discipline dirigée par des praticiens, où les solutions étaient souvent adaptées aux besoins spécifiques de l’entreprise individuelle, est devenue une discipline dirigée par des spécialistes. De même, l’accent est passé de la culture et de la sensibilisation à l’existence de plans formels -dont la production a souvent été automatisée par l’un des innombrables outils de planification de logiciels de continuité des activités qui ont émergé sur le marché.

Comme toute entreprise, la technologie ne s’arrête pas, elle évolue et change constamment. De même, les logiciels malveillants tels que les ransomwares et les vers suivent le rythme des progrès technologiques. Par exemple, les attaques de ransomwares sont montées en flèche en 2017, avec WannaCry paralysant des milliers d’entreprises. En même temps, le crypto-virus Petya a assommé la compagnie maritime multinationale Maersk, la société de publicité britannique WPP et la société pharmaceutique Merck. Les pertes de l’attaque de WannaCry ont été estimées à 4 milliards USD dans le monde.

Pourquoi un BCP s’il ne fonctionne jamais…

«Alors que la source du problème peut être le système informatique et la perturbation majeure des opérations, l’impact principal d’une cyberattaque est stratégique, enchaîne Sandra Bell. Vous devez être prêt à adapter votre réponse en temps réel. Les attaquants adapteront leurs stratégies en réponse à vos mouvements défensifs. Autrement dit, si vous n’êtes pas prêt, ou capable d’adapter votre plan, vous risquez d’être vaincu !»

De nombreuses parties prenantes seront également impliquées, créant un environnement complexe. Et certains plans d’action peuvent avoir des conséquences imprévues qui doivent être contrées en temps réel.

«Il serait donc facile de dire qu’il est inutile d’avoir un plan s’il ne fonctionne jamais ! Cependant, il vous faudra bien une piste… même si vous ferez très vite, par nécessité, du ‘hors piste’ !» La priorité actuelle pour la continuité des activités est donc le processus de planification plutôt que les plans eux-mêmes, estime la spécialiste de Sungard AS.

«Cette connaissance permet à l’organisation d’adapter ses plans aux circonstances spécifiques -plutôt que de simplement se plier face à l’inattendu…»

L’avenir de la continuité des affaires

Dans le monde actuel, axé sur le consommateur, avec des cycles d’actualités permanents et les médias sociaux, il est presque impossible d’avoir un ‘incident isolé’. Même les problèmes mineurs seront dévoilés via les réseaux sociaux. Et de voir les clients se tourner vers des concurrents…

Alors que le paysage des risques dans lequel les organisations opèrent devient de plus en plus complexe, les organisations incertaines devront de plus en plus pouvoir faire preuve d’innovation face à l’adversité. Le processus de continuité des activités fournit non seulement une clarté sur les processus organisationnels prioritaires, mais aussi, grâce à des programmes de formation et d’exercice, un environnement sûr pour expérimenter et pratiquer l’innovation sous stress.

«Par conséquent, la prochaine fois que quelqu’un dit que vous devez mettre à jour votre BIA ou assister à un exercice, ne pensez pas que vous aiderez le Business Continuity Manager. Envisagez plutôt ce que le processus peut faire pour vous. Ce qu’il peut très concrètement vous apporter dans le business !»

Planification proactive

Les progrès technologiques modifient la façon dont certains risques sont traités. La menace moderne des ransomwares, par exemple, est quelque chose que les entreprises devront évaluer régulièrement et de façon active. En revanche, la question d’un espace de travail physique a diminué avec la recrudescence des employés distants et même des équipes complètement réparties.

Cependant, le véritable impact du monde numérique réside dans une meilleure compréhension de la résilience. Il n’y a plus de place dans le plan de continuité d’activité pour faire face aux temps d’arrêt, où une organisation peut perdre de l’argent et des clients. Au lieu de cela, la résilience vous permet de rebondir après une crise sans interruption totale.

Compte tenu des progrès rapides de la technologie, la planification de la continuité des activités est passée à une ère de planification proactive et de réponses en temps réel. À l’ère de l’évolution rapide du numérique, chaque partie prenante a besoin d’un accès immédiat au plan de continuité : elle doit connaître son rôle et ce qu’on attend d’elle. «Les entreprises ne réagissent plus simplement aux événements, elles utilisent des plans dynamiques qui complètent la nature évolutive des menaces à l’ère numérique.»