Le temps des DRP basés sur l’informatique a vécu. Avec la Business Resilience, le spectre est bien plus étendu. L’approche est aussi plus rassurante.

Place à la Business Resilience. Aujourd’hui, la continuité et la reprise des activités s’approchent via le business. Dans ce contexte, le BIA (Business Impact Analysis) est devenu crucial. Cette démarche est un préalable fondamental pour l’obtention de la certification ISO 22301, relative aux systèmes de management de la continuité d’activités.

Le concept de Business Continuity est éprouvé. Apparu dans les années 80, il adressait une partie de la problématique avec les DRP (Disaster Recovery Plans). Les efforts portaient essentiellement sur l’informatique. La volonté, alors, était de garantir la disponibilité des systèmes ou permettre leur remise en fonction rapide après un incident. Plus récemment, au début de cette décennie, le concept a été élargi avec la publication de la norme BS 25999 et l’établissement de la certification ISO 22301. Ce sujet fera l’objet d’une conférence -proposée par EBRC– lors de la Business Continuity Convention 2020 qui se tiendra au Cercle de Wallonie à Namur le 12 mars prochain.

«Désormais, les projets relatifs à la continuité d’activité couvrent un spectre étendu. Le board les porte. L’activité est considérée de façon holistique», commente Christophe Ruppert, Senior Consultant, Lead Implementer & Lead Auditor ISO 22301, Business Continuity Management Practice Lead, EBRC. Depuis ses débuts, EBRC accompagne ses clients avec la volonté de les rendre plus cyber-résilients.

Une étude approfondie de l’ensemble des départements

Règle n°1 : Partez du métier pour évaluer les impacts – «C’est en considérant le métier que l’analyse doit se construire. Prenez  en compte l’ensemble des facteurs qui peuvent nuire à la bonne marche de l’activité, conseille Christophe Ruppert. Les enjeux dépassent de loin la gestion des systèmes. Cela implique de commencer par identifier les activités essentielles à l’organisation. A la clé, une meilleure compréhension des processus. Ensuite, enchaînez avec une analyse d’impact. Il est important de comprendre quels pourraient être les effets de l’arrêt d’un processus critique dans le temps et sur l’ensemble de l’activité.»

Cette première étape relève du Business Impact Analysis. Elle ne peut être conduite qu’en menant une étude approfondie de l’ensemble des départements. Il vous faut identifier les activités entreprises et la manière dont chacun prend part aux procédures.

Règle n°2 : Identifiez les activités critiques et évaluez le niveau de tolérance à l’interruption – «A travers les entretiens menés, identifiez les liens d’interdépendance existants vis-à-vis d’autres départements ou d’acteurs externes, indique Christophe Ruppert. Dans chaque département et direction, challengez les équipes. Au départ d’un framework établi au regard de notre expérience et des bonnes pratiques reconnues, évaluez également les effets d’une interruption de l’activité au niveau de chaque équipe. Pour ce faire, basez-vous sur différents critères : le Recovery Time Objective (RTO), le Recovery Point Objective (RPO), le Maximum Acceptable Outage (MAO) ou encore le Minimum Business Continuity Objective (MBCO). A travers ces indicateurs, vous relèverez ce qui est acceptable en terme d’interruption pour chaque département. De cette façon, aussi, vous évaluerez la capacité réelle de l’IT à supporter les métiers.»

Réconcilier l’ensemble des besoins des équipes autour d’un processus critique

Règle n° 3 : Alignez les besoins au service du business – D’un département à l’autre, la perception de ce qui est acceptable peut diverger. Aussi, un des objectifs sera de réconcilier les sensibilités au regard des besoins réels du métier. «Dans la plupart des cas, c’est au sommet de l’entreprise que les arbitrages se font. Le top management est souvent le seul à pouvoir statuer vis-à-vis des risques encourus. Pour sa part, le management rationalise. Il décide souvent par rapport au niveau d’exposition admissible des affaires. En fait, tout dépend donc du secteur d’activité et de la clientèle, précise Christophe Ruppert. La réconciliation de l’ensemble des besoins des équipes autour d’un processus critique est nécessaire.»

Règle n° 4 : Evaluez les processus afin de retenir les meilleures solutions – L’analyse de l’impact business est au cœur de toute démarche relative aux enjeux de continuité. Elle sera complétée par une analyse des risques. Celle-ci se traduit par l’identification des menaces pouvant conduire à l’interruption d’une activité jugée critique. Elle se traduit aussi par l’évaluation de la probabilité de leur survenance. «Considérant l’ensemble de ces éléments, on peut imaginer des scénarii et des plans de reprise de l’activité dans les meilleurs délais. Prenez les processus, soumettez-les à la menace afin d’envisager les solutions à mettre en place. Ce peut être, par exemple, la relocalisation des collaborateurs. Voire un plan de redéploiement des systèmes des garanties relatives à la restauration des lignes de télécommunication. Enfin, n’oubliez pas d’évaluer le niveau de résilience de vos fournisseurs critiques.»

Rassurer, instaurer la confiance

Règle n° 5 : Simplifiez-vous la vie ! Tirez parti de la certification ISO 22301 – La certification ISO 22301 permet aux organisations de s’inscrire dans une démarche d’amélioration continue. C’est un cadre standardisé idéal pour démarrer, explique Christophe Ruppert. «L’enjeu n’est autre que de mieux protéger l’activité dans sa globalité. Et cela par une meilleure compréhension des processus et des risques. Il s’agit aussi de s’assurer de sa robustesse avec l’ensemble des parties prenantes tels que les clients, les partenaires ou encore le régulateur. Une telle certification est de nature à rassurer, à instaurer la confiance vis-à-vis de la tenue des activités.» EBRC accompagne des institutions actives dans le secteur de la finance, des banques, de l’industrie et de l’assurance pour l’obtention de cette certification.

Distinguer le risque de la menace

Beaucoup d’acteurs confondent risque et menace. Il est toutefois important de les distinguer. La menace est un élément bien particulier, une occurrence parfaitement identifiable. Il peut s’agir de la divulgation d’informations, une tentative de corruption, une intrusion dans des systèmes informatiques ou encore un acte terroriste. Cette menace peut s’abattre plus ou moins facilement sur un processus, en fonction des vulnérabilités qu’il présente.

Pour évaluer le risque, il faut identifier la menace et définir la probabilité qu’elle affecte le processus. Il faut aussi évaluer l’impact de cette survenance probable sur l’activité, les finances, la réputation. Ou, encore, vis-à-vis des obligations règlementaires. On obtient alors un niveau de risque faible, moyen ou important. Sur cette base et avec ces indicateurs, le dirigeant sera en mesure de définir l’objectif à atteindre : l’éliminer, le mitiger, voire l’accepter