Qu’adviendrait-il si demain, votre entreprise subissait une catastrophe l’empêchant de fonctionner correctement ? Seriez-vous à même d’en limiter et maîtriser l’impact négatif ? Pourriez-vous préserver la réputation de votre entreprise ?

“Si un problème survient, vous devez pouvoir en limiter l’impact opérationnel et préserver la réputation de votre entreprise. La maîtrise de l’impact et la protection de la réputation sont les deux piliers majeurs du Business Continuity Management (BCM)”, déclare Chris De Blende, Senior Manager chez PwC.

“Les perturbations graves ne résultent pas toujours de grandes catastrophes qui affectent directement une entreprise”, explique De Blende. “Ainsi, par exemple, votre entreprise peut être évacuée à la suite d’une explosion ailleurs sur votre site industriel ou dans les environs proches.”

De Blende évoque le Horizon Scan Report du Business Continuity Institute (BCI), qui répertorie les dangers encourus par les entreprises. D’après le BCI, les entreprises considèrent les interruptions IT et télécom imprévues comme leur principale menace et classent l’abus de données en deuxième position. Les cyberattaques et l’influence des médias sociaux sur la réputation de l’entreprise représentent également des dangers critiques. La liste est longue et inclut aussi, entre autres, les perturbations de la chaîne de livraison, les intempéries et les troubles civils.

Parmi les tendances IT influant sur le BCM depuis quelques années figurent le BYOD (Bring Your Own Device) et les applications liées au cloud. “La gouvernance reste également importante dans ces deux domaines. La responsabilité incombe toujours à l’entreprise”, souligne De Blende. “Signez un contrat en béton avec votre fournisseur cloud (SLA) et assurez-vous de connaître l’emplacement exact de toutes vos données critiques. Si possible, demandez à votre fournisseur d’effectuer un audit ou un assessment. Si des données d’entreprises sont particulièrement confidentielles, je peux m’imaginer que le management exige la certitude qu’elles ne pourront être ‘consultées’ par les autorités ou des instances non-autorisées.”

“Ces tendances rendent la détermination et la délimitation des rôles et responsabilités encore plus importantes”, explique De Blende. “Le management doit redoubler d’attention envers les indépendances et attributions invisibles de tous les actifs. Il ne faut pas non plus sous-estimer les changements culturels engendrés par les tendances. Enfin, ne commettez pas l’erreur de penser que le traitement des incidents, la surveillance, la gestion des correctifs et les autres processus sont subitement devenus insignifiants. Ils demeurent tout aussi importants, voire davantage”.

L’IT joue un rôle important dans la pérennité d’une entreprise à long terme ; et dans ce contexte, elle est de plus en plus souvent considérée comme un catalyseur essentiel. Chris De Blende énumère quelques questions qui en découlent pour l’IT et le BCM :

Chris De Blende reconnaît que l’IT joue un rôle important dans le BCM, mais il plaide en même temps pour une approche plus large, holistique, articulée sur cinq piliers.

Le BCM demande du temps et de l’énergie. “La mise au point d’une capacité BC mature prend souvent trois ans environ”, explique Chris De Blende. “Commencez modestement et abordez d’abord les processus les plus critiques. Assurez-vous de connaître la mission de votre entreprise, ainsi que les conséquences si vous êtes injoignable ou indisponible. Cela doit être votre base de départ.”

Depuis le milieu de l’année dernière, les entreprises peuvent appliquer ISO 22301, qui devient la principale norme de Business Continuity Management en remplacement de BS 25999. La norme ISO 22301 insiste notamment sur la fixation d’objectifs, la mesure des performances et KPI, ainsi que les actions permettant d’identifier plus rapidement les risques et opportunités. La norme de l’IT en BCM est ISO/IEC 27031.