Bâtir un programme de résilience qui garde toujours un pas d’avance

Inutile de le rappeler : la résilience est une priorité dans un contexte de polycrise et une gestion efficace des risques est la pierre angulaire de cette résilience. Mais comment les organisations peuvent-elles maintenir à jour leur programme de résilience dans un contexte contraignant, où les affaires et les menaces évoluent rapidement?

Clients, actionnaires, employés, organismes de réglementation… Tout le monde s’attend à ce que les organisations réagissent promptement et de manière étendue lorsque survient une interruption des activités. Même durant une crise, les organisations doivent suivre l’accélération de l’exécution (en anglais seulement) qui résulte des transformations numériques dans leurs secteurs.

Les dirigeants canadiens doivent veiller à ce que leur programme de résilience ait une longueur d’avance sur l’évolution du contexte commercial. Voici trois recommandations pour les aider à y parvenir : 1) adopter une approche axée sur le client; 2) mettre à profit les outils technologiques; 3) exécuter le programme de résilience.

Tirer le maximum des ressources de résilience : trois recommandations pratiques

Au Canada, un peu plus de 4 répondants sur 10 (42 %) à notre Sondage mondial sur la gestion de crise et la résilience (en anglais seulement) indiquent que leur organisation a eu de la difficulté à maintenir ses services essentiels avec les mesures de continuité des activités pendant les pires interruptions au cours des deux dernières années.

Une partie du problème découle du fait que dans bien des cas, les organisations ont évalué la sensibilité de leurs activités unité par unité au lieu de procéder par service. Bien que le recours à cette approche s’explique par des raisons pratiques et logistiques, il est difficile de rétablir des services quand certaines fonctions sont maintenues alors que d’autres sont interrompues.

En matière de résilience, les organisations doivent adopter une approche axée sur le client. En d’autres termes, les dirigeants doivent concentrer leurs efforts sur le rétablissement des services de leur organisation et non des fonctions de l’entreprise. Ils doivent déterminer quels sont les services essentiels de l’organisation, les fonctions qui fournissent ces services ainsi que les actifs – effectifs, technologies, installations et tiers interdépendants – essentiels à la fourniture de ces services. Ils seront ainsi en mesure de maintenir ces services à un niveau acceptable pendant une interruption.

Pour y arriver, préconisez une approche graduelle : commencez par les services piliers (un ou deux), puis schématisez leur structure. Vous vous familiariserez ainsi avec le procédé avant de vous exécuter à plus grande échelle. Servez-vous de ce que vous avez au lieu de partir de zéro : analyse des répercussions déjà en usage pour la continuité des activités, taxonomie des produits et schémas des processus qui ont servi auparavant à la transformation des activités.

Renforcer la résilience de ses activités

Ce sont souvent les ruptures technologiques qui causent les pires interruptions. Avec la complexification des outils technologiques, le risque d’interruptions technologiques s’accroît. La bonne nouvelle est que les technologies nous offrent aussi des solutions.

Si vous envisagez d’intégrer les technologies à vos processus pour renforcer la résilience de votre organisation, posez-vous la question suivante : investirez-vous dans des technologies de reprise après sinistre ou privilégierez-vous l’infonuagique?

Dans les dix dernières années, les organisations ont peu investi dans les programmes d’infrastructure de reprise après sinistre. Nos clients investissent plutôt dans l’intégration de la résilience à leurs plateformes technologiques, ce qui se traduit souvent par la migration, intégrale ou partielle, vers l’infonuagique. Cette migration présente des avantages, notamment des améliorations notables au chapitre de l’accessibilité, de l’extensibilité, de la centralisation des contrôles et de la réduction des coûts (par rapport à la possession de l’infrastructure).

Assurez-vous tout de même d’établir vos propres contrôles. Vérifiez que les protocoles de sécurité du fournisseur de services infonuagiques sont suffisants. Sachez à quoi vous attendre en cas d’interruption chez le fournisseur. Les services essentiels et processus commerciaux fondés sur les technologies présentent des risques qu’il faut atténuer.

Accroître l’efficacité de son programme de résilience

Les technologies sont aussi utiles dans le cadre des programmes de résilience des organisations. En ce qui concerne l’avenir de la résilience, 56 % des répondants canadiens à notre sondage ont placé au premier rang l’intégration des technologies à leur programme (outils et logiciels de résilience).

Les solutions technologiques se greffent aux systèmes de gestion de l’environnement technologique, des tiers, des biens immobiliers et des effectifs de l’organisation pour aider celle-ci à circonscrire les risques dans chacun de ces domaines et brosser le portrait de leurs relations. Les technologies sont utiles non seulement pour anticiper les interruptions et les risques, les prévenir, s’y préparer, y réagir et en tirer des leçons, mais aussi pour réduire le travail requis pour maintenir un programme.

La majorité des organisations disposent déjà de l’information requise dans leurs systèmes, il leur faut simplement les outils qui connecteront le tout. Divers outils peuvent les aider, quelle que soit la taille ou la complexité de l’organisation. Pensons notamment à la suite Microsoft (Teams, Power BI), aux modules des systèmes existants de systèmes de gestion des risques et de la conformité en matière de gouvernance, et aux solutions intelligentes telles que Fusion (en anglais seulement), qui schématisent les relations, les dépendances et les risques liés aux effectifs, aux processus, aux technologies, aux fournisseurs et aux installations, et permettent de les visualiser.

La mise à exécution, c’est le moment où on passe de la théorie à la pratique. L’analyse, le conditionnement et l’intégration des divers éléments du programme de résilience ne sont pas à négliger, mais c’est la mise à l’épreuve qui assoit – et maintient – la capacité et l’efficacité du programme.

Trop d’organisations consacrent un temps considérable à l’élaboration d’un programme, mais en négligent la mise à exécution. C’est pourtant une étape capitale : elle aide les organisations à relever les lacunes, à créer des automatismes chez les personnes devant réagir aux interruptions et à tenir le programme à jour.

Comment devrait se passer cette mise à l’épreuve? La sélection des aspects à mettre à l’épreuve devrait se fonder notamment sur les risques résiduels les plus importants pour l’organisation. Cela dit, il ne faut pas négliger les événements imprévisibles, car le programme doit être résilient dans toutes les situations. Ce n’est pas la prise de mesures dans un cas particulier qu’on doit mettre à l’épreuve; on vise plutôt à bâtir des capacités stratégiques et agiles.

Il faut aussi peaufiner le programme au fil du temps pour en accroître l’efficacité. Commencez par une présentation animée, suivie de simulations théoriques et, ensuite, de simulations pratiques avec réplication numérique (qui consistent à reproduire un processus concret dans un environnement numérique en vue de mettre le programme à l’épreuve dans divers scénarios).

Soyez exhaustif. Consignez les leçons tirées de l’exercice et exploitez-les en les intégrant à vos processus et capacités.