Les 5 phases d’un BCP Les phases décrites ci-dessous font partie d’un cycle et doivent être inlassablement répétées. 1. Identification des risques Cette première étape consiste à lister tous les risques et menaces potentiels qui pourraient interrompre les activités. 2. Analyse des risques Une fois les risques connus, on peut passer à leur examen à travers la réalisation d’une « Business Impact Analysis ». Voici les étapes principales : • Classification de tous les rôles et procédures de l’entreprise, par ordre d’importance ; • Identification de l’impact potentiel de l’arrêt des activités sur ces rôles et procédures ; • Estimation du temps d’arrêt maximal toléré et du niveau acceptable de pertes ; • Estimation du temps de remise en route des activités. 3. Mise en place de la stratégie La stratégie visant à limiter les interruptions des activités peut dès lors être mise en place. Elle peut être développée en comparant les capacités de continuité et les exigences de l’entreprise. 4. Développement et exécution du plan Cette phase se concentre sur la production d’un ensemble de documents décrivant précisément les procédures à suivre en cas de risque avéré. Des séances d’entraînement d’application du plan d’urgence peuvent être organisées pour le personnel. 5. Testing et amélioration Le BCP peut être testé au moyen de check-lists, de simulations ou d’exercices. Les résultats de chaque test doivent apporter des améliorations dans le BCP. Sources : MIR3.com, Federal Financial Institutions Examination Council. En cas de crise avérée, Michel De Wolf invoque immédiatement la communication comme condition incontournable. « Au niveau interne, il faut tout d’abord rassurer le personnel sur la situation. Au niveau externe, c’est beaucoup plus délicat. Une entreprise ne peut pas trop montrer d’émotion, jusqu’à provoquer le désarroi. Il faut pour cela faire appel à des communicateurs de crise spécialisés. Les entreprises qui n’ont pas les moyens d’engager ce genre de profils peuvent faire appel à des agences expertes en la matière. » Michel De Wolf rappelle également que certaines situations sont malheureusement trop difficiles pour qu’un outil de management puisse apporter une solution. « Après le 11 septembre, beaucoup de compagnies aériennes ont obtenu la protection du juge en règlement collectif de dettes. Ensuite, les compagnies américaines se sont sauvées, tandis que Swissair et la Sabena se sont effondrées. Il n’y avait pas de plan pour les sauver d’une crise, mais aussi, et surtout, de problèmes plus fondamentaux, mal gérés depuis bien avant le 11 septembre. » … à la clairvoyance Les cyber-attaques ne cessent de se multiplier et constituent une menace réelle pour les entreprises. Georges Ataya est vice-président de la coalition belge de la cybersécurité et professeur à la Brussels Solvay School. « Depuis quelques années les entreprises sont confrontées aux ransomwares », explique-t-il. « Ces virus peuvent bloquer tous les systèmes 20 BECI - Bruxelles métropole - décembre 2016 informatiques d’une entreprise du jour au lendemain, ou bien dérober des informations confidentielles, avec comme seule issue le paiement d’une rançon. Beaucoup d’entreprises belges y font face tous les jours. Aujourd’hui, une société qui ne s’y Le jour des attentats à Bruxelles le 22 mars, nous étions prêts et avons pu déployer le scénario Brussels attack Ludo Jappens (Belfius) est pas préparée est inconsciente. Pour s’en prémunir, il faut évidemment commencer par sauvegarder ses données régulièrement. Mais il faut également sécuriser au maximum les systèmes. La plupart des banques et grosses entreprises sérieuses sont bien protégées. Elles ont des équipes informatiques spécialisées en sécurité. Or, la sécurité informatique dans une entreprise est très vaste : protection du réseau wi-fi, sécurisation des serveurs, blocage des virus et malwares, résolution des incidents après attaque, défense de la vie privée... Toute cette gestion requiert pas moins de 25 types de compétences différentes, ce qui nécessite souvent plusieurs personnes. Les petites entreprises n’ont évidemment pas les moyens de s’offrir ces services en interne et doivent les externaliser. » Protéger le personnel avant tout Le risque terroriste est également devenu une menace pour la continuité des activités des entreprises. Ludo Jappens est responsable du Business Continuity Plan et du Crisis Management chez Belfius. « Au lendemain des attentats de Paris du 13 novembre, le niveau d’alerte terroriste de l’OCAM est passé à 3 à Bruxelles. Nous avons donc décidé de mettre en place des plans tactiques pour chaque domaine. Le samedi 21 novembre, le niveau passait à 4. Nous avons alors décidé d’envoyer des sms personnalisés à nos employés. Ceux dont la présence dans les bureaux de Bruxelles n’était pas indispensable ont été invités à travailler de chez eux. Certains ont malgré tout été conviés à venir travailler au bureau. Cela nous a permis de continuer la plupart de nos activités. La plupart des entreprises bruxelloises n’avaient pas prévu de BCP et ont subi des pertes financières. Le jour des attentats à Bruxelles, le 22 mars, nous étions prêts et avons pu déployer le scénario ‘Brussels attack’. Personne ne pouvait entrer dans les bâtiments sensibles ou en sortir. Pour éviter les absences au travail, nous avons également permis à nos employés de travailler depuis un bureau en dehors de Bruxelles. Les activités les moins critiques ont été mises en suspens pendant quelques jours. » L’élaboration d’un BCP est certes longue et fastidieuse, mais c’est le prix à payer pour augmenter sensiblement la résilience de son entreprise. Pas de panique donc, juste un peu de prévoyance. Et de patience… ● © R.A.
23 Online Touch Home