Le plan de continuité des affaires une démarche humaine

Par Bertrand Milot

La sécurité de l’information a trois piliers importants : l’intégrité qui garantit que la donnée est exacte, fiable, entière, conforme, complète ou non altérée; la confidentialité qui permet de tenir secrète ou inaccessible la donnée de consultations non autorisées; mais il existe un dernier pilier, la disponibilité qui assure que la donnée sera là, présente quand on en aura besoin. Voici le mandat de la continuité des affaires : garder disponibles et intègres les actifs nécessaires à la bonne marche des opérations.

 

Bon nombre d’organisations pensent à tort que la continuité des affaires, au même titre que la sécurité de l’information est avant tout un problème de « TI » ou bassement informatique. Il est vrai que sachant que la majorité des actifs informationnels sont dématérialisés, il n’est pas totalement faux d’affirmer que les « TI » ont un rôle important à jouer. Mais voilà, au détour de nos articles, nous avons découvert, chers lecteurs, que la sécurité est une affaire d’humain et même pour certaines fonctions critiques de cybersécurité, de RH. Il en est de même pour la sécurité des affaires.

 

J’ai connu des entreprises ayant dépensé des dizaines (parfois des centaines) de milliers de dollars en création de plan de continuité et de relève des affaires. Ces mêmes organisations, le jour de l’incident, faisaient le constat amer de l’inutilité d’un tel document dans sa forme telle que nous y sommes habitués : un pavé de 70 pages, hermétiques, illisibles et ne correspondant jamais au cas d’incident ou de crise auquel l’entreprise fait face. Ce plan composé de documents, d’annexes, de listes de contacts, de procédures opérationnelles multiples et de communications types en tout genre est souvent très loin de la réalité et très difficile à tester. Pourquoi?

 

En cas de crise, les humains deviennent indisciplinés, leur déficience de créativité ou d’autonomie, en temps normal, gérable, devient lors d’un incident l’un des vecteurs d’aggravation et de multiplication de défauts ou de dysfonctionnements imbriqués qui augmente la vélocité de l’incident et potentiellement ses impacts. Un plan de continuité permet de continuer les affaires sous 4, 8, 24 ou 72 heures, mais son efficacité provient de l’inadaptation de son contenu à la première minute de l’incident.

 

En effet, j’ai expérimenté des bureaux indisponibles, des incendies partiels, des entreprises voisines subissant une crise, des fausses alertes à la bombe, des manifestations bloquantes, des mesures de précaution de forces de l’ordre pendant un G20, des suicides violents, des bris de canalisation d’eau ou de simples instabilités partielles, mais répétées et longues de sources d’électricité.

Crédit: BigStockPhoto.com

Mon bilan? Rien ne se passe comme dans le plan : les employés croient à un énième exercice ou test et vont prendre un café en attendant, les exécutifs, ne voyant pas d’incident tel que décrit dans le document, rechignent à déclarer, car « activer le plan » n’est pas sans répercussions financières importantes, les solutions décrites dans le plan ne sont plus disponibles ou les listes ne sont plus à jour ou pire, votre entreprise subit une crise et l’entreprise d’à côté, ayant peur d’être impactée à terme, décide d’activer son plan avant vous par précaution et vous « vampirise » ou bloque vos ressources de relève (incluant, mais sans se limiter aux génératrices électriques, sites alternatifs partagés, aux toilettes chimiques louées ou même aux moyens de transport). Bref, alors, qu’elle est la solution?

 

Les RH peuvent beaucoup apporter dans ces cas de figure, avec des outils de gestion des présences, les règles applicables de santé et de sécurité au travail, les notifications multiples d’employés via tous les canaux possibles. Les RH ont la meilleure visibilité de la réalité des employés, des travailleurs temporaires ou partenaires d’affaires présents. Les gens des RH sont capables de connaître les autres vies d’un employé (via le CV) qui pourraient être capitalisées en cas d’urgence. Ils sont sensibilisés aux problèmes de protection des personnes et de leur bien-être. Et surtout, ils sont habitués à reconnaître les leaders naturels, car les leaders du quotidien normal ne sont pas forcément les meilleurs leaders de la crise. Il faut savoir remanier l’organigramme rapidement et efficacement. Beaucoup d’outils seraient à remettre dans les mains des RH, certains ajustements simples pourraient même aider ou sauver les premières minutes/heures critiques qui suivent l’incident ou la crise :

 

• une solution de notification de masse (ex. http://sendwordnow.com/);

• un outil de collaboration interne avec une place importante réservée aux aspects sociaux;

• un « hub », outil de surveillance ou agrégateur de médias sociaux publics;

• des accords tarifaires préétablis avec une dizaine d’hôtels dans un rayon de 30 km, incluant des salles de réunion, connexions internet et chambres;

• des règles de travail dynamiques implantées dans chaque équipe pour que chaque personne travaille à tour de rôle au moins 1 fois par 2 semaines de la maison en incluant des mesures de performance précises;

• la cartographie via des « mind map » des concepts d’affaires de l’organisation en parallèle des compétences présentes et de leur contingence;

• des scénarios plausibles d’incidents irritants non critiques préétablis et testés pour comprendre les impacts directs de dysfonctionnements opérationnels temporaires;

• les « quizz » et sondages d’opinion pour comprendre quelle est la culture d’entreprise des employés et non pas des dirigeants face à des incidents;

• des « think tanks » pour créer des comités d’amélioration et de rétention du personnel prenant en compte la motivation des employés et la gestion du personnel en cas de crise.

 

Enfin, j’aimerais terminer cet article en vous demandant chers lecteurs : « Que ferez-vous dès la première seconde de l’incident? Qui appellerez-vous? Qu’attendez-vous d’elle? A‑t‑elle le leadership nécessaire pour prendre en charge une telle crise? Suivrez-vous ses directives, même lors d’un incident, si vous considérez que c’est une erreur? »

 

Le plan de continuité des affaires est un défi managérial et humain important, il nécessite beaucoup de pragmatisme et de désamorçage politique efficace. Les outils ne manquent pas pour mieux communiquer, mais le secret réside avant tout dans la créativité et la gestion du réel probable.

À proposMentions Légales