Types de stratégies par conséquence

Voici des exemples de stratégies de continuité des activités en lien avec chacune des conséquences potentielles d’un incident.

Perte d’accès à l’emplacement ou perte de l’emplacement

  • Rediriger les appels vers un centre d’appels ou un autre emplacement.
  • Privilégier le télétravail.
  • Relocaliser les activités dans un local temporaire.
  • Convenir d’une entente avec une autre entreprise située à proximité pour partager les locaux en cas d’incident.
  • Transférer des activités de production vers une autre chaîne.
  • Transférer des activités à un fournisseur externe.
  • Disposer de contrats de livraison rapide pour se réapprovisionner en matières premières.
  • Conserver un stock suffisant dans deux emplacements ou plus.
  • Répartir les activités dans plus d’un emplacement.

Perte des systèmes informatiques et de communication

  • Utiliser des mesures de remplacement ou des procédures manuelles.
  • Assurer la relève des systèmes informatiques et téléphoniques ou leur redondance.
  • Sauvegarder les données, les courriels et les autres applications sur un support externe.

Absentéisme anormal ou perte d’employés clés

  • Effectuer de la formation croisée.
  • Documenter les processus clés ainsi que les rôles et responsabilités de tous les employés.
  • Recourir à du personnel temporaire :
    • anciens employés;
    • retraités;
    • étudiants;
    • impartition.

Interruption des services d’un partenaire d’affaires clé (fournisseur et sous-traitant)

  • Faire appel à un fournisseur de remplacement.
  • Réaliser les activités à l’interne.
  • Utiliser le stock existant au sein de l’entreprise
  • Augmenter la quantité de stock pour accroître la tolérance à l’interruption.

Perte de ressources essentielles, d’équipements ou d’outils clés et de services

  • Disposer d’une option de remplacement rapide des équipements essentiels.
  • Conserver des copies de sécurité des données vitales hors des lieux physiques de l’entreprise.
  • Installer des génératrices pour assurer l’alimentation en électricité des installations critiques.
  • Munir les serveurs et les équipements spécialisés d’un système d’alimentation sans coupure.

Autres exemples de stratégies

  • Conserver, à l’extérieur de l’entreprise, une liste à jour des coordonnées des membres du personnel et des partenaires d’affaires disponibles en cas d’incident.
  • Prévoir des mesures pour mobiliser rapidement des ressources financières d’urgence.
  • Prévoir des mécanismes permettant de joindre les clients pour les assurer qu’en dépit de l’incident, l’entreprise sera en mesure de poursuivre ses activités.
  • Élaborer une liste de fournisseurs qui pourraient veiller au maintien des activités de l’entreprise au moyen d’un approvisionnement d’urgence.
  • Se prévaloir d’une assurance adéquate selon les activités de l’entreprise.

Types de formations à réaliser au sein de l’entreprise

Diverses activités de formation doivent être planifiées afin de favoriser l’intégration des connaissances et d’améliorer la préparation du personnel relativement à la continuité des activités.

Activité de sensibilisation

Contenu

Contenu présenté :

  • alerte et mobilisation;
  • points de rassemblement;
  • stratégies générales.

Objectifs

  • Expliquer :
    • la procédure d’alerte et de mobilisation;
    • les rôles et responsabilités des intervenants internes et externes;
    • les stratégies générales de continuité des activités.
  • Utiliser les outils disponibles en cas d’urgence.
  • Démontrer les liens entre les procédures d’urgence et la continuité des activités.

Participants

Tous les employés

Fréquence

Une fois par année

Approche suggérée

Mémo

Formation

Contenu

Contenu présenté :

  • rôles et responsabilités;
  • alerte et mobilisation;
  • procédures d’urgence;
  • communications;
  • outils;
  • plan de continuité des activités.

Objectifs

  • Présenter les rôles et responsabilités de chaque intervenant.
  • Décrire le processus de notification de l’équipe.
  • Distinguer les différentes façons de mobiliser l’équipe.
  • Fournir des renseignements sur les différents canaux de communication.
  • Montrer comment utiliser les outils mis à la disposition de l’équipe de gestion d’incident :
    • liste de numéros de téléphone;
    • procédures écrites, etc.
  • Former les individus concernés aux procédures opérationnelles différentes des procédures usuelles.

Participants

Membres de la cellule de gestion d’incident

Fréquence

Une fois par année

Approche suggérée

Séance de formation suivie d’un exercice

Types d’exercices

Pour qu’une entreprise puisse démontrer sa capacité à faire face à des incidents, elle doit avant tout s’exercer.

Selon les objectifs de l’entreprise et son niveau de maturité en ce qui a trait à la gestion de la continuité des activités, différents types d’exercices peuvent être réalisés.

Exercice formatif et discussion

Exercice qui consiste à prendre connaissance du plan de continuité des activités en utilisant un scénario simple.

Il s’agit de réunions au cours desquelles les participants se réunissent et parcourent le plan en vue de cibler les problèmes qui résultent de sa conception. La tenue de ce type d’exercice constitue une étape préalable à celle d’exercices de niveaux plus élevés.

Objectifs

  • Comprendre les procédures ainsi que son rôle et ses responsabilités lors d’un incident.
  • Bien saisir les interdépendances entre les acteurs et s’assurer que rien n’a été oublié.
  • Déceler les lacunes, par exemple :
    • coordonnées désuètes;
    • applications manquantes, etc.
  • Bien comprendre les outils inclus dans le plan.
  • Proposer des pistes d’amélioration, dont des outils ou documents de référence qui devraient être ajoutés au plan ou disponibles lors d’un incident.

Participants

Membres de la cellule de gestion d’incident

Fréquence

Une fois par année

Exercice sur table

L’exercice suivant permet de vérifier la maîtrise des rôles des différents intervenants et de comprendre les interrelations entre eux.

Coordination de l’exercice

Les participants sont réunis dans une salle. Le scénario ne comporte pas de contraintes externes, puisque les interventions sont limitées à l’intérieur de la salle.

Exemple : présentation d’un scénario au cours duquel les participants expriment à tour de rôle la chronologie de leurs interventions et coordonnent leurs actions.

Objectifs

  • Mieux comprendre son rôle et ses responsabilités lors d’un incident.
  • Renforcer la synergie entre les membres de l’équipe.
  • Démontrer le fonctionnement des plans et procédures selon un scénario d’incident donné.
  • Valider les stratégies proposées.
  • Utiliser les outils prévus, tels que les formulaires et les canaux de communication.
  • Déceler les lacunes :
    • coordonnées désuètes;
    • applications manquantes, etc.
  • Proposer des possibilités d’amélioration.

Participants

Membres de la cellule de gestion d’incident

Fréquence

Une fois par année

Simulation

Cet exercice permet de simuler une situation d’urgence en temps réel.

Coordination de l’exercice

Cet exercice consiste à exercer la réponse en temps réel et l’activation de la cellule de gestion d’incident lors d’une situation réaliste. Il est plus complexe et détaillé, puisqu’on y ajoute des contraintes externes. Les communications et les interventions venant de l’extérieur de la salle sont permises et nécessitent le déploiement de ressources sur le terrain.

Exemple : les intervenants doivent se réunir, mobiliser les ressources et réaliser en temps réel la plupart des tâches prévues aux plans de mesures d’urgence et de continuité des activités.

Objectifs

  • Exercer, du début à la fin, les plans de mesures d’urgence et de continuité des activités lors d’une situation donnée.
  • Renforcer la synergie entre les membres de l’équipe.
  • Valider les stratégies proposées.
  • Valider les communications entre les divers intervenants.
  • Utiliser les outils applicables, tels que les formulaires et les canaux de communication.
  • Déceler les lacunes, telles que les stratégies incomplètes et les ressources insuffisantes.
  • Proposer des possibilités d’amélioration.

Participants

Membres de la cellule de gestion d’incident

Fréquence

Tous les trois ans

Tests ou essais

Cet exercice permet de tester un système, un équipement, une chaîne de communication, une procédure de rétablissement ou une technologie. Il commande des résultats de type succès ou échec selon les buts assignés.

Exemple : rétablissement d’un serveur à partir des données de sauvegarde dans un délai fixé.

Objectifs

  • Valider le fonctionnement du système, de l’équipement, de la technologie, etc.
  • Déceler les lacunes, telles que :
    • les versions antérieures d’une application;
    • les copies de sauvegarde non fonctionnelles;
    • des délais trop longs pour joindre l’ensemble des intervenants.
  • Proposer des possibilités d’amélioration.

Participants

Spécialiste de contenu (responsables des technologies de l’information)

Fréquence

Une fois par année

Exemple de programme de mises à jour

Afin d’assurer la permanence des actions et des initiatives menées dans l’entreprise en matière de continuité des activités, il est important de mettre en place un programme de mises à jour.

Les composantes du plan ne sont pas des éléments statiques; elles doivent demeurer conformes à la réalité organisationnelle, opérationnelle et législative dans laquelle l’entreprise évolue. Ainsi, en fonction des événements et des types de changements occasionnés, certaines composantes doivent être mises à jour.

Composantes du programme de continuité des activités

Bilan d’impact sur les activités (BIA)

  • Analyse complète : lors de changements significatifs apportés aux produits, aux services et aux activités de l’entreprise.
  • Besoins en ressources : mise à jour annuelle ou lorsque les activités de l’entreprise connaissent des changements importants.

Appréciation du risque

Mise à jour lors de changements significatifs apportés aux activités de l’entreprise.

À noter qu’il est important, au moment des révisions, de toujours considérer l’augmentation du nombre d’événements météorologiques extrêmes causés par les changements climatiques.

Stratégies de continuité

Révision annuelle ou lors de changements significatifs apportés aux activités de l’entreprise.

Structure de réponse aux incidents

  • Rôles et responsabilités : révision annuelle.
  • Liste et coordonnées des membres : révision lorsque nécessaire.
  • Processus d’alerte et de mobilisation : révision annuelle.
  • Stratégies de communication : révision annuelle ou lors de changements significatifs apportés aux activités de l’entreprise.

Plan des mesures d’urgence

  • Points de rassemblement : révision annuelle.
  • Alerte et mobilisation : révision annuelle.
  • Procédures d’urgence : révision annuelle.
  • Information de suivi et formation : révision lorsque nécessaire.

Plan de continuité des activités

  • Activités de continuité : révision annuelle.
  • Annexes : révision lorsque nécessaire.
  • Information de suivi : révision lorsque nécessaire.

Programme de formation et d’exercices de la continuité des activités

Révision annuelle.