Business Continuïteitsmanagement

Résilience à proprement parler – Gestion des désastres: fourmis rouges, rhinocéros gris, cygnes noirs et relation entre la gestion de continuité des activités (BCM), la gestion des risques (RM) et la gestion de crise (CM)

s="meta-nav">← Previous

Auteur: Manu Steens

Une première question que je me pose: comment ces concepts sont-ils liés les uns aux autres?

La figure suivante (la table des désastres) peut offrir une solution: il s’agit des known knowns (connus connus).

Ce tableau fournit une esquisse minimaliste en réponse à “À quoi peuvent ressembler les catastrophes?”

En outre, il existe des unknown knowns (inconnus connus) tels que le Gray Rinho.

Ce sont des choses qui nous parviennent, que nous savons qu’elles sont présentes, mais que nous choisissons de ne pas les voir ou oublions qu’elles sont là.

Les rhinocéros gris ne sont pas divisibles avec une probabilité et un impact bien connus ou peu connus. L’impact est grand. La chance est grande. Il est toujours bien connu en termes de probabilité et d’impact, et s’inscrit donc dans le quadrant des catastrophes, comme suit:

Des inconnus connus existent également. Ce sont des choses que nous savons qu’il y a “quelque chose” mais nous ne savons pas juste quoi. Par conséquent, nous ne pouvons pas les incalculer. Ceux-ci ne peuvent pas être classés avec une probabilité ou un impact. Les conséquences peuvent être ou ne pas être connues. Les probabilités également. Si les conséquences sont importantes, mais pas activement connues, et que la probabilité est estimée faible, mais que cela se produit soudainement, sans aucune prévision de l’événement, on parle de Black Swan (cygne noir). La dinde ne sait pas pourquoi le fermier lui donne toujours de la nourriture, mais aurait pu se douter d’une question suspecte de “Pourquoi”. Mais la dinde ne connaît pas la fête de Noël et ne peut pas vraiment évaluer la probabilité de l’occasion.

Enfin, il y a des inconnus inconnus (unknown unknowns). Nous ne savons pas que nous ne connaissons pas.

Non seulement nous ne connaissons pas la probabilité et l’impact, nous ne connaissons pas l’événement, nous ne connaissons pas la raison, nous ne connaissons pas les conséquences. Donc, nous ne pouvons pas donner un exemple futur de cela. À moins que vous ne regardiez le passé. (Rétrospective) Le prêtre avait-il raison de sauver Adolf Hitler de la noyade, alors qu’il était tombé à travers la glace comme un enfant?

L’intention de la gestion de Resilience est de faire connaissance avec le plus grand nombre possible de ces quatre groupes et de les repousser, dans les limites des possibilités, de le carré des connus connus.

Cela fournit un moyen possible de définir des besoins résilients. Qu’est-ce que CM, cependant? La réponse est: partout. Dans les 4 groupes, CM agit activement lorsqu’une menace se manifeste. Parce que les connus connus sont les mieux connus, il est toujours avantageux d’élaborer et de préparer RM.

Question 2: quels sont les valeurs ajoutées historiques de BCM, RM et CM?

Les valeurs ajoutées déjà ​​connues historiques présentes dans ces trois disciplines sont:

  • Conformité aux lois et aux clients
  • Protection de la réputation de l’organisation et de la force de la marque
  • Pour le moment: avantage concurrentiel
  • Améliorations opérationnelles
  • Saisir les connaissances et les expériences
  • Protection de la valeur

Question 3: quelles sont les “nouvelles” valeurs ajoutées de BCM, RM?

La nouvelle valeur ajoutée selon ISO 31000:

  • Création de valeur, et donc aussi
  • Inclure les opportunités

Création de valeur

  • En étudiant les menaces dans les projets et processus nouveaux et existants, ces menaces peuvent être traitées de manière à augmenter les chances de succès et à réduire les coûts de la phase de suivi.
  • Cela augmente également la qualité des résultats (outputs & outcomes), permettant ainsi un positionnement plus fort sur le marché, qui attire des clients potentiels.
  • Cela améliore immédiatement la réputation, en créant une spirale positive qui se traduit par une meilleure valeur de marché de l’organisation et génère un effet positif sur le marché boursier.
  • En appliquant la RM à ses projets, un gouvernement créera mutatis mutandis une valeur ajoutée au niveau social, ce qui se traduira également par plus de revenus pour le gouvernement et créera ainsi une spirale de valeur positive pour la société.

Inclure les opportunités

  • Lorsqu’une opportunité se présente, elle peut être correctement enregistrée, en ce sens que les risques encourus par l’organisation sont connus et peuvent être traités afin d’optimiser ses chances de succès.
  • Parce que RM a une «perspective» (outlook), les menaces, mais aussi les opportunités, sont perçues mieux et plus rapidement.
  • Comme les rapports systématiques sont intégrés dans toutes les couches de l’organisation, ainsi que dans les processus et les projets de l’entreprise, la stratégie peut mieux et plus rapidement évaluer les opportunités correctement.

Ces gains en capital s’appliquent également à BCM.

Question 4: quelle est la valeur ajoutée la plus importante de CM?

Ce que je veux savoir, c’est à quoi s’attendent les employés et la société.

Les gens attendent de plus en plus des organisations. Ils veulent donc de la certitude en temps d’incertitude. Ce que fait l’organisation est:

  • Traiter la menace
  • Pour répondre à l’urgence
  • Combattre l’incertitude

Traiter la menace
Les menaces sont relatives et personnelles. Mais il existe également des menaces générales qui nous concernent tous. Le meilleur exemple est peut-être la terreur. Bien que les attaques terroristes fassent beaucoup moins de victimes que la poussière fine, année après année, elles affectent personnellement les personnes à cause du choix de la méthode, du lieu et du moment. Ils choisissent cette façon pour maximiser la peur. Cette peur concerne chacun personnellement, car c’est arbitraire quand et comment on peut être victime. La société ne le sait pas et, par conséquent, toutes les victimes potentielles adressent leur colère contre les auteurs.

Répondre à l’urgence
L’urgence est personnelle. Une crise potentielle qui vous affecte personnellement est généralement urgente tant que vous espérez toujours avoir la possibilité de vous en échapper.

Combattre l’incertitude
Pour ce faire, l’organisation s’organise principalement avec la gestion opérationnelle, la gestion de la communication et la gestion stratégique.

Avec la gestion opérationnelle, l’organisation peut montrer que le problème est en cours de résolution. Des contre-actions ont lieu et il y a des revendications à observer. Avec la gestion stratégique, l’organisation peut faire preuve de sens et donner une compréhension aux personnes de leur position. L’organisation peut également indiquer ses actions, en expliquant les raisons des actions, pour inclure ses responsabilités. Aussi pour apprendre des leçons et pour éviter les problèmes à l’avenir. Avec la gestion de la communication, l’organisation peut se faire entendre au sujet de la situation, du fait qu’elle travaille sur le problème et quelles sont les attentes.

Question 5: Et maintenant ceci: qu’en est-il des fourmis rouges (Red Ants)?

Est-ce encore une autre invention pour décrire les risques? Non, en fait pas. C’est un type désastreux qui est naturellement absent: incidents à impact faible à modéré et probabilité faible à élevée, mais avec la possibilité de devenir très rapidement un cygne noir ou un rhinocéros gris.

Cygnes noirs (Nicolaas Taleb): très petites probabilités, très grands impacts.

Gray Rhino’s (Michèle Wucker): très grandes probabilités, très grands impacts

Fourmis rouges: (Très) grandes probabilités, petits impacts.

Les fourmis rouges sont souvent les petits incidents sans conséquences majeures qui sont un avertissement d’imperfections dans la sécurité d’un système ou d’une organisation. Généralement, un grand nombre de fourmis rouges précèdent un rhinocéros gris ou un cygne noir. En plus du fait que les fourmis rouges constituent un phénomène gênant dans le domaine de la sécurité et de l’extinction de nombreux petites incendies, elles ont donc une fonction d’alerte sérieuse. C’est-à-dire qu’il faut trouver la cause fondamentale et s’y adresser au fond, sinon tôt ou tard de véritables accidents se produiront.

Donc, chaque “espèce animale” est donc à prendre au sérieux .

Question 6: Et que pouvez-vous faire à ce sujet?

Eh bien, présentons ceci schématiquement dans le tableau de gestion des catastrophes:

Conclusions:

 

  • Les exercices de gestion de crise sont l’aspect le plus nécessaire de la gestion des catastrophes.
  • La gestion des risques comprend des mesures préventives et des mesures de protection (par analogie avec la méthode d’analyse du nœud papillon).
  • Les incertitudes ont pour caractéristique que les chances sont mal connues mais les impacts sont mieux connus. Habituellement parce que les causes sont mal connues. Par conséquent, des mesures de protection s’imposent.
  • Les ambiguïtés ont pour caractéristique que les impacts sont mal connus mais les opportunités sont mieux connues. Habituellement parce que les conséquences sont mal connues. Par conséquent, des mesures préventives s’imposent.
  • Dans le cas d’opportunités et d’impacts sans précédent, il faut mettre l’accent sur la vigilance, estimer rapidement les imprévus et incorporer les mesures dans la politique de l’organisation de manière continue.

 

BCM – Comment déterminez-vous la criticité d’un processus dans une BIA?

s="meta-nav">← Previous

Auteurs: Joris Bouve et Manu Steens

Dans BCM (management de la continuité des activités), on discute beaucoup de processus temps-critiques (TCP), de processus essentiels (EP) et de processus nécessaires (NP).
Typiquement on utilise comme définition:

  • TCP: processus à redémarrer dans un délai de deux jours ouvrables;
  • EP: processus qui ne doivent pas redémarrer dans un délai de deux jours mais dans un délai de deux semaines;
  • NP: les processus qui ne doivent pas redémarrer dans les deux semaines, mais dans les deux mois.

A quel point un processus est critique peut également être déterminé de manière différente: si l’impact d’une interruption trop longue (par exemple> 2 jours) devient trop gros, alors vous devez recommencer le processus rapidement (par exemple, dans <2 jours).

La question ici est: comment déterminez-vous la criticité d’un processus?

Procédez comme suit (voir tableau ci-dessous):

  • Répertoriez les processus dans la colonne [processus];
  • Déterminez l’impact sur votre service si le processus menace de tomber dans les colonnes suivantes.

    • Si l’impact est tel que le service est sérieusement compromis en cas de panne qui durerait plus de 2 jours ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 jours, décrivez cet impact dans la colonne [impact si annulation> 2 jours]. Il existe alors un processus critique. Dans la colonne [criticité du processus], entrez TCP.
    • Si cet impact est faible, entrez “nil” dans la colonne [impact si annulation> 2 jours]. Vous pouvez également indiquer ici les mesures que vous allez prendre pour minimiser l’effet ou comment vous pouvez quand même garantir le service voulu.
    • Si l’impact de cette nature est que le service est sérieusement compromis en cas de panne qui durerait plus de 2 semaines ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 semaines, décrivez cet impact dans la colonne [impact si abandon> 2 semaines]. Il y a alors un processus essentiel. Dans la colonne [criticité du processus], entrez EP.
    • Si cet impact est faible, entrez “nil” dans la colonne [impact si annulation> 2 semaines]
    • Si l’impact est tel que le service est sérieusement compromis en cas de panne qui durerait plus de 2 mois ou s’il existe une disposition légale nécessitant un redémarrage dans un délai de 2 semaines, décrivez cet impact dans la colonne [impact si interruption> 2 mois]. Il y a alors un processus nécessaire. Dans la colonne [criticité du processus], entrez NP.

Dans la colonne [les dépendances], indiquez les compétences, les moyens logistiques, les ressources informatiques,… dont vous avez besoin.
Comme décrit au point 2), vous entrez dans la colonne [criticité du processus] à quelle catégorie appartient le processus: temps critique, essentiel, nécessaire.

Processus Impact si abandon> 2 jours Impact si abandon> 2 semaines Impact si abandon> 2 mois les dépendances criticité du processus
[nom de processus] [description] [description] [description] TCP/EP/NP

Deux exemples:

  • Processus de gestion de crise. Si cela ne commence qu’après une heure, des problèmes de réputation graves peuvent déjà être causés, par exemple, par une communication incorrecte dans le support. Il faut donc certainement commencer dans les deux jours. Vous pouvez placer ce commentaire (RTO = 1h) (objectif de temps de récupération) dans la colonne “Impact sous> 2 jours”. Les 2 colonnes à côté ne doivent plus être remplies. Dans la colonne des dépendances, vous mettez par exemple les expertises, la salle de réunion, les ordinateurs portables, les smartphones, les outils de communication, etc. Dans la dernière colonne, vous indiquez le type de processus choisi, dans ce cas TCP.
  • Le processus X doit pouvoir démarrer dans les 5 jours du mois d’août, sinon une règle de la loi peut être violée, avec amendes associées et atteinte à la réputation. Ce commentaire peut ensuite être placé dans la colonne “Impact à plus de 2 semaines” et vous choisissez le type de processus “EP”. Dans la colonne “Impact sur> 2 jours”, vous pouvez indiquer “néant” ou, par exemple, vous devrez effectuer quelques heures supplémentaires après. Dans les dépendances, vous pouvez, par exemple, écrire une communication avec la banque, un employé administratif et le bon logiciel.

Ce choix de type de processus (TCP, EP ou NP) peut ensuite être adopté seul à seul dans l’analyse de l’impact sur les entreprises (BIA). Les dépendances peuvent également être prises en charge.

Plan de pandémie

s="meta-nav">← Previous

Ce document fournit des outils pour les gestionnaires et les employés de leur propre organisation. Il indique les mesures qu’une entité et les employés individuels peuvent prendre en cas de pandémie pour assurer la continuité des services au maximum. Ceux-ci peuvent être inclus dans un Plan de Continuité d’Activités.

Important: je considère cette connaissance comme open source. Tout le monde peut l’utiliser pour rendre son organisation plus sûre. Mais il ne peut pas être utilisé pour être vendu seul.

 

Icoon

Plan de Pandémie

1 fichier·s   220.17 KB