Business Continuïteitsmanagement

Natech Risk Assessment and Management – Reducing the risk of Natural-hazard Impact on Hazardous Installations

s="meta-nav">← Previous

Auteurs: Elisabeth Krausmann; Ana Maria Cruz; Ernesto Salzano
Le problème qui se pose actuellement de plus en plus est celui des catastrophes techniques déclenchées par des catastrophes naturelles antérieures ou des événements naturels. Les exemples incluent le gel, la chaleur, la sécheresse, les précipitations, les inondations, les tremblements de terre, combinés ou non en tsunamis, des éclairs, etc.
Dans une longue introduction, les auteurs donnent un certain nombre d’exemples de ce que ces phénomènes naturels peuvent faire. Et c’est vraiment quelque chose: cela va des coupures de courant et des ruptures de tuyaux à la destruction des réservoirs de stockage et aux explosions. Celles-ci entraînent à leur tour une évacuation des employés de l’entreprise, l’environnement, avec ou sans nombre de victimes, ainsi qu’un énorme préjudice économique et la stagnation de l’activité économique dans la zone touchée. Ce n’est donc pas pour rien que les gens veulent s’armer contre les effets pervers encore plus graves de tels événements. À cette fin, ces événements dits de Natech sont étudiés. Pour rendre le monde un peu plus sûr.
Malheureusement, aucune catastrophe Natech n’est identique. Bien que les évaluations de risques fassent des progrès à cet égard, selon les auteurs, il reste (pour le moment) une tâche impossible de comparer les résultats des évaluations de risques. Cela rend difficile l’établissement de priorités. Pourtant, il existe des ouvrages standard auxquels les auteurs font régulièrement référence, entre autres dans leurs listes de littérature détaillées. À savoir le livre violet, le livre rouge, le livre vert et le livre jaune de TNO. Mais les solutions logicielles RAPID-N, PANR, les méthodes TRAS 310 et TRAS 320, les courbes de risque et ARIPAR-GIS sont peut-être plus importantes pour la discussion. Ceux-ci contiennent des modules d’évaluation des risques qualitatifs, semi-quantitatifs et quantitatifs.
Après un certain nombre de chapitres dans lesquels RAPID-N, ARIPAR-GIS et RISKCURVES sont illustrés par une discussion des résultats, deux chapitres traitent respectivement des mesures structurelles (techniques) et des mesures organisationnelles (plus administratives).
Un cadre innovant, qui, selon les auteurs, en vaut la peine, a été proposé par IRGC et comprend les cinq éléments suivants:

  1. Évaluation préalable des risques: une alerte rapide et un “encadrement” du risque pour fournir au problème une définition structurée. Ou comment il est formulé par les différentes parties prenantes et les parties intéressées et comment le gérer au mieux.
  2. Évaluation des risques. En combinant une évaluation scientifique des risques (du danger et de sa probabilité) combinée à une évaluation systématique des préoccupations (des préoccupations et des perceptions du public) pour former la base des connaissances permettant de prendre des décisions ultérieures.
  3. Caractérisation et évaluation: utiliser des données scientifiques et une compréhension approfondie des valeurs sociétales affectées par le risque pour déterminer si le risque est acceptable, tolérable (avec ou sans l’atténuation du risque comme exigence) ou intolérable (inacceptable).
  4. Gestion des risques: toutes les actions et solutions nécessaires pour éviter, réduire, partager ou conserver un risque.
  5. Communication sur les risques: comment les parties prenantes et les parties intéressées et la société comprennent le risque et participent au processus de gouvernance du risque.

Il s’agit en particulier d’un document de lecture “obligatoire” destiné aux responsables de la continuité et aux responsables de la gestion des risques des grandes entreprises qui jouent un rôle important dans le moteur économique d’une région ou d’un pays doté de grandes installations industrielles. Cela nécessite une bonne part de bon sens, mais également une connaissance suffisante de l’ingénierie des processus pour comprendre les scénarios. En outre, une vision ouverte d’un large éventail de sciences, techniques et non techniques, et de la société est nécessaire pour évaluer correctement l’importance de ce travail.

Adaptive Business Continuity – A New Approach

s="meta-nav">← Previous

Auteurs: David Lindstedt; Mark Armour
Adaptive Business Continuity veut faire souffler un vent nouveau dans le monde de la BCM. À cette fin, ils jettent notamment le BIA et l’évaluation des risques à la mer. Quand je lis les arguments pour lesquels ils font cela, je ne comprends pas pourquoi. Après tout, si je lis les arguments des auteurs dans l’Annexe B (le manifeste), il y a ce qui suit dans B.5.1 page 154:
« Adaptive BC discourses a sequential approach. Continuous value, coupled with the core mission of continuous improvements in response and recovery capabilities, leads to the adoption or a non-linear approach that adjusts to ongoing feedback from all participants. …”
Le manifeste dans https://www.adaptivebcp.org/manifesto.php indique également que les choses deviennent de plus en plus complexes:
“ How long can an organization without a particular service almost always depend on an
integrated combination of factors too numerous to identify and too complex to quantify. Moreover, the changes that result from the exact timing and actual impact of a disaster on a service will dictate
different judgments about applicable recovery strategies, priorities, and time. Definitive changes to a service’s holistic “ecosystem” cannot be foreknown. ”

Personne ne peut nier que les problèmes deviennent de plus en plus complexes. Cependant, on peut nier que des problèmes linéaires ne se produisent plus. C’est pourquoi je voudrais revenir sur l’ensemble des catastrophes possibles. J’ai essayé d’en discuter dans un blog précédent, à l’adresse http://www.emannuel.eu/fr/artikels/resilience-strikt-genomen-disaster-management-red-ants-gray-rhinos-black-swans-de-verhouding-van-bcm-risico-management-rm-en-crisis-management-cm/ en  question 6:

Cependant, lorsque l’idée de problèmes linéaires, de problèmes difficiles et de problèmes complexes ressort de l’article http://www.emannuel.eu/en/artikels/herhaalt-de-geschiedenis-zich-of-niet/ J’arrive à la figure suivante:

Je crois que le BCM traditionnel a une approche linéaire. Ceci convient parfaitement aux problèmes linéaires et aux systèmes ayant un impact (bien connu) et aux systèmes linéarisables de la partie compliquée du spectre. La question qui reste est de savoir si les arguments des auteurs sont suffisamment clairs pour mettre de côté cette approche linéaire. Ceci, je le nie: les objectifs d’Adaptive BC ne sont pas suffisamment définis pour jeter le BCM traditionnel à la mer. Après tout, aucun argument n’est donné. La BIA se réfère simplement à un article de Rainer Hübert, dont les auteurs ne reflètent pas le fil de la pensée.
Mutatis mutandis, je pense que l’argument consistant à abandonner l’évaluation des risques n’est pas un argument.
Après tout, ils écrivent:
«Administering a proper risk assessment and implementing the resulting action items may necessitate deep knowledge of actuarial tables, information security, insurance and fraud, state and federal regulations, seismological and meteorological data, and the law. Typical continuity practitioners do not possess such deep knowledge; those who do are most likely specifically trained as risk managers. Adaptive BC practitioners as such should eliminate the risk assessment from their scope of responsibility.”
Je ne suis pas d’accord avec cela: un manager de Business Continuity n’a pas besoin d’être un expert dans tous ces domaines. Il doit plutôt être en mesure de connaître les experts appropriés au sein de l’entreprise, de gagner leur confiance, de les faciliter et de les coacher afin d’obtenir des résultats. Ensuite, procéder à une évaluation des risques n’est ni sans espoir ni inutilisable. Je laisse la critique aux lecteurs pour juger de nombreuses autres revendications au détriment du BCM traditionnel: il est clair que les auteurs essaient de déclarer le BCM traditionnel mort pour des raisons qu’ils n’énoncent pas clairement.
Le Adaptive BC s’est-il déprécié pour moi? Non pas du tout. Parce qu’il apporte une réponse à des problèmes d’une autre partie du spectre des catastrophes: éventuellement, à condition de disposer de bases solides, une solution peut être trouvée ici pour les systèmes dificiles et complexes pour lesquels, à mon avis, le BCM traditionnel a plus de mal à répondre comme suit:

Donc, à mon avis, le temps de la BCM traditionnelle n’est pas terminé tant qu’il y a des problèmes linéaires. En outre, Adaptive BC devra évoluer pour devenir une activité plus mature, capable de revendiquer sa part du spectre des catastrophes, ainsi que la surveillance, la création de scénarios et le balayage l’avenir. Mais à côté de BCM traditionnel. Pas à la place de.
Il reste donc du travail à faire.

La continuation des activités (BCM) et le père Noël

s="meta-nav">← Previous

Considérons une organisation complexe avec des halls de production et des unités logistiques, basée sur le pôle Nord, traditionnellement très proche du 25 décembre. Comme vous pouvez l’imaginer, la planification de cet événement dure une année entière. Le PDG “Père Noël” est à moins de cinq minutes de la livraison des colis ou le cycle recommence. Et il est constamment appelé à résoudre des problèmes imprévus qui nécessitent une attention urgente …

Cette année, cela a commencé tôt. Le père Noël venait de mettre la luge dans le garage ou il était déjà pris par la femme de Noël. “Que signifient tous ces reportages à la télévision, dans lesquels tu peux être vu en embrassant la mère d’un enfant?”, demande-t-elle sévèrement. “Q, q, quoi? Qui? ” balbutia le Père Noël. Il pourrait expliquer qu’il s’agissait d’un cas de changement d’identité. L’image du père Noël avait reçu un coup dur dû à un trompeur. Il est allé directement à son équipe de communication de crise et, après une intervention rapide et des excuses publiques, sa réputation a été restaurée. Il ne peut tout simplement pas se permettre de laisser ses clients imaginer qu’il est méchant de quelque façon que ce soit … Le mois de février a provoqué de nombreuses tempêtes de verglas au pôle Nord. “Père Noël, il fait beaucoup trop froid pour que les Elfes travaillent”, a déclaré le responsable d’Elfes et le responsable de la sécurité, “j’ai donné l’ordre de démissionner.” Le père Noël a soupiré et a saisi les pages d’or sur Internet. “Bonjour, ingénieurs en chauffage? Est-il possible que vous rendiez à mes fées une température de travail agréable … “. Malgré l’interruption et en faisant volontiers des heures supplémentaires, les Elfes sont rapidement revenus à l’horaire.

Les choses se sont bien passées et le travail s’est poursuivi sans interruption jusqu’au retour des oiseaux migrateurs de leur habitat d’hiver au printemps. Les elfes étaient de plus en plus inquiets à l’idée que les oiseaux sauvages soient porteurs de la grippe aviaire redoutée H5N1. Cela faisait craindre une épidémie totale. Le père Noël a consulté le site Web de l’OMS pour obtenir les derniers conseils. “Il existe actuellement un très faible risque de grippe aviaire. Les oiseaux sont revenant de pays lointains sans épidémie connue du virus H5N1, mais pour être sûr, je vais indiquer quelques gardes qui doivent surveiller de près la santé des oiseaux “, a déclaré le Père Noël à ses Elfes. Il espérait qu’il n’aurait pas à déployer plus de gardes lorsque les troupeaux de rennes sauvages reviendraient. Il avait lu que le virus de la fièvre catarrhale du mouton s’était propagé au nord et il avait déjà un renne au nez rouge … Les vacances d’été présentaient des problèmes typiques, comme chaque année: des enfants ennuyés avec trop de temps et rien à la main, étaient à l’affût pour créer de méfaits. Cette année, on a eu l’alerte des Fées de l’exploitation du Père Noël, qui étaient venus dire avec panique que des enfants vilains avaient piraté la base de données “Bien et Méchant” ce matin-là et avaient tout mis “bien”. Il n’y avait aucun moyen de savoir qui avait été bon ou mauvais au cours des six derniers mois. Heureusement, le père Noël connaît bien les dernières technologies et il avait une sauvegarde. Par souci d’exhaustivité, il exécuta un scanner de virus sur les serveurs, rentra dans les pare-feu et donna l’ordre à tous les elfes de changer leurs mots de passe. Heureusement, il n’y a pas eu d’autres problèmes à l’automne qui ont fatigué le Père Noël. Mais le 24 décembre a été, comme chaque année, mordu: la répétition générale du 25. Le traineau du père Noël a été chargé par les elfes et le troupeau de rennes ont été hissés dans leur armure. Le père Noël monta sur la selle à l’avant du traîneau, prit les rênes du traîneau dans une main et tourna la clé dans le contact du traîneau avec l’autre main. Un bref grognement des moteurs de fusée et rien de plus. Il tourna la clé à nouveau dans le contact. Encore un bref grognement des moteurs et puis plus rien. Le père Noël s’est rendu compte que l’année dernière, tout en résolvant le problème de réputation, il avait oublié d’éteindre les lumières de son traîneau. Résultat: une batterie vide. Heureusement, à la demande de la femme de Noël, le test de démarrage a bien été poursuivi le 24 décembre. Bien sûr, le Père Noël n’aimait pas le fait qu’il devait se hisser dans son traîneau tant qu’il n’avait pas terminé son dîner annuel et qu’il devait laisser toutes ces pièces de gâteau savoureuses, et bien sûr, les Elfes se sont plaints de devoir décharger et charger à nouveau la voiture pour un entretien technique. Mais la femme de Noël avait persuadé le père Noël de faire le test avant l’arrivée du grand jour du cadeau. La batterie a été remplacée par une batterie chargée et, le 25 décembre, tous les très bons enfants ont reçu les bons cadeaux grâce à l’installation de continuité des activités du père Noël …

 

 

 

In Hindsight – A compendium of Business Continuity case studies

s="meta-nav">← Previous

Edité par Robert A Clark

In Hindsight réfléchit à une série de catastrophes du point de vue de la BCM (management de continuation d’activitées). Certaines organisations ont gagné, d’autres pas. Cinq organisations n’étaient pas préparées et ne l’ont pas fait. Un sixième a réussi grâce à une chance extraordinaire. Certaines catastrophes ont eu des proportions et des conséquences extraordinaires. D’autres sont restés locaux. Les causes varient, allant de la malchance brutale comme les actes de Dieu aux éruptions volcaniques qui l’accompagnent, à des choses qui pourraient être évitées, comme le Herald of Free Enterprise, dans lequel un doigt peut être clairement indiqué.

Les autres causes de la nature humaine sont le manque de perspicacité ou une mauvaise gestion, les profits excessifs, la stupidité, la terreur… Toutes ces choses ont en commun qu’elles sont à l’abri dans de nombreuses organisations.

Les conséquences peuvent être tout aussi diverses: dommages environnementaux, décès, problèmes de sécurité et de santé, crise économique mondiale, poursuites judiciaires …

Cette diversité de sujets rend le livre très approprié pour ouvrir les yeux des gestionnaires et des conseils d’administration.

L’avant-dernier chapitre souligne également l’importance des petites étincelles: fraude, cyber-attaques, mécontentement des employés, médias, petits et grands incendies, y compris chez les voisins, planification insuffisante de grands projets, violations de la sécurité des informations telles que vol de données, inondations, maladies, etc.

Le dernier message, peut-être le plus important, est une citation de Vince Lombardi, un ancien footballeur Américain, qui a déclaré: “It’s not whether you get knocked down; it’s wheter you get up “. Et cela inclut la préparation.