Résilience des entreprises
La résilience des entreprises comprend la gestion de crise et la continuité des activités et répond à tous types de risques auxquels une organisation pourrait devoir faire face, allant des cyber-menaces en passant par les catastrophes naturelles et bien d’autres encore. En plus de régler les incidents majeurs, la résilience des entreprises est associée à la capacité d’une organisation à s’adapter à un nouvel environnement et aux circonstances causées par l’incident.
La planification de la résilience est une responsabilité de gestion des risques et de la gouvernance que le conseil doit aborder afin de de survivre et de prospérer dans un environnement de plus en plus hostile.
Discuter avec un expert
Résilience des entreprises, continuité des activités ou reprise après sinistre ?
La continuité des activités (comprenant le concept de reprise après sinistre) a été remplacé par l’approche plus large de résilience des entreprises, qui incorpore la gestion de crise et la gestion de la continuité dans une approche culturelle applicable dans l’ensemble de l’organisation.
Le recoupement entre les différents concepts de résilience des entreprises, de continuité des activités et de reprise après sinistre peut être déroutant. En principe :
- La résilience est une approche stratégique de gestion des risques, incorporant plusieurs disciplines dans un ensemble de processus intégrés et est adaptée aux exigences d’une organisation ;
- La continuité des activités est une approche basée sur les processus et pouvant être standardisée. Elle aide les organisations à se sortir d’incidents majeurs afin qu’elles puissent continuer leurs activités ; et
- La gestion de crise concerne des crises particulières (créés par l’Homme et évènements naturels).
Les évènements de continuité des activités, par exemple, peuvent être déclenchés par des évènements de gestion de crise mais une crise n’est pas nécessaire à la continuité des activités.
Pourquoi la résilience des entreprises ?
Toute organisation, quel que soit la taille ou le type et où qu’elle soit basée dans le monde fait face à un grand nombre de risques pouvant causer des dommages à long terme, tels que des sanctions financières ou une atteinte à la réputation de l’organisation :
- Catastrophes naturelles
- Perturbations économiques et/ou du marché
- Attentats terroristes et interruption
- Cybercrimes et cyber terrorisme (en savoir plus)
- Urgences civiles, grèves et actions similaire
- Menaces d’épidémies, y compris SRAS et la grippe aviaire
- Echecs de conformité
- Progrès technologique disruptif
- Echec technologique
- Défaut de la chaîne logistique
Stratégie de résilience des entreprises
Il est essentiel de mettre en place une stratégie de résilience afin d’assurer la résilience de l’entreprise face à ces risques variés. Cette stratégie devrait être basée sur 4 éléments principaux :
- Un plan de continuité des activités ayant pour but d’organiser et de préparer une réponse pour tous les types de perturbations opérationnelles identifiées. Nous recommandons la mise en place d’un système de gestion de la continuité des activités (BCMS) conforme à la norme ISO 22301.
- Un plan de reprise après sinistre permettant à l’entreprise de récupérer suite à de véritables catastrophes.
- Un plan de protection de valeur ayant pour but de garantir que la valeur actionnariale est protégée durant les périodes de perturbations.
- Un plan d’exploitation permettant à l’entreprise de repérer et d’exploiter les opportunités commerciales pouvant se présenter durant les périodes de perturbations importantes.
Normes concernant la résilience des entreprises
Voici les trois principales normes en matière de résilience des entreprises. Deux d’entre elles sont américaines et une est internationale.
- ISO 22301:2012 norme internationale sur les systèmes de gestion de continuité des activités (BCM).
- ASIS SPC.1-2009 Organisational Resilience Résilience organisationnelle (Préparation en matière de sécurité et systèmes de gestion de la continuité) téléchargeable ici.
- National Fire Protection Association 1600:2007 (norme sur les programmes sur la gestion des urgences/sinistres et sur la continuité des activités) téléchargeable ici.
Ressources disponibles
IT Governance fournit une large gamme de normes, boites à outils, formations et services de conseil afin de vous aider à mettre en place :
Continuité des activités et reprise après sinistre
- La norme ISO 22301:2012 énonce les exigences pour un BCMS, permettant de démontrer la préparation d’une entreprise en cas d’incidents perturbateurs.
- Le ISO 22301 BCMS Implementation Toolkit accélérera et simplifiera le processus de mise en place de la norme ISO 22301.
Cybersécurité
- ISO 27001 est la norme internationale sur la cybersécurité. Elle détaille les exigences en matière de système de gestion de la sécurité de l’information (ISMS).
- Nous proposons également une large gamme de livres et kits de documentation sur la norme ISO 27001.
Gestion des risques
- La norme ISO 31000 sur la gestion des risques fournit les principes et directives génériques de gestion des risques.
- vsRisk est l’outil autonome ultime d’analyse des risques de cybersécurité conforme à la norme ISO 27001:2013.
Discuter avec un expert
Veuillez nous contacter afin de discuter plus en détail du concept de résilience des entreprises et obtenir les conseils de nos experts.