Tendances de risque en 2024 et par la suite : Résilience des organisations (y compris des tiers)

Comment réagissez-vous lors d’une crise?

La capacité des entreprises à mener leurs activités, à croître et à demeurer rentables n’a jamais été exposée à autant de menaces. Ainsi, nous avons eu droit au cours des 10 dernières années à une pandémie mondiale, à de multiples catastrophes naturelles, à des bouleversements démographiques, à des changements importants dans les habitudes des consommateurs, à l’avènement de technologies perturbatrices, à une prolifération de cyberattaques et aux taux d’inflation les plus élevés depuis plus d’une génération.

Les 10 prochaines années nous amèneront assurément leur lot de nouveaux défis, notamment l’incidence accrue des changements climatiques et de la pression mondiale pour la transition énergétique, ainsi que l’évolution rapide de l’intelligence artificielle.

Compte tenu du nombre croissant de crises, de leur ampleur de plus en plus grande et de la réduction constante du temps de répit entre deux événements du genre, il est clair qu’une bonne préparation est essentielle. Les dirigeants doivent être prêts à réagir rapidement et à prendre des décisions fermes face à une menace grave et soudaine à la conduite de leurs activités. Ils doivent également avoir confiance en la capacité de leurs fournisseurs à leur procurer sans délai l’expertise voulue, au moment voulu.

Personne ne peut prévoir quand frappera la prochaine pandémie ou la prochaine catastrophe naturelle. Cependant, les organisations peuvent tirer de grandes leçons de l’issue et des répercussions des crises antérieures sur elles-mêmes et sur d’autres organisations. Combinées à de fréquentes évaluations des risques, ces leçons peuvent les aider à façonner des scénarios possibles, des exercices sur table et des plans d’intervention d’urgence portant sur des menaces prioritaires.

Idéalement, ces exercices comprennent la participation de fournisseurs tiers pertinents, comme des fournisseurs de services gérés de cybersécurité ou de services d’infonuagique, des auditeurs internes en cotraitance ou en sous-traitance, des conseillers d’affaires, entre autres. L’objectif ici n’est pas nécessairement de réussir à traverser la crise. Il vise plutôt à cerner les faiblesses des plans d’intervention d’urgence en place, comme une difficulté à mobiliser les ressources, des enjeux de sécurité, et les domaines où l’entreprise est la plus susceptible de perdre des clients ou de l’argent.

Questions importantes à vous poser

• Votre organisation conserve-t-elle une liste des scénarios possibles auxquels elle doit être préparée, y compris des plans pour y répondre?
• Votre équipe de direction a-t-elle déjà effectué des simulations à partir de tels scénarios afin de discuter de la façon de gérer une éventuelle crise? Si oui, un expert externe participe-t-il à cette discussion?
• Votre organisation a-t-elle vécu une crise réelle ou une interruption importante imprévue? Le cas échéant, avez-vous analysé la situation a posteriori pour discuter de ce qui a bien fonctionné ou non, et de ce à quoi vous devriez mieux vous préparer?
• Faites-vous le suivi de crises qui ont touché des organisations similaires à la vôtre et évaluez-vous votre capacité à y répondre? Généralement, si une situation peut se produire dans une organisation similaire à la vôtre, elle peut aussi se produire chez vous.

Signaux d’alerte

• Préparation insuffisante (formation, discussions, politique ou plans)
• Méconnaissance, par de tierces parties, de leur rôle dans la résilience de votre organisation
• Manque de préparation de l’organisation pour affronter des situations déjà vécues d’interruption des activités
• Répercussions négatives de perturbations imprévues par le secteur et subies par des concurrents

Audits internes à considérer

Audit de la planification de continuité des activités
Il évalue les plans de continuité des activités de l’organisation pour s’assurer de leur exhaustivité, de leur actualité et de leur alignement aux principales fonctions et priorités.

Audit de la planification de la reprise après sinistre
Il passe en revue les plans et mesures de reprise après sinistre de l’organisation, notamment les processus de sauvegarde et de restauration des données, pour qu’elle puisse reprendre rapidement ses activités à la suite d’une interruption de ses services informatiques.

Audit de la gestion de crise
Il évalue les processus de décision, les protocoles et les stratégies de gestion de crise de l’organisation afin de pouvoir répondre efficacement à toute urgence et à tout imprévu.

Audit de la gestion et de l’évaluation des risques
Il examine les pratiques de l’organisation en gestion des risques, notamment l’identification et l’évaluation des risques possibles et la mise en œuvre de stratégies pour les atténuer.

Audit de la résilience de la chaîne d’approvisionnement
Il examine la résilience de la chaîne d’approvisionnement de l’organisation, en cernant ses vulnérabilités et en veillant à l’établissement de plans d’urgence en cas de perturbations.

Audit de la résilience des systèmes informatiques
Il passe en revue l’infrastructure et les systèmes de TI de l’organisation ainsi que les processus connexes pour garantir leur résilience aux cyberattaques, aux atteintes à la sécurité des données et aux autres risques.

Audit de la continuité du personnel
Il évalue les plans et mesures de l’organisation pour assurer la sécurité et le bien-être des membres du personnel durant les perturbations, notamment les possibilités de télétravail et les programmes de soutien.

Audit de la résilience financière
Il évalue la préparation financière de l’organisation pour résister aux conditions économiques défavorables, notamment la simulation de crise, la gestion des liquidités, et les plans de financement d’urgence.

Audit de la résilience des fournisseurs et sous-traitants
Il examine les relations de l’organisation avec ses fournisseurs et sous-traitants, et vérifie qu’ils disposent de solides plans de continuité des activités et de reprise après sinistre.

Audit des communications et de la gestion des parties prenantes
Il évalue les stratégies de communication de l’organisation et sa gestion des parties prenantes en période de crise dans le but de maintenir un climat de confiance et de transparence.

Audit de la conformité réglementaire
Il vérifie que l’organisation se conforme à la réglementation et aux normes appropriées en lien avec sa résilience et sa planification pour la continuité de ses activités.

Audit des procédures d’intervention en cas d’incident
Il passe en revue les procédures d’intervention de l’organisation en cas d’incident pour vérifier qu’elles sont bien définies, comprises et testées sur une base régulière.

Audit de la sécurité physique
Il évalue les mesures de sécurité physique prises par l’organisation pour protéger ses actifs et ses installations contre des menaces possibles.

Audit de la formation et de la sensibilisation
Il évalue les programmes de formation et de sensibilisation de l’organisation en lien avec sa résilience, pour que le personnel soit bien préparé à réagir aux perturbations.

Audit des tests et des simulations
Il examine les exercices de tests et de simulations en lien avec les plans de résilience de l’organisation, et vérifie qu’ils sont menés sur une base régulière et de façon efficace pour cerner les aspects à améliorer.

 

Section précédente

Section suivante