BUSINESS CONTINUITY MANAGEMENT

Transcription

SPF Intérieur – Direction Générale Centre de Crise
Manuel pour l'implémentation
Sofie Senesael
Mémoire réalisé dans le cadre d'une nomination statutaire, juin 2009
Promoteur: Jaak Raes, Directeur général du Centre de Crise
BUSINESS CONTINUITY MANAGEMENT – Un guide pour la mise en oeuvre
Executive Summary
Les services publics, notamment le SPF Intérieur, ont un rôle social très important à jouer. Ils
doivent donc être capables d'assurer la continuité de leur service quelles que soient les
circonstances ou les menaces auxquelles ils sont confrontés. Ils peuvent s'y préparer afin qu'en
cas d'interruption de leurs activités, ils puissent reprendre les activités les plus critiques dans le
délai le plus bref possible.
L'objectif de l'ouvrage: ‘BUSINESS CONTINUITY MANAGEMENT: Un guide pour la mise en
œuvre’ est une méthodologie pour mettre en oeuvre un Business Continuity Management au sein
du SPF Intérieur. Qu'est-ce que le Business Continuity Management? Quelle est la relation avec
d'autres disciplines comme par exemple le management des risques ou l'audit interne et quels
sont les avantages d'un Business Continuity Management? Une réponse est donnée à ces
questions dans la ‘Partie 1’ de ce travail. La ‘Partie 2’ explique étape par étape quelles phases
doivent être franchies pour mettre en oeuvre un Business Continuity Management au SPF
Intérieur et la ‘Partie 3'’ contient plusieurs documents de travail développés pour soutenir le
processus de mise en oeuvre.
Partie 1: Business Continuity Management – Quoi et Pourquoi?
Les termes ’Business Continuity Management’ (BCM) et ‘Business Continuity Plan (BCP)’ prêtent
souvent à confusion.
Le Business Continuity Management est un processus où l'organisation prend les mesures
nécessaires afin de garantir la continuité des processus les plus critiques quelles que soient les
circonstances. Lorsqu’un ou plusieurs processus sont interrompus, l'organisation doit être
capable d'intervenir rapidement et fermement afin de reprendre ces activités dans le délai le plus
bref possible.
Un Business Continuity Plan décrit comment y parvenir concrètement et est donc un produit du
Business Continuity Management. Le Business Continuity Plan est un ensemble de procédures,
accords et coordonnées qui peuvent être utilisés lorsqu'une interruption se produit réellement.
Quelle est la relation avec d'autres disciplines spécifiques ?
Il y a un lien étroit entre le Business Continuity Management, le management de crise, le
management des risques, le contrôle interne et l'audit interne. Dans le contexte du SPF Intérieur,
on entend par management des risques, d'une part la gestion des risques liés au fonctionnement
de l'organisation elle-même, et d'autre part, la gestion des risques comme mission de
l'organisation. Le Business Continuity Management fait partie de la première catégorie, plus
particulièrement la gestion des risques qui mettent en danger la continuité de l'organisation.
Dans la ‘Partie 1’, à la page 16, le lien entre les diverses disciplines est expliqué de manière
schématique.
Quels sont les avantages du Business Continuity Management ?
Un Business Continuity Management au sein de l'organisation permettra non seulement à
l'organisation d'assurer son service malgré une interruption d'un ou plusieurs processus ou
activités, mais il offrira également d'autres avantages. Il veille ainsi notamment à ce que les
obligations légales et réglementaires soient remplies, à renforcer la crédibilité et la réputation de
SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE
I
l'organisation, à ce que le personnel soit formé et préparé à réagir efficacement et à ce que le
personnel puisse être engagé dans d'autres équipes. De plus l'examen détaillé des processus
offre parfois également des avantages inattendus en soulignant certains points problématiques
au sein de l'organisation.
Standards de Business Continuity.
Il existe plusieurs standards et directives internationaux en matière de Business Continuity. Un
standard est un document élaboré par une organisation de normes et standards officiellement
reconnue par l'International Organisation Standardization (ISO). Ce standard ou norme décrit une
manière d’agir convenue. Il propose un cadre théorique qui peut servir d'aide pour les
organisations qui souhaitent installer un programme de Business Continuity Management au sein
de leur organisation.
Le recours à des standards lors de la mise en oeuvre d'un Business Continuity Management
n'est pas obligatoire, mais leur utilisation est toutefois vivement recommandée. Il offre à
l'organisation des critères lui permettant d'évaluer son propre Business Continuity Plan et le
Processus de Business Continuity Management d'appui. Par ailleurs, certains standards
permettent également d'obtenir un certificat au sein de l'organisation après la mise en oeuvre du
standard.
Partie 2: Les 6 phases du Business Continuity Management
La partie 2 traite des diverses phases à franchir ou des éléments qui doivent être présents dans
l'organisation pour pouvoir parler d'un Business Continuity Management. Outre la description
d'un certain nombre de termes et du contenu précis de cette phase, une attention est également
accordée à la manière dont cette phase peut être mise en oeuvre au sein du SPF Intérieur.
Phase 1
BCM Programme
Phase 2
Compréhension de
l'organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
BCM Stratégie
Phase 4
BCM Response :
développement et
mise en oeuvre
Phase 1: Le programme BCM
On recommande d'appliquer les principes du management de projet pour mettre en oeuvre le
Business Continuity Management. Comme pour chaque projet, il est important de décrire un
cadre précis pour la mise en œuvre de celui-ci. Il faut ainsi notamment préciser les objectifs du
projet, décrire les rôles et les responsabilités, communiquer sur le projet, etc. Tous ces éléments
sont abordés dans le programme BCM, le dit ‘point de départ' du projet.
II
Il est important que dès le début du projet, le management communique formellement, sous
forme d'une ligne politique, sur le projet. Ceci souligne l'importance qu'ils accordent à ce projet et
constitue une des conditions essentielles pour une mise en oeuvre réussie.
Phase 2: Compréhension de l'organisation
Business Analyse
Une fois la structure du projet mise en place et les rôles et responsabilités attribués, les activités
peuvent démarrer. Dans cette phase, les divers processus de l'organisation doivent être définis et
il faut examiner avec le management quels sont, pour eux, les objectifs prioritaires en matière de
Business Continuity. En d'autres mots, quels sont les objectifs dont la continuité ne peut pas être
interrompue temporairement ou pour une longue durée.
Il faut faire une analyse de ces processus (Business Analyse) afin de savoir notamment quels
sont les moyens nécessaires pour réaliser le processus, quels sont les règles légales auxquelles
le processus est tenu, combien de personnel est nécessaire pour réaliser le processus, quelle est
l'infrastructure requise, etc.
Business Impact Analyse
Il faut ensuite réaliser par processus une Business Impact Analyse. On entend par là qu'il faut
d'abord évaluer les conséquences de l'interruption du processus pour l'organisation. De plus, il
faut déterminer par processus la durée maximale possible d'interruption du processus, sinon
l'organisation risque des dégâts irréparables, ainsi que le délai dans lequel le processus doit être
rétabli (objectif de rétablissement).
Analyse du risque
La détermination de toutes les menaces possibles qui peuvent entraîner une interruption d'un ou
plusieurs processus au sein de l'organisation n'est pas une condition absolue pour installer un
Business Continuity Management et définir un Business Continuity Plan. On recommande
d'élaborer un Global Business Continuity Plan qui couvre un maximum de risques au lieu
d'élaborer un plan spécifique par risque. Il vaut mieux joindre en annexe les mesures spécifiques
du Global Business Continuity Plan.
Il est recommandé de se baser sur les 4 grandes éventuelles conséquences auxquelles une
organisation peut être confrontée, à savoir:
Manque de personnel
Manque de facilités (bâtiment, locaux...)
Perte d'accès aux données vitales
Manque d'ICT
Phase 3: BCM Stratégie
Sur base de l'information relative au processus lui-même (Business Analyse) et d'une estimation
des conséquences d'une interruption du processus, il faut formuler des mesures pour :
diminuer la probabilité d'une interruption;
diminuer la durée de l'interruption;
limiter l'impact de l'interruption sur les activités critiques.
Dans le cadre de la Business Impact Analyse, on a déterminé dans quel laps de temps quelles
activités devaient reprendre (objectif de reprise). Cette phase consiste à formuler des
III
propositions d'action (mesures) susceptibles d'y remédier et réaliser une analyse des coûts et
avantages pour chaque mesure proposée.
Phase 4: BCM Response : développement et mise en œuvre
Business Continuity Management Response est la réponse préparée par une organisation pour
pouvoir gérer un incident et minimaliser son impact sur les processus de travail. Les mesures
approuvées par le management dans la phase précédente doivent être développées dans cette
phase afin que l'organisation puisse réagir rapidement et efficacement en cas d'interruption d'un
processus particulier.
On distingue trois étapes de response reliées entre elles. L'organisation doit disposer d'un plan
ou de procédures par phase de response. Tous ces plans peuvent être décrits comme le Global
Business Continuity Plan.
Emergency Response Incident Management Plan
Business Continuity Response Business Continuity Plan
Business Recovery Response Business Recovery Plan
Objectif
Incident
Plan
Management
Business Continuity Plan
Business Recovery Plan
Quoi ?
Contrôler l'incident ou
l'interruption.
Limiter les dommages
indirects.
Les contacts avec les
services de secours et
d'intervention
Evacuation bâtiment
Aide sociale et accueil
personnel
…
Reprise ou poursuite des
Toutes les informations
activités les plus critiques.
pertinentes (coordonnées,
procédures, ...) pour
redémarrer ou poursuivre
les activités critiques.
Reprise de toutes les
activités
Retour à une situation
normale.
pertinentes pour reprendre
ou poursuivre les activités
non-critiques (les activités
qui ne figurent pas dans le
BCP).
Phase 5: Exercice, entretien et révision
Il ne suffit pas d'avoir un Incident Management Plan, un Business Continuity Plan et un Business
Recovery Plan à disposition dans son placard. Les plans ne sont utiles que lorsqu'ils sont
connus, actualisés et testés. Le fait de tester les procédures et les mesures prévues dans les
plans permet de s'assurer que les activités critiques peuvent être rétablies dans le délai prévu.
A la suite des exercices, il sera nécessaire d'adapter ou de compléter le contenu des plans. De
plus, il faut prévoir une procédure veillant à ce que pour chaque modification (interne ou externe)
ayant un impact pour l'organisation, le programme du Business Continuity Management soit
évalué et que les plans soient si nécessaire adaptés.
IV
Phase 6: Ancrage dans la culture de l'organisation
Pour être une réussite le projet de Business Continuity Management doit être soutenu par un
maximum de personnes au sein de l'organisation. Le management (à la fois le management
supérieur et moyen) joue un rôle essentiel lors de la détermination des processus critiques. Il est
donc vital pour le projet de gagner leur soutien.
Il faut qu'un nombre maximum de membres du personnel soient convaincus qu'ils ont un rôle
important à jouer pour garantir la continuité des activités de l'organisation. Il est dès lors
important d'accorder suffisamment d'attention aux programmes de conscientisation et de
formation du personnel et d'organiser plusieurs activités de sensibilisation.
Approche pratique pour franchir les 6 phases
On retrouve à la page 73 un résumé reprenant ‘étape par étape’ ce qu'il faut concrètement faire
pour franchir les 6 phases du Business Continuity Management.
Partie 3: Documents de travail
La partie 3 comprend plusieurs documents de travail qui peuvent être utilisés pour franchir les
diverses phases.
V
VI
TABLE DES MATIERES
Préface........................................................................................................................................3
Introduction – méthodologie....................................................................................................3
PARTIE 1 : Business Continuity Management - Quoi & Pourquoi ?
1. Qu'est-ce que le Business Continuity Management ? ..........................................................7
2. Quelle est la relation avec d'autres disciplines spécifiques ?...............................................8
2.1. Management des risques..............................................................................................8
2.2. Contrôle interne et audit interne..................................................................................10
2.3. Management de crise..................................................................................................15
2.4. Représentation schématique ......................................................................................16
3. Quels sont les avantages du programme de Business Continuity Management ? ............17
4. Standards de Business Continuity......................................................................................17
4.1. Diverses normes (standards) et directives (guidelines) BCM internationales ............17
PARTIE 2 : Les 6 phases de Business Continuity Management
1
Programme BCM ................................................................................................................25
1.1
Ligne politique / Policy Development.........................................................................25
1.2
Objectifs, délimitations et points de départ de l'organisation / Portée .......................26
1.3
Rôles et responsabilités.............................................................................................27
1.3.1 Structure du projet ...........................................................................................27
1.3.2 Structure permanente ......................................................................................31
1.3.3 Structure de crise.............................................................................................32
2
Acquérir une connaissance approfondie de l’organisation ................................................35
2.1 Business Analyse.......................................................................................................36
2.2 Business Impact Analyse...........................................................................................44
2.3 Analyse des risques ...................................................................................................48
3
Définir la stratégie BCM ......................................................................................................51
4
BCM response : développement et mise en œuvre ...........................................................55
5
Exercice – Entretien – Révision..........................................................................................63
6
Ancrage du BCM dans la culture d’organisation ................................................................71
Conclusion – recommandations de synthèse ...........................................................................72
PARTIE 3 - Documents de travail
Annexes
Bibliographie
1
2
Préface
En 2007, suite à la propagation du virus de grippe aviaire (H5N1), le SPF Intérieur a mené
plusieurs actions de sensibilisation pour conscientiser davantage les gens aux éventuelles
conséquences de l'émergence d'une pandémie de grippe sur la vie sociale. Une campagne
d'information a notamment été élaborée pour conscientiser le personnel du SPF Intérieur à
l'importance d'une bonne hygiène afin de combattre la propagation des virus. De plus, la
Direction Générale Centre de Crise a développé et diffusé une liste de contrôle (voir annexe 1)
avec des mesures spécifiques qui peuvent être prises au sein des organisations en vue de se
préparer à une pandémie de grippe.
Sur base de ces actions et compte tenu des évolutions récentes (pandémie A/H1N1), on a pris
de plus en plus conscience du fait qu'il est indispensable que les services publics, compte tenu
de l'important rôle social qu'ils ont à remplir, soint capables de garantir la continuité de leurs
services quelles que soient les circonstances ou les menaces auxquelles ils sont confrontés.
La Présidente du SPF Intérieur, Mademoiselle De Knop, accorde beaucoup d'importance au
management des risques au sein du SPF et en particulier à la gestion des risques au niveau de
la continuité du service, l'éthique, la gestion des connaissances.
Par ce travail, réalisé dans le cadre de ma nomination en tant que fonctionnaire statutaire et qui
vise à proposer une méthodologie pour la mise en oeuvre d'un Business Continuity
Management, j'espère contribuer concrètement à la réalisation de cet objectif du SPF.
Introduction - méthodologie
Structure du
document
Ce document comporte trois parties:
• PARTIE I : traite brièvement du ’Quoi et Pourquoi du Business
Continuity Management’ et donne des exemples de plusieurs
normes et directives existantes en ce qui concerne le Business
Continuity management.
• PARTIE II : donne les diverses phases à suivre pour mettre en
place un Business Continuity Management. La fin de la PARTIE
II présente une synthèse de toutes les recommandations faites
dans l'ensemble du document.
• PARTIE III : donne d'une part plusieurs documents de travail qui
peuvent être utilisés lors de la mise en oeuvre du Business
Continuity Management.
Sources
Pour arriver à ce travail, une étude littéraire a été faite relative au
Business Continuity Management (la liste des sources consultées figure
à la fin de ce document). Le processus de mise en oeuvre d'un
Business Continuity Management au SPF Intérieur, présenté dans la
PARTIE II tient dès lors compte des principes fondamentaux de
plusieurs standards ou directives internationales faisant autorité en
matière de Business Continuity Management comme repris dans la
PARTIE I.
De plus, on a également pris contact avec plusieurs personnes des
services internes du SPF ainsi qu'avec des entreprises ou des
organisations externes qui, en raison de leur expertise, apportent tous
une contribution intéressante à ce document.
3
Documents de
travail
Dans le cadre de ce mémoire, plusieurs documents ont également été
développés pouvant contribuer au développement d'un Business
Continuity Management au sein d'un ou plusieurs services du SPF. Il
s'agit surtout de questionnaires et de templates qui peuvent être utilisés
lors des diverses phases du processus de Business Continuity
Management. Ces questionnaires et templates peuvent être adaptés si
nécessaire à la spécificité du service.
Information
existante
Dans ce travail on tient compte de l'information existante et des actions
entreprises au sein du SPF relatives notamment aux descriptions de
processus, à l'analyse de risque (voir par exemple l'information obtenue
par les processus de modernisation). Dans certains points de cet
ouvrage, une référence est également faite à des méthodes et des
documents déjà existants.
Recommandations
Tout au long de ce travail, des recommandations sont formulées pour la
mise en œuvre d'un Business Continuity Management au sein du SPF
Intérieur. Un schéma reprend ces recommandations à la fin de la
PARTIE II.
4
PARTIE 1
Business Continuity Management
- Quoi & Pourquoi ? -
1. Qu'est-ce que le Business Continuity Management?
Définition
Les termes ‘Business Continuity Management’ (BCM) et ‘Business
Continuity Plan (BCP)’ prêtent souvent à confusion. Ces termes sont
régulièrement confondus mais ils ne signifient pas la même chose.
Voici quelques définitions spécifiques expliquant la différence entre les
deux.
“Business Continuity Management is a holistic management process
that identifies potential threats to an organisation and the impacts to
business operations that those threats if realized, might cause, and
which provides a framework for building organizational resilience with
the capability for an effective response that safeguards the interests of
1
its key stakeholders, reputation, brand and value-creating activities.”
« Le Business Continuity Management » est un processus de gestion
qui identifie et limite les risques, minimise l'éventuel impact d'une
interruption des processus d'entreprise critiques (au niveau du temps) et
des systèmes d'appui, avec comme unique objectif la reprise rapide des
2
processus d'entreprise critiques".
"L'objectif du Business Continuity Management est de garantir la
continuité du processus d'entreprise et l'existence de l'organisation.
Le produit de BCM consiste en des mesures opérationnelles et
applicables à la fois préventives (en vue de prévenir les situations
mettant en danger la continuité de l'organisation) et répressives (lorsque
le risque est devenu évident, prévoir des mesures répressives pour
3
limiter les dégâts à un niveau acceptable)".
Business
Continuity Plan
(BCP)
En d'autres mots, le Business Continuity Plan est un produit du
Business Continuity Management. On peut décrire le Business
Continuity Plan comme un ensemble de mesures réactives (ou
répressives) visant à limiter les conséquences pour la continuité de
l'organisation lors de l'apparition d'un risque spécifique.
On peut également décrire le Business Continuity Plan comme “a
documented collection of procedures and information that is developed,
compiled and maintained in readiness for use in an incident to enable
an organization to continue to deliver its critical activities at an
4
acceptable pre-defined level.”
Les autorités flamandes utilisent la définition suivante: "Un Business
Continuity Plan est un document précis et documenté à utiliser lorsque
la continuité de l'entreprise est perturbée par un évènement, un incident
ou une crise. Ce plan traite spécifiquement de toutes les personnesclés, moyens, services, activités nécessaires à la gestion du processus
5
BCM.”
1
British Standard 25999-1:2006, Business continuity management. Code of practice, p.1.
Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007.
3
KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006.
4
British Standard 25999-1:2006, Business continuity management. Code of practice, p.2.
5
2
7
En résumé
En d'autres mots, le Business Continuity Management est un processus
de gestion où l'organisation prend les mesures nécessaires afin de
garantir la continuité des processus les plus critiques quelles que soient
les circonstances. Lorsqu’un ou plusieurs processus sont interrompus,
l'organisation doit être capable d'intervenir rapidement et fermement
afin de reprendre ces activités dans le délai le plus bref possible.
Un Business Continuity Plan est un produit du Business Continuity
Management. C'est un ensemble de procédures, accords et
informations de contact qui peuvent être utilisés lorsqu'une interruption
a réellement lieu.
L'importance des
définitions
Outre les définitions reprises ci-dessus, il existe encore d'innombrables
autres définitions du Business Continuity Management. Les unes plus
concises que les autres. Il est vraiment important que le management
d'une organisation qui souhaite installer un Business Continuity
Management, soit d'accord sur le sens donné au sein de l'organisation
au Business Continuity Management, sur les objectifs ainsi visés et
donc sur le fait qu'un seul et même message soit émis au sein de
6
l'ensemble de l'organisation (voir infra PARTIE II, point 1.1. ligne
politique).
2. Quelle est la relation avec d'autres disciplines spécifiques ?
Quelle est la relation du Business Continuity Management par rapport aux autres disciplines
concernées ? Plusieurs avis existent en la matière. Sur base de la description de plusieurs
disciplines concernées, une représentation schématique du point de vue suivi dans cet ouvrage
figure à la page 11.
2.1. Management des risques
Définitions
Une première discipline qui se rapproche beaucoup du Business
Continuity Management est le management des risques. Le
management des risques est le processus de coordination pour
analyser les risques (l'analyse des risques), prendre des mesures pour
limiter les risques à un niveau acceptable, et entretenir le niveau des
7
risques exigé.
Le management des risques est le processus de gestion des risques
du management. Le comportement du management par rapport aux
risques d'entreprise, à la fois au niveau stratégique et au niveau des
8
processus d'entreprise.
Lien BCM
Alors que le management des risques traite de la gestion de tous les
risques éventuels au sein d'une organisation, le Business Continuity
Management vise les risques qui peuvent mettre en danger la
continuité de l'organisation.
En suivant ce raisonnement, le Business Continuity Management fait
intégralement partie du management des risques. Il est difficile
d'estimer la part du Business Continuity Management.
7
8
R. DRIES, L. VAN BRUSSEL, M. WILLEKENS, Handbook auditing, Intersentia, deuxième édition, 2004, p. 16.
8
En fonction du contexte à un moment précis, un risque peut constituer
une menace importante pour la continuité de l'organisation, alors que
ce n'était pas le cas avant.
Par contre, certaines sources considèrent plutôt le management des
risques comme une partie d'une approche globale de Business
Continuity.
Tout dépend de ce que l'organisation entend par
management des risques (quel est l'objectif de l'organisation en
matière de management des risques ?) et de l'objectif du programme
de Business Continuity Management de l'organisation (gérer les
domaines classiques des risques ou gérer plus globalement les
9
éventuels incidents de nature diverse).
Conclusion
On peut conclure qu'il y a un lien précis entre le management des
risques et le Business Continuity Management. Dans les ouvrages,
plusieurs points de vue différents surgissent.
Le contexte du SPF Intérieur et plus particulièrement, les tâches
spécifiques de gestion des risques et de crise, permettent de conclure
que le Business Continuity Management, en ce qui concerne le SPF
Intérieur, fait partie du management des risques, mais ne concerne
cependant que le management d'une sorte spécifique de risques. En
effet, tous les risques auxquels le SPF peut être confronté ne
représentent pas une menace pour la continuité des missions du SPF.
Le traitement des risques est ainsi l'une des missions du SPF sans que
ces risques ne constituent toutefois une menace pour sa propre
continuité.
Le fait de décréter des mesures (par exemple la fermeture des
poubelles, l'accompagnement policier, etc.) pour un déroulement en
toute sécurité d'un Sommet européen constitue, par exemple, une
mission du Centre de Crise, mais le risque de sécurité lié à
l'organisation d'un Sommet européen ne constitue pas en soi une
menace pour la continuité du Centre de Crise.
Management des
risques au sein du
SPF BiZa
En ce qui concerne le management des risques en général, le SPF
Intérieur traite les risques de manière fragmentée. Les risques ont été
abordés à l'occasion des projets de modernisation (MPM)), le ‘Service
Interne de Prévention et de Protection au travail’ analyse notamment
les risques en matière de santé et de bien-être du personnel ainsi
qu'au niveau de l'aménagement des lieux et des postes de travail. Le
‘Service Inspection Interne’ vérifie si les risques sont suffisamment
maîtrisés et identifient sans aucun doute de nouveaux risques au cours
de leurs missions. Des risques seront également identifiés dans le
cadre du Business Continuity Management.
On recommande d'identifier tous les risques au sein du SPF,
d'inventorier les mesures prises selon une méthodologie précise et de
réévaluer annuellement les risques (voir infra, point 2.2., Contrôle
interne).
9
Business Continuity Management Congres, Kluwer, Edegem, 31 mars 2009.
9
Cette recommandation est conforme à l'Arrêté royal du 17 août 2007
relatif au système de contrôle interne dans certains services du pouvoir
exécutif fédéral, plus particulièrement la disposition relative à
l'obligation de mettre l'inventaire de la documentation relative aux
systèmes de contrôle interne à disposition des auditeurs internes et
externes. Il est conseillé de vérifier avec les divers intéressés comment
réaliser ceci au mieux au sein du SPF.
La gestion et la détection des nouveaux risques est un processus
continu mais unique. Il est par conséquent important que la direction
détermine sa position en ce qui concerne la relation du management
des risques par rapport au Business Continuity Management d'une
part, et la mesure dans laquelle elle souhaite investir dans le
management des risques en général avec comme point spécifique en
première instance le Business Continuity Management. Ceci est
surtout important lorsqu'on décide de réaliser l'inventaire de la
documentation des systèmes de contrôle interne au sein du SPF. Il
faut alors se demander qui doit en être désigné responsable. La
fonction de risk manager, une fonction qui apparaît dans diverses
organisations, peut être une piste éventuelle. Nous constatons par
ailleurs que ce rôle est parfois confié au Business Continuity Manager.
2.2. Contrôle interne et audit interne
Le contrôle interne et l'audit interne sont deux disciplines dont le lien avec le Business
Continuity Management est très important. En effet, le contrôle interne doit vérifier que
l'organisation prend suffisamment de mesures pour éviter les risques. Le contrôle interne
examine si les systèmes de contrôle interne, où la mesure dans laquelle les risques sont
maîtrisés, sont effectifs et efficaces. Il n'est dès lors pas étonnant que l'intérêt pour le Business
Continuity Management s'accroît souvent sur base des résultats d'un audit interne.
Ceci est aussi le cas pour les Autorités flamandes où il a été constaté après un audit interne
que la majorité des entités au sein des Autorités flamandes ne sont pas suffisamment matures
en matière de continuité de l'entreprise.
Le point suivant explique la différence entre les termes ‘audit interne’ et ‘contrôle interne'. La
base légale ainsi que la manière dont le SPF Intérieur réalise les deux dans la pratique sont
abordés ci-dessous.
Définition
Conformément à l'Arrêté royal de 2007 relatif au système de contrôle
interne au sein de certains départements du pouvoir exécutif fédéral,
le contrôle interne est un processus intégré élaboré par les
responsables et le personnel de l'organisation et qui vise à traiter les
risques et à offrir une certitude relative en ce qui concerne la
réalisation, dans le cadre de la mission de l'organisation, des objectifs
généraux suivants:
- réalisation d'opérations ordonnées, éthiques, économiques, efficaces
et pratiques;
- respect des obligations de rendre des comptes;
- concordance avec les lois et la réglementation en vigueur;
- protection des moyens contre la perte, l'abus et le dommage.
10
Un risque est décrit par l'Arrêté royal comme un événement imprévu
qui pourrait mettre en danger la détermination des objectifs fixés.
Les Arrêtés royaux suivants imposent aux services publics fédéraux
l'élaboration d'un système de contrôle interne:
Contrôle interne:
L'Arrêté royal du 26 mai 2002 relatif au système de contrôle interne au
sein des autorités fédérales (Moniteur Belge du 31 mai 2002) impose
à chaque service public fédéral et chaque service public fédéral de
programmation l'élaboration d'un système de contrôle interne.
L' Arrêté royal du 17 août 2007 relatif au système de contrôle interne
au sein de certains départements du pouvoir exécutif fédéral adapte
certaines dispositions de l'Arrêté royal du 26 mai 2002, les précise et
les complète.
Responsable
Le management de ligne est responsable de l'élaboration d'un
système de contrôle interne. Il doit veiller au respect de la législation et
de la réglementation et élaborer les procédures, les contrôles de
gestion et les procédures de rapportage nécessaires au
fonctionnement efficace et qualitatif ainsi que protéger les
composantes de l'actif.
Méthodologie
La méthodologie recommandée dans l'Arrêté royal relatif au contrôle
interne est l'utilisation du ‘COSO-Enterprise Risk Management
Framework’.
COSO est un modèle de management élaboré par The Committee of
Sponsoring Organizations of the Treadway Commission (COSO). Le
but du modèle est de proposer aux organisations un cadre de
référence commun et uniforme pour le contrôle interne et de soutenir
le management dans l'amélioration du système de contrôle interne.
Le modèle a été actualisé en 2004, des éléments y ont été ajoutés et
adaptés. Ce modèle actualisé ne vise pas seulement le contrôle
interne mais l'ensemble du système de maîtrise interne et est connu
sous le nom de COSO II of Enterprise Risk Management Framework
(ERMF).
11
Risk management objectives
Entity & Unit-level
Components
Risk components
The COSO Enterprise Risk Management Framework
www.COSO.org
Qu'est-ce que
COSO - ERMF?
Si une organisation souhaite atteindre ses objectifs, elle doit pouvoir
gérer et maîtriser les risques. COSO décrit et définit les divers
éléments d'un système de contrôle interne. Ceci peut être utilisé
comme cadre pour les organisations qui souhaitent mettre en place un
système de contrôle interne.
Le modèle (voir image ci-dessus) indique dans le cube COSO la
relation directe entre:
- Les objectifs d'une organisation (les objectifs stratégiques,
l'efficacité et l'efficience des processus de l'entreprise, la
fiabilité de l'information et le respect de la législation et la
réglementation pertinente).
- Les composantes du contrôle:
•
Milieu interne (la mesure dans laquelle les risques ont
été pris)
•
Détermination des objectifs (objective setting)
•
Identification des événements (chances/risques qui
peuvent avoir une influence positive ou négative sur la
réalisation des objectifs)
•
L'estimation des risques ou l'évaluation des risques
identifiés (probabilité que le risque se produise et les
conséquences qui en découleraient)
•
Les mesures de maîtrise du risque (risk response) (éviter, accepter, partager ou diminuer les risques)
•
Activités de contrôle (ex. séparation de fonctions)
•
information et communication
•
Monitoring
- les activités/unités nécessitant un contrôle interne
12
Toutes ces composantes forment ensemble un système intégré qui
peut être adapté aux circonstances changeantes
Note de système
de contrôle interne
Une analyse détaillée des risques a été menée en 2003 au sein du
SPF Intérieur à la demande du Comité de direction.
La portée de l'analyse du risque consiste en:
- les 5 directions générales
- les services d'encadrements ICT, B&B, P&O
- les services de coordination et d'appui de la Présidente
- le Commissariat général pour les Réfugiés et les Apatrides
Un rapport a été présenté avec un inventaire des risques identifiés via
divers groupes de travail au sein du SPF Intérieur. Ces risques ont été
divisés en domaines à risque. L'impact ainsi que la probabilité de
l'apparition du risque ont été évalués. Un responsable du contrôle
interne a été désigné par service. Un exercice similaire a été organisé
en 2005-2006. Par la suite, les risques ont surtout encore été traités
dans le cadre des projets de modernisation.
Définition
Outre le contrôle interne, des précisions sont également fournies sur
l'audit interne. La définition d'audit interne déterminée par l'Institute of
Internal Auditors est reprise dans l'Arrêté royal relatif à l'audit interne
dans les services publics fédéraux (cf. infra) et explique de manière
concise la mission de l'audit interne. Cette définition est acceptée
comme description de la mission de l'audit interne du service public
fédéral.
“L'audit interne est une activité indépendante et objective qui donne à
une organisation une certitude sur le degré de maîtrise de son
fonctionnement, lui apporte ses conseils pour les améliorer, et apporte
une valeur ajoutée. L'audit interne aide cette organisation à atteindre
ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle,
et de gouvernement d'entreprise, et en faisant des propositions pour
10
renforcer leur efficacité.”
En d'autres mots, l'audit interne est un moyen pour évaluer, améliorer
les systèmes de contrôle interne et d'identifier des risques importants.
Audit interne
L'Arrêté royal du 2 octobre 2002 relatif à l'audit interne au sein des
services publics fédéraux (Moniteur belge 9 octobre 2002).
Service interne
d'inspection
Dans le cadre d'un audit interne, la Présidente du Comité de direction
a créé à partir du 1er mars 2008 ‘le Service Interne d'Inspection SPF
Intérieur'.
10
Established in 1941, The Institute of Internal Auditors (IIA) is an international professional association of more than
150,000 members with global headquarters in Altamonte Springs, Fla., United States. Throughout the world, The IIA is
recognized as the internal audit profession's leader in certification, education, research, and technical guidance,
http://www.theiia.org/
13
Ce service, dirigé par Madame Els Goddro, a comme mission:
- Veiller à l'application correcte des principes de bonne
11
gouvernance ;
- Contribuer à l'élaboration du système de contrôle interne au sein de
l'organisation qui doit garantir des informations fiables de
management;
- Contribuer à une maîtrise optimale des risques pour remplir les
objectifs du SPF Intérieur.
Les activités du service d'audit interne concernent, conformément aux
préoccupations de la Présidente et dans la ligne de son plan
management, 8 domaines:
- la continuité de l'organisation
- la gestion financière correcte
- une gestion d'achat correcte
- le respect de la réglementation
- des décisions fondées par rapport aux tiers
- l'image du SPF Intérieur
- l'intégrité
- le respect des droits de l'homme/droits des citoyens
Méthodologie
Conformément aux recommandations de l'Arrêté royal relatif au
contrôle interne, le Service d'Inspection Interne du SPF Intérieur se
sert du ERMF (Enterprise Risk Management Framework) comme
cadre et a élaboré une méthodologie pour l'analyse des risques
adaptée.
Lien BCM
En ce qui concerne l'analyse des risques et le contrôle interne, le SPF
Intérieur a déjà entrepris plusieurs importantes démarches mais avant
d'arriver à un véritable management des risques, il faudra
certainement encore remplir plusieurs conditions. Les risques en
matière de continuité d'entreprise font intégralement partie de
l'ensemble des risques auxquels le SPF peut être confronté.
Cependant, ceci n'exclut pas qu'un autre risque qui, en soi, ne met pas
la continuité en danger, devienne, en cas d'absence de mesures, un
véritable risque.
Ex. le fait de ne pas conserver une copie ou un back-up ailleurs qu'à la
comptabilité ne constitue pas en soi un risque pour la continuité des
processus au sein de l'organisation. Lorsqu'un incendie se produit à la
comptabilité du service, ceci peut devenir un risque pour la continuité
étant donné l'obligation légale de conserver les factures.
L'analyse des risques réalisée en 2003-2004 dans le cadre du contrôle
interne au sein du SPF ainsi que les analyses des risques réalisées
dans le cadre des projets de modernisation constituent une source
d'information très importante dans le cadre du projet Business
Continuity Management (voir PARTIE II, point 2.3 Analyse des
risques, p. 48-49).
11
Définition de ‘Good governance' ou ‘la bonne gestion des affaires publiques’ (basé sur
http://www2.vlaanderen.be/bbb/woordenlijst) : L'intervention des pouvoirs publics doit garantir la légitimité, la sécurité
juridique et l'égalité juridique en combinaison avec les principes d'économie, d’efficacité, d’effectivité et d’éthique. La
bonne gestion des affaires publiques ou good governance implique que l’intervention des pouvoirs publics est
accompagnée d'une répartition précise des responsabilités entre les acteurs concernés (le parlement, le gouvernement,
l'administration et le citoyen) et d'informations justificatives transparentes sur la réalisation des objectifs politiques, tant
aux autorités qu’au citoyen.
14
Conclusion
On peut conclure que le contrôle et les mesures internes en matière de
continuité d'entreprise sont indissolublement liés entre-eux et se
recouvrent. Le système de contrôle interne doit donc prévoir des
mesures de gestion pour tous les risques éventuels, y compris les
risques de continuité d'entreprise. Par ailleurs, il y a clairement un lien
entre l'audit interne et le Business Continuity Management. L'audit
interne évalue dans quelle mesure l'organisation maîtrise les risques
qui peuvent mettre en danger la continuité de l'organisation et formule
des avis à ce sujet.
Il est hautement recommandé au sein du SPF Intérieur que les
responsables en matière de contrôle interne au sein du SPF, le service
d'inspection interne et le(s) responsable(s) en matière de Business
Continuity Management harmonisent leurs activités. Comme indiqué cidessus, la continuité d'entreprise est l'un des domaines pouvant faire
l'objet d'un audit. Actuellement, ceci n'a pas lieu systématiquement au
sein du SPF. Ce n'est que lorsqu'il y a des signes d'un risque grave en
la matière et à la demande de la Présidente du Comité de direction,
que cet aspect, comme tous les autres aspects, fera l'objet d'un audit.
Par conséquent, une éventuelle recommandation pourrait être
d'intégrer à chaque audit la maîtrise des risques en matière de
continuité d'entreprise et d'en faire, outre le rapport actuel, également
un rapport au(x) responsable(s) du Business Continuity Management.
2.3. Management de crise
Définition
Le management de crise est la diminution des conséquences de la crise
et le fait d'éviter une escalade. L'objectif primaire du management de
crise est la maîtrise de la crise. Comme le Business Continuity Plan, le
12
management de crise est une mesure répressive ou réactive.
Lien BCM
Dans le cadre du Business Continuity Management, la première réaction
de Business Continuity Management est la gestion de la crise
immédiate, la stabilisation de la situation et la limitation des dégâts
ième
(Incident Management). En 2
instance, on décide d'activer le
Business Continuity Plan afin de passer finalement à la reprise de tous
les processus (Business Recovery). En d'autres mots, les deux se
recouvrent clairement en certains points.
2.4. Représentation schématique
En guise de conclusion, on peut dire qu'il y a un lien étroit entre le Business Continuity
Management, le Management de crise, le Management des risques, le Contrôle interne et
l'Audit interne. Ce lien est représenté de manière schématique dans l'image suivante.
12
KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM Academy, Harderwijk, 2007.
15
16
BUSINESS AS USUAL
ORGANISATION
OBJECTIFS DE L'ORGANISATION
PROCESSUS
PROCESSUS
RISQUES
RISQUES
TRANSFER
INCIDENT
ACCEPT
REDUCE
AVOID
GESTION DES
RISQUES
GESTION DES
RISQUES
INCIDENT MANAGEMENT PLAN
BUSINESS CONTINUITY PLAN
PREVENTIF
REACTIF
CORRECTIF
DISASTER RECOVERY PLAN
BCM RESPONS
SYSTEME DE CONTROLE INTERNE
MANAGEMENT DES RISQUES
AUDIT INTERNE
-
MANAGEMENT DE CRISE
3. Quels sont les avantages du programme de Business Continuity Management ?
L'installation du Business Continuity Management au sein de l'organisation offre plusieurs
avantages dont les plus importants sont repris ci-dessous:
Assurer le service
L'organisation remplit les conditions en ce qui concerne la responsabilité
morale et sociale de garantir certains services malgré une interruption
d'un ou plusieurs processus de travail.
Obligations légales
Quelles que soient les circonstances, l'organisation est prête à remplir
ses obligations légales et réglementaires.
Réputation
L'organisation est capable de réagir de manière crédible et tout en étant
préparée, ce qui permet non seulement de protéger mais également
d'enrichir sa réputation.
Besoins acteurs
concernés
Les dépendances de l'organisation aux divers acteurs concernés, ainsi
que leurs besoins sont connus. Ceux-ci peuvent jouer un rôle crucial
pour assurer le service.
Approche
convenue
La réaction de l'organisation face à une éventuelle interruption des
processus critiques est préparée et des conventions sont fixées par le
management. L'organisation dispose de procédures et la disponibilité du
personnel et des moyens est garantie.
Moyens
L'organisation sait quels moyens (personnel, infrastructure,...) sont
nécessaires pour assurer la continuité des processus les plus critiques.
Compréhension de
l'organisation
L'examen détaillé de l'organisation et des divers processus peut parfois
apporter des avantages inattendus. Le Business Continuity Management
peut contribuer à améliorer les processus en rendant les zones d'ombre
plus compréhensibles.
Evaluation de
l'impact
L'organisation peut estimer de manière proactive l'impact d'une
interruption pour l'organisation. Ceci permet de prendre des mesures
pour minimiser l'impact d'une interruption.
Travailler en
crossteam
Le personnel est formé et est préparé à réagir efficacement en cas
d'accident ou d'interruption et peut en outre être engagé dans d'autres
équipes. La flexibilité, l'implication et l'esprit de groupe du personnel est
stimulé.
4. Standards de Business Continuity.
4.1. Diverses normes (standards) et directives (guidelines) BCM internationales
De nombreux ouvrages existent sur le Business Continuity Management, ainsi que diverses
directives et normes. Ils peuvent servir de cadre théorique pour soutenir les organisations qui
souhaitent installer un programme de Business Continuity Management au sein de leur
organisation.
On retrouve ci-dessous d'abord une explication de la différence entre les deux. Plusieurs
exemples sont ensuite donnés au sujet des directives et normes internationales les plus
utilisées et les plus lues.
17
Norme BC
Une norme Business Continuity est un document élaboré par une
organisation de normes et standards officiellement reconnue par
l'International Organisation Standardization (ISO). Cette norme décrit
une manière d'agir convenue. Jusqu'à présent il n'existe aucune norme
ISO en matière de Business Continuity Management. Un pas a
toutefois été fait dans cette direction avec la publication de Publicly
Available Specification ISO/PAS 22399:2007 (cfr. infra).
Directives BC
Par contre, une directive de Business Continuity n'a pas de caractère
officiel. Il s'agit plutôt d'un résumé de plusieurs directives et ‘bonnes
pratiques' pour installer un Business Continuity Management.
Pourquoi l'utiliser ?
Le recours à des normes ou des directives lors de la mise en place d'un
Business Continuity Management n'est pas obligatoire, mais leur
utilisation est toutefois vivement recommandée. Il offre à l'organisation
des critères permettant à l'organisation d'évaluer son propre Business
Continuity Plan et le Processus de Business Continuity Management
d'appui. Par ailleurs, certains standards permettent également d'obtenir
une labellisation après la mise en oeuvre.
Voici quelques-unes unes des directives et normes les plus connues en
ce qui concerne le Business Continuity Management. Malgré le fait que
divers pays ont élaboré des directives et des standards, le RoyaumeUni figure quand même au premier plan avec un standard utilisé dans le
monde entier, à savoir le British Standard 25999.
‘BCI Good Practice
Guidelines’
Business Continuity Institute (BCI) Guidelines
Le ‘Business Continuity Institute’ a été créé en 1994 au Royaume-Uni.
Cette organisation, comptant entre-temps plus de 4000 membres issus
de plus de 85 pays différents, vise à soutenir et accompagner les
professionnels du BCM. Le BCI Good Practice Guidelines traite des
grands principes du processus de Business Continuity Management et
fait des recommandations pour l'appliquer. Ces Good Practice
Guidelines s'appliquent à la fois aux grandes et aux petites
organisations quel que soit le secteur.
BS25999
Le British Standard Institute (BSI) a publié en novembre 2006 l'officiel
British Standard BS25999 part one pour remplacer le PAS 56 (Publicly
Available Specification) ‘Guide to Business Continuity Management’. Le
British Standard BS25999 part two a été publié en novembre 2007.
- BS25999 part one: Cette partie présente un cadre général pour ce
qui est du processus, des principes et de la terminologie relative au
Business Continuity Management.
Il propose une base pour
comprendre, développer et mettre en place le Business Continuity
dans l'organisation. Comme indiqué ci-dessus, la norme remplace le
PAS56 et est basée sur le BCI ‘Good Practice Guidelines’ (voir
supra).
- BS25999 part two: Cette partie décrit les exigences spécifiques
notamment pour la mise en place, le contrôle, la révision, le test et
l'amélioration du système de Business Continuity dans l'ensemble du
management des risques au sein de l'organisation.
18
Selon une enquête sur les standards BC organisée par ‘Continuity
Central’ (février – mars ’07), le British Standard BS25999 semble être la
norme internationale de Business Continuity la plus lue.
Cette norme a été achetée par le SPF Intérieur (Direction Générale
Centre de Crise)
ISO/PAS22399:2007
ISO a publié en novembre 2007 une Public Available Publication (PAS)
et par conséquent le premier document international ratifié relatif au
preparedness and continuity management. ‘ISO/PAS 22399:2007
Societal security – Guideline for incident preparedness and
operational continuity management’ est un consensus international
des meilleures pratiques des cinq principaux acteurs dans ce domaine:
1. NFPA 1600, Standard on Disaster Management and Business
Continuity Programs of the US National Fire Protection
Association (NFPA)
2. BS 25999-1: Business Continuity Management Part 1: Code of
Practice of the British Standard Institute (BSI)
3. HB 221: Business Continuity Management, of Standards
Australia (SA)
4. SI 24001:2007: Security and continuity management systems –
requirements and guidance or use of the Standards Institution
of Israel (SII)
5. the work of the Japanese Inustrial Standards Committee (JISC)
Cette initiative découle du besoin d'avoir un trajet global et
reconnaissable pour définir le preparedness en continuity management
et de remédier ainsi à la confusion entre les diverses approches
nationales.
Ce ISO/PAS a été acheté par le SPF Intérieur (Direction Générale
Centre de Crise)
Normes ciblées IT
Outre les normes et directives générales relatives aux Business
Continuity Management, il existe également plusieurs normes
spécifiques axées IT traitant de la continuité en matière d'ICT, dont voici
quelques exemples:
ITIL (IT Infrastructure Library) est le cadre pour la gestion de l'IT au sein
de l'organisation.
ISO/IEC 17799:2005 Information technology -- Security techniques -Code of practice for information security management.
NIST – Contingency Planning guide for IT systems (US)
Conclusion
Dans le cadre de cet ouvrage, plusieurs directives et normes
susmentionnées ont été étudiées.. Le Centre de Crise a acheté S 25999
(partie 1 et partie 2) ainsi que l'ISO/PAS22399:2007.
On constate que ces documents traitent dans les grandes lignes de la
même chose, il n'y a que la formulation qui varie et certains éléments
sont davantage détaillés. Donc, le choix d'une norme plutôt qu'une
autre, par l'organisation, n'implique pas forcément des résultats
contraires.
19
On peut également faire remarquer que ces directives et normes
n'indiquent seulement quelles démarches doivent être entreprises pour
installer un Business Continuity Managment, mais qu'elles ne donnent
pas beaucoup d'information sur ‘la manière’ de transposer les diverses
étapes dans la pratique.
Les recommandations pour mettre en oeuvre le Business Continuity
Management au sein du SPF Intérieur qui ont été formulées plus loin
dans ce document, se basent donc sur les diverses étapes qui
reviennent dans les directives et les normes consultées et ce, complété
par l'information utile provenant d'une étude littéraire approfondie et d'un
entretien personnel avec les personnes ayant déjà une expérience
pratique en matière de Business Continuity Management.
20
PARTIE 2
Les 6 phases de Business Continuity Management
Introduction
Cette partie aborde les différentes phases à franchir ou les éléments devant être présents dans
l'entreprise afin de pouvoir parler de Business Continuity Management. Outre une description
de certains concepts et du contenu exact de cette phase, l'on examine également comment
cette phase peut être mise en œuvre au sein du SPF Intérieur.
La PARTIE I résume certains standards internationaux existants. Tous ces standards
appliquent un modèle de processus plus ou moins similaire, qui sera abordé plus en détail dans
la suite du document. Vous trouverez ci-dessous une illustration du processus de Business
Continuity Management basée sur le cycle de vie selon le British Standard 25999-1:2006.
Modèle de
processus
Phase 1
Programme BCM
Phase 2
Compréhension de
l'organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM Response :
développement et
mise en œuvre
Phases du BCM
1. Programme Business Continuity
2. Compréhension de l'organisation
3. Définition de la stratégie BCM
4. BCM Response : développement et mise en œuvre
5. Exercice, entretien et révision
6. Ancrage de BCM dans la culture de l'entreprise
SOFIE SENESAEL –
SPF INTÉRIEUR / DIRECTION GENERALE CENTRE DE CRISE
23
SOFIE SENESAEL –
24
1 Programme BCM
Comme lors de chaque projet, il importe d'établir un cadre clair pour la mise en œuvre du
Business Continuity Management. Il est notamment nécessaire que les objectifs du projet soient
clairs, que les rôles et responsabilités soient décrits, qu'une communication existe sur le projet,
etc. Tous ces éléments sont abordés dans le Programme BCM, véritable point de départ du
projet. Le point suivant aborde les différentes parties du Programme BCM.
Phase 1
Programme BCM
Phase 2
Compréhension de
l'organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM Response :
développement et
mise en œuvre
Ligne politique
L'une des principales conditions préalables d'une mise en œuvre
réussie du Business Continuity Management s'avère être, d'après
toutes les sources consultées, le soutien des cadres supérieurs. Les
différentes sources recommandent dès lors que les cadres supérieurs
signent, de manière formelle, une ligne politique (BCM Policy) et la
communiquent à travers l'entreprise.
La présidente du Comité de direction de l'Intérieur a inscrit cet objectif
– notamment l'élaboration d'un management des risques accordant
une attention particulière à la continuité – dans son Plan de
management 2009-2014. Ce dernier peut également servir
indirectement de ligne politique.
Pour souligner l'importance de cet objectif, il est également
recommandé aux cadres supérieurs de diffuser une communication
spécifique au sein de l’organisation.
SOFIE SENESAEL –
Phase 1 – Programme BCM
1.1 Ligne politique / Policy Development
25
Contenu de la ligne
politique
Quel est le contenu d'une ligne politique ? Pour répondre à cette
question, voici une liste de points qu'il y a lieu d'aborder/que l'on peut
aborder dans la ligne politique (liste non exhaustive) :
-
-
La définition du Business Continuity Management selon
l’organisation ;
Les objectifs de Business Continuity de l'organisation (quels
sont les résultats attendus ?) ;
La portée du projet BCM (quels services/processus sont
concernés ou non, lesquels le sont à un stade ultérieur ?,
quels domaines de risque ?) ;
L'attribution de responsabilités et l'organisation du projet (chef
de projet, commission d'experts, groupe de travail) ;
La disponibilité du personnel et des moyens (temps/budget) ;
Contrôle des versions et gestion des documents de la ligne
politique ;
Informations de contact ;
Facultativement : références de documentations, standards,
législations, réglementations (ex. Standards BCM) ;
Facultativement : le point de vue de la direction en ce qui
concerne le rapport entre le management des risques et le
Business Continuity Management (cf. PARTIE I, point 2.1
Analyse des risques, pg. 8-9).
Initialement, la ligne politique peut être une déclaration d'intention
plutôt générale visant à mettre davantage au point et à compléter
l'avancée des travaux. Telle est également la raison pour laquelle la
ligne politique doit être revue régulièrement.
Proposition pour le
SPF Intérieur
La PARTIE III présente un projet de ligne politique pour le SPF
Intérieur. Ce document doit dans un premier temps être adapté,
conformément aux attentes du management par rapport à ce projet, et
doit ensuite être mis au point au fur et à mesure de l'avancée du projet.
1.2 Objectifs, délimitations et points de départ de l'organisation / Portée
Portée du projet
Le point 1.3 "Rôles et responsabilités" (page 27) distingue donc la
structure du projet d'une part (groupes de travail temporaires et
personnes de contact qui participeront au développement des plans)
et une structure permanente d'autre part (un ou plusieurs
interlocuteurs Business Continuity au sein de l'organisation ayant des
SOFIE SENESAEL –
26
Il est recommandé d'appliquer, pour la mise en oeuvre du Business
Continuity Management, les principes généraux du management de
projets. Bien que le Business Continuity Management ne soit pas une
donnée temporelle, donc une caractéristique d'un projet, différentes
sources estiment qu'il s'agit là d'une méthode adéquate pour instaurer
le processus de management au sein de l’organisation. A une phase
ultérieure, l'on peut opter pour une structure permanente, chargée
notamment du suivi, de l'entretien, de l'actualisation et de
l'apprentissage pratique de plans de Business Continuity.
compétences dans l'activation des plans, responsables
l'actualisation et de l'apprentissage pratique des plans, etc.).
de
Toutefois, il est probable que les personnes responsables de la
structure du projet ayant collaboré au développement des plans
puissent également jouer un rôle majeur dans la structure
permanente. Ce n’est pas étonnant car ces personnes connaissent les
plans mieux que quiconque au sein de l'organisation.
1.3 Rôles et responsabilités
1.3.1
Structure du projet
Gestion de projet
La première phase du programme BCM est la gestion du programme
proprement dit, en d'autres termes le management du projet. Celle-ci
comporte principalement l'organisation du projet, les rôles et les
responsabilités ainsi que la méthode qui sera appliquée.
Fiche de projet
Au début d'un projet, il convient de créer une fiche de projet, selon les
principes du management de projet. Cette fiche comporte notamment
une description claire des objectifs du projet et des résultats souhaités,
une répartition des rôles et des responsabilités, la portée du projet, les
corrélations, les risques possibles, une analyse des coûts et des
avantages et un planning global du projet.
Proposition pour le
SPF Intérieur
La PARTIE III comporte une ébauche de fiche de projet pour le SPF
Intérieur. Ce document doit d'abord être adapté conformément aux
attentes du management par rapport à ce projet et doit ensuite être
peaufiné avec le groupe de travail désigné à cet effet, dans un plan par
étapes détaillé, qualifié également de "Plan d'approche".
Organisation de
projet
Avant de pouvoir lancer le projet, les cadres dirigeants, sponsors du
projet, doivent désigner un chef de projet chargé de coordonner la
"mise en œuvre d'un Business Continuity Management".
Le nombre de collaborateurs nécessaires pour ce projet est fonction de
la taille, de la nature, de la complexité et de l'emplacement
géographique de l'organisation ainsi que de la portée (toutes les
directions/tous les services sont-ils impliqués ?) et du temps disponible.
SOFIE SENESAEL –
Il importe que la fiche de projet soit abordée avec la direction et
approuvée formellement par celle-ci. En effet, cette fiche constitue le
point de départ du projet global.
Les informations figurant sur la fiche de projet correspondent
généralement à celles de la ligne politique, mais comportent davantage
de détails relatifs à la méthodologie. Tandis que la fiche de projet est
un document interne exclusif ayant comme groupe cible toutes les
personnes impliquées de près dans le projet ou y participant, la ligne
politique pouvant être consultée par toutes les personnes faisant partie
de l'organisation, mais également externes à celle-ci.
27
1
Dans les petites et moyennes entreprises (<250 collaborateurs)
l'activité BCM peut être confiée à un collaborateur en sus de ses autres
missions, mais c'est rarement suffisant lorsque les autres missions
exigent une responsabilité opérationnelle quotidienne.
Dans les entreprises de plus grande taille (>250 collaborateurs), des
responsabilités BCM peuvent être confiées à plusieurs personnes, soit
à temps plein, soit à temps partiel.
Benchmarking
Une enquête menée auprès de personnes chargées du Business
Continuity Management au sein d'une organisation a révélé que ces
personnes exercent généralement cette fonction à temps plein et
qu'elles sont soutenues pour ce faire par plusieurs personnes ayant un
diplôme universitaire. Parmi les personnes des organisations avec
lesquelles des contacts avaient été établis (infra : quelques exemples),
ce n'est qu'au sein de la Communauté flamande qu'aucun
collaborateur temps plein n'était affecté au Business Continuity
Management. Toutefois, les personnes de contact de la Communauté
flamande reconnaissent que leur permettre de travailler à temps plein
sur le projet ne serait pas un luxe.
Quelques exemples :
- Pour le bâtiment Justus Lipsius du Conseil de l'Union
européenne (2.400 collaborateurs), 2 ETP travaillent déjà
depuis plusieurs années au Business Continuity.
- Au sein du Parlement européen (+/- 5.000 fonctionnaires), 10
ETP sont chargés du management des crises dont 2 ETP du
Business Continuity Management.
- Chez Infrabel (+/-13.000 collaborateurs), 3 ETP diplômés
universitaires collaborent avec 3 consultants de Deloitte.
- Chez Dexia Banque Belgique, 10 ETP sont chargés du
management opérationnel des risques dont 4 ETP du Business
Continuity Management (+/-14.000 collaborateurs)
- A la Communauté flamande (pour 11 entités), 3 ETP à temps
partiel (15%) à côté d'autres tâches.
Structure de
l'organisation de
projet
Pour le SPF Intérieur, il est recommandé qu'au moins 1 personne se
charge à temps plein (éventuellement à temps plein temporairement,
ensuite à temps partiel) de ce projet. Cette personne serait le point de
contact central pour l'ensemble de l'organisation. En outre, il est utile
de prévoir dans chaque direction une personne de contact Business
Continuity (correspondant BCM) chargée de coordonner les actions
concrètes au sein de sa propre direction et de rapporter au chef de
projet.
Il est recommandé de prévoir les rôles suivants dans l'organisation de
projet :
- Le sponsor du projet : le donneur d'ordre du projet, cadres
dirigeants
- Le chef de projet : personne désignée pour diriger le projet et
coordonner les travaux
- Les correspondants / task force : représentants des différentes
1
Commission Recommendation 96/280/EC of 3 April 1996 concerning the definition of small and medium-sized
enterprises
SOFIE SENESAEL –
28
directions
Participants aux groupes de travail au sein de la direction :
membres du personnel qui collaborent à l'opérationnalisation
des actions sur le terrain.
Ci-dessous, une énumération, par rôle, des compétences de chaque
rôle ainsi que, pour certains rôles, une description du profil. Une
illustration schématique de l'organisation du projet est ensuite fournie
et une proposition de méthode de travail en vue de la constituer.
-
Rôle du chef de
projet – (BC
Manager)
Profil du Chef de
projet
(BC Manager)
Le rôle du sponsor du projet prévoit notamment :
- La désignation d'une personne ou d'une équipe chargée de la
management du programme BCM ;
- La définition de la portée du processus de management (ex. nombre
d'ETP, deadlines, etc.) ainsi que du programme BCM (ex. quels
services ? quels domaines de risque ?) ;
- L'approbation du budget éventuel ;
- Le contrôle de l'état d'avancement du projet ;
- L'approbation de la ligne politique et des communications
afférentes ;
- L'approbation des processus-clés d'un service ;
- L'approbation des actions à entreprendre (BCM Respons) ;
- Approbation du programme BCP de formation, exercice et révision.
Le rôle du chef de projet prévoit notamment :
- La coordination du projet ;
- La mise au point et l'approbation d'un plan BCM d'approche (étapes
à entreprendre) ;
- Le suivi du planning et l'organisation des différentes activités BCM
au sein de l'organisation et des différents départements ;
- Promotion du Business Continuity à travers l'organisation et en
dehors de celle-ci le cas échéant ;
- La gestion du budget éventuel ;
- L'actualisation de l'ensemble de la documentation relative au
programme BCM ;
- La rédaction de rapports réguliers pour le sponsor du projet au sujet
de l'état d'avancement du projet et des lacunes ;
- La garantie du suivi du planning du projet, conformément au
calendrier ;
- L'élaboration et la supervision du plan de test et d’exercice
- Révision périodique des plans développés ;
- Contrôle des risques
Il importe que la personne responsable de la coordination du projet
pour l'ensemble de l’organisation dispose d'une ancienneté et d'une
autorité suffisantes pour porter ce projet. En outre, il est souhaitable
que cette personne dispose de connaissances suffisantes des
missions de l'organisation et des différents départements, ou qu'elle
soit disposée à se familiariser rapidement avec ces questions.
Le chef de projet doit également être à même d'établir aisément des
contacts avec des personnes de différents niveaux et doit se montrer
convainquant.
SOFIE SENESAEL –
Rôle du sponsor du
projet
29
Rôle du comité
d'experts – Task
Force BCM
Rôle du groupe de pilotage – Task Force BCM :
- Le groupe de pilotage se compose de représentants des différents
départements d'une organisation (correspondant BCM) ;
- Planifier et organiser les activités BCM adéquates au sein de son
département dans l’organisation ;
- Organiser une concertation interne au sein du département ;
- Etablir des rapports pour son chef de service ;
- Etablir des rapports pour le chef de projet / BCM Manager.
Profil du
correspondant
BCM
Il s'agit de préférence d'une personne assumant cette mission sur une
base volontaire et qui est donc convaincue de la nécessité du projet.
Cette personne doit se prévaloir de bonnes connaissances des
missions de sa direction ou doit être disposée à s'y familiariser
rapidement. En outre, elle doit être à même d'établir aisément des
contacts au sein de sa direction et mobiliser des personnes de sa
direction dans un groupe de travail afin d'élaborer des actions
concrètes pour la direction.
Groupe de travail
Rôle du groupe de travail :
- Préparer les activités BCM sous la direction du correspondant BCM
- Mettre en oeuvre des mesures BCM concrètes au sein de
l’organisation
Profil du groupe de
travail
Le groupe de travail est autant que possible composé de représentants
de différents départements/services de la direction.
Proposition
d'organisation de
projet BiZa
Sponsor du projet
Présidente du Comité de
direction
Chef de projet
(Coordinateur BCM)
Task Force BCM
Correspondant
BCM
DVZ/OE
Correspondant
BCM
Service
Correspondant
BCM
CV/SC
Correspondant
BCM
Service
Correspondant
BCM
IB/IP
Correspondant BCM
Service du personnel
ICT
Experts
SOFIE SENESAEL –
30
Correspondant
BCM
VPB/SPP
Correspondant
BCM
CC
Correspondant
BCM
RVV/CCE
Correspondant
BCM
CGVS/CGRA
Dans ce schéma, la Task Force Business Continuity Management se
compose :
Du chef de projet ;
D'un correspondant BCM par direction ;
D'un correspondant BCM par service d’encadrement ;
D'experts internes et externes éventuellement invités, en
fonction des points à aborder au sein de la Task Force.
Autres recommandations relatives à l'organisation du projet BCM pour
le SPF Intérieur :
- La diffusion d'un appel interne pour la désignation du chef de
projet et des correspondants BCM (chefs de projets des
différents services) constitue une possibilité.
- La désignation du chef de projet et des correspondants BCM
incombe au sponsor du projet et a lieu de préférence de
manière formelle. Les cadres dirigeants communiquent ensuite
la décision à travers l’organisation. Celle-ci illustre d'une part
l'importance que les cadres dirigeants accordent au projet et,
d'autre part, cette communication permet également de
garantir que les rôles et les responsabilités de chacun soient
clairs.
- Les rôles attribués dans le cadre de ce projet sont inscrits dans
la description de fonction.
- Il peut être envisagé de valoriser les collaborateurs de ce
projet, notamment par les biais suivants :
o Leur permettre de suivre une formation externe en
matière de Business Continuity Management ;
o Leur octroyer une prime de projet ;
o Publier un article relatif au projet et aux collaborateurs
de projet dans Interiors, par exemple.
Structure permanente
Comme déjà mentionné précédemment, le Business Continuity
Management n'est pas une donnée temporaire. En d'autres termes, il ne
suffit pas d'avoir quelques plans qui reposent dans le placard. Au
contraire, les plans établis doivent être actualisés en permanence en
fonction des modifications survenues au sein de l’organisation, ils
doivent être adaptés aux nouveaux risques ou menaces auxquels
l'organisation est confrontée, testés quant à leur faisabilité et le
personnel doit régulièrement se familiariser avec les rôles décrits dans
les plans, etc.
En dépit de tout cela, il est recommandé d'appliquer les principes du
management de projet afin d'introduire et lancer le processus dans
l’organisation. Pour les raisons mentionnées ci-dessus, il est fortement
recommandé de prévoir ensuite une structure permanente pour le
Business Continuity Management au sein de l’organisation.
Une structure permanente permettra d'une part qu'une ou plusieurs
personnes au niveau des services de coordination centraux se charge
en permanence du Business Continuity Management et du management
des risques en général (Business Continuity Manager / Risk Manager).
SOFIE SENESAEL –
1.3.2
31
En outre, il est également recommandé que les correspondants BCM au
sein des différentes directions continuent à jouer un rôle permanent. Ils
restent le point de contact pour toute question relative au Business
Continuity Management au sein de leur direction, informent le BC
Manager des modifications à apporter aux plans et transmettent les
informations ; ils peuvent également agir comme point de contact pour
l'organisation d'exercices, formations, etc.
1.3.3
Structure de crise
D'autre part, il y a lieu de songer ici également au rôle de cette
structure permanente, plus particulièrement des correspondants BCM
et du BC Manager, dans l'hypothèse d'une interruption grave
nécessitant la mise en œuvre effective du Business Continuity Plan.
Etant donné que ces personnes connaissent parfaitement le plan, il
serait imprudent de ne pas faire appel à leurs connaissances en
situation d'urgence. En fonction de la culture de l’organisation, il
convient de définir le rôle exact de ces personnes en situation
d'urgence. Dans tous les cas, il doit être clair qu'en cas d'interruption,
le Business Continuity Manager et/ou les correspondants BCM ne
sont pas responsables de la reprise des activités. Leur rôle consiste à
intervenir comme facilitateur afin de soutenir et, dans certains cas,
diriger les opérations, de sorte que le processus de reprise puisse se
dérouler plus aisément.
Exemple pratique
Centre de crise
Au mois de mai 2009, à la suite de l'apparition de la grippe A/H1N1,
le déclenchement possible du plan national d'urgence pour une
pandémie de grippe avait été préparé au sein du Centre de crise.
Une réunion de coordination interne avait été organisée sous la
houlette du chef de service planification d'urgence, de deux
gestionnaires de dossiers planification d'urgence, d'un chef de la
permanence, d'un communicateur et de la personne chargée
actuellement du Business Continuity Management au sein du Centre
de crise. Etant donné que lors du déclenchement de la phase
nationale des prestations accrues ont été fournies par le personnel du
Centre de crise et qu'en cas de pandémie de grippe, le Centre de
crise peut également être confronté à un nombre élevé de malades, il
est possible qu'à un certain moment l'on soit confronté à un manque
de personnel risquant de mettre en péril la continuité des activités (en
cas de gestion de la phase fédérale).
Rôle du BC
Manager
Correspondant BCM
en cas d'interruption
des activités
La proposition peut être que le Centre de crise informe le
correspondant BCM dès qu'une phase de coordination nationale est
déclenchée à la suite d'un événement spécifique. Cela peut se
concrétiser, par exemple, par la participation du correspondant BCM
à la réunion de coordination interne, comme décrit ci-dessus, de
manière à pouvoir évaluer au mieux les différentes menaces pour la
continuité. Le correspondant BCM peut ensuite entreprendre les
actions requises pour briefer les éventuelles personnes de back-up et
les avertir de rester en stand-by.
SOFIE SENESAEL –
32
Egalement en cas de panne de courant, de problèmes informatiques
ou de problèmes relatifs à l'accès au bâtiment ou à une partie de
celui-ci, il importe de décrire dans quels cas le correspondant doit ou
non être contacté, quel est son rôle exact (déclenchement du plan,
contacts avec d'autres services, back-up des appels, etc.) et des
accords internes doivent être fixés à ce sujet.
Le rôle du correspondant BCM doit dès lors être analysé de manière
distincte pour chaque service et la structure doit correspondre au
maximum aux structures existant actuellement.
SOFIE SENESAEL –
33
SOFIE SENESAEL –
34
2
Acquérir une connaissance approfondie de l’organisation
La deuxième phase du processus de Business Continuity Management consiste à acquérir une
connaissance approfondie de l’organisation, du fonctionnement des processus d’organisation,
des ressources humaines et matérielles nécessaires à la mise en œuvre de ces processus, des
interdépendances, de l’impact d’une interruption des processus sur l’organisation et des
menaces auxquelles l’organisation est susceptible d’être confrontée. Dans la littérature, cette
phase est considérée comme une des principales étapes du Business Continuity Management,
en ce qu’elle pose les fondements du déroulement du processus. Afin de savoir comment et à
quoi on doit/peut se préparer et quels sont les moyens qui doivent être disponibles, un examen
détaillé des processus s’impose.
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
Cette phase se subdivise en 3 grandes étapes :
Business Analyse
(BA)
Dans le cadre d’une Business Analyse, tous les éléments (input,
output, objectif, moyens,…) du processus sont définis, de même que
les éventuelles dépendances du processus par rapport à d’autres
processus.
Business Impact
Analyse (BIA)
La Business Impact Analyse vise à analyser l’impact d’une interruption
des processus sur l’organisation, quelle que soit la cause de cette
interruption.
Analyse des
risques (AR)
L’analyse des risques sert à examiner les possibilités de menaces
pouvant entraîner une interruption des processus de l’organisation,
ainsi que leur probabilité de survenance et leur impact sur
l’organisation.
SOFIE SENESAEL –
Phase 2 – Comprendre l’organisation
BCM Response :
développement et
mise en œuvre
35
Phase 2
Comprendre
l’organisation
Etape 1
Business
Analyse
(BA)
Etape 2
Business
Impact
Analyse
(BIA)
Etape 3
Analyse des risques
(AR)
2.1 Business Analyse
Comme décrit supra, la mise en œuvre d’une Business Analyse fournit des informations sur
les processus au sein d’une organisation. Ci-après, nous décrivons comment sont définis des
processus au sein d’une organisation, ce qu’est un processus, comment les processus
peuvent être catégorisés au sein d’une organisation et quels processus sont importants dans
le cadre du projet Business Continuity Management.
Business Analyse (BA)
Objectifs de
l’organisation
Chaque organisation se base sur une vision qui se traduit, à son tour,
en objectifs d’organisation. Afin de réaliser ces objectifs, la direction de
l’organisation élaborera une stratégie, définira et instaurera des
processus et engagera et/ou attirera des moyens. Pour connaître les
processus au sein de l’organisation, il faut donc avant tout identifier les
objectifs de l’organisation.
Cette phase vise à recueillir un maximum d’informations en ce qui
concerne les objectifs de l’organisation.
Ces informations peuvent par exemple se retrouver dans :
- les plans de management
- les mission statements
- le décret ou la loi d’institution de l’organisation
- les statuts de l’organisation
- les Balanced Scorecards
- les analyses swot
- les projets de modernisation
- les audits
- les rapports annuels
- etc.
Prioritiser
Après avoir dressé l’inventaire des objectifs de l’organisation, il y a lieu
d’examiner avec la direction quels sont les objectifs qui sont prioritaires
pour elle en termes de Business Continuity.
En d’autres termes, quels sont les objectifs dont la continuité ne
peut être interrompue, que ce soit temporairement ou sur une
longue période.
Il n’y a pas de réponse ‘correcte’ ou ‘incorrecte’ à cette question. De
même, aucun critère univoque ne permet de déterminer quels objectifs
sont importants ou critiques pour la continuité d’une organisation en
cas d’interruption et quels objectifs le sont moins.
SOFIE SENESAEL –
36
Pour un certain nombre d’objectifs, il est évident qu’ils sont essentiels.
Pour d’autres, ce n’est pas du tout facile à déterminer. La continuité de
certains objectifs sera hic et nunc certainement plus importante que
celle d’autres objectifs au sein de l’organisation. Cela n’est toutefois
que provisoire. En fonction de différents facteurs environnementaux
et/ou autres, de nouveaux risques peuvent apparaître et d’autres
diminuer, ce qui nécessite une adaptation de la portée du projet.
Si l’on souhaite cependant aboutir rapidement à des résultats concrets,
il est préférable de se concentrer d’abord sur un nombre limité
d’objectifs et d’en ajouter d’autres par la suite, plutôt que de vouloir
élaborer des stratégies de continuité en une seule fois pour l’ensemble
de l’organisation.
Processus
Une fois que la direction décide quels objectifs d’organisation sont
inclus dans la portée du projet, il convient d’examiner quels sont les
différents processus au sein de l’organisation qui permettront
d’attendre ces objectifs. Ensuite, il faudra analyser et visualiser ces
processus pour que tout le monde les comprenne de la même
manière.
Rappelons ici aussi que l’objectif du BCM ne consiste pas à réactiver
le plus rapidement possible tous les processus après une interruption.
Par contre, il est important de se poser la question suivante : “quel est
le minimum à faire pour rétablir les activités les plus critiques ?”
Avant d’approfondir la méthodologie relative à la collecte
d’informations sur un processus déterminé, il convient de se
concentrer sur la notion à proprement parler. Qu’est-ce qu’un
processus ?
La définition de la notion de processus n’est pas encore tout à fait
précise. La norme ISO 9000:2005 la définit comme suit : un processus
est un ensemble d’activités corrélées ou interactives qui transforment
des éléments d'entrée (input) en éléments de sortie (output).
Processus
ACTIVITE 1
Tâche
Taak aa
INPUT
OUTPUT
Tâche
taak bb
Tâche
taak cc
ACTVITE 2
ACTIVITE 3
Un processus englobe des activités qui sont généralement effectuées
par différents rôles. Une activité est un terme générique désignant un
groupe de tâches ou de travaux au sein d’un processus. Une activité
SOFIE SENESAEL –
Qu’est-ce qu’un
processus ?
37
ou une tâche est effectuée par un rôle. Un rôle n’est pas
nécessairement une fonction, mais bien un ensemble de compétences
nécessaires à l’exécution d’une certaine activité ou tâche (président
d’une réunion, porte-parole, …).
En d’autres termes, un rôle ne correspond pas nécessairement à une
fonction existant au sein de l’organisation.
Types de
processus
Dans chaque organisation, on peut distinguer trois types de processus
(primaires, d’appui et de management). Cette distinction peut être utile
lorsque la direction détermine quels processus font partie du projet
BCM et quels en sont exclus. On peut ainsi décider de se concentrer
dans un premier temps sur les processus primaires pour viser dans un
second temps les processus d’appui. Cela permet d’avoir une idée
plus claire des processus qui ont déjà été abordés dans le cadre du
projet et de ceux qui n’ont pas encore fait l’objet de discussions.
Processus
primaires
(processus
principaux ou
opérationnels)
Les processus primaires sont des processus de l’organisation qui sont
nécessaires pour remplir les missions principales. Les processus
primaires sont les plus distinctifs étant donné qu’ils sont uniques et
qu’ils décrivent le service spécifique fourni par l’organisation.
Un exemple pour le Centre de crise :
- assurer une permanence 24h est un processus primaire
- la sélection et le recrutement de personnel est un processus
d’appui
- le suivi des indicateurs critiques de prestation (KPI) est un
processus de management ou d’administration
Processus d’appui
Les processus d’appui sont des processus de l’organisation qui
soutiennent les processus primaires (ex. recrutement de personnel,
mise à disposition de l’infrastructure ICT, …), mais aussi bien entendu
les processus d’administration et eux-mêmes. Les processus d’appui,
tout comme les processus d’administration (voir infra), sont conçus de
manière quasi identique dans toutes les organisations.
1
Conformément au modèle EFQM , une distinction peut être faite pour
les processus d’appui en termes de personnes (gestion du personnel)
et de moyens. Les processus liés aux moyens peuvent être subdivisés
en gestion de l’information, gestion de la communication, gestion
facilitaire et gestion financière.
Processus de
management
Les processus de management englobent toutes les activités liées à la
planification, au contrôle, à l’évaluation et à l’adaptation. Il s’agit, en
d’autres termes, des processus nécessaires pour diriger l’organisation
et pouvoir ainsi atteindre les objectifs et se conformer à la législation et
à la réglementation en vigueur.
On peut y ajouter le pilotage du développement de processus, à savoir
ce qu’on appelle les processus d’amélioration ou ‘Business Process
Reengineering’ (BPR) ou Projets de modernisation (MPM). Les
processus d’amélioration peuvent être perçus comme une sorte de
processus d’administration. Ils ont en effet pour objectif de repenser
1
Le modèle EFQM a été développé par la European Foundation for Quality Management. L’objectif primaire de cet outil
consiste à permettre aux organisations d’évaluer plus facilement leur propre fonctionnement en ce qui concerne leur
gestion dans son ensemble, à la lumière du Total Quality Management (TQM). Cette évaluation se base sur une
autocritique (self-assessment) qui est définie comme suit par la EFQM : “Self-Assessment is a comprehensive,
systematic and regular review of an organisation’s activities and results referenced against the EFQM-model”.
SOFIE SENESAEL –
38
fondamentalement et de renouveler radicalement les processus
d’organisation afin de réaliser d’importantes améliorations en termes
de prestations.
Présentation
schématique
Processus de
management
Processus primaires
Processus d’appui
HRM
Processus du SPF
Intérieur
Dans le cadre des projets de modernisation au sein du SPF Intérieur,
les différents processus mis en place dans les directions générales ont
déjà été répertoriés. Pour ce faire, le programme informatique ‘Office
Visio’ a été utilisé. Les projets de modernisation sont donc également
une importante source d’information.
Processus-clés
En principe, toutes les activités d’une organisation font partie d’un ou
plusieurs processus. Tous les processus ne sont toutefois pas aussi
importants. Comme déjà mentionné supra, il est important dans le
cadre du Business Continuity Management de définir les processusclés au sein de l’organisation. Il s’agit des processus critiques pour la
continuité de l’organisation.
Attention : à la fois les processus primaires, les processus d’appui et
les processus d’administration peuvent faire partie des processus-clés
de l’organisation. Un processus-clé n’est donc pas nécessairement
pareil à un processus primaire.
Visularisation des
processus-clés
Afin de se faire une idée plus précise des différents processus au sein
de l’organisation et leurs interdépendances, il peut être utile de les
visualiser à l’aide d’organigrammes ou de cartes de processus. Un
organigramme fournit une image visuelle d’un processus et permet
ainsi de mieux comprendre le processus ou système reproduit. Les
processus qui sont reproduits de manière descriptive sont par contre
souvent peu clairs. En outre, il est difficile de savoir s’ils sont complets
et cohérents.
La normalisation graphique des processus présente l’avantage ou la
particularité suivante :
- utilisation d’un langage commun, qui fait que les processus sont
plus rapidement compris par tous ;
- présence d’une structure qui est indépendante de l’organisation ou
des fonctions ;
SOFIE SENESAEL –
Schéma : formation certifiée CACERSA02 – Définir des processus – IFA
39
Analyse des
processus-clés
présence d’une base qui permet de revoir les processus ;
indication des problèmes au moment de la délivrance des résultats ;
possibilité de visualiser la méthode de travail actuelle ;
structure hiérarchique et priorité accordée à ce qui est important.
Pour savoir comment doit se préparer à assurer la continuité des
processus-clés, l’organisation doit pouvoir disposer d’un inventaire de
toutes les conditions qui doivent être remplies pour que le processus
puisse être opérationnel. Afin de traduire des inputs en ouputs, des
moyens sont en effet nécessaires (personnes, systèmes informatiques,
matériel, équipement, …), il faut disposer de certains fichiers vitaux,
tenir compte de la législation et de la réglementation spécifiques, etc.
A l’aide du modèle ci-après, toutes les informations relatives à un
processus en particulier peuvent être répertoriées de manière claire.
Modèle de processus
Départ
Règles
Objectif
INPUT
Fin
OUTPUT
PROCESSUS
Intéressés
Moyens
Lieu
Caractéristiques du
processus
Ce schéma reprend toutes les caractéristiques d’un processus. Une
définition de chaque caractéristique est fournie ci-après.
Input
Qu’est-ce que l’input du processus ? Un input se transforme, est
utilisé, traité, … dans le processus. Des exemples d’inputs d’un
processus peuvent être : les données d’une personne de contact,
une demande, une demande de formation du personnel, une
demande d’un citoyen au guichet, une demande de congé, une
facture d’un fournisseur,…
Ces inputs sont traduits en outputs pour répondre aux besoins et
attentes du demandeur. Dans les processus administratifs, les inputs
sont généralement des données.
Qu’est-ce que l’output du processus ?
Un output est produit par le processus. Il s’agit du résultat fourni ou
du service à un bénéficiaire externe, voire d’un autre processus
interne. Comme exemples d’outputs, citons une autorisation délivrée,
une réponse contenant l’autorisation ou le refus d’un congé, une
réponse à la question d’un citoyen, une facture payée, …
Output
Objectif
SOFIE SENESAEL –
40
Personnel
Que souhaite-t-on atteindre par ce processus ?
Départ
Quel est l’élément (fait, événement, catalyseur) qui déclenche le
processus ?
- Le catalyseur ne fait pas partie du processus
- Il ne s’agit donc pas de la première activité du processus
- Un processus commence toujours par un ou plusieurs éléments
détonateurs.
Ex. le détonateur du traitement d’une demande d’asile peut par
exemple être la déclaration du candidat-réfugié souhaitant
demander l’asile. Détonateurs possibles :
- Avis ou message : ex. appel, avis, fax, demande du citoyen
- Moment : ex. tous les premiers jeudis du mois, chaque
semaine, une date ou heure précise, le lundi,…
- Règle : ex. une situation d’urgence se présence, une limite a
été franchie,…
- Autre processus : ex. le processus X apporte un input au
processus
- Quelle est la relation avec d’autres processus ?
Règles
A quelles règles le processus est-il lié ?
- Règles fixées en interne : ex. notes de service, règlements de
travail, instructions, manuels, …
- Règles imposées par des tiers : ex. lois, directives européennes,
...
- Existe-t-il des protocoles et procédures écrits concernant ce
processus ?
- Des assurances ont-elles été prises et donnent-elles droit à un
remboursement en cas de calamités ?
- Quelles sont les obligations contractuelles avec des tiers ?
- Quelle législation et réglementation sont en vigueur pour
l’organisation ?
Personnes
concernées
Qui a intérêt (instances, organisations, …) à ce que le processus se
déroule correctement ?
A-t-on recours aux services de tiers dans le cadre de la mise en
œuvre du processus ?
Personnel
Quel est le nombre idéal de membres du personnel nécessaires à la
mise en œuvre de ce processus ? Quel est le nombre minimum de
membres du personnel nécessaires à la mise en œuvre du
processus ?
Quelles sont les fonctions (rôles) nécessaires ? : nombre,
compétences, tâches, quantité et temps
Moyens
Quels sont les moyens nécessaires à la mise en œuvre du
processus ? Ex. applications informatiques, données, check-lists,
formulaires, actifs, ….
Technologie :
- Quelle IT est essentielle à la mise en œuvre des activités ?
- Quels systèmes de reconnaissance vocale et de données
sont essentiels pour vos activités ?
Information :
- Quelle information est essentielle à la mise en œuvre des
activités ?
SOFIE SENESAEL –
41
- Comment et où cette information est-elle sauvegardée ?
Fournisseurs et partenaires :
- Qui sont les fournisseurs et partenaires prioritaires dont
dépendent les activités ?
- Certaines missions relatives à ce processus sont-elles
confiées à d’autres organisations ? A qui et pour quoi ?
- Des conventions/contrats ont-ils été conclus avec d’autres
organisations ?
Lieu
Où (lieu géographique) ce processus est-il mis en œuvre ? (1 ou
plusieurs endroits). Les activités ont-elles lieu à différents endroits ?
D’autres endroits sont-ils disponibles pour mettre en œuvre le
processus ?
Quelles installations, machines et autre infrastructure sont
essentielles pour la réalisation des activités ?
Fin
L’événement final est le moment où plus aucune activité n’est
nécessaire.
Façon dont le processus peut terminer :
- Avis ou message : ex. réponse envoyée au demandeur pour
conclure le processus
- Erreur : ex. erreur pendant le processus, qui fait stopper le
processus
- Autre processus : ex. le processus donne un output à un autre
processus
- Combinaison de ce qui précède
- Quelle est la relation avec d’autres processus ?
Ci-après figure un exemple fictif d’un processus fictif de ‘délivrance d’une autorisation’.
Attention, dans le cadre du Business Continuity, il est nécessaire de détailler et de quantifier
davantage les moyens et le personnel.
•
•
Départ
Demande
•
•
•
•
•
•
•
•
•
Objectifs
Traitement rapide
Traitement correct
Service axé sur le client
Traitement efficace
Processus 'délivrance d’une autorisation'
Réception de la demande
Vérification que la demande soit complète
Evaluation du contenu
Préparation de la décision
Approbation de la décision
Communication de la décision
Personnel
Gestionnaire de
dossier
Juriste
Collaborateur
administratif
•
•
•
Moyens
Logiciels
PC portables
Moyens de
communication
Schéma : formation certifiée CACERSA02 – Définir des processus – IFA
SOFIE SENESAEL –
42
•
•
•
•
•
•
Inputs
Demande du client
Données du client
Groupe concerné
• Demandeur
• Société
• Direction
• Autre autorité
Règles
Arrêté ministériel du
6 déc. dernier
Directive UE 87/999
Fin
autorisation
délivrée
•
•
•
Outputs
Courrier avec décision
d’autorisation
Autorisation
Registre adapté
•
•
•
Lieu
Bruxelles
Ostende
Liège
Dépendances du
processus
Outre la réalisation d’un inventaire de tous les éléments qui gravitent
autour d’un processus, il est tout aussi important de se pencher sur
l’éventuelle dépendance du processus par rapport à d’autres. Il
convient d’examiner dans quelle mesure des processus-clés sont
vulnérables ou dépendants d’autres. Lorsqu’un processus-clé X est
dépendant de l’input du processus Y, il faut tenir compte du fait que
le processus Y doit être rétabli avant que le processus X ne puisse
fonctionner à nouveau. On peut alors affirmer que le processus Y est
également un processus-clé au sein de l’organisation. Il est dès lors
important d’examiner le rapport et les dépendances entre les
différents processus de l’organisation et d’en tenir compte.
Niveau du processus
Certains processus sont toutefois trop complexes pour être
examinés dans leur ensemble. Le cas échéant, le processus peut
être plus détaillé. Cela peut se faire à plusieurs niveaux jusqu’à ce
qu’on atteigne un niveau suffisant de détail. En examinant de plus
près un processus (ex. au niveau des activités), il faut appliquer le
modèle de processus par étape du processus ou activité et classer
les informations relatives aux caractéristiques de l’étape du
processus.
Le niveau le plus bas est celui d’une étape du processus ou activité.
- Niveau 0 : organisation
- Niveau 1 : processus de base (3 à 6 activités qui constituent des
processus-clés au sein de l’organisation)
- Niveau 2 : sous-processus
- Niveau 3 : activités au sein d’un sous-processus
Méthode de travail
Il n’existe pas de méthode standard de collecte des données
concernant les processus. Ci-après sont néanmoins reprises
quelques méthodes pouvant être utilisées, de même qu’une
évaluation de la méthode utilisée. Il est recommandé d’utiliser une
combinaison de ces méthodes et plus spécifiquement l’organisation
d’un atelier qui utilise un questionnaire comme fil conducteur. Si cela
s’avère souhaitable, il peut être plus utile, dans le cas de processus
complexes ou très techniques, d’organiser des entretiens individuels
complémentaires avec les gestionnaires du processus.
Les différentes possibilités sont présentées ci-après :
Ateliers
Un groupe de personnes (3 à 7 personnes) pouvant fournir des
informations concernant un processus déterminé (e.a. le détenteur
du processus, les personnes qui exercent des activités) est réuni et
questionné au sujet du processus.
SOFIE SENESAEL –
Il est par ailleurs possible qu’un processus-clé de l’organisation
dépende d’un processus qui ne fasse pas partie de l’organisation,
mais bien d’une organisation externe. Dans ce cas, l’organisation est
toujours tenue d’assurer la continuité de son processus. Elle peut par
exemple le faire en concluant, avec des organisations externes, des
contrats ou protocoles qui mettent l’accent sur la continuité ou en
implquant activement les organisations externes dans la réalisation
du Business Continuity Plan.
43
Evaluation de la méthode :
- Résultat rapide ;
- Occasion de créer une implication par la participation ;
- Conscientisation nettement accrue des employés lorsqu’on
aborde des questions et scénarios du type “quid si”
Questionnaires
Les questionnaires standard sont diffusés et il est demandé de les
renvoyer complétés.
- Les questionnaires fournissent une grande quantité d’informations
et les résultats sont directement comparables, mais la qualité peut
être remise en cause si le questionnaire n’a pas été complété de
manière cohérente ;
- Possibilité d’erreurs d’interprétation des questions.
Interviews
Entretiens individuels avec les détenteurs du processus ou les
personnes qui exercent les activités (les intervenants-clés)
- Les interviews peuvent fournir de très bonnes informations, mais
elles prennent énormément de temps.
- L’output des interviews peut varier en fonction du format et des
détails.
Proposition de
questionnaire
Business Analyse
Dans la PARTIE III, on trouve un projet de questionnaire pour le SPF
Intérieur. Ce questionnaire peut servir dans le cadre de la Business
Analyse.
Résultat Business
Analyse
A la fin de la Business Analyse, on dispose d’une liste ou d’un
tableau qui reprend tout ce qui est lié au processus (tous les moyens
nécessaires à la mise en œuvre du processus, la législation et la
réglementation, …). Lorsqu’un processus est relancé après ne
interruption, il faut en effet savoir tout ce qui est nécessaire à cet
effet et dans quel ordre.
2.2 Business Impact Analyse
Définition BIA
SOFIE SENESAEL –
44
La réalisation d’une Business Impact Analyse consiste à analyser
l’impact (en termes de conséquences négatives) d’une interruption des
processus-clés de l’organisation et de son déroulement dans le temps,
quelle que soit la cause de l’interruption.
Au cours de cette phase, l’objectif consiste en d’autres termes à
évaluer l’impact d’une interruption des processus au sein de
l’organisation. Cela permettra non seulement de déterminer l’ordre
dans lequel les activités devront être rétablies. Ces informations
permettront également au management de décider en connaissance
de cause dans quelles mesures de Business Continuity (cfr. infra) elles
investiront en priorité. Les processus dont l’interruption produit un très
grand impact devront être en toute logique rétablis plus rapidement
que ceux dont l’interruption n’a que peu d’impact.
Au cours de la Business Impact Analyse, il importe en outre
d’examiner, pour chaque processus, quelle est l’interruption qui est
tout au plus tolérable (MTPD) avant que l’interruption du processus ne
cause des dommages irréparables à l’organisation et à ce que
l’organisation se fixe comme objectif de délai de reprise du processus
(RTO).
Ces deux notions sont explicitées ci-dessous :
RTO (Temps de
reprise)
Le RTO (Recovery Time Objective) est donc le délai fixé par
l’organisation, dans lequel le processus doit être relancé.
Au sein de l’organisation, il est indiqué que le niveau de management
définisse les différents Recovery Time Objectives (RTO) possibles et
utilise la même classification dans toute l’organisation. L’avantage en
est qu’en cas d’interruption d’un processus déterminé avec un impact
transversal (dans le cas du SPF Intérieur : impact pour plusieurs
directions et/ou services), une coordination transservices peut se
dérouler plus facilement. En effet, tout le monde parle la même langue
dans ce cas. Il peut également être utile de travailler non seulement
sur la base d’un RTO préfixé, mais aussi de formuler une description
générale (sorte de définition) par RTO.
Il est conseillé de ne pas utiliser plus de 5 à 6 RTO. Par exemple, la
Banque Dexia de Belgique utilise 4 classifications :
-
RTO 1 – Le processus doit être relancé dans les 4h après l’interruption =
opérations interbancaires, salle des marchés
RTO 2 – Le processus doit être relancé dans les 48h après l’interruption =
processus opérationnels axés sur le client
RTO 3 – Le processus doit être relancé dans la semaine qui suit
l’interruption = processus d’appui et de management importants
RTO 4 – Le processus peut être relancé plus d’une semaine après
l’interruption = autres processus d’appui et de managementen
Exemple de description :
-Activités vitales : Activités qui doit être prévues dans les 72h, vu le risque de
perte de vies humaines, de détérioration de l’infrastructure, de perte de
confiance dans l’autorité et de perte considérable de revenus ou de coûts
disproportionnés de reprise.
- Activités nécessaires : Activités nécessaires qui doivent être reprises dans
les deux semaines, vu le risque de perte considérable, de détérioration
continue ou de coûts disproportionnés de reprise.
-Activités souhaitées : Activités qui pourraient être reportées pendant deux
semaines ou plus, mais qui sont nécessairse pour revenir aux conditions
normales et remédier à la désorganisation et à la perturbation des conditions
normales.
Il ne s’agit là que d’exemples. Ceux-ci doivent être adaptés
conformément aux attentes du management et à la situation spécifique
de l’organisation et, en particulier, la nature des processus.
MTPD (temps
d’interruption
maximal
acceptable)
Le MTPD (Maximum Tolerable Period of Disruption) est la durée
maximale d’interruption, faute de quoi l’organisation peut encourir des
dommages irréparables.
Il va dès lors de soi que le RTO (objectif de reprise) doit être plus bref
que le MTPD (temps d’interruption maximal acceptable).
SOFIE SENESAEL –
- Activités critiques : Activités qui doivent être immédiatement prévues, vu le
risque de perte de vies humaines, de détérioration de l’infrastructure, de perte
de confiance dans l’autorité et de perte considérable de revenus. Ces activités
nécessitent généralement une continuité dans les 24h suivant l’interruption.
45
Points de départ
Dans le cadre d’une Business Impact Analyse, on examine quelles
sont les conséquences d’une interruption d’un processus-clé et
comment l’organisation peut soit relancer le plus rapidement possible
le processus-clé, soit minimaliser l’impact de l’interruption.
Au cours de cette phase, il n’est dès lors pas important de se pencher
sur la cause de l’interruption, mais bien sur ses conséquences. C’est
pourquoi une Business Impact Analyse se base sur :
- Un scénario catastrophe, ex. manque de données, de personnel et
d’infrastructure. Exemple : destruction par le feu.
Une situation pour laquelle il n’existe actuellement aucune
possibilité de reprise.
- L’idée selon laquelle on ne peut pas se concentrer sur la reprise
immédiate de tous les processus et/ou services. Le but est de
relancer rapidement les processus les plus nécessaires.
Objectifs BIA
Les objectifs de la Business Impact Analyse consistent à :
- Identifier l’impact quantitatif et qualitatif d’une perturbation des
processus critiques. Ces informations s’avèreront importantes à un
stade ultérieur et influenceront le processus de détermination de la
bonne réaction.
- Examiner à quels processus-clés il faut donner la priorité en cas
d’interruption et dans quel ordre ces processus doivent être rétablis.
Plus l’impact est important et moins le délai de reprise du processus
est long, plus le processus sera ‘critique’.
- Par processus, identifier dans quel délai le processus doit
idéalement être rétabli et peut l’être de façon réaliste (RTO).
Différents niveaux doivent être attribués ici (par l’organisation ellemême). Ex. RTO 0 = reprise dans les 12h, RTO 1 = dans les 24h,
etc.
- Par processus-clé, examiner combien de temps le processus peut
maximum être interrompu (MTPD). Si l’interruption dure plus
longtemps, elle causera des dommages irréparables.
- Faire une estimation des moyens nécessaires dans le temps
(principaux systèmes informatiques, matériel, personnel, …).
Pendant la Business Analyse, les moyens nécessaires par
processus-clé ont déjà été définir en cas de ‘business as usual’.
Dans le cadre de la Business Impact Analyse, cela revient à classer
le besoin de moyens dans le temps.
Estimation de
l’impact
Comme précité, il convient de définir pour chaque processus l’impact
de l’interruption du processus et de le définir le plus correctement
possible, si possible de le quantifier.
Peuvent notamment être inclus :
- l’impact sur la sécurité, la santé ou le bien-être du personnel
- l’impact sur la sécurité, la santé ou le bien-être des citoyens
- la transgression des missions et dispositions légales
- dommage causé à la réputation
- dommages financiers
- diminution de la qualité des produits et services
- dégâts environnementaux
- …
SOFIE SENESAEL –
46
A la fin de la Business Impact Analyse, il convient, par processus, de
disposer des informations suivantes :
- Une classification des processus-clés par ordre de priorité dans le
cadre de la continuité de l’entreprise
- Le temps d’interruption maximum acceptable (MTPD)
- Le RTO et MTPD pour chaque processus-clé
- La liste des fournisseurs, systèmes importants et des données vitales
- Des estimations de l’impact qualitatif et quantitatif d’un événement en
fonction de la durée de la perturbation (ex. 24 heures, 48 heures, 5
jours, etc.)
- Un aperçu de ce qui est nécessaire pour rétablir les processus-clés en
fonction de la durée de la perturbation
- Les informations obtenues sur la base de la Business Analyse et de la
Business Impact Analyse sont un important input pour le Business
Continuity Plan, en ce qu’elles décrivent quelles actions doivent avoir
lieu à quel moment en cas d’interruption d’un processus.
Méthode de travail
Les méthodes de travail en vue de la collecte de données qui peuvent
être proposées sont les mêmes que celles énumérées dans le cadre
de la Business Analyse (voir infra, point 2.1, p. 36). La réalisation de
la Business Analyse et de la Business Impact Analyse sont souvent
mentionnés en une seule étape dans la littérature. Il est toutefois
possible de distinguer ces deux étapes. Cela dépend de la complexité
du processus que l’on souhaite aborder. Par processus, il convient
néanmoins de répéter toute la procédure.
Résultats sign-off
Les résultats de la Business Analyse et de la Business Impact Analyse
doivent être présentés au management et approuvés par celui-ci.
Proposition de
modèle
Dans la PARTIE III figure un modèle de Business Impact Analyse. Le
RTO (objectif de reprise) et le MTPD (temps d’interruption maximum
acceptable) dans le modèle tiennent lieu d’exemple et peuvent dès lors
être adaptés en fonction des besoins. Il est toutefois recommandé
d’utiliser les mêmes RTO et MTPD dans l’ensemble de l’organisation.
Résultat BA et BIA
SOFIE SENESAEL –
47
2.3 Analyse des risques
Une étape suivante dans la compréhension de l’organisation consiste à mener une analyse
des risques. Cette analyse concerne les menaces éventuelles qui peuvent entraîner une
interruption des processus de l’organisation, leur probabilité de survenance et leur impact sur
l’organisation.
L’on constate à la fois dans la littérature et dans la pratique qu’il existe deux visions
divergentes en termes d’approche des risques dans le cadre du Business Continuity
Management :
Analyse
des
risques détaillée
Il y a d’une part la vision qui se base sur un inventaire de tous les
risques possibles et une estimation de l’impact des différents risques
sur les processus de l’organisation. En fonction des ‘probabilités de
survenance du risque’ et de ‘l’impact’ que le risque produit, on définit la
stratégie et on examine quelles mesures/actions doivent être
entreprises.
Scénarios
Il y a d’autre part la vision selon laquelle il n’est pas toujours nécessaire
d’élaborer une analyse des risques détaillée dans le cadre du Business
Continuity Management. Il est néanmoins important de mener une
analyse des risques à intervalles réguliers (idéalement 1 fois par an),
mais la réalisation de cette analyse n’est pas une condition absolue de
mise en œuvre du processus de Business Continuity Management au
sein de l’organisation. Une approche plus pragmatique consiste à partir
d’un risque prioritaire défini par le management ou, mieux encore, d’un
‘scénario catastrophe’. Dans ce cas, on ne se base pas sur les risques
possibles, mais sur les conséquences éventuelles pour l’organisation,
quelle que soit la menace. Les conséquences possibles peuvent être :
- un manque de facilités ou d’accès aux facilités
(bâtiments, locaux, …)
- un manque de données vitales
- un manque d’infrastructure ICT
- un manque de ressources humaines/personnel
Un piège est d’établir un plan spécifiquement axé sur un seul risque
(ex. pandémie de grippe). Il est préférable de disposer d’un plan global
qui couvre différents risques plutôt que de réaliser, pour chaque risque
spécifique, une annexe au plan global.
La revue Beveiliging le formule comme suit : “C’est une opportunité
manquée que de réaliser un BCP uniquement pour lutter contre une
pandémie. Le coût d’un BCP complet est inférieur à la somme d’une
série de petits plans, sans parler des frais d’entretien”. Les spécificités
liées à un risque déterminé seront de préférence jointes en annexe du
Global Business Continuity Plan.
Pour le SPF Intérieur, il est recommandé, sur le plan de l’analyse des
risques, d’actualiser l’analyse effectuée en ’03-’04. Cette analyse des
risques peut servir de point de départ pour une nouvelle analyse des
risques, de même que le système de points quelque peu adapé, si
nécessaire. Cette analyse des risques doit idéalement être actualisée
chaque année, mais il n’y a pas de condition pour pouvoir mettre en
œuvre un Business Continuity Management au sein du SPF Intérieur.
Recommandation
du SPF Intérieur
Pour le SPF Intérieur, il est également recommandé, dans le cadre du
Business Continuity Management, de réaliser un ‘Global Business
SOFIE SENESAEL –
48
Conclusion
Une analyse des risques approfondie n’est pas une condition absolue
de mise en œuvre d’un Business Continuity Management. Il est
toutefois important de réaliser régulièrement une analyse des risques
au sein de l’organisation (notamment dans le cadre du contrôle interne,
cf. supra) pour déceler les ‘nouveaux’ risques, s’y attaquer, préciser et
compléter ainsi le Business Continuity Plan. La mise en oeuvre d’une
analyse des risques est en effet un processus qui prend énormément
de temps.
En ce qui concerne l’analyse des risques, le SPF a déjà une expérience
pratique :
- Dans le cadre des projets de modernisation, l’analyse des
risques est toujours le point de départ.
- Dans le cadre de l’élaboration d’un système de contrôle interne,
une analyse des risques a également été menée en 2003 –
2004 au sein du SPF.
- Le Service d’inspection interne dirigé par Mme Goddro a
développé une méthodologie en matière d’analyse des risques.
Pour les raisons précitées, on n’approfondira pas ici la méthodologie en
matière d’analyse des risques.
SOFIE SENESAEL –
Continuity Plan’ permettant au SPF de se préparer à une éventuelle
interruption des activités les plus critiques. Il est indiqué à cet egard de
ne pas trop se focaliser sur tous les risques possibles auxquels le SPF
peut être confronté (et d’élaborer par conséquent un Business
Continuity Plan pour chaque risque éventuel), mais plutôt sur les
conséquences éventuelles de ces risques.
Les principales conséquences pour le SPF Intérieur peuvent être :
- un manque de personnel
- un manque d’infrastructure ICT
- un manque de données/d’informations
- un manque de facilités
Ceci n’exclut pas que l’on se concentre sur certains risques spécifiques
(par exemple ‘l’apparition de la pandémie de grippe’). Le cas échéant,
il est recommandé de joindre des mesures de Business Continuity en
annexe au Business Continuity Plan global (cf. exemple de l’annexe 2,
proposition de mesures spécifiques pouvant être élaborées dans le
cadre de la pandémie de grippe). Les mesures élaborées font donc
partie, en annexe du BCP global du SPF).
49
SOFIE SENESAEL –
50
3
Définir la stratégie BCM
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
Objectif
Sur la base des résultats approuvés de la Business Impact Analyse et
des conséquences éventuelles d’une interruption (manque de
personnel, de données, d’infrastructure, d’ICT), ou éventuellement des
résultats de l’analyse des risques (en fonction de la méthodologie
appliquée), des mesures doivent être formulées afin de veiller à :
- réduire les probabilités de survenance d’une interruption ;
- limiter la période d’interruption ;
- limiter l’impact de l’interruption sur les activités critiques.
Dans le cadre de la Business Impact Analyse, il convient de déterminer
dans quel délai quelles activités doivent reprendre (Recovery Time
Object / RTO). Au cours de cette phase, il convient donc de formuler
des propositions d’action (mesures) permettant d’en tenir compte.
Il va de soi que plus le Recovery Time Object est court, plus la stratégie
sera difficile. Lorsqu’une activité doit par exemple être rétablie dans les
4h, les mesures sont souvent plus coûteuses. En outre, il convient
également de tenir compte des mesures déjà existantes.
Analyse coûtefficacité
Par activité (et par sous-activité, si c’est souhaitable), il convient de
dresser la liste des propositions de mesures.
Ces mesures peuvent à la fois être préventives, réactives et correctives.
- Mesures préventives : entreprendre des actions pour éviter
d’éventuels problèmes à l’avenir.
- Mesures correctives : entreprendre des actions pour corriger quelque
chose. Ces mesures impliquent intrinsèquement que quelque chose
SOFIE SENESAEL –
Phase 3 – Déterminer la stratégie BCM
BCM Response :
développement et
mise en œuvre
51
s’est mal passé.
- Mesures réactives : mesures qui entrent en vigueur si un risque
devient manifeste et qui font en sorte de mettre le plus rapidement
possible un terme à la menace et de limiter autant que possible les
conséquences néfastes.
Par proposition de mesure, il convient de réaliser une analyse coûtefficacité ou d’examiner d’une part quels sont les coûts (en moyens
financiers, mais aussi en heures de travail) du développement, de la
mise en œuvre et de l’entretien des mesures, et quels sont, d’autre part,
les intérêts et avantages de ces mesures. Cet examen doit permettre
au management de prendre la bonne décision en ce qui concerne la
stratégie qu’il souhaite suivre. Par exemple, lorsque le bâtiment d’une
organisation n’est plus accessible, on peut décider de travailler à partir
d’un autre endroit. En réalisant une analyse coût-efficacité des
différents endroits possibles, le management est à même de décider en
connaissance de cause.
Méthode de travail
La mission du correspondant BCM consiste à :
- Identifier par activité les différentes actions possibles pour atteindre
le temps de reprise (RTO ou Recovery Time Object) ;
- Procéder à l’analyse coût-efficacité des différentes actions, à
l’évaluation des avantages et des inconvénients par action ;
- Après le choix du management parmi les différentes actions,
élaborer un plan de mise en œuvre (qui-quoi-quand-comment) pour
les mesures choisies ;
- Mettre en œuvre et assurer un suivi du plan d’action.
Résultats sign-off
A la fin de cet exercice, le management doit donner l’approbation
formelle quant aux mesures à prendre. C’est également la phase dans
laquelle le management décide des budgets qui seront dégagés pour
mettre en œuvre telles ou telles mesures.
Comme déjà signalé, les mesures peuvent être à la fois préventives,
correctives et réactives.
Outre l’adoption des mesures préventives nécessaires (sous le slogan
‘mieux vaut prévenir que guérir’), le chapitre suivant se concentre
principalement sur les mesures réactives, en particulier la
réalisation d’un Business Continuity Plan (BCP). Un BCP est un
SOFIE SENESAEL –
52
Cet exercice sera idéalement mené au sein d’un groupe de travail
composé notamment du (des) détenteur(s) du processus et du
personnel qui est opérationnel dans ce processus. Dans la structure de
projet proposée pour le SPF Intérieur, il peut être perçu comme la
création de plusieurs groupes de travail (1 ou plusieurs par
direction/service, en fonction du nombre de processus qui doivent être
abordés) où siègent différents membres du personnel du service. Ce
groupe de travail est précisé par le correspondant BCM du service/de la
direction.
Ce correspondant bénéficie d’un soutien sur le plan méthodologique et
rapporte les résultats du (des) groupe(s) de travail au
coordinateur/responsable du projet BCM.
ensemble de mesures réactives, qui décrit ‘qui doit faire quoi et quand’
au cas où le risque se manifeste réellement. En d’autres termes, le plan
fournit une description des procédures à suivre. Une fois que le
management a décidé des mesures qui doivent être prises, il y a lieu
d’élaborer un plan d’approche.
SOFIE SENESAEL –
53
SOFIE SENESAEL –
54
BCM response : développement et mise en œuvre
« Business Continuity Management Response » : réaction qu’une
organisation a préparée pour maîtriser un incident et minimiser son
impact sur les processus de travail. Les mesures validées par le
management au cours de la phase précédente doivent être élaborées
de façon à ce que l’organisation soit à même de réagir rapidement et
efficacement en cas d’interruption d’un processus donné.
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM response :
développement et
mise en œuvre
D’après la norme ISO/PAS 22399:2007 « Societal security – Guideline
for incident preparedness and operational continuity management »,
les organisations font face aux incidents de différentes façons.
A côté de leur approche spécifique, il existe trois étapes de la réaction
qui sont génériques et interdépendantes :
- Emergency Response (Incident Management)
- Continuity Response (Business Continuity)
- Recovery Response (Business Recovery)
SOFIE SENESAEL –
Phase 4 – BCM response :
développement et mise en œuvre
4
55
Le graphique suivant montre la distinction entre les différentes actions :
Objectif global de reprise
Retour à la situation normale le plus rapidement possible
Instant zéro
Incident
Axe du temps
Réaction à l’incident
Business Continuity
Business Recovery – retour à la normale
Graphique : British standard, Business Continuity Management, part 1: Code of practice, p.27
Emergency
Response
« Emergency Response » : première réaction après un incident. Il
s’agit en premier lieu de protéger les personnes (par exemple en
faisant évacuer le bâtiment, en appelant les services d’aide et
d’intervention, en prodiguant les premiers soins…) et les biens pour
limiter les dégâts et maîtriser l’incident. L’ensemble des procédures
liées à la première réaction suivant l’incident est appelé Plan de
Gestion des Incidents (PGI), de l’anglais « Incident Management
Plan » (IMP).
Business Continuity
Response
« Business Continuity Response » : démarrer les processus et
débloquer des moyens pour que l’organisation puisse garantir la
continuité des processus les plus critiques.
Business Recovery
Response
« Business Recovery Response » : la phase dans laquelle on revient à
la situation « business as usual ».
Phase 4
BCM
Response
Incident
Management
Plan
(IMP)
Structure des plans
de réaction
SOFIE SENESAEL –
56
Stap 1
Stap 2
Business
Continuity
Plan
(BCP)
Stap 3
Business
Recovery
Plan
(BRP)
L’organisation doit disposer d’un plan ou de procédures pour chaque
phase de réaction. L’ensemble de ces plans forme le « Global
Business Continuity Plan ». Evidemment, il faut d’abord maîtriser
l’incident qui a entraîné l’interruption (par ex. un incendie) avant de
pouvoir relancer le processus.
- Incident Management Plan (IMP)
- Business Continuity Plan (BCP)
- Business Recovery Plan (BRP)
Ces plans (partiels) doivent tous contenir les éléments suivants :
- L’objectif et la portée du plan
- Les rôles et les responsabilités
- Le lancement du plan (comment, par qui, quand…)
- Le propriétaire des documents
- Les coordonnées essentielles
Incident
Management Plan
D’après la norme britannique 25999, le Plan de Gestion des Incidents
(PGI) ou en anglais, Incident Management Plan (IMP), peut être défini
comme suit : « the incident management plan is a clearly defined and
documented plan of action for use at the time of an incident, typically
covering the key personnel, resources, services and actions needed to
implement the incident management process. »
Lancement de l’IMP
En fonction de la gravité de l’incident, il faut prévoir une procédure
d’intervention par paliers, dite « procédure d'escalade » (logigramme,
en anglais flowchart) avec plusieurs phases. Il faut définir les différents
paliers de gravité et pour chaque palier, préciser qui contacter.
Par exemple, voici les différents niveaux d’« emergency response /
crisis escalation » chez Belgacom :
minor incident level 0
noticeable incident level 1
critical incident level 2 - (BERT-team Belgacom
Emergency Response Team)
major disaster level 3 : (BERT-team + ad hoc BMC
members)
Chaque organisation doit déterminer ses propres paliers.
Propriétaire de
document
Il est important que le rôle de « propriétaire des documents » soit
attribué à plusieurs personnes, de préférence au chef de projet et aux
correspondants BCM. Puisque ces personnes sont justement chargées
de la coordination, respectivement dans l’organisation et dans leur
SOFIE SENESAEL –
Cet Incident Management Plan doit prévoir une structure simple et
facile à suivre permettant à l’organisation :
- de confirmer la nature et la portée de l’incident ;
- de prendre le contrôle de la situation ;
- de communiquer avec les acteurs concernés ;
- enfin, cette structure doit aussi déboucher sur la « business
continuity response » appropriée.
Il ne s’agit pas de commencer à élaborer de nouvelles procédures et
de nouveaux plans. Au contraire, l’objectif est de réunir les procédures
et les documents qui existent déjà (consignes d’évacuation,
coordonnées des services d’aide et d’intervention…) et d’identifier les
éventuelles lacunes pour continuer à y travailler.
57
département, elles sont les plus à mêmes de tenir à jour toutes les
informations. Les coordonnées de cette ou de ces personnes sont
indiquées sur le plan lui-même. Elles sont responsables de la mise à
jour de ces données et doivent apporter les modifications nécessaires
en cas de changement. En outre, elles doivent veiller à ce que tous les
acteurs soient bien en possession de la version la plus récente du
plan. Il est donc important de travailler avec des versions numérotées.
Pour l’envoi et l’archivage électronique des documents, nous
travaillerons très probablement avec Sharepoint.
Contenu de l’IMP
Voici la liste des informations et des documents que vous pourrez
trouver dans l’Incident Management Plan.
Cette liste n’est pas exhaustive.
- Procédure d'escalade
- Coordonnées essentielles (liste de contacts) : services d’incendie,
police, intervention médicale, direction…
- Liste des tâches/ listes de contrôle : procédure de gestion des
conséquences immédiates d’une désorganisation (par ex.
consignes en cas d’incendie).
- Coordonnées en cas d’urgence : procédure décrivant comment et
dans quelles conditions l’organisation fait une communication au
personnel/à la famille/aux amis et aux personnes de contact.
Informations pour contacter des proches en cas d’urgence.
- Procédures relatives aux personnes / identification des
responsables :
o Plan d’évacuation, lieux de rassemblement
o Accords concernant le transport du personnel
o Procédure de mobilisation des équipes de sauvetage, des
premiers soins et d’aide à l’évacuation
o Procédure de localisation des personnes qui étaient présentes
ou qui se trouvaient dans les environs du site
o Accords concernant le débriefing avec le personnel touché /
l’accompagnement / l’aide sociale
o Communication et débriefing sur la sécurité
- Données relatives à la localisation pour la gestion de l’incident :
autre lieu de rassemblement si le premier n’est plus accessible.
- Modèles ou formulaires pour consigner les informations vitales
concernant l’incident (par ex. axe du temps de l’incident, détails
concernant les victimes, décisions prises, argent utilisé, estimation
des dégâts, communication utilisée et toutes les informations jugées
utiles pour soutenir le rappel post-incident)
- Réaction par rapport aux médias : stratégie de communication
envers les médias, coordonnées des porte-paroles, modèles pour
les communiqués de presse…
- Gestion des acteurs concernés : stratégie envers les acteurs
concernés
- Autres annexes éventuelles : plan du bâtiment, procédure de
gestion des dommages et intérêts, …
La forme de l’information importe moins, c’est la raison pour laquelle
nous n’entrerons pas dans les détails à ce sujet.
Business Continuity
Plan
Le Business Continuity Plan (BCP) indique en détails à propos de quoi,
par qui et comment certaines actions doivent être entreprises pour
SOFIE SENESAEL –
58
Lancement du BCP
L’IMP (voir plus haut) indique qui est la personne chargée du
démarrage du Business Continuity Plan ainsi que quand ce démarrage
a lieu et quelle est la procédure à suivre.
Ces informations figurent également dans le Business Continuity Plan
lui-même. En outre, le BCP indique qui contacter une fois que la
décision de lancer le BCP a été prise et dans quel ordre ces personnes
doivent être contactées (par exemple à l’aide d’une arborescence
reprenant les coordonnées des personnes de contact).
Propriétaire de
document
Dans le Business Continuity Plan, il est également important d’attribuer
le rôle de « propriétaire des documents » à une personne donnée.
C’est cette personne qui sera chargée de la mise à jour de l’ensemble
des données et qui devra apporter les modifications nécessaires en
cas de changement. En outre, elle doit veiller à ce que tous les acteurs
soient bien en possession de la version la plus récente du plan. Il est
donc important de travailler avec des versions numérotées du BCP.
Contenu du BCP
- Procédure d'escalade / de lancement du BCP
- Coordonnées essentielles : responsables de la publication du
- Plan d’action / liste des tâches des responsables du BCP
- Lieu alternatif :
o Pour la rencontre des responsables du BCP
o Pour la continuité des processus-clés si l’infrastructure
n’est plus accessible
- Liste des processus-clés critiques mentionnant dans quel délai
l’activité doit être reprise (objectif quant au temps de reprise,
correspond à RTO ou Recovery Time Objective), ainsi que l’ordre
des processus et des activités en fonction du RTO.
- Liens de dépendance par rapport à d’autres processus (avec les
RTO et les personnes de contact respectives. Par ex. : le processus
ICT)
- Personnel nécessaire à la réalisation des processus-clés critiques
(coordonnées, rôles et responsabilités ainsi que l’éventuel transport,
la logistique, le catering…)
- Données vitales nécessaires à la réalisation du processus et leur
localisation (ou celle de la copie de sauvegarde de ces données)
- Aménagements (par ex. salles de réunion, espace de presse au cas
où les activités-clés doivent être déplacées dans un lieu alternatif)
- Liste des fournisseurs ou d’autres prestataires de services
- Eventuels autres équipements nécessaires (argent liquide pour les
SOFIE SENESAEL –
garantir la continuité des activités critiques au sein de l’organisation, de
façon à ce que les activités en question puissent redémarrer le plus
rapidement possible.
En d’autres termes, le Business Continuity Plan est composé d’un
ensemble de mesures réactives validées par le management. Il décrit
la façon dont une organisation réagit au moment où un risque survient
réellement.
Dans une organisation moyenne ou dans une grande organisation, le
BCP peut être divisé en plusieurs Business Activity Response Plans :
dans ce cas, chaque département élabore pour lui-même un plan de
réaction.
59
paiements urgents)
- Autres informations utiles :
- documents légaux (par ex. contrats, polices d’assurance, actes
de propriété, etc.)
- Stratégie de communication (envers le personnel / les partenaires /
les parties concernées, les fournisseurs, les médias…)
- Formulaires : modèles de journal de bord / de registre des incidents
Plan de reprise
Le plan de reprise ou Business Recovery Plan décrit les activités à
réaliser pour revenir à la situation « business as usual ». Le plan
indique les objectifs de la reprise (recovery targets) ou les points de
repère (milestones) à la suite d’une interruption complète ou partielle
de certaines activités.
Evidemment, il est essentiel d’assurer d’abord la continuité des
activités les plus critiques et de la préparer avant même de prendre
des mesures pour revenir à la situation « business as usual ».
Pour certains processus, il peut être nécessaire d’avoir une reprise
complète le plus rapidement possible après l’interruption. Pensons
notamment à tout ce qui concerne les processus ICT. L’organisation
est en effet fortement dépendante des processus ICT. Il est donc
essentiel de disposer d’un Business Recovery Plan pour l’ICT.
Gestion des
documents
Dans le Business Continuity Plan, il est également important d’attribuer
le rôle de « propriétaire de document » à une personne donnée. D’une
part, il est important que cette personne s’assure que c’est bien la
version la plus récente du plan qui est diffusée et à ce que tous les
acteurs soient bien en possession de la dernière mise à jour (contrôle
de la version). D’autre part, il est tout aussi important de conserver des
copies du plan à un autre endroit, qui soit suffisamment éloigné pour
exclure tout éventuel impact d’une menace ou d’un incident sur le
siège principal et de garantir que cet autre endroit dispose du même
niveau de sécurité que le siège principal.
SOFIE SENESAEL –
60
BCM Response - Synthèse
Incident Management Plan
Objectif
Quoi ?
Maîtrise de l’incident ou de
Prise de contact avec les
l’interruption même.
Limitation des dégâts.
services
d’aide
et
d’intervention
Evacuation du bâtiment
Aide sociale et accueil du
personnel
…
Reprise ou poursuite des
activités les plus critiques.
Reprise de l’ensemble des Toutes les informations
activités
Retour à la normale
utiles pour la reprise ou
la poursuite des activités
non-critiques
(les
activités qui ne sont pas
reprises dans le BCP).
Business Recovery Plan
utiles (coordonnées,
procédures…) pour
redémarrer ou
poursuivre les activités
critiques
SOFIE SENESAEL –
61
SOFIE SENESAEL –
62
5
Exercice – Entretien – Révision
Fase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
Politique
d’apprentissage
Il ne suffit pas simplement de prévoir un Incident Management Plan, un
Business Continuity Plan et un Business Recovery Plan. Les plans
n’ont d’utilité que s’ils sont connus, s’ils sont actualisés et s’ils font
l’objet d’exercices. Donc, il faut aussi développer et mettre en œuvre
un programme d’apprentissage dans l’organisation.
Réaliser des exercices sur les procédures et mesures préconisées par
les plans doit permettre de respecter les objectifs quant au temps de
reprise (Recovery Time Objectives) qui ont été déterminés dans la
Business Impact Analyse et d’assurer la reprise des activités critiques,
c’est-à-dire de pouvoir reprendre les activités dans les délais prévus.
Il est essentiel que les grandes lignes de la politique d’apprentissage
de l’organisation soient également reprises dans la déclaration de
politique globale en matière de Business Continuity. Celle-ci doit
comprendre non seulement les responsabilités, la méthodologie et le
calendrier à suivre, mais aussi une description des types d’exercices
qui seront organisés et l’ordre de ceux-ci. La politique d’apprentissage
est validée par le management.
Objectif
L’organisation d’exercices a notamment pour objectif de :
- familiariser le personnel avec le contenu des plans ;
- contrôler la qualité des plans (les données sont-elles
complètes, actuelles et cohérentes ?) ;
- vérifier si les personnes citées dans le plan sont informées de
leur rôle et sont capables d’assumer leurs responsabilités ;
- examiner si les procédures prévues par le plan sont
SOFIE SENESAEL –
Phase 5 – Exercice, entretien,
révision
BCM response :
développement et
mise en œuvre
63
63
-
réalisables et réalistes ;
étudier la faisabilité des objectifs de reprise proposés ;
adapter les plans en fonction des points à améliorer qui ont été
constatés durant les exercices.
L’apprentissage des plans doit faire partie intégrante du Business
Continuity Management. Il est par conséquent important que le
management valide une politique d’apprentissage sur mesure et
alignée sur l’organisation.
Idéalement, les plans devraient être testés chaque année. Il n’est
cependant pas nécessaire de tester l’ensemble du plan lors de chaque
exercice. Il est néanmoins possible d’organiser des exercices de
différents degrés de difficulté et d’ampleur variée ou portant
uniquement sur une partie de l’organisation ou des processus. Le
résultat des exercices doit servir à apporter d’éventuelles adaptations
au plan.
Types d’exercices
Difficulté
Type d’exercice
Description
Facile
Exercice de
simulation
(table top) ou
contrôle de
programmation
(desk check)
Exercice de
simulation
(table top) avec
scénario
Certaines parties du plan ou certaines
procédures
sont
examinées
et
parcourues en groupe et font l’objet de
discussions.
Moyen
Simulation
révision
Difficile
SOFIE SENESAEL –
64
Exercice global
Certaines parties du plan ou certaines
procédures
sont
examinées
et
parcourues en groupe et font l’objet de
discussions à l’aide d’un ou de
plusieurs scénarios. Les procédures
ne sont pas appliquées « en temps
réel ».
Une interruption d’un ou de plusieurs
processus est simulée de la façon la
plus réaliste possible pour tester les
procédures du plan.
La collaboration mutuelle et la
répartition des rôles sont évaluées à
l’aide d’un scénario et des exercices
sont réalisés pour savoir comment
agir en cas d’information manquante
et quelle décision prendre.
Exercice le plus réaliste possible
permettant de tester le plan dans son
ensemble. Une interruption est
simulée « en temps réel ». Les
procédures sont effectivement lancées
et appliquées.
Attention : il est toujours nécessaire
d’évaluer les coûts, l’impact de
l’exercice et les risques pour le
fonctionnement normal.
Le type d’exercice choisi dépend de l’objectif visé. En d’autres termes,
il est important de bien préparer l’exercice pour qu’il atteigne son but.
En général, on peut distinguer plusieurs phases successives dans
l’organisation des exercices :
1
Planification de l’exercice. La planification comporte notamment
les éléments suivants :
- Evaluer les connaissances présentes et la capacité de
l’organisation à réagir effectivement et efficacement à une
interruption ;
- Définir la portée de l’exercice (quelle partie du plan va-t-on
tester ?) ;
- Déterminer l’objectif global de l’exercice (que souhaite-t-on
atteindre ?) ;
- Constituer l’équipe qui préparera l’exercice (accompagnateurs
pour l’exercice) ;
- Identifier les objectifs spécifiques (Spécifique, Mesurable,
Acceptable, Réaliste et liés au Temps) des exercices, le
contexte et les participants.
2
Elaboration de l’exercice. L’élaboration comporte notamment les
éléments suivants :
- Elaborer un scénario d’exercice ;
- Dresser une liste générale reprenant les activités principales
(par ex. activation du BCP, lancement de la procédure de
back-up, communication au personnel …) qui doivent avoir lieu
durant l’exercice, conformément aux objectifs fixés pour
l’exercice ;
- Dresser une liste des actions à réaliser pour chaque activité ;
- Si nécessaire (en fonction de l’importance et du type
d’exercice), évaluer les risques liés à l’exercice et prendre
éventuellement les mesures de précaution utiles ;
- Déterminer les besoins matériels pour la réalisation de
l’exercice : soutien administratif, salles, matériel didactique,
éventuel transport, plans…) ;
- Développer un mécanisme d’évaluation (comment l’exercice
sera-t-il évalué ?) ;
- Prévoir les mécanismes nécessaires pour le pilotage et
l’accompagnement
de
l’exercice
(observateurs,
évaluateurs…) ;
- Préparer les instructions et les communiquer aux personnes
qui participent à l’exercice ;
- Obtenir l’approbation et le soutien du management.
3
Exercice : l’exercice est piloté et soutenu par une ou plusieurs
personnes chargées de l’accompagnement des exercices. Il est
important que ces personnes soient formées à l’organisation, au
pilotage et à l’accompagnement d’exercices afin qu’elles sachent
clairement ce que l’on attend d’elles. Il serait donc utile que les
responsables BCM des différentes directions et services du SPF
Intérieur puissent suivre une formation sur l’organisation et
l’accompagnement d’exercices.
SOFIE SENESAEL –
révision
Elaboration d’un
exercice
65
65
Evaluation de l’exercice
- Juste après l’exercice, organiser un debriefing et un échange
de feedback avec les participants ;
- Au plus tard quelques semaines après l’exercice, organiser
une discussion en groupe pour dresser la liste des
recommandations et adaptations nécessaires dans le plan ;
- Rédiger un rapport avec les conclusions finales de l’exercice et
élaborer un plan d’action.
5
Phase post-exercice
- Communiquer les résultats de l’exercice au management ;
- Faire valider le plan d’action par le management ;
- Organiser des séances de suivi pour les personnes
participants à l’exercice ;
- Apporter les modifications dans les plans (dans le
Business Continuity Plan, l’Incident Management Plan et
éventuellement, le Business Recovery Plan).
révision
Cycle
d’apprentissage
Il est recommandé de réaliser un cycle d’apprentissage dans
l’organisation. Ce cycle, idéalement réalisé chaque année, comprend
une série de méthodes d’exercices successifs qui augmentent en
difficulté et en importance et que l’organisation doit passer. Ce cycle
d’exercices détermine la fréquence des exercices et est basé sur la
politique d’apprentissage définie par le management. Cela ne signifie
pas qu’on ne peut pas organiser d’exercice sur certaines parties
spécifiques du plan en attendant la réalisation des plans.
Sur le graphique de la page suivante, vous pouvez observer le cycle
d’exercices de Dexia. Il s’agit plus particulièrement du type d’exercices
organisés (exercice de simulation, cascade téléphonique…) et de
l’ordre de ceux-ci (difficulté croissante).
Exemples
d’exercices
Les exercices suivants peuvent par exemple être proposés pour le
SPF Intérieur :
- Réaliser un exercice pour tester les procédures
- Réaliser un test de disponibilité : les personnes de contact
mentionnées dans les procédures et les plans sont
appelées par téléphone pour s’assurer qu’elles sont
joignables et accessibles, à la fois pendant et en dehors
des heures de bureau
- Appeler les personnes désignées comme remplaçant
(back-up) et les faire venir effectivement sur place
- Faire évacuer le bâtiment, lancer et poursuivre les activités
critiques à un autre endroit.
Suivi et entretien
Il sera encore nécessaire d’adapter ou de compléter le contenu des
plans, et pas uniquement à la suite des exercices : il faudra aussi
prévoir une procédure qui sera testée lors de chaque changement
(interne ou externe) ayant un impact sur l’organisation du programme
de Business Continuity Management et apporter les modifications
nécessaires dans les plans. Par exemple, Belgacom a mis au point
une procédure pour que les nouveaux produits fassent obligatoirement
l’objet d’une demande auprès de l’équipe du Business Continuity
SOFIE SENESAEL –
66
4
Management : il faut au préalable pouvoir démontrer comment assurer
la continuité du produit en cas d’interruption.
Outre les modifications apportées à la suite des exercices, il faut
communiquer formellement aux personnes-ressources (c’est-à-dire les
personnes qui détiennent un rôle-clé dans le cadre du BCM) les mises
à jour des plans, ou, en d’autres termes, les modifications, les ajouts
de procédures, de processus, de stratégies ou toute modification
apportée à la déclaration de politique. Il est important de consigner qui
dispose d’une version papier du plan, où sont conservées les
différentes versions et quand les mises à jour sont diffusées (par ex. 4
fois par an : en janvier, en avril, en juillet et en octobre). Pour s’assurer
que tous les acteurs concernés disposent bien de la version la plus
récente, il est donc recommandé de travailler avec une liste de
distribution (que les intéressés doivent signer pour réception).
Plusieurs possibilités existent pour assurer le suivi du Business
Continuity Management. L’avancement du projet peut être utilisé
comme indicateur de prestation dans n’importe quel système de suivi
des prestations. Une autre possibilité consiste à mesurer la maturité de
l’organisation en matière de Business Continuity en réalisant un
contrôle interne et un audit interne.
Les graphiques suivants représentent le système de suivi du BCM
utilisé chez Dexia. Pour ce faire, Dexia s’est basé sur la norme
britannique 25999.
révision
Mesure de
l’avancement et de
la maturité
SOFIE SENESAEL –
67
67
Graphique ‘Tableau de gestion (managementdashboard) du Business Continuity Management’ – Dexia Bank (British
Standard 25999)
Graphique ‘Système de points pour la phase 5 du cycle du BCM : Exercice – Entretien – Révision’
révision
SOFIE SENESAEL –
68
Graphique : Tableau de gestion (managementdashboard) du cycle complet du BCM
SOFIE SENESAEL –
SOFIE SENESAEL –
70
6
Ancrage du BCM dans la culture d’organisation
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5
Exercice
Entretien
Révision
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM response :
développement et
mise en œuvre
Pour pouvoir être mené à bien, le projet de Business Continuity
Management doit être porté par un maximum de personnes dans
l’organisation. Le management (tant les cadres supérieurs que les
cadres moyens) joue un rôle essentiel dans la détermination des
processus critiques. Leur soutien est donc vital pour le projet.
Il faut convaincre un maximum de personnes du fait qu’elles ont un
rôle important à jouer pour assurer la continuité des activités de
l’organisation. Il faut donc se montrer suffisamment attentif à
sensibiliser et à former le personnel à l’aide de programmes.
D’une part, tous les agents doivent être informés du contenu des
plans et chacun doit prendre conscience de ses responsabilités
individuelles. D’autre part, il est recommandé que les agents ayant
des responsabilités directes (par ex. les correspondants BCM)
puissent avoir l’occasion de suivre des formations relatives au
Business Continuity Management en général ou, comme expliqué
précédemment, à l’organisation d’exercices.
Le programme de Business Continuity Management doit continuer à
faire l’objet d’une attention particulière, par exemple en diffusant des
informations au moyen d’un bulletin d’informations interne, en publiant
des informations sur l’intranet, en discutant de ce thème lors des
SOFIE SENESAEL –
Phase 6 – Ancrage dans la culture
d’organisation
Soutien
71
réunions d’équipe, en utilisant un logo spécifique... La politique de
Business Continuity Management de l’organisation peut également
être intégrée dans le programme de formation ou d’accueil des
nouveaux agents.
Pour que le projet soit porté par l’organisation, on peut également :
- Organiser des ateliers ou des discussions en groupe sur ce
thème
- Publier des articles sur les exercices et les réunions du
groupe de travail : communication des travaux
- Organiser des formations ou des séances d’informations
- Publier un bulletin d’informations
- Créer une page sur l’intranet à propos du BCM
- Visiter le lieu alternatif
- Rencontrer les cadres moyens
Conclusion – recommandations de synthèse
Lorsque toutes les phases du cycle de Business Continuity Management ont été réalisées, la
mise en œuvre du programme de Business Continuity Management est terminée. Cependant,
certaines tâches doivent être réalisées en permanence et de ce fait, le cycle du BCM
recommence perpétuellement. Ainsi, il est utile d’évaluer régulièrement à quels risques une
organisation peut être confrontée ou de mesurer à nouveau l’impact d’une interruption sur
l’organisation. En effet, ceux-ci peuvent différer en fonction du contexte de l’organisation. En
outre, des exercices peuvent permettre d’adapter les plans et de mettre au point la déclaration de
politique. Tout cela nous montre qu’il est nécessaire de réfléchir à l’élaboration d’une structure
permanente de Business Continuity Management ou en général, à la gestion des risques dans
l’organisation (voir point 1.3.2 structure permanente p.31).
En guise de conclusion, vous trouverez à la page suivante une synthèse des recommandations
formulées tout au long de ce document à propos de l’introduction d’un Business Continuity
Management dans l’organisation, et plus particulièrement au sein du SPF Intérieur.
Phase 6 – Ancrage dans la culture
d’organisation
SOFIE SENESAEL –
72
Phase 1 Programme Business Continuity Management
Phase 2 Compréhension de l'organisation
Veillez à ce qu'au sein de l'organisation, on sache clairement ce qu'on entend par Business Continuity
Management. Formulez une définition d'organisation.
Formulez les objectifs visés.
Quel est la portée du projet ? Il ne faut pas impliquer dès le début tous les services et processus.
Ceci peut avoir une influence sur les avancées du projet.
Diffuser une ligne politique: communiquez de manière formelle dans l'organisation à propos du projet
et de son importance.
Fixer le Business Continuity Management comme objectif dans le plan stratégique et opérationnel de
l'organisation.
Utilisez une norme ou un standard pour appuyer le Business Continuity Management.
Considérez ceci comme un fil conducteur et complétez-le comme vous le souhaiter.
Appliquez les principes du management de projet à la mise en oeuvre du Business Continuity Management
Créez une structure de projet (chef de projet, groupe de pilotage, groupe de travail) pour la mise en oeuvre
Prévoyez une structure de permanence pour tester, entretenir et revoir les plans (voir phase 4).
Prévoyez une formation générale relative au Business Continuity Management pour les membres de l'équipe de
Phase 6
Faites en sorte qu'il soit clair qui détient toutes les
informations.
Faites un programme d'exercices avec les divers
types d'exercices avec leur degré de difficulté
croissant.
Implémentez les expériences des exercices et
complétez ou adaptez les plans si nécessaire (voir
phase 4)
Prévoyez un système de suivi pour mesurer les
avancées du projet.
Elaborez une procédure pour l'entretien des plans
réalisés (garder à jour les données et diffuser la
version la plus récente).
Phase 1
ce que les membres du personnel soient conscients
qu'ils jouent un rôle important dans la garantie de la
continuité des activités.
Par exemple via : une campagne de communication,
une page intranet, un article dans le journal du
personnel, ...
Phase 5 Exercer, entretenir, revoir
L'intégration dans la structure d'organisation
Créez une base au sein de l'organisation et veillez à
Dressez une liste des processus au sein de l'organisation et visualisez-la à l'aide d'organigrammes.
Travaillez sur un nombre limité de processus (par exemple les processus primaires) et élargissez ensuite à
BCM Programme
d'autres. Posez la question "quel est le minimum à faire pour reprendre les activités les plus critiques?”.
Réunissez par processus plusieurs personnes étroitement concernées et analysez ensemble le processus
(nommez les caractéristiques et les corrélations du processus)
Fixez au sein de l'organisation plusieurs objectifs quant au temps de reprise ou Recovery Time Objectives
(RTO) (par exemple RTO 1 = reprise dans les 4h après l'interruption, RTO 2 = reprise dans les 12h, etc)
utilisés dans l'organisation et ajoutez-les à la ligne politique.
Fixez au sein de l'organisation plusieurs délais maximums tolérables ou Maximum Tolerable Period of
Disruption (MTPD) (par exemple MTPD 1 = interruption maximale tolérable = 24h, MTPD 2 = interruption
maximale tolérable = 48h,. ). Lorsque ceux-ci sont dépassés, l'organisation subit des dégâts irréparables.
Réunissez par processus à nouveau plusieurs collaborateurs étroitement concernés et déterminez par
processus quel objectif quant au temps de reprise ou RTO et quel MTPD s'applique au processus et quel est
l'impact de l'interruption du processus.
Faites un rapport de cet exercice pour le management et faites leur valider l'information.
Ne faites pas un Business Continuity Plan par risque spécifique mais visez à réaliser un Global Business
Continuity Plan (BCP) qui couvre plusieurs risques. Des mesures spécifiques pour les risques spécifiques
peuvent être annexées au BCP global.
Tenez compte des 4 scénarios les plus probables: manque de personnel, manque d'accès aux facilités,
manque de données vitales, manque d'infrastructure ICT.
Une analyse des risques n'est pas une valeur absolue pour réaliser un Business Continuity Plan. Réalisez
régulièrement (idéalement 1 x par an) une analyse des risques pour peaufiner le Global BCP.
Phase 2
Compréhension de
Phase 5
Exercice
Entretien
Révision
Par processus, réunissez plusieurs collaborateurs étroitement concernés et déterminez quelles
BUSINESS
CONTINUITY
MANAGEMENT
Phase 3
BCM Stratégie
Phase 4
BCM Response :
développement et
mise en œuvre
Phase 4 Développer et mettre en œuvre le Business Continuity Respons
Notez les mesures réactives (l'intervention en cas d'interruption réelle) dans :
- Le Incident Management Plan (lorsque ceci concerne la gestion du risque dans une phase
aigüe ou la limitation des dégâts)
le Business Continuity Plan (lorsque ceci concerne la reprise ou la poursuite des processus
les plus critiques)
- le Business Recovery Plan (lorsque ceci concerne le retour à la situation normale)
Notez ces mesures sous forme de procédures, accords, coordonnées, etc. Par exemple pour:
- L'Incident Management Plan, il peut s'agir d'une procédure d'évacuation.
- Le Business Continuity Plan, il peut s'agir d'une procédure pour appeler des back-ups et
d’une liste des coordonnées.
- Le Business Recovery Plan, il peut s'agir d'une procédure pour la reprise d'un processus non
critique.
-
Phase 3 Business Continuity Stratégie
l'organisation
mesures doivent être prises pour continuer à garantir la continuité des processus en cas de:
- manque de personnel
- manque d'accès aux facilités
- manque de données vitales
- manque d'infrastructure ICT
Tenez compte lors de la formulation des mesures du délai dans lequel le processus doit être repris (les
RTO fixés dans la phase précédente), du temps d'interruption maximum tolérable (le MTPD fixé dans
la phase précédente) et de l'impact de l'interruption du processus.
Plus grand est l'impact de l'interruption du processus et plus court est le RTO, plus ‘urgentes/hotter’
sont les mesures.
Réalisez par mesure proposée, une analyse des coûts et avantages.
Faites un rapport de cet exercice et laissez le management convenir sur base de l'information
rassemblée au cours des phases antérieures, quelles mesures doivent être prises.
Réalisez un plan d'action pour la mise en oeuvre des mesures approuvées.
Faites une distinction entre les mesures préventives, correctives et réactives.
Prévoyez les moyens nécessaires (budget et personnel) pour l'exécution des actions.
PARTIE 3
- Documents de travail -
PROJET
LIGNE POLITIQUE – SPF Intérieur
Gestion version Ligne politique Business Continuity Management :
Date
0.01
dd.mm.jj
Approuvé par
Le (date)
Modifications
synthèse
dd.mm.jj
Prochaine
révision
dd.mm.jj
Diffusion Ligne politique Business Continuity Management (version 0.01) à :
Nom
Date
Intranet
Personel BiZa
SOFIE SENESAEL – SPF INTÉRIEUR/ DIRECTION GÉNÉRALE CENTRE DE CRISE
Phase 1 - Programme BCM
Ligne politique
Version
-1-
Que signifie Business Continuity Management pour le SPF Intérieur (définition)
Le Service Public Fédéral Intérieur a pour mission de préparer et exécuter la politique du
ministre fédéral de l'Intérieur.
Le SPF Intérieur est chargé d'un large éventail de missions qui touchent à 4 grands
domaines:
-
La sécurité du citoyen et la protection des propriétés publiques et privées: ordre public
et prévention, aide à la population et gestion de crise.
-
L'accès au territoire et le séjour sur notre territoire d'étrangers: accès des étrangers
au territoire, leur séjour, établissement, retour et expulsion. La gestion des centres
fermés, des centres de transit et des centres de rapatriement et la collaboration à la
lutte contre l'immigration clandestine et le trafic d'êtres humains.
-
L'enregistrement et l'identification des personnes naturelles : identification des
personnes naturelles (législation, production, protection des systèmes) et la législation
relative au fonctionnement de et l'accès au registre national.
-
L'exercice de certains droits démocratiques: la gestion des aspects réglementaires
relatifs aux institutions, pour autant que ces aspects fassent partie de la compétence
fédérale. L'exercice de certains droits démocratiques concerne notamment les
élections qui relèvent de la compétence fédérale et de la publicité de l'administration.
Ces missions sont toutes très importantes d’un point de vue social. Par conséquent, le SPF
Intérieur doit pouvoir garantir l'exécution effective et efficace de ces missions et ce, non
seulement dans des circonstances normales. Le SPF Intérieur doit être en permanence
capable d'exécuter ses missions, également lorsque les circonstances sont de nature à
mettre en danger la continuité de celles-ci.
Le SPF Intérieur estime dès lors qu'il est important de s'organiser et de prendre les
mesures nécessaires afin qu'en cas d'interruption d'un ou plusieurs processus, il soit
capable d'intervenir rapidement et résolument afin de reprendre aussi vite que possible
les principales activités critiques.
Ligne politique
Objectifs Business Continuity Management
Le processus de Business Continuity Management permettra d'avoir une meilleure vue de la
structure d'organisation et des corrélations au sein du SPF Intérieur.
Le principal objectif du processus consiste toutefois à donner au SPF Intérieur la possibilité de
réagir rapidement et efficacement en cas d'interruption afin de :
pouvoir maintenir le service le plus critique;
pouvoir conserver notre responsabilité sociale pour l'environnement et la sécurité
du citoyen;
pouvoir protéger la réputation du Service Public Fédéral Intérieur;
remplir les prescriptions légales et réglementaires;
pouvoir réagir aux situations d'urgence et les gérer de manière à protéger la
communauté;
La portée du Business Continuity Management pour le SPF Intérieur
Le Programme de Business Continuity Management du SPF Intérieur vise en première instance les 4
grandes conséquences des risques qui peuvent mettre en danger la continuité de notre service à savoir:
- 2-
-
L’accès impossible à nos facilités (bâtiments, matériel,...)
Le manque de personnel pour l'exécution de notre service
Le manque d'infrastructure ICT
Un manque d'accès aux informations vitales nécessaires pour exécuter nos missions
Les Directions Générales et les services du SPF Intérieur qui suivent s'y prépareront et élaboreront
les mesures nécessaires:
- Direction Générale Centre de Crise
- Direction Générale Sécurité et Prévention
- Direction Générale Institutions et Population
- Direction Générale Sécurité Civile
- Office des Etrangers
- Service d'encadrement P&O
- Service d'encadrement ICT
- Service d'encadrement B&B
- (Commissariat général pour les Réfugiés et les Apatrides)
- (Conseil du Contentieux des Etrangers)
Le Programme de Business Continuity Management :
La Présidente et les membres du Comité de direction reconnaissent l'importance de la mise en
oeuvre de ce processus au sein du SPF Intérieur. Une équipe de projet Business Continuity
Management sera mise en place dans laquelle les divers services repris dans le point
susmentionné seront représentés. Ils coordonneront les activités en matière de Business
Continuity Management au sein de leur service et interviendront comme point de contact du
Business Continuity Management au sein de leur organisation.
Après révision, la Policy peut être complétée et détaillée:
Les membres de l'équipe de projet
Le programme de formation
La politique d'exercice
Le programme de révision
Ligne politique
Bruxelles, dd.mm.jjjj
-3-
Ligne politique
- 4-
PROJET
Fiche de projet
Mise en œuvre du Business Continuity Management
SPF Intérieur
Version
0.01
Date
dd.mm.jj
Auteur document
Raison de la modification
Fiche de projet
Nom du projet:
Appartenant à:
Chef de projet:
Donneur d'ordre:
Mise en œuvre du Business Continuity Management au sein du SPF
Intérieur
Service Public Fédéral Intérieur
X
Mademoiselle De Knop, Présidente du Comité de direction
Défi / Motif
En 2007, suite à la propagation du virus de grippe aviaire (H5N1), le SPF
Intérieur a mené plusieurs actions de sensibilisation pour conscientiser
davantage les gens aux éventuelles conséquences de l'émergence d'une
pandémie de grippe sur la vie sociale, à savoir:
- une campagne d'information a été élaborée pour conscientiser le
personnel du SPF Intérieur à l'importance d'une bonne hygiène
afin de combattre la propagation des virus.
- La Direction Générale Centre de Crise a développé et diffusé une
liste de contrôle avec des mesures spécifiques qui peuvent être
prises au sein des organisations en vue de se préparer à une
pandémie de grippe.
Sur base de ces actions et compte tenu des évolutions récentes
(pandémie A/H1N1), on a pris de plus en plus conscience du fait qu'il est
indispensable que les services publics compte tenu de l'important rôle
social qu'ils ont à remplir, doivent être capables de garantir la continuité
de leur service quelles que soient les circonstances ou les menaces
auxquelles ils sont confrontés.
Fiche de projet
Principale information Projet
-1-
Le principal objectif du processus consiste à donner au SPF Intérieur la
possibilité de réagir rapidement et efficacement en cas d'interruption afin
de :
- pouvoir maintenir le service le plus critique;
Objectifs:
- pouvoir conserver notre responsabilité sociale pour l'environnement et
la sécurité du citoyen;
- pouvoir protéger la réputation du Service Public Fédéral Intérieur;
- remplir les prescriptions légales et réglementaires;
- pouvoir réagir aux situations d'urgence et les gérer de manière à
protéger la communauté;
Définitions
En élaborant des mesures, rédigeant et testant des procédures et des
accords internes, le SPF Intérieur doit être en permanence capable
d'exécuter ses missions, également lorsque les circonstances sont de
nature à mettre en danger la continuité de celles-ci.
Fiche de projet
Participant
- 2-
(Indépendamment de la décision du management - ceci
n'est qu'un exemple)
Processus primaires de:
- Direction Générale Centre de Crise
- Direction
Générale
Sécurité
et
Prévention
- Direction Générale Institutions et
Population
- Direction Générale Sécurité Civile
- Office des Etrangers
- Service d'encadrement P&O
- Service d'encadrement ICT
- Service d'encadrement B&B
Ne
participant
pas
-
Commissariat
général
pour
les
Réfugiés et les Apatrides
Conseil du Contentieux des Etrangers
Dépendances
-
Personel: attirer ou désigner les personnes correctes pour diriger le
projet et coordonner les activités des divers services et directions.
Liste des risques
-
Il n'y a pas de soutien suffisamment grand au sein de l'organisation.
La portée du projet est trop grande et compromet les avancées du
projet.
Il n'y a pas suffisamment de moyens disponibles pour exécuter
certaines mesures préventives (par exemple l'aménagement d'un lieu
alternatif).
-
Coûts / Avantages
Avantages:
-
Garantir la continuité de notre service en cas d'interruption
Une meilleure image chez les autres SPF, citoyens et entreprises.
Une fonction d'exemple pour les autres services publics fédéraux
Coûts:
- Investissement en temps personnel
- Formation du personnel concerné
- Investissements pour l'élaboration de certaines mesures
spécifiques (par exemple un centre externe de back-up pour les
données sur le réseau, l'aménagement d'un endroit alternatif,...)
Planning global du projet
1
L'équipe de projet a été composée
2
La portée du projet a été définie
3
La ligne politique a été diffusée
4
Le ‘Plan d'Approche’ a été approuvé
5
L'analyse des processus est finalisée
6
La Business Impact Analyse a été réalisée et approuvée
7
Un inventaire et une analyse des coûts et avantages des
éventuelles mesures ont été réalisés.
8
Le plan d'action avec les mesures choisies par la Présidente
et le Comité de direction a été transmis et exécuté.
9
L'Incident Management Plan, le Business Continuity Plan et
le Disaster Recovery Plan ont été transmis.
10
Un programme d'exercice a été défini.
11
Une procédure d'entretien a été définie.
Date
Fiche de projet
Description de la réception concrète
-3-
Approbation Plan d'Approche
Aperçu des personnes qui doivent approuver le Plan d'Approche
Nom
Service
Mademoiselle De Knop
Rôle & responsabilité
Présidente du Comité
de Direction
Directeur général
Liste des personnes qui participeront à la suite de l'élaboration du Plan d'Approche
Service
BCM correspondant 1
Direction Générale A
BCM correspondant 2
Direction Générale B
BCM correspondant 3
Service d'encadrement C:
Fiche de projet
Nom / profil
- 4-
PROJET
QUESTIONNAIRE - BUSINESS ANALYSE
Description
processus:
Décrivez brièvement le processus.
Sous-processus
Distinguer les éventuels sous-processus (ou activités) du processus.
Présentation
visuelle
Visualiser le processus à l'aide d'un organigramme.
Propriétaire du
processus
(responsable)
Qui est responsable du processus au sein de l'organisation ?
Relation avec les
autres processus
Quelles sont les relations de ces processus avec les autres sections ou les
tiers ?
Corrélations avec
d'autres
processus
De quels processus dépend le processus ?
Processus internes:
Processus externes:
Caractéristiques
Départ
Règles
INPUT
Intéressés
Objectif
PROCESS
Personnel
Fin
OUTPUT
Moyens
Lieu
Phase 2 - Compréhension de l'organisation
Questionnaire Business Impact Analyse
Nom processus:
-1-
Input
Quel est l'input du processus ?
Un input est quelque chose qui est transformé, dépensé, utilisé, traité, ... dans
le processus. Les exemples d'input dans un processus peuvent être : les
coordonnées d'une personne de contact, une requête, une demande de
formation du propre personnel, une demande d'un citoyen au guichet, une
demande de congé, une facture d'un fournisseur,…
Cet input est transformé en output pour satisfaire aux besoins et attentes du
demandeur. Dans les processus administratifs, l'input est généralement lié aux
données.
Output
Quel est l'output du processus ?
Un output est produit par le processus. C'est le résultat ou le service fourni à
un intéressé externe ou un autre processus interne. Des exemples d'output
sont: un permis délivré, une réponse d'autorisation ou de refus de congé, une
réponse à une question d'un citoyen, une facture payée, …
Objectif
Que veut-on atteindre avec ce processus ?
Départ
Quel est l'élément déclencheur/trigger (événement, fait, élément
déclencheur) du processus ?
-
L'élément déclencheur/trigger ne fait pas partie du processus en luimême
En d'autres mots, ce n'est pas la première activité du processus
Un processus démarre toujours avec un ou plusieurs éléments
déclencheurs.
Ex. un élément déclencheur pour le traitement d'une demande d'asile
peut par exemple être la déclaration du candidat réfugié qu'il/elle souhaite
demander l'asile.
-2-
Eléments déclencheurs possibles:
- Avis ou message: ex. appel, avis, fax, demande du citoyen
- Temps: ex. chaque premier jeudi du mois, chaque semaine, une
date ou une heure concrète, le lundi,...
- Règle: ex. une situation d'urgence se produit, une limite est
dépassée,…
- Autre processus: ex. processus X donne de l'input au processus
Règles
Quelles sont les règles auxquelles le processus est lié ?
-
Intéressés
Règles déterminées de manière interne: ex. notes de services,
règlements de travail, instructions, guides, …
Règles fixées par des tiers: ex. des lois, des directives européennes,...
Est-ce qu'il existe des protocoles et des procédures écrits en ce qui
concerne ce processus ? (indiqué, type et lieu)
Est-ce des assurances souscrites sont versées en cas de calamités ?
Quelles sont les obligations contractuelles à l'égard des tiers ?
Quel règlement et quelle législation s'appliquent à l'organisation ?
Qui a intérêt (instances, organisations, ...) que le processus se déroule
bien ?
- Est-ce qu'on a recours aux services de tiers pour l'exécution du
processus ?
Personnel
Combien de membres du personnel sont nécessaires pour réaliser ce
processus ?
- Quelles fonctions (rôles) sont nécessaires ? : nombre, compétences,
missions, quantité et temps
(Exprimer en rôles, autant de rôles existants que possible)
Moyens
Quels sont les moyens nécessaires pour réaliser le processus ?
Ex. applications informatiques, données, check-list, formulaires, actifs,...
(Les moyens courants ne sont pas repris dans la description du processus
(téléphone, chaise, local,...)
- Dressez une liste de toutes les applications/systèmes informatiques
utilisés pour ce processus (y compris les spreadsheets, les bases de
données locales, etc...)
- De quels systèmes d'information se sert-on pour l'exécution du processus
?
- De quels autres moyens de production se sert-on pour l'exécution du
processus ?
- Est-ce que le processus dépend de l'électricité et/ou du gaz ?
- Est-ce que le processus dépend de l'eau ?
- Est-ce que le processus dépend de la climatisation ?
- Est-ce que le processus dépend d'autre matériel ?
- Est-ce que le processus dépend du téléphone? (sortant, entrant,
vidéoconférence,...)?
- Est-ce que le processus dépend du fax ?
- Est-ce que le processus dépend de l'ordinateur et du réseau (spécificités
pc: software/hardware, connexions pc, serveurs, ..)
- Est-ce que le processus dépend de matériel unique ? (ex. calculatrices,
enregistreurs audio, appareils audio/visio, …)
- Est-ce que le processus dépend de la poste ou d'autres services de
messageries ?
- Est-ce que le processus dépend des services de sécurité?
- Est-ce que le processus dépend de documentation spécifique ?
- Est-ce que le processus dépend d'un groupe de travail interne ?
Lieu
Où (lieu géographique) se déroule ce processus ? (1 ou plusieurs endroits)
- Est-ce que les activités se déroulent en divers endroits ?
Fin
L'évènement final est le moment où les activités ne sont plus nécessaires.
Manière dont le processus peut se terminer:
- Avis ou message: ex. réponse est envoyée au demandeur comme
conclusion du processus
- Erreur: ex. une erreur pendant le processus, interrompt le processus
- Autre processus: ex. le processus donne de l'output à un autre processus
- Quelle est la relation avec d'autres processus ?
Est-ce que certaines activités du processus peuvent être réalisées
manuellement?
Est-ce que certaines activités du processus peuvent être réalisées en d'autres
lieux ?
Alternatives
*Cette liste n'est pas exhaustive et peut encore être complétée
-3-
PROJET
QUESTIONNAIRE - BUSINESS IMPACT ANALYSE
Nom processus:
Impact interruption:
Estimation des conséquences de l'interruption du processus ? What if?
Indication dans le tableau repris ci-dessus selon les critères suivants:
1 = AUCUN 2 = MINIMAL 3 = MODERE 4 = GRAND
5 = CRITIQUE
1
Impact financier
2
3
4
5
• Est-ce qu'une interruption du processus pourrait avoir un impact sur les revenus
en cours ou les revenus futurs ?
• Est-ce que l'organisation risque une amende financière suite au non-respect des
obligations contractuelles ?
• Est-ce que l'organisation risque des réclamations en dommages et intérêts suite
à l'interruption du processus ?
Description
Impact sur le bien-être et la sécurité du
personnel
• Est-ce que l'interruption du processus a une influence sur la sécurité, la santé
et/ou le bien-être du personnel ?
Impact sur l'image et la réputation de
l'organisation
• Est-ce que l'interruption du processus pourrait avoir un impact négatif sur la
réputation de l'organisation ?
• Est-ce que l'interruption du processus pourrait avoir un impact négatif sur l'image
publique de l'organisation ?
• Est-ce que l'interruption du processus pourrait avoir un impact négatif sur la
confiance publique en l'organisation ?
Description
-1-
Description
-2-
•
Est-ce que l'organisation s'expose à des obligations légales si le processus n'est
pas réalisé ?
Description
•
Environnement (sécurité publique et
santé)
•
Est-ce que l'interruption du processus a une influence sur la sécurité
publique, la santé et/ou le bien-être des citoyens ?
Est-ce que l'interruption du processus a une influence sur l'environnement
ou les environs ?
Description
Continuité de la propre organisation
•
MTPD (Maximum Tolerable Period of
Disruption)
Quelle est l'influence de l'interruption du processus sur la continuité des
autres processus au sein de l'organisation?
Interruption maximale tolérable: Après combien de temps une interruption engendre un risque
de dégâts graves, irréparables pour l'organisation ?
Description
MTPD1
L'organisation peut subir des dégâts irréparables si le processus est
interrompu pendant 24h ou plus.
MTPD2 L'organisation peut subir des dégâts irréparables si le processus est
interrompu pendant 48h ou plus.
MTPD3 L'organisation peut subir des dégâts irréparables si le processus est
interrompu moins de 48h.
MTPD4 Une interruption du processus n'entraînera pas nécessairement des dégâts
irréparables pour l'organisation.
Objectif quant au temps de reprise : Quel est le délai fixé par l'organisation dans lequel le
processus doit être rétabli ? Attention: S'il y a des corrélations entre les processus (voir
RTO (Recovery Time Object)
Business Analyse), il faut que le RTO de ces processus soit harmonisé.
RTO 1
Le processus doit reprendre dans les 4 heures après l'interruption
RTO 2
Le processus doit reprendre dans les 4 - 24 heures après l'interruption
RTO 3
Le processus doit reprendre dans les 24 - 48 heures après l'interruption
RTO 4
Le processus doit reprendre dans les 48h - 5 jours après l'interruption
RTO 5
Le processus doit reprendre dans les 5 - 10 jours après l'interruption
RTO 6
Le processus peut être interrompu pendant > 10 jours
Description
Obligations statutaires et légales
Quels sont les moyens dont le rétablissement dépend le plus ?
Déterminer les priorités pour le rétablissement des moyens énumérés dans la Business
Analyse.
Dépendances - Moyens
3
MINOR
Après combien de temps le manque de/l'indisponibilité de …..provoqueraient des désagréments pour le processus?
2
MAJOR
Après combien de temps le manque de/l'indisponibilité de …..provoqueraient une importante perturbation du
processus ?
1
CRITICAL
Après combien de temps l'indisponibilité de …..aurait un effet critique sur le processus (le processus s'arrête)?
< 2h
2 – 4h
4 - 12h
12 - 24h
24 – 48h
45h - 5j.
5 - 10 j.
> 10 jours
Moyens
-3-
Phase 2 - Vue de l'organisation
PROJET
TEMPLATE - MESURES BUSINESS CONTINUITY
Nom processus:
Synthèse
Recovery Time objective (RTO ou objectif quant au temps de reprise):
Maximal Tolerable Period of Disruption (MTPD ou durée maximale
d'interruption):
Dépendance aux autres processus (lesquels + RTO):
Alternatives présentes:
Manque de personnel
Mesures
-1-
Phase 3 - Déterminer la stratégie BCM
Type de mesure
P: préventive
C: corrective
R: réactive
Avantages/bénéfices
Désavantages/coûts
-2-
Phase 3 - Déterminer la stratégie BCM
Pas d'accès aux données vitales
Mesures
Type de mesure
P: préventive
C: corrective
R: réactive
Manque de facilités/infrastructure
Mesures
Type de mesure
P: préventive
C: corrective
R: réactive
Manque d'ICT
Mesures
Type de mesure
P: préventive
C: corrective
R: réactive
PROJET
TEMPLATE - BUSINESS CONTINUITY PLAN
I. INTRODUCTION
Objectifs:
Autorités:
Liste de distribution
Copie n°
Fonction
Lieu
Références et documents liés
Titre document
Propriétaire du document
Lieu
1.
2.
Mission et activités-clés
a.
Mission
b.
Processus-clés (énumération)
Rôles et responsabilités
a.
BCM Sponsor:
b.
BCM Coordinateur:
c.
BCM Equipe de projet:
Membres
projet:
Equipe
de Rôles et responsabilités
Coordonnées
SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENRALE CENTRE DE CRISE
Phase 4 – BCM Response :
II. PROCESSUS D'ORGANISATION
-1-
d.
BCM Structure permanente/ BCM Response team:
Nom
3.
Procédures d'activation
4.
Lieu alternatif
5.
a.
Pour la réunion BCM response team
b.
Pour l'exécution des processus-clés
Coordonnées
Stratégie de communication
Personnes ou organisations qui
peuvent ressentir les
conséquences néfastes de
l'interruption.
Partenaires/intéressés
Personnes compétentes pour la coordination de la communication
à l'égard de
Fonction
Coordonnées
Personnel
Chefs de service
Fournisseurs
Médias
Autres
II. PROCESSUS-CLES CRITIQUES
Complétez par processus les informations suivantes:
1.
Description du processus (voir Business Analyse)
2.
MTPD (Maximum Tolerable Period of Disruption) (voir Business Impact analyse)
3.
RTO (Recovery Time Object) (voir Business Analyse)
4.
Personel (complétez qui sont les membres du personnel qui ont un rôle critique à jouer lors de
l'exécution des activités)
Nom
5.
Coordonnées
Où ?
Coordonnées
Données vitales
Description
-2-
Coordonnées
Dépendances
De quels processus
dépend le processus ?
6.
7.
Matériel
Description
8.
Coordonnées
Où ?
Coordonnées
Service presté ou produit
Coordonnées
Où ?
Coordonnées
Facilités
Description
9.
Où ?
Fournisseurs/consultants
Description
10. Fournisseurs alternatifs
Description
11. Autres informations
Répétez le point III par processus et selon l'ordre d'importance des processus
SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENRALE CENTRE DE CRISE
-3-
Phase 4 - Développer, réaliser
BCM Respons
- Annexes -
ANNEXE 1
Mise en place d’un business continuity planning
Préparation à l’émergence d’une pandémie de grippe
\\Filev2\arpccvrp$\BCP1\FINAL TE PRINTEN 30.06.2009\Version FR\16 Bijlage 1 BCP checklist_FR.doc
Table des matières
Mise en place d’un business continuity planning
1
Table des matières
2
1
Objectif
3
2
Postulats standards pour la planification
3
3
Planification de la continuité des affaires en cas de pandémie de grippe
4
4
Business continuity planning: checklist
4
I
Réduire l’impact de la pandémie sur le travail
5
II
Protéger la santé du personnel
7
III
Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe
8
IV
Assurer une formation et une communication adéquates
9
V
Coordonner ses actions avec les services horizontaux, les organisations externes et les autorités
publiques
10
2
1
Objectif
Le but de ce document est de fournir un ensemble de points essentiels à prendre en considération afin de
préparer l’ensemble des secteurs de la vie socio-économique à faire face à l’émergence d’une pandémie de
grippe.
La planification de la continuité des affaires permettra notamment :
-
d’établir quels sont les ressources humaines et matérielles nécessaires pour faire face à une
pandémie de grippe
-
de limiter les conséquences socio-économiques sur le lieu de travail et au sein du personnel
-
de maintenir l’activité au niveau le plus élevé possible tout en protégeant le personnel exposé
-
de permettre aux opérations et fonctions essentielles d’être maintenues (notamment grâce à une
gestion planifiée des ressources humaines et matérielles)
L’élaboration d’un business continuity planning (BCP) met en avant la pro-activité de l’organisation et permet de
donner un signal au personnel et aux partenaires quant à la prise en considération des problèmes que pourraient
entraîner la pandémie de grippe. La mise en place d’un tel plan aidera également l’organisation qui le développe
à faire l’état des lieux des ressources et renseignements nécessaires pour faire face à une pandémie de grippe.
En outre, ce BCP pourra être utilisé pour d’autres situations qui pourraient perturber la continuité des affaires.
Avant toute chose, il faut souligner l’importance centrale du rôle que joue le service « Ressources
Humaines/Personnel et Organisation » (RH/PO) de chaque organisation dans l’élaboration de ce plan, vu le taux
attendu d’absentéisme du personnel.
Les informations fournies dans ce document proviennent de conseils émanant de l’OMS et sont également
inspirées des business continuity plannings établis au sein des gouvernements du Canada et des USA. Ces
informations sont de nature générale et devront être adaptées à la situation de chaque lieu de travail.
2
Postulats standards pour la planification
-
Une pandémie aurait des effets qui toucheraient de nombreuses régions, voire toutes les régions du
monde. Par conséquent, il se peut que l’assistance externe soit de faible envergure.
-
L’ensemble des organisations risquent de devoir faire face à un taux d’absentéisme très important,
étant donné que de nombreux travailleurs tomberont malades, resteront chez eux pour prendre soin
de leurs enfants ou membres de leur famille ou refuseront de se rendre au travail, pour éviter la
contamination dans les transports en commun et les bureaux.
-
On prévoit un taux d’absentéisme doublé par rapport au nombre de personnes malades, c’est-à-dire
que pour chaque membre du personnel qui tombe malade, un autre ne viendra pas au travail car il
devra s’occuper d’un proche, ou refuse de se déplacer ou de travailler.
-
Il est probable que 15 à 35 % de la population active tombera malade à un moment donné au cours
de la pandémie (plusieurs vagues possibles, de 8 à 12 semaines chacune).
-
Les attaques par vagues dans les lieux travail seront semblables à celles affectant la population
générale.
-
Toutes les personnes qui tomberont malades seront sans doute absentes au minimum 7 jours du
travail.
3
3
Planification de la continuité des affaires en cas de pandémie de grippe
Les conséquences de la pandémie toucheront essentiellement les ressources humaines, impliquant de nombreux
impacts dans l’ensemble de la vie socio-économique.
Par exemple :
-
la dégradation de services essentiels : services d’information et télécommunications,
approvisionnement en énergie, eau, nourriture et transport, perturbation du système bancaire
(disponibilités de fonds)
-
la difficulté d’obtenir l’approvisionnement nécessaire à la poursuite des activités (ex : problèmes lié à
l’importation, la livraison, les services sous-traités)
-
l’affection de l’offre et la demande dans certains secteurs : les services liés à la santé (ex : hôpitaux,
médecins), la sécurité (ex : police) ou à la communication (ex : Internet, téléphonie) seront fortement
sollicités, alors que la demande de services liés aux activités de loisirs (ex : secteur du tourisme, de
la culture, certains secteurs de l’HORECA) risque de chuter
Les instances publiques seules ne seront pas en mesure de répondre à l’ensemble des problèmes que pourra
rencontrer la population belge en général. Une coordination et une collaboration entre le niveau public et privé est
donc indispensable, ainsi qu’une politique efficace d’information, pour limiter les conséquences de la pandémie
de grippe.
Chaque organisation publique doit donc être capable de :
-
se préparer à assurer le fonctionnement de son organisation
-
assurer le maintien de la vie socio-économique permettant le maintien de l’appareil de l’Etat, dans
ses domaines essentiels de compétence. A ce titre, elle doit :
o prévoir un système de monitoring de la situation, c’est à dire être capable de faire l’état
des lieux de la situation au sein des secteurs concernés.
o s’assurer qu’au sein de tous les secteurs et domaines d’activités relevant de ses
compétences, les éléments à considérer afin d’assurer la continuité des services aient été
diffusés.
-
4
assurer une politique efficace de communication dans chaque secteur, à intégrer dans la stratégie
globale de communication déterminée par les autorités publiques (www.influenza.be)
Business continuity planning: checklist
La liste des éléments à prendre en considération pour l’élaboration d’un business continuity planning peut être
répartie en cinq grands thèmes :
I
Réduire l’impact de la pandémie sur le travail
II
III
Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe
IV
V
Coordonner ses actions avec les services horizontaux, les organisations externes et les autorités
publiques
4
Terminé
En cours
Pas
commencé
I.
Réduire l’impact de la pandémie sur le travail (1)
1. Identifier et nommer, au sein de l’organisation*, une personne (et/ou une équipe)
responsable de la coordination dans la préparation d’un BCP. Cette personne (et/ou cette
équipe) sera responsable de la planification et de la coordination de la gestion de crise en
cas de pandémie de grippe.
2. Hiérarchiser les activités au sein de l’organisation :
- identifier les activités indispensables, devant être assurées en permanence
- identifier les activités pouvant être interrompues pendant 2 semaines
- identifier les activités pouvant être interrompues pendant 8 à 12 semaines
3. Identifier si ces fonctions sont bien occupées par des personnes internes à l’organisation
ou si certaines sont occupées par des personnes externes (ex : sous-traitance). Si
certaines sont externes, assurez-vous de la continuité de leurs activités en cas de
pandémie de grippe.
4. Identifier les ressources nécessaires à la continuité des activités indispensables :
- les ressources humaines : effectifs, compétences, suppléance pour les postes essentiels
(système de remplacement, à savoir deux personnes « back-up » par fonction-clé, en
plus de la personne occupant initialement cette fonction-clé), liste des volontaires pour
travailler pendant la pandémie, étudier les possibilités de renforcement par des retraités,
des intérimaires ou des étudiants
- les moyens matériels nécessaires pour le maintien de l’activité (ex : matières premières
indispensables, ressources en énergie, budget suffisant)
- les bases légales et les règles spécifiques applicables en situation de pandémie (pour la
prise de mesures relatives à la rémunération du personnel, aux éventuelles réquisitions,
aux congés, à la médecine du travail, aux procédures spécifiques)
5. Former et préparer les personnes désignées comme devant assurer des fonctions-clé en
cas de pandémie de grippe. Cette formation concerne le personnel interne ou externe, en
fonction des besoins (ex : employés avec d’autres titres/descriptions de fonction, mais
aussi des sous-traitants, des retraités).
Moyens utiles proposés pour réaliser cette tâche
Cette personne ou cette équipe peut être intégrée
au sein d’une cellule de crise.
Avec le service « RH/PO», officialiser
éventuellement cette nomination (ex :via une
description précise de cette fonction).
Avoir au préalable défini chaque fonction au sein
de l’organisation.
Identifier avec le service «RH/PO» les procédures
spécifiques pouvant être nécessaires (ex :système
de remplacement « back-up », réquisition, listing
des
personnes
volontaires,
rémunérations
spécifiques,
etc.).
Identifier avec le service ICT la continuité des
systèmes d’informatisation (ex : méthodologie de
continuité des systèmes ICT proposée par
FEDICT, pour les Services publics fédéraux).
A accomplir avec l’aide du service «RH/PO».
6. En fonction du rôle de l’organisation, développer et prévoir des scénarios susceptibles
d’aboutir à une augmentation ou diminution de la demande de vos produits et/ou services
pendant une pandémie (ex : diminution probable de la demande en matière de restauration
suite à l’éventuelle restriction sur les rassemblements, demande accrue de l’aide des
services de secours, besoin plus important de matériel d’hygiène).
5
Terminé
En cours
Pas
commencé
I.
Réduire l’impact de la pandémie sur le travail(2)
7. En fonction du rôle de l’organisation, développer et prévoir des scénarios
susceptibles d’aboutir à une augmentation ou diminution de la demande de vos
produits et/ou services pendant une pandémie (ex : diminution probable de la
demande en matière de restauration suite à l’éventuelle restriction sur les
rassemblements, demande accrue de l’aide des services de secours, besoin plus
important de matériel d’hygiène).
8. Déterminer l’impact potentiel d’une pandémie de grippe sur les finances et le budget
de l’organisation, en fonction de son rôle et de ses besoins.
Support de la part du service « Budget/Finances», en
fonction des différents scénarios possibles.
9. Prévoir l’impact potentiel d’une pandémie de grippe sur les déplacements et les
voyages d’affaire nationaux et internationaux (ex : possibilité d’une diminution des
moyens de transport, de quarantaines, de fermetures des frontières).
1
10.Etudier les différentes possibilités alternatives :
- de lieux de travail ou façon de travailler (ex : le télétravail, la vidéoconférence)
- de transport (ex : si la fréquence des transports en commun est diminuée, il
faut s’assurer que les personnes remplissant des fonctions indispensables
pourront se rendre sur leur lieu de travail)
- d’hébergement (ex : envisager la possibilité, pour que les personnes
remplissant des fonctions indispensables, de loger sur place si nécessaire)
Avec l’aide du service ICT, du service RH/PO, du SIPPT ,
faire l’état des lieux des possibilités en infrastructure et en
moyens logistiques sur le lieu de travail (ex :disponibilité
de locaux, de vidéoconférences, des travailleurs à leur
domicile, de lits, de sanitaires, de voitures) et
éventuellement au domicile du personnel concerné (ex :
disponibilité d’un ordinateur, connections Internet,
vidéoconférence)
11. S’informer continuellement sur la pandémie de grippe, via des canaux
d’informations officiels, actualisés et fiables (ex : information émanant d’un organe
officiel de santé publique)
Suivre les informations diffusées notamment par les
médias.
Visiter le site www.influenza.be ou téléphoner au numéro
0800/99 777
12. Établir un plan de communication et l’actualiser régulièrement. Ce plan doit
comprendre :
- l’identification de la (ou les) personne(s) en charge de la coordination de la
planification et de la gestion de la crise suite à une pandémie de grippe
- l’identification des personnes accomplissant des fonctions-clés, ainsi que leurs
remplaçants
- une chaîne de communication, incluant les partenaires indispensables (ex :
groupes-cibles, fournisseurs, clients)
- un processus permettant de diffuser régulièrement l’état de la situation de
l’organisation et celle du personnel
A élaborer au sein
« Communication ».
des
services
13. Organiser un exercice pour tester votre plan et l’actualiser régulièrement.
1
SIPPT= Service Interne de Prévention et de Protection du Travail
6
« RH/PO »
et
Terminé
En cours
Pas
commencé
II.
1. En période de pandémie de grippe, prévoir et autoriser les absences du personnel qui sont liées à
des facteurs tels que :
- la maladie personnelle
- la maladie d’un membre de la famille
- des mesures collectives de contraintes ou de quarantaines
- la fermeture d’école et/ou d’entreprise
- la diminution voire la suppression des transports publics
2. Renforcer les mesures destinées à freiner la contagion via :
- l’application de mesures d’hygiène personnelles renforcées : lavage fréquent des mains au
savon et séchage avec une serviette jetable, utilisation de mouchoirs en papier à usage unique
qui sont jetés dès la première utilisation, mettre sa main devant sa bouche en cas de toux ou
d’éternuement et ensuite se laver les mains, port éventuel du masque
- l’application des mesures d’hygiène renforcée au sein du bâtiment : désinfection des bureaux
des personnes malades (en ce compris la table du bureau, les téléphones, claviers, fournitures
de bureau), nettoyage fréquent renforcé, ramassage fréquent des poubelles contenant des
mouchoirs usagés sans risque de contamination
- la réduction des contacts entre les personnes, en interne et avec les partenaires externes:
maintenir une distance sociale (les recommandations générales de santé prévoient une
distance de minimum un mètre entre chaque individu), ne pas se serrer la main, éviter les lieux
de rassemblements (cantine, réunions)
3. Encourager et tracer la vaccination annuelle contre la grippe saisonnière du personnel faisant
partie des groupes à risque (la préparation d’un vaccin pandémique est liée aux capacités de
production du vaccin contre la grippe saisonnière)
4. Identifier le personnel à risque d’exposition majeure :
- personnel en contact avec un public nombreux
- personnel en contact avec un public susceptible d’être malade (ex : professionnels de la santé,
personnel des hôpitaux)
- personnel en charge de l’hygiène et du nettoyage
- professionnels en contact avec toute espèce, vivante ou morte, susceptible de pouvoir être
contaminée (ex : professionnels d’élevage de volatiles, pompes funèbres)
5. Identifier les membres du personnel et les partenaires ayant des besoins spécifiques, et intégrer
les besoins de ces personnes dans votre plan de préparation (soutien en matière de santé et de
besoins psycho-sociaux)
6. Assurer, au sein de l’organisation, la gestion de l’environnement, de la climatisation, des déchets.
Moyens utiles proposés pour réaliser cette
tâche
Solliciter l’aide du service «RH/PO» afin de
prévoir des procédures spécifiques en cas
d’absence selon les cas cités.
Solliciter le service « Budget/achats », afin
de prévoir :
- des produits d’hygiène (désinfectant,
savon, mouchoirs et serviettes jetables,
solution alcoolique pour les mains,
masques, gants) et de nettoyage
(désinfectant pour sol et surfaces, sacs
poubelles spécifiques) en suffisance
- du personnel nécessaire pour assurer
l’hygiène
- un aménagement particulier des bureaux
En concertation notamment avec le SIPPT,
prévoir des équipements adéquats et des
mesures de protection en fonction du risque
encouru par le personnel concerné.
Prévoir un système de ramassage des
poubelles contenant des mouchoirs usagés
sans risque de contamination, supprimer la
climatisation.
7
Terminé
En cours
Pas
commencé
III. Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe
(L’ensemble des tâches reprises ci dessus et ci bas doit être réalisées dans une dynamique générale, préparée et
élaborée. Il convient donc de définir des politiques et des directives afin de clarifier les décisions prises par la direction. Des
mesures génériques par secteur peuvent utilement être envisagées)
tâche
1. Définir une politique en matière d’indemnisation des employés et d’absence pour congé de
maladie propre à la pandémie de grippe (ex. congés non punissables, libres), ainsi que des
directives prévoyant le moment où une personne, auparavant malade, n’est plus contagieuse
et peut retourner travailler.
Identifier avec le service «RH/PO» et le
service SIPPT les procédures et mesures
spécifiques nécessaires, en accord avec la
direction et suite à ses décisions.
2. Définir des directives en ce qui concerne les lieux et modes de travail alternatifs (ex.
télétravail) et les heures de travail flexibles (ex. équipes variables).
SIPPT les procédures et mesures
3. Définir des directives afin d’empêcher la propagation de la maladie sur le lieu de travail (ex.
encourager une hygiène personnelles et certains comportements sociaux, prévoir l’exclusion
immédiate des personnes présentant des symptômes de la grippe).
SIPPT les procédures et mesures
4. En ce qui concerne les risques spécifiques de contamination, définir des directives pour le
personnel étant:
- plus exposé à un risque de contamination de la maladie
- soupçonné d’être malades ou de le devenir sur le lieu du travail (ex. congé de maladie
immédiat et obligatoire).
SIPPT des procédures et mesures
5. En ce qui concerne la mobilité du personnel, définir une politique afin de:
- limiter les déplacements et les voyages vers les zones touchées (nationales et
internationales)
- évacuer le personnel travaillant dans ou près des zones touchées lorsque la pandémie
éclate
- suivre les employés revenant d’une zone touchée
Identifier avec le service «RH/PO» les
procédures
et
mesures
spécifiques
nécessaires, en accord avec la direction et
suite à ses décisions.
6. Définir les autorités, les déclencheurs et les procédures permettant d’activer et de mettre fin
au plan d’action de l’organisation, ce qui va provoquer une alerte pour les activités
professionnelles de l’organisation (ex. mettre fin aux activités dans les zones touchées) et
implique le transmis des informations clés au personnel concerné.
Identifier avec le service «RH/PO» les
procédures
et
mesures
spécifiques
suite à ses décisions.
7. Déterminer une politique en matière de communication de crise, comprenant :
- une communication interne et externe : avec le personnel, les partenaires et groupescibles, ainsi qu’avec le reste de la population (via les médias)
- un communication avant l’émergence d’une pandémie (anticipation-préparation) et une
communication en période pandémique (gestion).
Identifier avec le service «Communication »
les procédures et mesures spécifiques
suite à ses décisions. Ces procédures et
mesures spécifiques s’intègreront dans la
stratégie globale de communication.
8
Terminé
En cours
Pas
commencé
IV.
1. Identifier les sources officielles d’informations précises et opportunes relatives à la
pandémie (nationales et internationales), ainsi que les ressources permettant de
prendre des mesures de prévention et d’action en cas de pandémie de grippe.
Les services « Communication » et « SIPPT »
s’assurent qu’ils disposent d’une information correcte,
adaptée (variation possible en fonction du risque
encouru par le personnel et les partenaires) et
officielle (possibilité de justifier ses sources).
2. Développer et diffuser des documents et des informations traitant des données
relatives :
- à la pandémie elle même ( ex. signes et symptômes de la grippe, modes de
transmission)
- aux soins médicaux et sociaux prévus en cas de pandémie de grippe (ex : les
soins médicaux particuliers prévus par les autorités publiques en cas de
pandémie de grippe)
- aux traitements possibles (ex : utilisation des antiviraux, vaccins)
- aux mesures de protection et d’hygiène personnelle et familiale (ex : hygiène
des mains, comportement à adopter en cas de toux/éternuement, distance
sociale)
- au plan d’actions mis en place au sein de l’organisation.
Le service «RH/PO» en collaboration avec le service
« Communication », peuvent convenir de :
- réaliser des séances d’information (voire de
formation, en fonction du risque encouru) à
destination du personnel
- distribuer des documents avec les informations
utiles et diffuser ces mêmes informations via
l’intranet de l’organisation
- diriger le personnel vers des sites utiles, tel que
www.influenza.be
3. Anticiper la peur et l’anxiété, les rumeurs et l’information erronée au sein du
personnel et planifier la stratégie de communication en fonction.
Avec le service « Communication », s’assurer d’une
diffusion, en temps voulu, d’informations claires,
réalistes mais rassurantes, et adaptées en fonction du
risque encouru par le personnel.
4. S’assurer que les communications sont culturellement et linguistiquement
appropriées.
Prévoir une diffusion d’informations dans toutes les
langues représentées au sein de l’organisation. Suite
aux séances d’informations et à la diffusion des
informations, mentionner la personne de référence
« pandémie » au sein de l’organisation, qui pourra
répondre aux questions de tout un chacun.
5. Mettre en place un système de contact (site web, numéros d’urgence) permettant
de garder un lien social entre le personnel et son organisation, afin de
communiquer, en temps opportun :
- l’état de la pandémie au sein de l’organisation (absentéisme, situation au
niveau de la production du travail/des services) et en dehors
- les actions pour le personnel et les partenaires, sur le lieu de travail et en
dehors (ex : numéros d’urgence, sites web spécialisés)
- des rappels sur le système de contact d’urgence.
Les services « Communication » et « RH/PO »
peuvent envisager une sorte de forum sur son site
web, où le personnel peut récolter des informations
utiles et maintenir un contact social avec son lieu de
travail et les personnes qui en font partie.
9
Terminé
En cours
Pas
commencé
V.
Coordonner ses actions avec les services horizontaux, les organisations
externes et les autorités publiques
1. Collaborer avec les services horizontaux, tels que :
- Le service « P&O/RH »
- Le service « Communication »
- Le service « SIPPT » (comprenant la médecine du travail), afin de vérifier vos
obligations légales vis à vis du personnel
- Le service ICT
- Le service « Budget/achats »
tâche
La coordination sera utilement organisée par
la direction (ex : au sein d’un comité de
direction)
2. Collaborer avec les organisations externes, telles que :
- les assureurs : vérifier ce que couvre vos assurances dans le contexte des problèmes
pouvant survenir en cas de pandémie de grippe
- les sociétés privées de services de prévention
3. Collaborer avec les autorités publiques, telles que :
le Service Public Fédéral Emploi et Travail (en matière de protection des
travailleurs)
le Service Public Fédéral Santé Publique (en matière de politique de santé)
le Centre Gouvernemental de Coordination et de Crise (en matière de coordination
interdépartementale et interdisciplinaire entre autorités publiques)
4. Collaborer avec les systèmes de santé prévus au niveau de la santé publique, au niveau
fédéral et local, et/ou les urgences pour :
- connaître leurs plans et communiquer les vôtres (en fonction des possibilités)
- participer à la planification des processus si cela est pertinent et si votre organisation
a été sollicitée en ce sens par les autorités concernées
- définir ce que votre organisation peut fournir à la communauté/au secteur.
5. Partager les bonnes pratiques avec d’autres organisations de votre communauté/secteur ,
afin d’améliorer les efforts d’intervention au sein de cette communauté/ce secteur.
10
ANNEXE 2
Global Business Continuity Plan:
Pour le SPF Intérieur, on recommande dans le cadre du Business Continuity Management, de réaliser
un global Business Continuity Plan permettant au SPF de se préparer à une éventuelle interruption
des activités les plus critiques. Il est dés lors conseiller de ne pas tant se fixer sur tous les éventuels
risques auxquels le SPF peut être confronté (et dès lors élaborer un BCP pour chaque éventuel
risque) mais plutôt sur les éventuelles conséquences des risques.
Les principales conséquences auxquelles le SPF peut être confronté sont:
-
manque de personnel
manque d'ICT
manque de données/informations
manque de facilités
Ceci n'exclut pas qu'on travaille sur certains risques spécifiques (par exemple ‘l’apparition d'une
pandémie de grippe’). Dans ce cas, il vaut mieux joindre les mesures relatives au Business Continuity
au global Business Continuity Plan.
Les mesures à prendre en matière de personnel (faire en sorte qu'il y ait suffisamment de personnel
pour poursuivre les activités critiques) font déjà parties du ‘Global Business Continuity Plan’. En
d'autres mots, toutes les directions doivent prendre les mesures nécessaires pour s'assurer qu'il y ait
suffisamment de personnel disponible/formé pour poursuivre les activités les plus critiques en cas de
pandémie de grippe et par conséquent lorsque le nombre d’absences pour raison de maladie est
élevé.
Mesures spécifiques de Business Continuity en ce qui concerne la pandémie de grippe
Le principal objectif de ces mesures est d’assurer le bien-être des collaborateurs de l'organisation et
de les annexer au Global Business Continuity Plan.
Voici une liste de plusieurs mesures que le SPF peut préparer en vue d'une pandémie de grippe:
Eventuelles mesures en ce qui concerne la communication interne (en plus de la communication
actuelle)
Il vaut mieux que ces mesures soient préparées par: la Cellule Centrale d'Information et de
Communication en collaboration avec le service d'encadrement P&O, les correspondants P&O, les
communicateurs DGCC (garantir la cohérence entre la politique de communication émanant de la
Santé publique et le contenu de la communication au sein du SPF Biza)
1. Accords sur la méthode de travail relative à la communication interne (qui communique quand
vers le personnel/critères): CCIC, service d'encadrement P&O, Service Interne pour la
Protection et la Prévention au travail (SIPP), Centre de Crise.
2. Diffusion
de
l'information:
En cas d'activation du BCP (en attendant le global BPF, il faut se mettre d'accord sur les
critères/procédure pour la diffusion), diverses procédures et rondes d'informations peuvent
être mises en place afin que chacun sache rapidement ce que la nouvelle situation entraîne.
Une note d’information adressée à temps au personnel peut éviter de semer le trouble et
contribue à limiter la propagation de la maladie. Les aspects qui doivent être abordés lors des
instructions:
•
Quels symptômes doivent vous faire penser à une grippe ? (cf. par
exemple le tableau avec la comparaison entre les symptômes d'un simple
rhume et ceux d'une grippe)
•
Quelles sont les procédures (adaptées) prévues dans l’entreprise pour se
déclarer malade lors d’une pandémie de grippe ?
•
Que peut-on faire au sein de l’entreprise pour limiter autant que possible le
risque de contamination ?
•
•
•
Que faut-il faire si la grippe a été constatée chez votre(vos) collègue(s) ?
Que peut-on faire à la maison en cas de grippe pour limiter autant que
possible le risque de contamination (pour vous et les membres de votre
famille) ?
Quand peut-on reprendre le travail et quelle procédure doit être suivie ?
3. Page internet reprenant e.a. toutes les informations importantes (critères justifiant l’absence
en cas de pandémie de grippe, soutien psychologique et disponibilité morale pour le
personnel, évolution de la pandémie en chiffres, répétition des mesures d’hygiène, etc…)
4. Point général de contact pour le personnel (site web/ numéro d’urgence – conserver le lien
social personnel/organisation – communication et suivi de la situation):
•
Point de la situation de la pandémie au sein de l’organisation (absence, suivi situation
relative au fonctionnement du service)
Eventuelles mesures en matière d’organisation interne SPF par rapport au personnel
Il vaut mieux que ces mesures soient préparées par: Service d'encadrement P&O en collaboration
avec les correspondants P&O (en collaboration avec SIPP pour le point 6).
1. Adaptation des procédures pour la déclaration de maladie. Etre préparé à et autoriser des
absences du personnel lors d’une pandémie de grippe en raison de :
•
Propre maladie
•
Maladie d’un membre de la famille
•
Mesures de restriction collective ou quarantaines
•
Fermeture d’une école et/ou entreprise
•
Diminution ou même suppression du transport public
2. Adaptation des directives relatives au retour du congé de maladie (éviter que les personnes
puissent revenir plus tôt de leur congé de maladie, par exemple, en dérogeant
temporairement à la possibilité de reprendre spontanément le travail plus tôt, cf. note de
service du 11-01-2008 relative à l’absence pour maladie – réglementation générale, point 2,4)
3. Directives en cas de suspicion de maladie (prévoir la possibilité d’envoyer immédiatement et
obligatoirement le personnel en congé de maladie)
4. Contrôle de la situation - bon suivi du déroulement de la maladie (ce qui peut éventuellement
pousser le management à fermer certains services).
5. Il est utile de vérifier si on peut réduire ou éviter les concentrations de personnel (par
exemple, fermer provisoirement la cafétéria)
6. Préparation de directives spécifiques pour le personnel qui court éventuellement, en raison de
leur fonction, un plus grand risque de contamination. Inventorier le groupe cible à risque et
préparer les directives/communications spécifiques.
7. Adaptation des directives relatives aux déplacements professionnels à l’étranger.
- Bibliographie -
Littérature:
BARE A., Project CC-ICT STAND ALONE Of Verzekering van de informaticacontinuïteit
door de installatie van een Continuity Server, wat ertoe leidt dat het Crisiscentrum volledig
onafhankelijk en transporteerbaar wordt, Brussel, Juli 2008.
BRANDT, Geert, Uittekenen van processen: gecertificeerde opleiding CACERSA02, Brussel:
Opleidingsinstituut van de Federale Overheid, 2007.
CONSEIL A. en al., Business Continuity Planning and Pandemic Influenza in Europe
An Analysis of Independent Sector and National Governments’ Guidance, London: London
School of Hygiene & Tropical Medicine, 2008.
CORNELIS B., JUPRELLE P., BRUNET S., dir, Federal Risk Inventory, Survey and
Knowledge building (FRISK), Convention VIII/C/P2003, Rapport final, Révision, Liège:
Université de Liège, November 2004.
ERNST J., “Normen, richtlijnen en wet- en regelgeving voor Business Continuity
Management” in Informatiebeveiling, p.16-20, Juli 2006.
KENNEDY S. en HILL D., BCP for smarties. Super user group meeting, Office of Audit,
Compliance & Privacy, s.l., October 10 2005.
KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006
KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM
Academy, Harderwijk, 2007
LESSEN C. en BRONSELAER J., Rapport de projet “Développement du service Inspection
interne”, Confidentiel, SPF Intérieur, Bruxelles, november 2008.
TRIEST V. en POLEUNUS H., Projectmanagement: Policy,
Overheidsdienst Personeel & Organisatie, 17 december 2003.
Brussel:
Federale
LILBURN WATSON D., A guide to Business Continuity Management using BS25999, s.l.,
s.d.
PEDROSA NEGAMI DO NASCIMENTO G., Risicoanalyse van IT Gerelateerde
Bedrijfsprocessen. Master project BMI verslag, ING, Amsterdan, december 2008.
VARGHESE R., Maintaining Local Government Business Continuity. Preparing for a Local
Crisis within a Global Pandemic, Virginia: Public Health Division, USA, s.d.
WAMSLEY R., Overview Briefing, National Continuity Programs Directorate, Federal
Emergency Management Agency, US Department of Homeland Security, USA, 7-8 August
2008.
WITHBECK, Dave, dir., Oregon Secretary of State: Business Continuity Planning Project
Human Resources Division Business Impact Analysis Report, version 1.2, s.l., 10 april 2008.
WOODMAN P., Business Continuity Management, London: Chartered Management
Institute, UK, March 2007.
WOODMAN P., Business Continuity Management 2008, Cabinet Office in association with
Continuity Forum, s.l., March 2008.
SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM
“A Risk-based approach to BCM”, in Continuity, September 2008, p.12-13.
Activiteiten voor het Comité voor Financiële Stabiliteit 2003-2007, Activiteitsverslag 2007,
België, 6 juni 2008
Business Continuity Planning Guide, First edition, Property Advisers to the Civil Estate,
st
Central Advice Unit, s.l., 1 May 1998.
nd
Business Continuity Guide, 2 edition, Alberta Emergency Management Agency, Alberta
Municipal Affairs and Housing, Edmonton, Canada, march 2007.
British Standard Toolkit, British Standard Institute, BS 25999, UK, 2007.
Business Continuity Guide for Small Businesses, AXA Insurance UK, London, UK, 2004.
Verbeterprojecten, BPR, Instrument bij de modernisering van de federale overheid, Brussel:
Federal Overheidsdienst Personeel & Organisatie, april 2005.
Business Continuity Planning for small to medium-sized businesses, Norfolk County Council
Emergency Planning Unit and Norfolk Major Incident Team, UK, s.d.
Business Continuity Management, A staff Guide, Version 2.0, Financial Services Authority,
UK, August 2007.
Business Continuity Management good practice guidelines 2008, Business Continuity
Institute, s.l., 2008.
Business continuity management part 1- Code of practice, British Standard Institute, BS
25999-1, UK, 2006.
Business continuity management part 2- Code of practice, British Standard Institute, BS
25999-2, UK, 2007.
Business Continuity Management (BCM), International Faculty for Executives, s.l., 2006.
Business Continuity Management, Policy Statement, Monmouthshire, U.K., april 2007.
Business Continuity Plan Template, Canadian Centre for Emergency Preparedness,
Canada, 2000.
Business Continuity Planning, BCP Prepardness Planner, Upper Mohawk Inc., USA, s.d.
Business continuity planning guide, First Edition, Property Advisers to the Civil Estate
(PACE), s.l., May 1998.
Business Continuity Planning Guidelines, Texas Department of Information Resources,
Austin, Texas, USA, December 2004.
Business Continuity Planning. IT Examination Handbook, Federal Financial Institutions
Examination Council, s.l., March 2008.
Business Continuity Planning Template, Version 4, Brent, UK, June 2002.
Business Continuity Planning Workbook 2006, version 06.1, Government of Saskatchewan,
Saskatchewan, Canada, 2006.
SOFIE SENESAEL –
SPF INTÉRIEUR / DIRECTION GÉNÉRALE CENTRE DE CRISE
Evaluatierooster, Vlaamse Overheid – Interne Controle, Organisatiebeheersing, België,
December 2008.
Guide to Business Continuity Management, Frequently Asked Questions, Second edition,
protiviti, Independent Risk Consulting, s.l., 2006.
Guide to Developing a BCP, DAS Enterprise Program, s.l., mei 2008.
Guide to developing a business Continuity Plan, Guidance for Oregon Agencies, DAS,
provided by Enterprise BCP Program, Oregon, USA, may 2008.
Het communicatieplan van een project opstellen, Gids voor de federale communicatoren,
COMM Collection, nr.12, Brussel: Federale Overheidsdienst Personeel & Organisatie,
December 2005.
How prepared are you? Business management toolkit, version 1, Her Majesty’s Government,
s.d.
Influenza Pandemic Planning. Business Continuity Planning Guide, Government of NewZealand, New-Zealand, October 2005.
Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari 2007.
Keuzen en aanpak voor uw Business Continuity Plan (BCP) of Calamiteitenplan, ZBC
Consultants bv, België, 25 oktober 2007.
Leidraad, Vlaamse Overheid – Interne Controle, Organisatiebeheersing, België, December
2008.
Mission statement- Uittreksel, Dienst Interne Inspectie FOD Binnenlandse Zaken, Brussel,
December 2007.
Model Business Continuity Plan for State Agencies, State of Oregon, USA, May 2008.
Business Continuity Management, Vlaamse Maatschappij voor Sociaal Wonen, België, 24
april 2008.
Nota aan de leden van het Directiecomité, Interne controle – FOD Binnenlandse Zaken,
Brussel, 1 juli 2003.
Pandemic Influenza Response Plan – Business Continuity Planning Tool Kit, Niagara Region
Public Health, Canada, November 2006.
Pandemic Influenza - Preparedness, Response and Recovery. Guide for critical
infrastructure and key resources, U.S. Department of Homeland Security, USA, 19
september 2006.
Plan de Continuité d’Activité – Cas de la pandémie grippale, Version 2, Groupe Carrefour,
s.l., december 2007.
Preparedness Pandemic Manual prepared for ITMA Foundation, Environmental and
Occupational Risk Management, California, USA, December 2006.
Professional Practices for Business Continuity Planners, DRIBCI, s.l., 28 august 2003.
“ISO/PAS 22399 provides international best practice for preparedness and continuity
management” in ISO Management System, January-February 2008, p.5-9.
Rapport de projet: Analyse des risques, Service Inspection Interne, Bruxelles : Service
Public Fédéral Intérieur, November 2008.
Rapport interne controle: risicoanalyse, FOD Binnenlandse Zaken, Brussel, 9 maart 2004.
“Pandemie en Business Continuity Planning”, in Beveiliging, Oktober 2008, p.108-113.
De risicoanalyse, Algemene Directie Humanisering van de Arbeid et al., Brussel, Mei 2006.
Risk Analysis Methodology, Gundersen Lutheran Medical Center, La Crosse, Wisconsin,
USA, s.d.
Risk Assessment Questionnaire, BCM & Risk Management Program, Office of the State
Chief Information Officer, Information Technology Services, Raleigh, North Carolina, USA,
2004.
De Risk Management Standard, Federation of European Risk Management Associations,
s.l., 2003.
Security-aspecten tijdens een grieppandemie , Security Management, nr.10, oktober 2008,
p.44-47.
Societal security — Guideline for incident preparedness and operational continuity
management, First Edition, ISO/PAS, Switzerland, 1 december 2007
Standard on Disaster/Emergency Management and Business Continuity Program, National
Fire Protection Association 1600, Quincy, Massachusetts, USA, 2007.
Stanford University Business Continuity Planning, Standford Univertity, USA, s.d.
Pages Internet consultées :
Public
Savety
Canada,
A
guide
to
business
continuity
planning,
http://www.publicsafety.gc.ca/prg/em/gds/bcp-eng.aspx , pagina geconsulteerd op 3
september 2008.
Continuity Central, http://www.continuitycentral.com/index.htm
september 2008.
, site geconsulteerd op 3
State Office of Risk Management, Business Continuity Impact Analysis,
http://www.sorm.state.tx.us/Risk_Management/Business_Continuity/bus_impact.php#top
,
pagina geconsulteerd op 5 september 2008.
The National Forum for Risk Management in the Public Sector, Publications page,
http://www.alarm-uk.org/publications.aspx , pagina geconsulteerd op 5 september 2008.
Teed Business Continuity, BCM Standards, http://www.teed.co.uk/bcm_standards.shtml ,
pagina geconsulteerd op 8 september 2008.
The
British
Standards
Institution,
BS
25999
Business
continuity,
http://www.bsigroup.co.uk/en/Assessment-and-Certification-services/Managementsystems/Standards-and-Schemes/BS-2599/ , pagina geconsulteerd op 8 september 2008.
SOFIE SENESAEL –
Teed Business Continuity, A Guidance Note on Pandemic Business Continuity Planning,
http://www.teed.co.uk/shu/docs/Pandemic%20BCP%20Guidance%20Note%202008.pdf
,
pagina geconsulteerd op 26 november 2008.
ASIS International Advancing Security Worldwide, Business Continuity Guideline,
http://www.asisonline.org/guidelines/guidelinesbc.pdf , pagina geconsulteerd op 26
november 2008.
ASIS International Advancing Security Worldwide, General Security Risk Assessment,
http://www.asisonline.org/guidelines/guidelinesgsra.pdf , pagina geconsulteerd op 26
november 2008.
Educause Center for Applied Research, Shared Responsibility for Business Continuity: The
Team
Approach
at
UCLA,
http://www.educause.edu/ECAR/SharedResponsibilityforBusines/155130
,
pagina
geconsulteerd op 26 november 2008.
NC State University, Business Continuity and Disaster Recovery Department: Project Plan,
http://www.ncsu.edu/ehs/BCP/project_plan/ , pagina geconsulteerd op 26 november 2008.
Business Continuity International, Business Continuity Planning Asia Pacific,
http://www.businesscontinuityinternational.com/ , pagina geconsulteerd op 26 november
2008.
The Institute for continuity Management, Developing Business Continuity strategies,
www.drii.org/professional_prac/profprac_developing_BC.html.,
geconsulteerd
op
8
december 2008.
Australian
Government,
Business
Continuity
Planning,
http://www.nationalsecurity.gov.au/agd/www/nationalsecurity.nsf/AllDocs/15AA23030D0BD4
EDCA256FAA001EBB37?OpenDocument , pagina geconsulteerd op 11 janvier 2009.
Texas
State
University,
Business
Continuity
Program,
http://www.fss.txstate.edu/ehsrm/business/business1.html , pagina geconsulteerd op 11
januari 2009.
DRI The Institute for Continuity Management, Business Impact Analysis,
https://www.drii.org/professionalprac/index.php , pagina geconsulteerd op 11 januari 2009.
The American Institute of Certified Public Accountants, Protecting Business Continuity,
http://www.aicpa.org/Magazines+and+Newsletters/Newsletters/The+Practicing+CPA/March+
April+2008/Protecting+Business+Continuity.htm , pagina geconsulteerd op 11 januari 2009.
The
art
of
Management,
Structuur,
http://123management.nl/0/020_structuur/a200_structuur.html , pagina geconsulteerd op 7
februari 2009.
FP&M's
World-Class
Journey,
Process
Mapping,
http://www.fpm.iastate.edu/worldclass/process_mapping.asp , pagina geconsulteerd op 7
februari 2009.
COMATECH, Het EFQM-Excellence model, http://www.comatech.be/nl/efqm.php , pagina
geconsulteerd op 15 februari 2009.
Universiteit Antwerp, Doctoraatsverdediging Kathleen Van Heuverswyn, 3 november 2008,
http://www.ua.ac.be/main.aspx?c=*FACREC&n=59898&ct=58353&e=180471
,
pagina
geconsulteerd op 1er april 2009.
Committee of sponsoring organizations of the tradeway commission, www.coso.org,
geconsulteerd op 1er april 2009.
PAS56,
Business
Continuity
http://www.pas56.com/index.htm
pagina geconsulteerd op 3 april 2009.
Management
Using
BS25999
,
EUR-LEX, BICHAT, http://eur-lex.europa.eu , pagina geconsulteerd op 14 mai 2009.
Nonprofit Risk Management Center, Business Continuity Planning Course,
http://nonprofitrisk.org/tools/business-continuity/intro/1.htm
pagina geconsulteerd op 17
november 2008
Government of Oregon, Business Continuity Planning for Oregon State Agencies,
http://www.oregon.gov/DAS/EISPD/BCP/index.shtml , pagina geconsulteerd op 17
november 2008
Government
of
Oregon,
Business
Impact
Analysis,
http://www.oregon.gov/DAS/EISPD/BCP/docs/Business_Impact_Analysis_Questionnaire.do
c, pagina geconsulteerd op 17 november 2008
The National academies, Business Continuity and Disaster Recovery Planning References,
http://www.nationalacademies.org, 17 november 2008
MARSH
Nederland,
Risicomanagement
publieke
organisatie,
http://www.marsh.nl/sectorNL/overheid/MRC_Risicoanalyse.php , pagina geconsulteerd op 7
december 2008
Amelior Center for Excellence, Procesmanagement als pijler van uitmuntendheid,
http://www.amelior.be/ndl/artikels/artikel.asp?c=4&sc=9&a=179&tc=1 pagina geconsulteerd
op 7 december 2008
Government of Canada, Operational Security Standard - Business Continuity Planning
(BCP) Program, http://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=12324 pagina geconsulteerd
op 7 december 2008
FR Technologies, Business Continuity and Disaster Recovery, http://www.fr-tech.net/bcpdr.php#tbl-of-contents pagina geconsulteerd op 16 april 2009
Homeland
Security
Europe,
“Fail
to
prepare
and
prepare
to
fail”,
http://www.homelandsecurityeu.com/currentissue/article.asp?art=271251&issue=219 pagina
geconsulteerd op 16 april 2009
Wildinghe
Consultancy,
geconsulteerd op 16 april 2009
http://www.t-vw.nl/site2/doc_Soorten_Risicos.htm,
site
Academisch Medisch Centrum Amsterdam Kwaliteitsinstituut voor de Gezondheidszorg
CBO,
Draaiboek
Bow-Ti,
http://www.platformpatientveiligheid.nl/UserFiles/Draaiboek%20BowTie%20methode%20versie%201.0.pdf, pagina geconsulteerd op 1 mei 2009
Business Continuity Planners, “Een ICT-benadering is vaak kostbaar en ineffectief Business
continuity planning vraagt om bedrijfsbrede inzet”
http://www.bcpi.eu/downloads/artikel_it_beheer_mei_2005.pdf, geconsulteerd op 1 mei 2009
Amsterdam Graduate Business School, Doctoraalscriptie t.b.v. opleiding Bedrijfseconomie,
afdeling BIV –AO, http://dare.uva.nl/document/37031
SOFIE SENESAEL –
Government of Alberta, http://www.aema.alberta.ca/se_business_continuity_templates.cfm,
site geconsulteerd op 1 mei 2009
Pitney
Bowes,
Business
Continuity
Plan:
table
of
contents,
http://www.pb.com/bv70/en_us/extranet/contentfiles/editorials/downloads/ed_Business_Cont
inuity_BCP_Table_of_Contents.pdf , pagina geconsulteerd op 31 maart 2009
Institute
for
Business
&
Home
Safety,
Business
Continuity
Forms,
http://www.ibhs.org/business_protection/bus_cont_forms.asp , pagina geconsulteerd op 31
maart 2009
RIT
Finance
and
Administration,
RIT
Business
Impact
Analysis,
http://finweb.rit.edu/buscont/docs/bia_template_rit.doc , pagina geconsulteerd op 31 maart
2009
The Business Continuity Institute, www.thebci.org, UK. pagina geconsulteerd op 31 maart
2009
Cabinet Office of UK Government, www.ukresilience.gov.uk, UK. pagina geconsulteerd op
31 maart 2009
Business Continuity Management Academy, www.bcmacademy.be , België. pagina
geconsulteerd op 31 maart 2009
Entretiens :
Gesprek met Bart Van Herzele, Operational Risk Management bij Dexia, Business continuity
& Crisismanagement, 9 april 2009.
Gesprek met Els Goddro, Hoofd van de dienst Interne Inspectie, FOD Binnenlandse Zaken,
02 februari en 27 februari 2009.
Gesprek met Eric Thonnard, Business Continuity Planning Manager bij Belgacom,
Présentation de l’approche globale et de la méthodologie de Belgacom en matière de
business continuity planning, 19 december 2007.
Gesprek met Carolina Stevens, Departement Bestuurszaken, Vlaamse overheid, 7 mei
2009.
Présentations et séminaires :
BERNAERTS Philip, Interne Audit en ERM: een integratie, Universiteit Antwerpen
Management School Expert Class Internal Auditing, Antwerpen, Academiejaar 2004-2005.
DAMOISEAU Ronny, Risicoanalyse met betrekking tot BPR, BCM, interne Controle, FOD
Budget & Begroting, Management Support, Brussel, 18 februari 2009.
FAURE F., Présentation BCP, Sernoptès Conseil, Visite à la DG Centre de Crise, SPF
Intérieur, Bruxelles, 10 december 2007.
Business Continuity Management Congres, Kluwer, Edegem, 31 maart 2009.
Législation :
Koninklijk Besluit betreffende de interne audit binnen de federale overheidsdiensten,
Brussel, 2 oktober 2002 (BS 09/10/2002).
Koninklijk Besluit betreffende het intern controlesysteem binnen de federale overheidsdienst,
Brussel, 26 mei 2002 (BS 31/05/2002).
Koninklijk Besluit betreffende het intern controlesysteem binnen sommige diensten aan de
federale uitvoerende macht, Brussel, 17 augustus 2007 (BS 18/10/2007).
SOFIE SENESAEL –

BUSINESS CONTINUITY MANAGEMENT

Transcription

Documents pareils

LCL en un clin d`œil

le lézard, jouer les pin-up, squatter leporœaf.

Le SPF Sécurité Sociale recherche:

Communiqué de presse

Rapport C-1-FR.XLS

consulter le document

Official Gazette n° 14 of 04/04/2011 AMABWIRIZA RUSANGE N°04

qui en font plus

En voir plus - Les ateliers du miroir