Pour terminer l’année sur une note un peu plus générale, nous vous expliquons dans cet article pourquoi il est important de respecter les normes et bonnes pratiques en vigueur dans le processus de création d’un plan de continuité des affaires (PCA). Nous fournissons également quelques exemples de ces normes afin que vous puissiez vous y référer en cas de besoin. L’objectif de cet article étant de vous conscientiser, nous nous limiterons à quelques brèves explications.
Obligations légales et de conformité
Pour toute organisation, il est primordial d’appuyer une démarche de continuité des affaires sur des normes et réglementations précises ainsi que les meilleures pratiques reconnues. À ces fins, une cartographie des obligations légales, de conformité, de réglementation et du cadre d’autoréglementation en matière de continuité des affaires de l’industrie dans laquelle évolue l’entreprise devrait être réalisée. Celle-ci devrait également comprendre toutes les autres normes de type « juridiques » relatives aux PCA auxquelles elle est assujettie, incluant les obligations contractuelles avec ses clients et fournisseurs.
La plupart du temps, une organisation qui œuvre dans un secteur réglementé peut être soumise à des lois et des obligations strictes en termes de continuité des affaires, de gestion de crise et de mesures d’urgence. Voici quelques exemples : l’industrie financière, les soins de santé, l’industrie pétrochimique, le secteur de l’aviation, les services publics d’urgence, etc. Toutefois, pour les entreprises qui n’œuvrent pas dans une industrie réglementée avec des contraintes en termes de PCA, il peut être plus difficile de se retrouver parmi toutes les autres réglementations et normes existantes.
Les normes courantes
De manière générale, les industries s’appuient sur de bonnes pratiques reconnues par des organismes réputés, mais également par des organismes secondaires qui promeuvent des approches et des référentiels supplémentaires. Il existe plusieurs normes et réglementations nationales et internationales encadrant les PCA désignées par « bonnes pratiques » lorsqu’on y fait référence.
Ainsi, plusieurs ressources et organismes définissent les bonnes pratiques en matière de PCA. Ces organismes effectuent de la recherche, des études, des analyses et sondages, dispensent de la formation spécialisée afin de former des professionnels et accordent des certifications reconnues internationalement à des organisations et spécialistes, une fois les processus d’évaluation complétés. Ces certifications sont importantes autant pour les entreprises que les professionnels. Voici pourquoi :
- Lorsque détenue par un expert, elles assurent le public et les organisations que ceux-ci ont complété toutes les formations reconnues, possèdent l’expérience nécessaire et se maintiennent à jour via un processus rigoureux de suivi.
- Lorsque qu’une certification est décernée à une entreprise, cela permet de démontrer à tout l’écosystème que ses employés, systèmes, services, produits et/ou processus répondent à des normes ou référentiels reconnus.
Bonnes pratiques et normes PCA les plus courantes
Voici quelques exemples d’organismes internationaux reconnus depuis de nombreuses années en matière de bonnes pratiques, normes et standards. Plusieurs organismes de réglementation, d’autoréglementation et législatifs s’appuient sur celles-ci :
- Business Continuity Institute
- Disaster Recovery Institute Canada (DRI)
- Disaster Recovery Institute International (DRII)
- ISO 22301 – Sécurité et résilience — Systèmes de management de la continuité d’activité
Autres ressources disponibles*
En plus des quatre (4) sources mentionnées au paragraphe précédent, nous vous invitons à consulter les organismes ci-dessous afin de vous renseigner davantage sur les normes et bonnes pratiques PCA ainsi que sur des volets complémentaires à considérer dans le cadre du PCA :
- ASIS
- Canadian Standards Association (CSA) – Z1600
- Disaster Recovery Journal (DRJ)
- Gartner
- International Association of Emergency Managers (IAEM)
- ISO 27000 – Technologies de l’information — Techniques de sécurité — Systèmes de management de la sécurité de l’information
- ISO 27031 – Technologies de l’information — Techniques de sécurité — Lignes directrices pour la préparation des technologies de la communication et de l’information pour la continuité d’activité
- ISO 31000 – Management du risque — Lignes directrices
- National Fire Protection Association (NFPA) – 1600
- Programme de sécurité civile du Québec
- United Nations Office for Disaster Risk Reduction (UNDRR)
* Liste partielle
En conclusion
Vous avez besoin d’un expert pour vous aider à mettre en place votre plan de continuité des affaires (PCA), tout en vous assurant de respecter les normes et les réglementations applicables à votre industrie ? Benoit Racette Services-conseils inc. peut vous accompagner dans cette démarche. Nous offrons une approche personnalisée en lien avec votre stratégie d’affaires, en plus de solutions novatrices qui s’appuient sur les meilleures pratiques. Contactez-nous dès maintenant : [email protected].