Nous vous rappelons souvent l’importance d’avoir des plans de résilience (mesures d’urgence, continuité des activités, gestion de crise, relève informatique, etc.), pour votre entreprise afin d’être préparé à toute éventualité. Dans l’un de nos articles précédents, nous avions d’ailleurs abordé le volet des tests et exercices, une démarche essentielle pour valider les capacités de maintien des opérations. Toutefois, lors de ces simulations, il est possible qu’un imprévu survienne à n’importe quel moment, sans que vous vous y attendiez. Ce fait peut sembler à première vue bien évident, cependant, il constitue souvent un angle mort dans leur planification.
L’objectif de cet article est donc de vous sensibiliser à l’importance de se doter d’une procédure de contingence qui vous servira à mieux gérer une situation d’urgence lors d’un test ou d’un exercice avec vos employés. Nous fournirons quelques pistes de solutions afin de vous orienter dans ce processus.
Différence entre contingence et continuité des activités
Un plan de contingence est une procédure ou un moyen de contournement spécifique et très ciblé, tandis qu’un plan de continuité des activités est une démarche plus globale qui inclut tous les aspects à considérer pour l’élaboration, le maintien et la validation des capacités de maintien des opérations à la suite d’un indicent majeur ou d’une crise.
Quelques cas réels…
Dans le cadre de nos services, nous organisons et animons des tests et exercices de tous genres avec plusieurs entreprises et organismes. Afin de démontrer que des situations d’urgence peuvent bel et bien survenir dans de tels contextes, voici quelques exemples de cas que nous avons réellement vécus par le passé :
- Un employé de l’entreprise pour laquelle un exercice de table était en cours a souffert d’une crise cardiaque sur le lieu de travail. L’exercice a bien évidemment été suspendu et reporté.
- Lors d’un exercice de gestion de crise, des personnes agressives s’en prenaient à des employés qui se trouvaient à l’entrée de l’immeuble, ce qui a bouleversé le déroulement de l’exercice.
- À la suite d’un exercice d’évacuation, les employés devaient rentrer à l’intérieur de l’immeuble, mais au même moment, un vrai incendie s’est déclaré à l’intérieur de ce dernier.
- Lors d’un exercice de relève informatique, qui consistait à faire un basculement technologique[1] pendant la fin de semaine, les sites de relève informatique ne fonctionnaient pas comme ils devaient. L’exercice a donc été interrompu pour revenir à la normale. Toutefois, cela n’a pas fonctionné non plus. L’équipe s’est donc retrouvée devant une impasse majeure, coincée entre les technologies « normales » et celles de la relève informatique qui, dans les deux cas, ne fonctionnaient plus.
- Lors de la migration d’une mise à jour sur des serveurs informatiques, ceux-ci devaient être redémarrés à la fin du processus. Toutefois, plusieurs sont demeurés arrêtés et ne redémarraient pas.
- Lors d’un exercice de perte complète d’un étage d’une tour à bureau, les employés essentiels devaient se diriger au site de continuité des activités arrivés sur place, ils ne pouvaient pas accéder à l’autre immeuble et une fois à l’intérieur, plus de la moitié des ordinateurs n’étaient pas à jour.
- Lors d’un exercice de communication, plus du quart des titulaires d’un rôle dans le plan de gestion de crise n’étaient plus à l’emploi de l’organisation.
Il est également possible qu’un imprévu majeur se produise après avoir activé le plan de continuité des activités de votre organisation, alors qu’à ce moment, vous fonctionnez en mode dégradé et à partir d’un site alternatif avec moins de ressources pour le maintien des opérations critiques. C’est une situation que nous avons déjà expérimentée le 23 juin 2010, alors qu’un tremblement de terre d’une magnitude de 5 sur l’échelle de Richter a eu lieu à Montréal (Québec, Canada). À ce moment, le plan de continuité des activités d’un collaborateur était déjà activé depuis 2 jours à la suite de la perte d’un accès à son immeuble habituel. Heureusement, cela n’a pas eu d’impact supplémentaire. L’équipe a tout de même eu la frousse que celui-ci ne force l’entreprise à suspendre complètement ses opérations.
Alors, que devriez-vous faire ?
Comme vous pouvez le constater à la lumière des situations décrites ci-dessus, personne n’est à l’abri de situations d’incidents, et ce, peu importe le moment ou le contexte.
Voici quelques éléments à prendre en considération lors de la mise en place d’un tel plan :
- Déterminer un mot code : lors d’exercices, un mot code est utilisé pour signaler qu’une information ou un événement ne fait pas partie de l’exercice ou de la simulation, mais qu’il s’agit d’une situation réelle nécessitant une action immédiate. Ce mot est communiqué aux personnes impliquées avant de débuter l’exercice et permet une compréhension claire et une réaction appropriée de leur part lorsqu’un imprévu survient. L’expression No Duff est souvent adoptée à titre de mot code.
- Prévoir un fallback : dans le contexte des mises à jour logicielles ou des modifications de configuration, veillez à prévoir un Cela consiste en une stratégie de secours planifiée qui permet de revenir rapidement à une version précédente d’un logiciel ou de restaurer une configuration système antérieure si les changements entraînent des problèmes inattendus.
- Communiquer les actions : assurez-vous de communiquer en amont avec la direction en les prévenant de l’exercice qui aura lieu afin qu’elle puisse anticiper les perturbations que cela pourrait avoir sur les opérations de l’entreprise.
- Obtenir l’approbation pour la tenue de l’exercice : il est important que la haute direction soit informée, entre autres : des objectifs de l’exercice, des risques inhérents, des mesures prévues en cas de pépins, des participants et de la date qu’ils approuvent l’exercice.
- Prévoir une procédure de contingence: il est primordial d’élaborer une telle procédure qui servira spécifiquement à faire face à divers imprévus lors de tests et exercices.
- Considérer l’improvisation : comme dans toute situation d’urgence, il est important de se garder une part d’improvisation afin de permettre aux employés de s’adapter rapidement aux changements de circonstances, de prendre des décisions rapides et efficaces ainsi que de faire face aux imprévus avec flexibilité. Pour en apprendre plus sur le sujet, consultez cet article.
En conclusion
En entreprise, les imprévus peuvent survenir à tout moment, même lors des tests et exercices. C’est pourquoi il est crucial de se doter d’un plan de contingence spécialement conçu pour ces derniers. En adoptant une approche complète et flexible, les entreprises peuvent mieux se préparer à faire face aux aléas et maintenir leur capacité à rebondir dans toutes les circonstances.
Vous avez des questions sur la continuité des affaires auxquelles vous aimeriez que nous répondions ? Écrivez-nous via [email protected] et il nous fera plaisir de les inclure dans un article dédié aux questions de notre communauté, à venir prochainement ! Veuillez toutefois prendre note qu’aucun conseil personnalisé ne sera donné par courriel. Nous vous remercions à l’avance pour votre participation !
[1] En cas de défaillance d’un système principal, un basculement vers une solution de secours implique la transition des opérations vers une alternative fonctionnelle, telle qu’un serveur de secours ou un système de sauvegarde, pour maintenir les opérations.