Pour Comprendre l’organisation et son environnement, les dirigeants des organisations résilientes doivent comprendre au niveau du conseil d’administration l’environnement dans lequel leurs organisations opèrent et être conscients des changements qui peuvent représenter un risque pour politiques, leurs stratégies, leurs plans d’action, leurs employés, leurs installations, leurs activités, leurs produits, leurs services et leurs chaînes d’approvisionnement. Ces dirigeants voient l’environnement comme:
Certains de ces changements sont prévisibles, comme la concurrence mondiale croissante pour les matières premières et les combustibles fossiles;
Certains changements sont probables, comme l’augmentation de la volatilité financière et la réglementation des marchés;
D’autres changements sont possibles, tels que l’impact des catastrophes naturelles des guerres et des actes terroristes.
Une organisation ne contrôle pas son environnement externe, mais les gestionnaires doivent comprendre le contexte culturel, politique, juridique, réglementaire, technologique, économique, naturel et concurrentiel de plus en plus complexe dans lequel évolue leur organisation. La plupart des changements affecteront l’environnement stratégique et opérationnel de l’organisation.
Les dirigeants doivent surveiller les principaux problèmes et tendances qui peuvent avoir un impact sur les politiques, la stratégie et les objectifs de l’organisation, ainsi que sur les perceptions et les valeurs des parties prenantes externes. À mesure que des changements surviennent dans l’environnement externe, il est nécessaire de constamment revoir la pertinence de la vision, des valeurs, de l’éthique et de la culture de l’organisation; l’efficacité et la contribution de ses capacités et de ses actifs, y compris les bâtiments, l’équipement, les personnes, les informations et les conceptions; l’efficacité de ses procédures, activités et services; et la volonté de l’organisation de prendre des risques.
Dans la science de gestion, des outils existent pour aider les dirigeants à déterminer les activités critiques et à attribuer des niveaux de performance et des périodes de perturbation acceptables.
La compagnie IBM utilise quatre niveaux pour prédire la capacité d’une organisation à résister à un événement potentiellement perturbateur de ses systèmes d’information:
1- niveau platine, |
3- niveau argent |
2- niveau or, |
4- niveau bronze. |
Les niveaux platine-or, exigent une disponibilité quasi continue de 99, 99% avec une récupération de service de moins de cinq minutes au niveau local et de moins de deux heures pour le centre de données. Source. IBM-IBM Global Technology Services (2009).
La Politique et la planification de l’organisation résiliente
Les organisations doivent établir et mettre en œuvre des processus formels pour identifier, analyser, évaluer et traiter les risques. Ces risques comprendront les dangers et les menaces intentionnels, non intentionnels et d’origine naturelle susceptibles d’avoir un impact sur les actifs, les opérations et la chaîne d’approvisionnement de l’organisation.
Une organisation résiliente nécessite d’abord un engagement politique au niveau du conseil d’administration pour éviter, prévenir et réduire la probabilité et les conséquences d’événements perturbateurs. Cet engagement devrait normalement prendre la forme d’une déclaration de politique, l’allocation de ressources pour renforcer et maintenir la capacité de l’organisation à surmonter les événements perturbateurs et des évaluations de routine des procédures de continuité des activités de l’organisation. Ces déclarations fournissent un cadre de référence qui encourage chacun à rester attaché à la vision et à l’objectif de l’organisation, même en période de perturbation et de crise.
Les organisations doivent élaborer des plans de continuité des activités pour faire face à une gamme de menaces potentielles. La continuité des activités trouve ses racines dans la reprise après sinistre, ce concept a élargi sa portée et est maintenant utilisé pour décrire la continuité dans toute l’entreprise, des installations aux personnes en passant par les communications. En 2006, le British Standards Institute a publié un code de pratique national et une spécification pour la continuité des activités qui ont depuis été adoptés par un certain nombre de pays en tant que norme internationale de facto.
Les plans et procédures qui définissent la manière dont les domaines d’activité critiques continueront de fonctionner lors d’événements perturbateurs deviennent de plus en plus sophistiqués et connectés. ». Source. KPMG-FR (2013).
Les organisations coopèrent de plus en plus dans le partage d’informations sur les menaces et les dangers potentiels. Mais dans certains cas des pays centralisés, les organisations peuvent ne pas souhaiter investir autant qu’elles le devraient dans le renforcement de la résilience et s’exposer ainsi à des risques excessifs.
La mise en œuvre et le fonctionnement de l’organisation résiliente
L’ISO/ Organisation internationale de normalisation a proposé une norme internationale sur la résilience sociétale (ISO / PAS22399, 2009), ainsi que les Etats Unis ont proposé une norme américaine (ANSI / ASIS SPC.1-2009) qui soulignent l’importance pour la direction de fournir des ressources suffisantes pour établir, mettre en œuvre, maintenir et améliorer la résilience organisationnelle.
Les ressources comprennent des informations, des outils de gestion et un soutien financier, ainsi que des personnes ayant des compétences et des connaissances spécialisées. Ces deux normes soulignent l’importance des exercices et d’autres moyens pour tester la pertinence et l’efficacité des plans, processus et procédures d’une organisation, y compris les relations avec les parties prenantes et les dépendances de l’infrastructure. Les exercices doivent être conçus et mis en œuvre de manière à limiter les et expose les personnes, les actifs et les informations à un risque minimum. Ils doivent être menés régulièrement ou à la suite de changements importants dans la mission et / ou la structure de l’organisation, et les leçons apprises doivent être formellement enregistrées dans un rapport post-exercice. Ces rapports devraient évaluer la pertinence et l’efficacité des plans, processus et procédures de gestion des risques et de continuité des activités de l’organisation, y compris les non-conformités, et devraient proposer des actions correctives et préventives.
Les audits internes sont également un outil de gestion essentiel car ils garantissent que les organisations respectent les exigences réglementaires et, le cas échéant, sont conformes aux normes internationales et nationales.
Les organisations ont besoin de personnes compétentes grâce à l’éducation, à la formation et à l’expérience pour élaborer et mettre en œuvre des plans de gestion des risques et de continuité des activités. Elles ont besoin de personnel et d’employés capables d’identifier les dangers, les menaces et les risques importants, ainsi que les impacts potentiels associés à leur travail, et peuvent appliquer des procédures pour réduire la probabilité et gérer les conséquences d’un événement perturbateur. Bien que les membres du personnel puissent se rassembler immédiatement après un événement, la planification de la résilience doit tenir compte de l’impact psychologique d’une catastrophe, et cet impact peut ne pas devenir évident avant un certain temps. De manière significative, (la planification de la résilience) doit être suffisamment flexible pour faire face si un nombre important de membres du personnel est incapable ou refuse de travailler après une catastrophe. ». Source. KPMG-FR (2013).
L’Adaptabilité et la flexibilité de l’organisation résiliente
Le monde contemporain vit en constante évolution grâce à des processus naturels et dans certains cas à l’intervention de l’humanité. La littérature sur la résilience admet que les systèmes, les organisations et les personnes capables et désireuses de s’adapter au changement ont tendance à être plus résilients. En cas de catastrophe, les plans de continuité peuvent devoir être radicalement adaptés pour refléter les nouvelles circonstances, ou dans certains cas abandonnés pour garantir que des mesures appropriées et réfléchies sont prises.
La réflexion sur la résilience devrait encourager l’adaptabilité et la flexibilité. Au niveau stratégique, une perturbation majeure peut nécessiter une transformation de l’organisation vers un nouveau modèle d’affaires avec une nouvelle structure organisationnelle. Au niveau opérationnel, il peut être nécessaire de déplacer des ressources ou de travailler avant, pendant ou immédiatement après une catastrophe.