Défis clés et stratégies pour la résilience opérationnelle en 2025

La résilience opérationnelle est devenue un pilier important du succès des organisations.  Aujourd'hui, celles-ci doivent non seulement prouver leur capacité à réagir aux perturbations, mais aussi démontrer leur conformité aux normes et règlements internationaux toujours plus exigeants.

Cet article explore les processus et outils que les organisations peuvent utiliser pour suivre, gérer et démontrer efficacement leurs capacités de résilience. Ainsi, elles peuvent s'assurer qu'elles sont prêtes à faire face, à réagir et à se remettre des événements perturbateurs.

‍

Continuez à lire pour en savoir plus sur :

• La définition, le contexte et la réglementation de la résilience opérationnelle
• Les piliers clés et les défis de la résilience opérationnelle
• Les stratégies et conseils pratiques pour accroître la résilience

‍

Veuillez garder à l'esprit que nous utiliserons une terminologie qui peut différer de la vôtre, alors n'hésitez pas à adapter les concepts à votre contexte.

Notez d’ailleurs que cet article est une continuation du webinaire de juin 2024, de notre série Perspectives. Nous vous invitons à découvrir nos prochains webinaires Perspectives dès maintenant.

Article rédigé par Marion Escriu, ISO 22301, conseillère principale en continuité et résilience organisationnelle

Définition et contexte de la résilience opérationnelle

Selon la Banque d'Angleterre, la résilience opérationnelle fait référence à la capacité d'une entreprise à absorber et à s'adapter aux chocs et aux perturbations.

Au-delà de la continuité des activités et de la relève informatique, les organisations doivent anticiper les risques, développer des stratégies et mettre en œuvre des mesures pour renforcer la résilience de leurs opérations face à des événements imprévus.

Historiquement, le concept de résilience opérationnelle a pris de l'ampleur au cours des 15 dernières années, notamment après le krach boursier de 2008. Les gouvernements et autres institutions mondiales ont cherché à protéger les personnes et les marchés en rendant les organisations plus résilientes, notamment les institutions financières et les secteurs d'infrastructure critique.

Développer et maintenir un programme de résilience opérationnelle est obligatoire pour certains secteurs, tels que la finance, l'assurance et les soins de santé, tandis que pour d'autres, ce n'est pas le cas.

Cette situation peut sembler similaire à la continuité des affaires, où certaines organisations doivent se conformer aux règlements de leurs secteurs tandis que d'autres cherchent simplement à mettre en œuvre de bonnes pratiques.

Dans tous les cas, que ce soit obligatoire ou non, la résilience opérationnelle doit être considérée comme une opportunité de développer proactivement la résilience.

Selon le rapport sur la résilience opérationnelle 2024 de l'Institute of Business Continuity (BCI), 58,5 % des organisations ont mis en œuvre la résilience opérationnelle pour des raisons de bonne pratique en 2024.

Source : The BCI Operational Resilience Report 2024

‍

Qu'en est-il des réglementations sur la résilience opérationnelle ?

En bref, il n'existe pas de manuel universel pour la résilience opérationnelle. Bien que le marché financier puisse être considéré comme l'industrie pionnière, les réglementations varient et se superposent d'un pays à l'autre, d'une région à l'autre et d'un secteur à l'autre.

Par exemple, les régulateurs du secteur financier à travers le monde ont introduit des directives et des exigences pour s'assurer que les organisations identifient leurs services d’affaires importants et mettent en œuvre des mesures pour les aider à résister aux perturbations tout en restant opérationnelles.

En 2024, 66,2 % des organisations ont déclaré devoir se conformer à jusqu'à cinq réglementations différentes, et 18,4 % à plus de cinq

Source : The BCI Operational Resilience Report 2024

‍

Réglementations importantes sur la résilience opérationnelle

• Europe: Digital Operational Resilience Act (DORA) ‍
• Royaume-Uni: PRA Supervisory Approach to Operational Resilience‍
• États-Unis: Sound Practices to Strengthen Operational Resilience ‍
• Canada: OSFI Guidelines ‍
• Australie: CPS 230 Standard ‍
• Singapoure: ORM - Management of Third-party Arrangements

‍

Pour plus de détails, consultez notre article : « Qu'est-ce que la Résilience Opérationnelle »

‍

Les défis de la résilience opérationnelle

Quels défis pouvez-vous anticiper lors du développement des principes de résilience opérationnelle dans votre organisation ?

Quels sont les principaux obstacles et étapes dans un parcours de résilience opérationnelle ?

Explorons six défis clés :

6 défis clés de la résilience opérationnelle

‍

1. Définir la gouvernance et coordonner les programmes et activités de résilience

Dans tous les secteurs, développer une structure de gouvernance robuste pour coordonner les activités de résilience constitue l'un des premiers défis et étapes. Intégrer la résilience opérationnelle dans les opérations centrales d'une organisation peut être intimidant.

Notre conseil : intégrer la résilience stratégiquement dans les structures existantes

Bien que chaque organisation soit unique et fonctionne dans son contexte spécifique, normaliser la définition des rôles et des responsabilités selon la structure de gouvernance existante de l'organisation est souvent utile.

‍

Marie-Hélène Primeau, vice-présidente principale de Premier Continuum/ParaSolution, conseille : « La clé du succès de la résilience opérationnelle réside non pas dans la création de nouveaux cadres à partir de zéro, mais dans l'utilisation efficace des structures existantes soutenues par la direction de l'organisation. »

‍

Une approche pratique consiste à intégrer la résilience opérationnelle dans les structures de gouvernance existantes telles que les comités de continuité des activités, de risque opérationnel ou de sécurité de l'information. En partageant la responsabilité ou en impliquant des parties prenantes supplémentaires, les organisations peuvent améliorer la responsabilité globale. Il est également vrai que toutes les organisations ne peuvent pas se permettre d'allouer des équipes dédiées exclusivement à la résilience en raison de contraintes budgétaires.

La gouvernance ne concerne pas seulement qui est impliqué ; elle englobe également les processus internes, les activités coordonnées, les examens de gestion et les structures de documentation. Une gouvernance efficace exige donc une évaluation continue et une adaptation, garantissant que les processus non seulement respectent les normes actuelles mais évoluent également en réponse à de nouveaux défis et opportunités. Cette approche adaptative nécessite une collaboration et un engagement à tous les niveaux de l'organisation, non seulement pour les développer mais aussi pour les maintenir et les améliorer.

En fin de compte, tirer parti des collaborations entre secteurs à travers des « réunions de référence » pourrait être précieux pour améliorer la résilience organisationnelle. Ces réunions offrent une plateforme pour rester informé des défis communs et des solutions innovantes au sein de l'industrie, échanger des meilleures pratiques et discuter des tendances en matière de risque.

‍

2.  Identifier les services d’affaires importants (Important business services - IBS)

Sans surprise, les organisations ont souvent des structures opérationnelles de plus en plus complexes et interconnectées. Identifier les services critiques peut être un véritable défi, car cela nécessite une compréhension approfondie des fonctions centrales de l'organisation et de leurs dépendances, tant internes qu'à travers la chaîne d'approvisionnement. Bien que tous les services puissent contribuer à la continuité des activités, tous ne sont pas des services d’affaires importants d'un point de vue réglementaire.

Généralement, nous considérons que :

• Les activités priorisées sont des activités qui, si elles sont interrompues, auraient un impact élevé ou très élevé sur l'organisation et, par conséquent, un impact indirect sur les clients et les parties intéressées.
• Les services d’affaires importants sont des services qui, si interrompus, affecteraient l'intégrité du marché et toucheraient directement les clients.

‍

Par exemple, nous pourrions considérer la paie comme une activité priorisée. Elle est essentielle aux opérations quotidiennes mais ne qualifie pas comme un service d’affaires important, car son interruption n'affecterait pas directement le marché ou les services essentiels des clients.

En revanche, le traitement des réclamations dans une compagnie d'assurance est crucial pour son fonctionnement et impacte directement les clients, en faisant un exemple clair de service d’affaires important.

Notre conseil : Utiliser des outils pratiques pour mesurer les tolérances aux impacts

Tolérances aux impacts

Pour mieux définir votre tolérance aux impacts dans un contexte de résilience opérationnelle, nous conseillons généralement de commencer par la matrice des impacts de votre organisation. Dans de nombreuses organisations, la matrice des impacts est déjà approuvée et connue. Vous pouvez ensuite ajouter une catégorie relative aux services orientés vers les clients. Cette approche vous permet d'éliminer directement les services non orientés client et d'aligner les stratégies de récupération avec les priorités organisationnelles et les attentes des clients.

Cartographie de bout en bout

La cartographie de bout en bout est essentielle à la résilience opérationnelle. Cette approche implique de partir des services d’affaires importants définis et de cartographier systématiquement toutes les activités et les processus qui contribuent à ces services critiques. Cette cartographie complète aide à comprendre la portée totale de l'impact de chaque service d’affaires importants et ses dépendances.

Par exemple, prenons un exemple de haut niveau de la cartographie de bout en bout : le traitement des transactions financières.

En partant de l'interaction initiale avec le client jusqu'à la publication finale de la transaction, chaque étape, y compris la vérification, le traitement et la déclaration, est cartographié pour mettre en évidence les dépendances en termes de technologie, de personnel, d'équipement et de site.

En utilisant la cartographie de bout en bout, les organisations peuvent identifier les vulnérabilités, évaluer l'impact des perturbations potentielles sur la livraison des services et améliorer leur réponse stratégique globale aux incidents.

Cartographie des dépendances

La cartographie des dépendances est un processus qui consiste à identifier et à documenter les connexions avec divers composants des opérations d'une organisation : les parties prenantes, les fournisseurs, les systèmes informatiques, les équipements, etc.

Cette approche implique d'enquêter, d'interviewer et d'explorer en profondeur pour capturer le degré de dépendance et les stratégies en place. En pratique, cette activité n'est pas facile. Selon ce qui est le plus naturel pour votre organisation, la cartographie des dépendances pourrait faire partie d'un BIA (bilan d’impact sur les activités) ou d'un document distinct d'évaluation des dépendances. Il est également important de se rappeler que les mesures alternatives identifiées doivent être testées et pratiquées.

Lorsque nous parlons de dépendances externes, nous faisons référence à la résilience de la chaîne d'approvisionnement, ce qui va au-delà de l'identification de nos dépendances. Cela signifie interroger nos fournisseurs pour vérifier leur résilience. C'est pourquoi de nombreuses organisations posent une série de questions dès le début de la relation, au cours du processus de négociation. Cependant, il faut rester vigilant, car cela repose sur la bonne foi et ce qu'ils sont prêts à accepter en termes de conséquences. Si le fournisseur accepte l'idée de pénalités financières, alors des procédures intérimaires solides sont plus importantes que jamais.

Voici quelques exemples de questions à poser lors de l'examen des dépendances de la chaîne d'approvisionnement :

• Les services fournis
• La durée maximale tolérable de perturbation (DMTP)
• Les mesures selon les scénarios d'incidents identifiés, les mesures de résilience en place, le niveau de préparation, le temps d'activation
• Le nom du site ou fournisseur alternatif qualifié qui pourrait être utilisé (le cas échéant)
• Le niveau d'impact sur les opérations

Bien entendu, des preuves de cela doivent être fournies chaque fois que possible. Un travail similaire sera ensuite réalisé pour toutes les dépendances importantes.

‍

3. Évaluer les risques et les menaces

L'évaluation des risques et des menaces est peut-être bien connue de votre équipe de gestion des risques intégrés, mais dans notre cas, la prise en compte des impacts sur le marché et les clients doit être prédominante, surtout en termes de risque opérationnel.

Réévaluer notre appétit pour les risques opérationnels devient essentiel. Par exemple, bien qu'une organisation puisse être prête à accepter certains risques liés au climat, l'influence directe des conditions du marché et des interactions avec les clients sur les risques opérationnels nécessite un appétit pour le risque beaucoup plus conservateur.

L'évaluation des menaces doit être abordée à travers différents horizons temporels, en considérant à la fois les niveaux de risque inhérents et résiduels à court et à long terme, et à travers les différents sites ou emplacements de l'organisation.

Alors que le profil de risque peut être construit par l'équipe de gestion des risques, il est également important de tirer parti des contributions des experts en la matière (concernant les services d’affaires importants identifiés pour mieux comprendre les « raisons et explications ».

Notre conseil : Visualiser les évaluations des menaces

Visualiser les évaluations des menaces peut être particulièrement puissant, offrant une vue claire et exploitable pour les dirigeants et les auditeurs, et démontrant une compréhension approfondie du paysage actuel des risques de l'organisation.

Pour évaluer efficacement ces risques, des outils tels que la matrice de probabilité et de conséquence sont essentiels, surtout lorsque les opérations s'étendent sur plusieurs sites. Il est important de reconnaître que les évaluations des risques peuvent varier considérablement entre les sites, nécessitant une approche adaptée à chaque emplacement. Ce processus aide à élaborer un profil de risque nuancé qui intègre ces résultats avec les objectifs stratégiques de l'organisation.

‍

4. Planifier des stratégies et des réponses

Lorsqu'il s'agit de discuter des vulnérabilités et de l'évaluation des risques, il est crucial que notre approche soit guidée par des scénarios d'incidents spécifiques.

Voici quelques exemples de modélisation de scénarios :

Remarques:

• Les scénarios doivent être plus précis et détaillés en fonction des secteurs spécifiques et du modèle opérationnel.
• L'un des défis dans la planification des stratégies et des réponses pour la résilience opérationnelle est de décider s'il faut élaborer des plans distincts spécifiquement adaptés à la résilience opérationnelle et de déterminer le niveau de détail que ces stratégies doivent englober.

Les stratégies et les solutions dans nos plans doivent être spécifiquement adaptées à ces scénarios et doivent soigneusement prendre en compte les dépendances capturées.

‍

Nos conseils pour rendre vos plans réels plus précis et spécifiques :

• Commencez par évaluer les stratégies et les solutions déjà en place.
• Assurez-vous que votre solution est non seulement mise en œuvre mais aussi rigoureusement testée, validée et documentée. Ces trois éléments cruciaux sont indispensables pour déterminer précisément votre niveau de préparation.
• Fournissez des informations plus détaillées décrivant des solutions spécifiques pour chaque étape d'un événement et pour différents délais. Une identification de stratégie à un niveau élevé est souvent insuffisante ; il est donc essentiel de lister méticuleusement les solutions à mettre en œuvre pour chaque phase afin d'assurer une gestion efficace et adaptée des situations.

‍

5. Tester des scénarios

Le test des scénarios est un autre pilier important d'un programme de résilience opérationnelle. Nous pouvons identifier trois défis liés à cette exigence :

• Scénarios graves, mais plausibles
• Croisement des données
• Preuve des tests

‍

Nos conseils

Les tests de scénarios dans un contexte de résilience opérationnelle impliquent l'évaluation de « scénarios graves, mais plausibles » qui pourraient potentiellement impacter notre organisation.

Pour s'assurer de la réalisation d'exercices qui sont graves par leur impact mais plausibles par leur réalisme, il est important de prendre en compte :

1. Les tolérances d'impact définies pour les services d’affaires importants
2. Les scénarios d'incident
3. Les solutions et dépendances cartographiées

Les tests pourraient impliquer le retour à des processus manuels papier dans les 12 heures avec l'objectif de réintégrer les données dans le système une fois qu'il est opérationnel. Cela permet non seulement de tester le scénario mais aussi de documenter les résultats et d'identifier les lacunes nécessitant des améliorations. Ces constatations doivent ensuite être intégrées dans le cycle de révision. À un niveau plus granulaire, les tests doivent vérifier si des actions spécifiques peuvent être exécutées comme prévu.

Le croisement des données

Le croisement des données implique de valider la cohérence et l'exhaustivité à travers plusieurs ensembles de données, y compris les exercices et crises passés. Cette méthode est essentielle pour élaborer des scénarios plus réalistes et optimiser l'allocation des ressources en comparant les données historiques avec les capacités opérationnelles actuelles.

Lors de la gestion de grandes quantités d'informations interconnectées, l'utilisation d'outils d'automatisation pour l'intégration des données peut considérablement réduire le temps et améliorer la précision. Priorisez le croisement des exercices passés qui ont été correctement documentés ou nécessitent une répétition, ou ceux qui ont été les moins réussis, pour s'assurer que la préparation est élevée à un niveau acceptable.

La preuve des tests

La preuve des tests se réfère à la documentation complète et aux preuves démontrant que les activités de test ont été effectuées et évaluées, souvent à des fins d'audit ou pour répondre à des exigences réglementaires spécifiques. Par exemple, cette méthode peut enregistrer les actions correctives prises lorsque des échecs sont identifiés, garantissant que toutes les modifications sont efficaces et vérifiées, ou les approbations et signatures formelles des parties prenantes concernées pour valider que toutes les normes requises sont respectées. La preuve des tests est une méthodologie où la documentation est essentielle. Soyez rigoureux et minutieux !

‍

6. Évaluer sa conformité

Dans le contexte de la résilience opérationnelle, la conformité implique de respecter scrupuleusement les normes et réglementations pertinentes, telles que l'ISO 22301, qui sont cruciales pour établir un cadre solide au sein de l'organisation. Pour démontrer efficacement la conformité, il est essentiel de maintenir une documentation complète de l'adhésion à ces normes.

Nos conseils : se planifier et bien documenter

Établir et suivre les indicateurs clés et les métriques

Le suivi de la conformité implique l'utilisation d'indicateurs clés de risque (KRI), d'indicateurs clés de performance (KPI) et d'autres métriques spécifiques à la résilience opérationnelle pour évaluer les progrès de l'organisation dans l'intégration des pratiques résilientes. Cela aide non seulement à surveiller l'efficacité des stratégies mises en œuvre, mais aussi à les ajuster si nécessaire.

Conserver des traces d'audit

De plus, il est crucial de maintenir une trace d'audit détaillée et à jour qui enregistre toutes les revues, les approbations et les mises à jour pour garantir la transparence et la responsabilité dans la démonstration de la conformité. La présentation graphique de ces informations peut considérablement améliorer la clarté, offrant aux parties prenantes une compréhension immédiate du statut de conformité de l'organisation.

Des outils de reporting flexibles qui s'adaptent aux divers besoins de conformité et de conformité sont également essentiels, car ils permettent une récupération et une présentation efficaces des informations pertinentes, facilitant ainsi une meilleure gestion et supervision des processus de conformité dans le domaine de la résilience opérationnelle.

‍

Prêts à renforcer votre résilience opérationnelle ?

En conclusion, la résilience opérationnelle a un champ d'application plus large, mais est plus précise dans son application que la continuité des activités. Gérer la résilience opérationnelle implique de naviguer dans des eaux familières avec des outils améliorés et des connaissances partagées. Cela consiste à maximiser les mécanismes existants et à s'assurer que chaque partie de l'organisation progresse de concert vers une résilience accrue.

Ce faisant, les organisations peuvent non seulement protéger leurs opérations, mais aussi transformer les perturbations potentielles en opportunités de croissance et d'apprentissage.

Vous souhaitez en savoir plus sur la résilience opérationnelle et son application pratique ? N'hésitez pas à nous contacter!

‍

Article rédigé par Marion Escriu, ISO 22301, conseillère principale en continuité et résilience organisationnelle