Que peut nous apprendre le secteur technologique en matière de planification de la continuité des activités et de CEM de l'expérience CEM?
30 janvier 2023
·Blog
·Ryan Burrus
Certains biologistes prédisent une probabilité croissante que la Covid ne soit pas la dernière pandémie que nous connaîtrons au cours de notre vie. Ce n'est là qu'un des nombreux éléments qui empêchent les responsables de la planification d'urgence de dormir la nuit, et une raison supplémentaire pour laquelle la planification de la continuité des activités (PCA) doit être intégrée dans la structure même de nos organisations.
Cependant, chaque organisation est unique, et certains risques sont plus présents dans certains secteurs ou industries. Par exemple : un incident dans une usine de fabrication peut entraîner des pertes de plusieurs millions de dollars en quelques minutes seulement. Mais cela n'est pas particulièrement pertinent pour une université, par exemple, ou pour un établissement de santé. Le contexte est vraiment important.
C'est pourquoi, dans les semaines à venir, nous nous pencherons sur la critical event management (CEM) dans le contexte de secteurs spécifiques. Pour lancer cette discussion sur la continuité des activités, j'aimerais mettre en avant notre propre approche, en tant qu'éditeur de logiciels axé sur la sécurité et la sûreté et opérant à l'échelle mondiale.
BCP dans le secteur technologique
Comment une entreprise technologique telle que BlackBerry organise-t-elle ses propres CEM ? Comment assurer la sécurité et la réactivité de nos employés en cas de crise ou d'urgence ? Et quels sont les éléments les plus importants duCEM que toute entreprise technologique ou logicielle doit mettre en place ?
Pour obtenir des réponses, nous avons discuté avec Laura Beattie, directrice de la continuité des activités et de la gestion des sinistres chez BlackBerry. Laura possède près de 20 ans d'expérience dans ce domaine et a dirigé la réponse de BlackBerry lors de plusieurs situations d'urgence, notamment la pandémie.
Laura a identifié quatre points clés que les entreprises technologiques doivent prendre en compte pour se préparer aux catastrophes. Et, bien que ces points soient issus de son expérience dans une entreprise spécialisée dans les logiciels, les conseils qu'elle donne peuvent également s'appliquer à de nombreuses autres organisations.
Voici les commentaires de Laura tirés de ma conversation avec elle.
BCP Numéro 1 : Se préparer aux catastrophes
« Combien d'organisations avaient régulièrement mis en pratique leur plan de lutte contre la pandémie avant la COVID-19 ? Aujourd'hui, les entreprises technologiques mondiales sont confrontées à une grande variété de situations d'urgence, allant des incendies de forêt aux violentes manifestations en passant par les failles de sécurité. Vous avez besoin de plans éprouvés qui peuvent être rapidement activés en cas d'événements imprévus. Cela inclut des plans de gestion de crise, d'intervention d'urgence et de continuité des activités. Garder ces documents dans un tiroir ne sera pas très efficace si personne ne les connaît. »
Mise en pratique de vos plans de continuité des activités
« En organisant régulièrement des exercices, vous pouvez renforcer vos processus et mettre tout le monde en condition pour réussir lors d'événements réels. Même si vos processus ne sont pas encore parfaits, commencez à les tester et organisez des exercices sur table avec des scénarios fictifs. Imaginez la situation suivante : que feriez-vous si un employé mécontent entrait dans l'un de vos bâtiments et annonçait qu'il avait posé une bombe ? Que feriez-vous si certains de vos employés « points de défaillance uniques » tombaient malades et s'absentaient pendant un certain temps ? Élaborez des scénarios et demandez à vos collaborateurs clés de discuter de leurs réactions face à ces situations. »
BCP Numéro 2 : Disposer des ressources adéquates pour réagir
« Un autre défi pour de nombreuses entreprises technologiques est le manque de ressources ou d'expertise dédiées au sein de leur personnel. Il est donc difficile d'élaborer des plans à l'avance et de les mettre en œuvre. Dans de nombreux cas, les employés cumulent plusieurs fonctions, et les petites entreprises de logiciels sont moins susceptibles de disposer d'équipes opérationnelles 24 heures sur 24 et 7 jours sur 7 pour surveiller les impacts mondiaux et identifier les employés concernés, surtout maintenant que les employés travaillent depuis n'importe où. »
Comment constituer des équipes chargées de la continuité des activités
« La clé est de s'appuyer sur ce que vous avez déjà mis en place. Pour votre processus de gestion des crises, vous disposez probablement déjà de contacts clés sur chaque site ou dans les régions où vous intervenez en cas d'incident. Il peut s'agir de vos bénévoles d'urgence, du personnel des ressources humaines, de la sécurité, etc. Vous pouvez commencer à constituer des équipes locales de gestion des incidents avec ces contacts clés, ainsi qu'avec des cadres supérieurs représentant les groupes commerciaux implantés dans ces régions.
Une fois ces groupes constitués pour chaque zone, vous pouvez mettre en place des listes de distribution globales afin que, en cas d'incident, vous disposiez d'un fil de communication avec l'équipe locale, ce qui permet à tout le monde d'être sur la même longueur d'onde. Ces équipes peuvent contribuer à la connaissance de la situation et fournir des orientations.
Ensuite, vous constituez une équipe exécutive de gestion de crise composée de vos hauts dirigeants. Vous transmettez les informations à cette équipe lorsque les conséquences sont plus graves et lorsque vous avez besoin d'orientations générales, par exemple pour décider de fermer tous vos sites en raison de la pandémie. Vous avez désormais établi une chaîne de commandement claire et vous disposez d'un cadre pour votre processus de gestion des incidents et des crises.
BCP Numéro 3 : Hiérarchisation des risques
« Avec tant de choses à prendre en compte, comment savoir où concentrer vos efforts ? Disposez-vous d'une infrastructure système critique qui vieillit et pour laquelle vous n'avez pas de plan de basculement ? Quels efforts avez-vous consacrés à la planification de la relève ou à la formation croisée pour vos points de défaillance uniques ? Dans quelle mesure dépendez-vous de vos tiers ? ont-ils des plans de continuité d'activité en place ? Tous ces éléments représentent des risques potentiels pour votre organisation.
Les entreprises technologiques doivent désormais faire face à des situations d'urgence qui se chevauchent. Beaucoup d'entre nous travaillent à domicile, mais que se passerait-il si certains de vos employés, alors qu'ils travaillent à domicile, étaient déplacés en raison d'incendies de forêt ou d'ouragans ? Cela ajoute une couche supplémentaire de complexité à la planification de la continuité des activités.
Comment établir les priorités dans la planification du PCA
« Pour évaluer vos risques, vous devez comprendre leurs répercussions et mettre en place les plans nécessaires. Établissez vos priorités en commençant par ce que vous identifiez comme le risque le plus élevé pour votre entreprise. Du point de vue de la sécurité, vous avez peut-être des bureaux ou des employés dans des régions où les inondations ou les tornades sont fréquentes. Du point de vue de la continuité des activités, nous évaluons les risques liés à la perte de sites, de personnes, de technologies et de tiers. »
BCP Numéro 4 : Assurer une communication cohérente, rapide et précise
« Si vos messages d'urgence sont retardés ou contiennent des informations inexactes, cela discréditera votre communication avec vos employés. Par exemple, si votre alerte indique qu'un agresseur est en fuite dans la zone, alors que la personne a été appréhendée il y a une heure, votre message n'est plus pertinent et les employés commenceront à l'ignorer, car ils n'y verront plus d'intérêt.
Une chose que j'ai apprise en matière de communication dans les moments difficiles, c'est que les employés attendent davantage — plutôt que moins — de leurs employeurs. Ils veulent savoir que leurs employeurs se soucient de leur sécurité et de leur bien-être, qu'ils sont au courant de ce qui se passe et qu'ils font preuve de transparence quant à la direction prise par l'entreprise pour relever les défis en matière de communication.
Comment améliorer les communications en cas d'événement critique
« L'utilisation de la technologie permet vraiment de réduire les efforts manuels. Chez BlackBerry, lors des récents ouragans, nous avons pu envoyer rapidement une alerte via plusieurs canaux de diffusion, tels que SMS, e-mail et application. Ces alertes comprenaient des options de réponse telles que « Je suis en sécurité », « J'ai besoin d'aide » ou « Je ne suis pas dans la zone touchée », afin de confirmer la sécurité de nos employés. Nous avons pu obtenir des réponses rapidement. C'est là que la sécurité des informations est si importante. Vous voulez avoir la certitude que les informations que vous partagez en interne et que vous collectez auprès de vos employés sont protégées. »
Élaborer votreCEM
Lorsque nous nous tournons vers l'avenir, certains facteurs indiquent un changement positif dans les mentalités depuis la pandémie. Citons par exemple l'intérêt renouvelé pour la préparation et la montée en puissancedes « responsables de la résilience »qui siègent désormais à la table des dirigeants.
Les conseils de Laura devraient vous aider à améliorer vos plans de continuité des activités et à ajouter les éléments qui pourraient vous manquer, comme une CEM dédiée avec communication bidirectionnelle.
Chez BlackBerry, nous avons trouvé très utile de disposer de fonctionnalités qui nous aident dans la planification, telles que des guides étape par étape et des cycles de révision intégrés, ainsi que des mises à jour de statut en temps réel et la possibilité de suivre et de signaler le statut des destinataires et des parties prenantes lors de tout événement critique.
Grâce à des révisions continues, des répétitions et une communication sécurisée, vous serez prêt à affronter tout ce qui vous attend.
Que peut nous apprendre le secteur technologique en matière de planification de la continuité des activités et de CEM de l'expérience CEM?
30 janvier 2023
·Blog
·Ryan Burrus
Certains biologistes prédisent une probabilité croissante que la Covid ne soit pas la dernière pandémie que nous connaîtrons au cours de notre vie. Ce n'est là qu'un des nombreux éléments qui empêchent les responsables de la planification d'urgence de dormir la nuit, et une raison supplémentaire pour laquelle la planification de la continuité des activités (PCA) doit être intégrée dans la structure même de nos organisations.
Cependant, chaque organisation est unique, et certains risques sont plus présents dans certains secteurs ou industries. Par exemple : un incident dans une usine de fabrication peut entraîner des pertes de plusieurs millions de dollars en quelques minutes seulement. Mais cela n'est pas particulièrement pertinent pour une université, par exemple, ou pour un établissement de santé. Le contexte est vraiment important.
C'est pourquoi, dans les semaines à venir, nous nous pencherons sur la critical event management (CEM) dans le contexte de secteurs spécifiques. Pour lancer cette discussion sur la continuité des activités, j'aimerais mettre en avant notre propre approche, en tant qu'éditeur de logiciels axé sur la sécurité et la sûreté et opérant à l'échelle mondiale.
BCP dans le secteur technologique
Comment une entreprise technologique telle que BlackBerry organise-t-elle ses propres CEM ? Comment assurer la sécurité et la réactivité de nos employés en cas de crise ou d'urgence ? Et quels sont les éléments les plus importants duCEM que toute entreprise technologique ou logicielle doit mettre en place ?
Pour obtenir des réponses, nous avons discuté avec Laura Beattie, directrice de la continuité des activités et de la gestion des sinistres chez BlackBerry. Laura possède près de 20 ans d'expérience dans ce domaine et a dirigé la réponse de BlackBerry lors de plusieurs situations d'urgence, notamment la pandémie.
Laura a identifié quatre points clés que les entreprises technologiques doivent prendre en compte pour se préparer aux catastrophes. Et, bien que ces points soient issus de son expérience dans une entreprise spécialisée dans les logiciels, les conseils qu'elle donne peuvent également s'appliquer à de nombreuses autres organisations.
Voici les commentaires de Laura tirés de ma conversation avec elle.
BCP Numéro 1 : Se préparer aux catastrophes
« Combien d'organisations avaient régulièrement mis en pratique leur plan de lutte contre la pandémie avant la COVID-19 ? Aujourd'hui, les entreprises technologiques mondiales sont confrontées à une grande variété de situations d'urgence, allant des incendies de forêt aux violentes manifestations en passant par les failles de sécurité. Vous avez besoin de plans éprouvés qui peuvent être rapidement activés en cas d'événements imprévus. Cela inclut des plans de gestion de crise, d'intervention d'urgence et de continuité des activités. Garder ces documents dans un tiroir ne sera pas très efficace si personne ne les connaît. »
Mise en pratique de vos plans de continuité des activités
« En organisant régulièrement des exercices, vous pouvez renforcer vos processus et mettre tout le monde en condition pour réussir lors d'événements réels. Même si vos processus ne sont pas encore parfaits, commencez à les tester et organisez des exercices sur table avec des scénarios fictifs. Imaginez la situation suivante : que feriez-vous si un employé mécontent entrait dans l'un de vos bâtiments et annonçait qu'il avait posé une bombe ? Que feriez-vous si certains de vos employés « points de défaillance uniques » tombaient malades et s'absentaient pendant un certain temps ? Élaborez des scénarios et demandez à vos collaborateurs clés de discuter de leurs réactions face à ces situations. »
BCP Numéro 2 : Disposer des ressources adéquates pour réagir
« Un autre défi pour de nombreuses entreprises technologiques est le manque de ressources ou d'expertise dédiées au sein de leur personnel. Il est donc difficile d'élaborer des plans à l'avance et de les mettre en œuvre. Dans de nombreux cas, les employés cumulent plusieurs fonctions, et les petites entreprises de logiciels sont moins susceptibles de disposer d'équipes opérationnelles 24 heures sur 24 et 7 jours sur 7 pour surveiller les impacts mondiaux et identifier les employés concernés, surtout maintenant que les employés travaillent depuis n'importe où. »
Comment constituer des équipes chargées de la continuité des activités
« La clé est de s'appuyer sur ce que vous avez déjà mis en place. Pour votre processus de gestion des crises, vous disposez probablement déjà de contacts clés sur chaque site ou dans les régions où vous intervenez en cas d'incident. Il peut s'agir de vos bénévoles d'urgence, du personnel des ressources humaines, de la sécurité, etc. Vous pouvez commencer à constituer des équipes locales de gestion des incidents avec ces contacts clés, ainsi qu'avec des cadres supérieurs représentant les groupes commerciaux implantés dans ces régions.
Une fois ces groupes constitués pour chaque zone, vous pouvez mettre en place des listes de distribution globales afin que, en cas d'incident, vous disposiez d'un fil de communication avec l'équipe locale, ce qui permet à tout le monde d'être sur la même longueur d'onde. Ces équipes peuvent contribuer à la connaissance de la situation et fournir des orientations.
Ensuite, vous constituez une équipe exécutive de gestion de crise composée de vos hauts dirigeants. Vous transmettez les informations à cette équipe lorsque les conséquences sont plus graves et lorsque vous avez besoin d'orientations générales, par exemple pour décider de fermer tous vos sites en raison de la pandémie. Vous avez désormais établi une chaîne de commandement claire et vous disposez d'un cadre pour votre processus de gestion des incidents et des crises.
BCP Numéro 3 : Hiérarchisation des risques
« Avec tant de choses à prendre en compte, comment savoir où concentrer vos efforts ? Disposez-vous d'une infrastructure système critique qui vieillit et pour laquelle vous n'avez pas de plan de basculement ? Quels efforts avez-vous consacrés à la planification de la relève ou à la formation croisée pour vos points de défaillance uniques ? Dans quelle mesure dépendez-vous de vos tiers ? ont-ils des plans de continuité d'activité en place ? Tous ces éléments représentent des risques potentiels pour votre organisation.
Les entreprises technologiques doivent désormais faire face à des situations d'urgence qui se chevauchent. Beaucoup d'entre nous travaillent à domicile, mais que se passerait-il si certains de vos employés, alors qu'ils travaillent à domicile, étaient déplacés en raison d'incendies de forêt ou d'ouragans ? Cela ajoute une couche supplémentaire de complexité à la planification de la continuité des activités.
Comment établir les priorités dans la planification du PCA
« Pour évaluer vos risques, vous devez comprendre leurs répercussions et mettre en place les plans nécessaires. Établissez vos priorités en commençant par ce que vous identifiez comme le risque le plus élevé pour votre entreprise. Du point de vue de la sécurité, vous avez peut-être des bureaux ou des employés dans des régions où les inondations ou les tornades sont fréquentes. Du point de vue de la continuité des activités, nous évaluons les risques liés à la perte de sites, de personnes, de technologies et de tiers. »
BCP Numéro 4 : Assurer une communication cohérente, rapide et précise
« Si vos messages d'urgence sont retardés ou contiennent des informations inexactes, cela discréditera votre communication avec vos employés. Par exemple, si votre alerte indique qu'un agresseur est en fuite dans la zone, alors que la personne a été appréhendée il y a une heure, votre message n'est plus pertinent et les employés commenceront à l'ignorer, car ils n'y verront plus d'intérêt.
Une chose que j'ai apprise en matière de communication dans les moments difficiles, c'est que les employés attendent davantage — plutôt que moins — de leurs employeurs. Ils veulent savoir que leurs employeurs se soucient de leur sécurité et de leur bien-être, qu'ils sont au courant de ce qui se passe et qu'ils font preuve de transparence quant à la direction prise par l'entreprise pour relever les défis en matière de communication.
Comment améliorer les communications en cas d'événement critique
« L'utilisation de la technologie permet vraiment de réduire les efforts manuels. Chez BlackBerry, lors des récents ouragans, nous avons pu envoyer rapidement une alerte via plusieurs canaux de diffusion, tels que SMS, e-mail et application. Ces alertes comprenaient des options de réponse telles que « Je suis en sécurité », « J'ai besoin d'aide » ou « Je ne suis pas dans la zone touchée », afin de confirmer la sécurité de nos employés. Nous avons pu obtenir des réponses rapidement. C'est là que la sécurité des informations est si importante. Vous voulez avoir la certitude que les informations que vous partagez en interne et que vous collectez auprès de vos employés sont protégées. »
Élaborer votreCEM
Lorsque nous nous tournons vers l'avenir, certains facteurs indiquent un changement positif dans les mentalités depuis la pandémie. Citons par exemple l'intérêt renouvelé pour la préparation et la montée en puissancedes « responsables de la résilience »qui siègent désormais à la table des dirigeants.
Les conseils de Laura devraient vous aider à améliorer vos plans de continuité des activités et à ajouter les éléments qui pourraient vous manquer, comme une CEM dédiée avec communication bidirectionnelle.
Chez BlackBerry, nous avons trouvé très utile de disposer de fonctionnalités qui nous aident dans la planification, telles que des guides étape par étape et des cycles de révision intégrés, ainsi que des mises à jour de statut en temps réel et la possibilité de suivre et de signaler le statut des destinataires et des parties prenantes lors de tout événement critique.
Grâce à des révisions continues, des répétitions et une communication sécurisée, vous serez prêt à affronter tout ce qui vous attend.