Outils et moyens pour implanter la continuité des opérations dans votre organisation Colloque sur la sécurité civile, 15 février 2012 Mariette Trottier Ministère du Développement économique, de l Innovation et de l Exportation Denis Brousseau Réseau d échange en continuité des opérations du Québec
Déroulement Définition de la continuité des opérations et références Sondage du MDEIE sur la continuité des opérations Avantages de la continuité des opérations Mettre en place un Plan de continuité des opérations Éléments potentiels Documents précisant les responsables et les procédures Étapes à franchir (6) Guide en gestion de la continuité des opérations pour les entreprises Période de questions/échanges
Définition et références Capacité stratégique et tactique d une organisation à planifier et à faire face à des incidents ou des perturbations (aléas), dans le but de poursuivre ses opérations à un niveau acceptable préétabli. Source : BCI Références utiles en continuité des opérations : Principales normes : BS25999, ISO 22301, NFPA / CSA Z1600 Instituts professionnels : Business Continuity Institute (BCI) Disaster Recovery Institute (DRI) Association de professionnels au Québec : RÉCO-Québec
Sondage du MDEIE sur la continuité des opérations Contexte Pourquoi un sondage? Méthodologie
Sondage du MDEIE sur la continuité des opérations (suite) Définition d une entreprise déterminante : elle possède un nombre d employés relativement important et significatif; elle a un impact sur sa communauté. D autres facteurs peuvent aussi être considérés pour qualifier une entreprise de déterminante : elle œuvre dans un créneau d excellence de la région; elle est établie dans une ville mono industrielle; elle est un grand donneur d ordres; elle est considérée comme un intégrateur; elle est un sous-traitant stratégique; ou selon d'autres facteurs pertinents propres à la région.
Sondage du MDEIE sur la continuité des opérations (suite) 38 % des entreprises déterminantes ont prévu des mesures d urgence regroupées dans un document qu on pourrait qualifier de «plan de continuité des opérations»
Avantages de la continuité des opérations Selon le sondage réalisé par le MDEIE Avantages Nombre % Réponses plus efficaces au moment d'un incident 103 042,7 Gestion de la crise/prise en charge des opérations plus faciles 031 012,9 Poursuite des opérations critiques/continuité de l'entreprise mieux assurées 025 010,4 Meilleure préparation/prévision de l'imprévisible 019 007,9 Sécurité des employés/protection de la vie des employés améliorée 011 004,6 Démonstration de l'image d'une entreprise responsable 008 003,3 Confiance des clients et des partenaires financiers renforcée 008 003,3 Reprise plus rapide des activités 006 002,5
Mettre en place un Plan de continuité des opérations (PCO) Les éléments potentiels d un PCO déjà en place : plan de sécurité incendie procédure d alerte et de mobilisation en cas d urgence plan de pandémie sauvegarde des données à l externe capacité d effectuer une activité sur plusieurs sites capacité de travailler à distance descriptions de tâches
Mettre en place un PCO (suite) Les documents précisant les responsables et les procédures en cas de sinistre, selon le sondage du MDEIE Type de document Nombre % Plan d'urgence 95 31,4 Liste des personnes à contacter en cas de sinistre 31 10,2 Procédure d'alerte et de mobilisation 25 08,3 Le rôle de chaque employé en cas de sinistre 25 08,3 Plan de remplacement (ressources humaines, matérielles, informatiques) 22 07,3 Plan de sécurité incendie 21 06,9 Plan de communication 20 06,6 Plan de contingence 19 06,3 Plan d'évacuation 14 04,6 Plan en cas de pandémie 09 03,0
Mettre en place un PCO (suite) Les 6 étapes du processus de développement d un PCO
ÉTAPE 1 Avoir l aval et l engagement de la direction de votre organisation. Nommer un responsable de la mise en place et de la continuité du plan. Avoir les ressources requises : humaines, matérielles, financières Prendre en considération : les objectifs de l organisation les partenaires et les fournisseurs
ÉTAPE 2 Intégrer la continuité des opérations dans la culture de l entreprise. prendre en compte le contexte : la tolérance aux risques de l entreprise les réflexes naturels du personnel les solutions efficaces déjà existantes en lien avec la CO établir les besoins de formation tenir des activités de sensibilisation et de formation établir les plans de communication appropriés s assurer de l intégration de la CO dans l évolution de l entreprise
ÉTAPE 3 Connaître votre environnement de travail. risques naturels : inondations, grandes marées tremblements de terre affaissements des sols zone de vents forts
Étape 3 (suite) Connaître votre environnement de travail. risques technologiques : accidents de transport à cause de chemins de fer ou d autoroutes à proximité manipulation de substances dangereuses équipement ou machinerie à risque
Étape 3 (suite) Connaître votre environnement de travail. risques humains ou anthropiques : gangs de rues zone à forte criminalité (vols, recels) entreprises non désirées problèmes internes avec le personnel
Types de sinistres qu une entreprise a subis ou pourrait subir Selon le sondage du MDEIE Ayant déjà subi Estimant être exposée Nombre % Nombre % Incendie ou feu de forêt 065 042,7 206 060,4 Inondation 019 012,8 025 007,4 Tremblement de terre 00-000- 019 005,6 Tempête de verglas 025 016,5 011 003,3 Vandalisme/vol/terrorisme 006 003,7 006 001,7 Défaillance technologique/ bris informatique/bris de machinerie 005 003,3 004 001,3 Panne électrique prolongée 008 005,1 008 002,4
Conséquences des sinistres subis ou anticipés par les entreprises Selon le sondage du MDEIE Conséquences Nombre % Perte de production 178 034,6 Perte de revenus 082 015,9 Pertes matérielles (bâtiments, équipements, etc.) 078 015,1 Fermeture de l'entreprise 040 007,8 Pertes financières dues à la reconstruction ou à l achat d'équipement 024 004,7 Pertes humaines 023 004,5
Étape 3 (suite) Inventorier les risques qui pourraient nuire aux opérations essentielles et critiques de votre organisation. Déterminer leurs impacts sur vos opérations. Identifier les gestes qui pourraient être posés pour éliminer ou atténuer ces risques.
Selon le sondage du MDEIE Mesures prises ou prévues par les entreprises pour continuer leurs activités Mesures prises Nombre % Alternative de relocalisation ou mise sur pied d opérations temporaires 206 046,1 Suppléance par une succursale 046 010,3 Reconstruction d'installations ou réparation d'équipements 045 010,1 Location d'équipements pour minimiser l'impact du sinistre 034 007,6 Entente avec un concurrent pour sous-traiter temporairement la production 026 005,8 Télétravail 025 005,6 Mise en application d'un plan d'action prédéterminé 019 004,3
ÉTAPE 4 Compiler les informations recueillies à l étape précédente. Définir les stratégies appropriées pour éliminer ou atténuer les risques identifiés. Procéder à leur mise en place dans votre organisation.
Étape 4 (suite) Exemples de stratégies : continuité de la main-d'œuvre (avoir le nombre suffisant de ressources) sites alternatifs : relocalisation de vos espaces de travail vers d autres sites ou vers des tiers entente d entraide mutuelle avec un autre organisme continuité de l approvisionnement assurances de dommages et perte de profits redirection des lignes téléphoniques
ÉTAPE 5 Établir la structure de réponse : stratégique : gestion de l incident, priorités, alignement tactique : coordination des processus opérationnelle : application des procédures Établir la procédure d alerte et de mobilisation : qui appelle qui, où, quand, pourquoi et comment établir un schéma d escalade établir les critères selon l ampleur de la crise Mettre en place un centre de coordination : physique ou virtuel prévoir un espace suffisant, du matériel adéquat et des moyens de communication appropriés
Étape 5 (suite) Processus de communications : quoi? information de qualité (partielle au début), message cohérent (attention à la responsabilité légale!) à qui? aux employés, aux citoyens, aux fournisseurs, aux médias, aux gouvernements et autres quand? en temps opportun / être proactif / fréquence comment? téléphone, ligne info / site Internet, médias sociaux, médias traditionnels, lettres qui? qui communiquera à qui / désigner le porte-parole médias Compiler ce qui est dit sur l organisme pendant l incident. Noter tous les échanges avec les partenaires et les intervenants (log book).
Étape 5 (suite) Déterminer si un plan ou plusieurs plans. Établir le format de la documentation : pratique et facile d accès (électronique et papier) au moins deux copies (dont une hors-site) Développer le contenu : responsabilités et procédures coordonnées outils Impliquer les utilisateurs du ou des plans dans le développement pour les familiariser et les responsabiliser. La planification est aussi importante que le plan!
ÉTAPE 6 Exercer la réponse de CO afin de : valider les connaissances des rôles et des responsabilités des intervenants (existants, nouveaux, substituts) valider la connaissance des processus et des procédures comprendre les interactions entre les intervenants assurer le fonctionnement du matériel nécessaire à la CO assurer la pérennité du PCO Noter les améliorations à apporter au PCO et effectuer le suivi des modifications au plan (applicable également lors d un incident).
Étape 6 (suite) Sélectionner le type d exercice approprié selon les objectifs à accomplir et la fréquence : manœuvre formatif de table fonctionnel complet
Étape 6 (suite) Maintenir à jour l information contenue dans le PCO (faire participer les intervenants dans la mise à jour) : suite à des changements auprès des ressources coordonnées des intervenants (à ne pas négliger!) nombre de ressources disponibles suite à des changements de ressources départs / arrivées mise en service de nouvelles technologies changements physiques des lieux
EN RÉSUMÉ La Continuité des opérations est un ensemble d activités dont les objectifs sont : identifier les activités et les ressources critiques d une organisation en fonction des impacts de la crise identifier les risques pouvant affecter les activités critiques et les conséquences potentielles de la manifestation des aléas définir le niveau d activité minimal acceptable permettant la poursuite des opérations de l organisation mettre en place des mesures de prévention, des stratégies, des structures de réponses et des plans appropriés répondre de façon sécuritaire et efficace à des incidents (mineurs comme majeurs) maintenir à jour les stratégies et les plans et les vérifier régulièrement pour en assurer la pertinence
À titre de comparaison : Vous avez un PCO Vous appuierez sur le bouton «Alarme» Vous n en avez pas Vous appuierez sur le bouton «Panique» Chacun connaîtra son rôle Personne ne saura quoi faire Vous interviendrez plus rapidement Vous reviendrez plus facilement à la normale Vous perdrez du temps à vous en remettre Vous risquerez de générer une crise (interne comme externe)
Guide en gestion de la continuité des opérations pour les entreprises Selon le sondage du MDEIE Une faible proportion des entreprises ayant répondu au sondage connaissent le guide, soit 7,8 % (47 sur 602 entreprises). Pour les entreprises connaissant le guide, on constate que 31,8 % l utilisent (le tiers). Pour les entreprises qui ne connaissent pas le guide, on constate que la très grande majorité est intéressée à le connaître, soit 81,7 % (445 entreprises).
Pour accéder au Guide : Allez sur le site du MDEIE à www.mdeie.gouv.qc.ca/securitecivile Cliquez sur Guide en gestion de la continuité des opérations
Questions / échanges Pour toute question spécifique au MDEIE, mariette.trottier@mdeie.gouv.qc.ca Pour toute question spécifique à RECO-Québec, denis.brousseau@reco-quebec.org