BUSINESS CONTINUITY MANAGEMENT · Business Continuity Management et définir un Business Continuity...

BUSINESS CONTINUITY MANAGEMENT Manuel pour l'implémentation

Sofie Senesael Mémoire réalisé dans le cadre d'une nomination statutaire, juin 2009 Promoteur: Jaak Raes, Directeur général du Centre de Crise

SPF Intérieur – Direction Générale Centre de Crise

BUSINESS CONTINUITY MANAGEMENT

SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE I

BUSINESS CONTINUITY MANAGEMENT – Un guide pour la m ise en oeuvre Executive Summary Les services publics, notamment le SPF Intérieur, ont un rôle social très important à jouer. Ils doivent donc être capables d'assurer la continuité de leur service quelles que soient les circonstances ou les menaces auxquelles ils sont confrontés. Ils peuvent s'y préparer afin qu'en cas d'interruption de leurs activités, ils puissent reprendre les activités les plus critiques dans le délai le plus bref possible. L'objectif de l'ouvrage: ‘BUSINESS CONTINUITY MANAGEMENT: Un guide pour la mise en œuvre’ est une méthodologie pour mettre en oeuvre un Business Continuity Management au sein du SPF Intérieur. Qu'est-ce que le Business Continuity Management? Quelle est la relation avec d'autres disciplines comme par exemple le management des risques ou l'audit interne et quels sont les avantages d'un Business Continuity Management? Une réponse est donnée à ces questions dans la ‘Partie 1’ de ce travail. La ‘Partie 2’ explique étape par étape quelles phases doivent être franchies pour mettre en oeuvre un Business Continuity Management au SPF Intérieur et la ‘Partie 3'’ contient plusieurs documents de travail développés pour soutenir le processus de mise en oeuvre. Partie 1: Business Continuity Management – Quoi et Pourquoi? Les termes ’Business Continuity Management’ (BCM) et ‘Business Continuity Plan (BCP)’ prêtent souvent à confusion. Le Business Continuity Management est un processus où l'organisation prend les mesures nécessaires afin de garantir la continuité des processus les plus critiques quelles que soient les circonstances. Lorsqu’un ou plusieurs processus sont interrompus, l'organisation doit être capable d'intervenir rapidement et fermement afin de reprendre ces activités dans le délai le plus bref possible. Un Business Continuity Plan décrit comment y parvenir concrètement et est donc un produit du Business Continuity Management. Le Business Continuity Plan est un ensemble de procédures, accords et coordonnées qui peuvent être utilisés lorsqu'une interruption se produit réellement. Quelle est la relation avec d'autres disciplines spécifiques ? Il y a un lien étroit entre le Business Continuity Management, le management de crise, le management des risques, le contrôle interne et l'audit interne. Dans le contexte du SPF Intérieur, on entend par management des risques, d'une part la gestion des risques liés au fonctionnement de l'organisation elle-même, et d'autre part, la gestion des risques comme mission de l'organisation. Le Business Continuity Management fait partie de la première catégorie, plus particulièrement la gestion des risques qui mettent en danger la continuité de l'organisation. Dans la ‘Partie 1’ , à la page 16, le lien entre les diverses disciplines est expliqué de manière schématique. Quels sont les avantages du Business Continuity Management ? Un Business Continuity Management au sein de l'organisation permettra non seulement à l'organisation d'assurer son service malgré une interruption d'un ou plusieurs processus ou activités, mais il offrira également d'autres avantages. Il veille ainsi notamment à ce que les obligations légales et réglementaires soient remplies, à renforcer la crédibilité et la réputation de


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE II

l'organisation, à ce que le personnel soit formé et préparé à réagir efficacement et à ce que le personnel puisse être engagé dans d'autres équipes. De plus l'examen détaillé des processus offre parfois également des avantages inattendus en soulignant certains points problématiques au sein de l'organisation. Standards de Business Continuity. Il existe plusieurs standards et directives internationaux en matière de Business Continuity. Un standard est un document élaboré par une organisation de normes et standards officiellement reconnue par l'International Organisation Standardization (ISO). Ce standard ou norme décrit une manière d’agir convenue. Il propose un cadre théorique qui peut servir d'aide pour les organisations qui souhaitent installer un programme de Business Continuity Management au sein de leur organisation. Le recours à des standards lors de la mise en oeuvre d'un Business Continuity Management n'est pas obligatoire, mais leur utilisation est toutefois vivement recommandée. Il offre à l'organisation des critères lui permettant d'évaluer son propre Business Continuity Plan et le Processus de Business Continuity Management d'appui. Par ailleurs, certains standards permettent également d'obtenir un certificat au sein de l'organisation après la mise en oeuvre du standard. Partie 2: Les 6 phases du Business Continuity Manag ement La partie 2 traite des diverses phases à franchir ou des éléments qui doivent être présents dans l'organisation pour pouvoir parler d'un Business Continuity Management. Outre la description d'un certain nombre de termes et du contenu précis de cette phase, une attention est également accordée à la manière dont cette phase peut être mise en oeuvre au sein du SPF Intérieur.

Phase 1: Le programme BCM On recommande d'appliquer les principes du management de projet pour mettre en oeuvre le Business Continuity Management. Comme pour chaque projet, il est important de décrire un cadre précis pour la mise en œuvre de celui-ci. Il faut ainsi notamment préciser les objectifs du projet, décrire les rôles et les responsabilités, communiquer sur le projet, etc. Tous ces éléments sont abordés dans le programme BCM, le dit ‘point de départ' du projet.

Phase 1 BCM Programme

Phase 3 BCM Stratégie

Phase 4 BCM Response :

développement et mise en oeuvre

Phase 5 Exercice Entretien Révision

BUSINESS CONTINUITY

MANAGEMENT

Phase 2 Compréhension de

l'organisation


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE III

Il est important que dès le début du projet, le management communique formellement, sous forme d'une ligne politique, sur le projet. Ceci souligne l'importance qu'ils accordent à ce projet et constitue une des conditions essentielles pour une mise en oeuvre réussie. Phase 2: Compréhension de l'organisation Business Analyse Une fois la structure du projet mise en place et les rôles et responsabilités attribués, les activités peuvent démarrer. Dans cette phase, les divers processus de l'organisation doivent être définis et il faut examiner avec le management quels sont, pour eux, les objectifs prioritaires en matière de Business Continuity. En d'autres mots, quels sont les objectifs dont la continuité ne peut pas être interrompue temporairement ou pour une longue durée. Il faut faire une analyse de ces processus (Business Analyse) afin de savoir notamment quels sont les moyens nécessaires pour réaliser le processus, quels sont les règles légales auxquelles le processus est tenu, combien de personnel est nécessaire pour réaliser le processus, quelle est l'infrastructure requise, etc. Business Impact Analyse Il faut ensuite réaliser par processus une Business Impact Analyse. On entend par là qu'il faut d'abord évaluer les conséquences de l'interruption du processus pour l'organisation. De plus, il faut déterminer par processus la durée maximale possible d'interruption du processus, sinon l'organisation risque des dégâts irréparables, ainsi que le délai dans lequel le processus doit être rétabli (objectif de rétablissement). Analyse du risque La détermination de toutes les menaces possibles qui peuvent entraîner une interruption d'un ou plusieurs processus au sein de l'organisation n'est pas une condition absolue pour installer un Business Continuity Management et définir un Business Continuity Plan. On recommande d'élaborer un Global Business Continuity Plan qui couvre un maximum de risques au lieu d'élaborer un plan spécifique par risque. Il vaut mieux joindre en annexe les mesures spécifiques du Global Business Continuity Plan. Il est recommandé de se baser sur les 4 grandes éventuelles conséquences auxquelles une organisation peut être confrontée, à savoir: - Manque de personnel - Manque de facilités (bâtiment, locaux...) - Perte d'accès aux données vitales - Manque d'ICT Phase 3: BCM Stratégie Sur base de l'information relative au processus lui-même (Business Analyse) et d'une estimation des conséquences d'une interruption du processus, il faut formuler des mesures pour : - diminuer la probabilité d'une interruption; - diminuer la durée de l'interruption; - limiter l'impact de l'interruption sur les activités critiques. Dans le cadre de la Business Impact Analyse, on a déterminé dans quel laps de temps quelles activités devaient reprendre (objectif de reprise). Cette phase consiste à formuler des


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE IV

propositions d'action (mesures) susceptibles d'y remédier et réaliser une analyse des coûts et avantages pour chaque mesure proposée. Phase 4: BCM Response : développement et mise en œu vre Business Continuity Management Response est la réponse préparée par une organisation pour pouvoir gérer un incident et minimaliser son impact sur les processus de travail. Les mesures approuvées par le management dans la phase précédente doivent être développées dans cette phase afin que l'organisation puisse réagir rapidement et efficacement en cas d'interruption d'un processus particulier. On distingue trois étapes de response reliées entre elles. L'organisation doit disposer d'un plan ou de procédures par phase de response. Tous ces plans peuvent être décrits comme le Global Business Continuity Plan. - Emergency Response � Incident Management Plan - Business Continuity Response � Business Continuity Plan - Business Recovery Response � Business Recovery Plan

Objectif Quoi ?

Incident Management Plan

�Contrôler l'incident ou l'interruption. � Limiter les dommages indirects.

�Les contacts avec les services de secours et d'intervention � Evacuation bâtiment � Aide sociale et accueil personnel � …

Business Continuity Plan � Reprise ou poursuite des activités les plus critiques.

�Toutes les informations pertinentes (coordonnées, procédures, ...) pour redémarrer ou poursuivre les activités critiques.

Business Recovery Plan � Reprise de toutes les activités � Retour à une situation normale.

�Toutes les informations pertinentes pour reprendre ou poursuivre les activités non-critiques (les activités qui ne figurent pas dans le BCP).

Phase 5: Exercice, entretien et révision Il ne suffit pas d'avoir un Incident Management Plan, un Business Continuity Plan et un Business Recovery Plan à disposition dans son placard. Les plans ne sont utiles que lorsqu'ils sont connus, actualisés et testés. Le fait de tester les procédures et les mesures prévues dans les plans permet de s'assurer que les activités critiques peuvent être rétablies dans le délai prévu. A la suite des exercices, il sera nécessaire d'adapter ou de compléter le contenu des plans. De plus, il faut prévoir une procédure veillant à ce que pour chaque modification (interne ou externe) ayant un impact pour l'organisation, le programme du Business Continuity Management soit évalué et que les plans soient si nécessaire adaptés.


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE V

Phase 6: Ancrage dans la culture de l'organisation Pour être une réussite le projet de Business Continuity Management doit être soutenu par un maximum de personnes au sein de l'organisation. Le management (à la fois le management supérieur et moyen) joue un rôle essentiel lors de la détermination des processus critiques. Il est donc vital pour le projet de gagner leur soutien. Il faut qu'un nombre maximum de membres du personnel soient convaincus qu'ils ont un rôle important à jouer pour garantir la continuité des activités de l'organisation. Il est dès lors important d'accorder suffisamment d'attention aux programmes de conscientisation et de formation du personnel et d'organiser plusieurs activités de sensibilisation. Approche pratique pour franchir les 6 phases On retrouve à la page 73 un résumé reprenant ‘étape par étape’ ce qu'il faut concrètement faire pour franchir les 6 phases du Business Continuity Management. Partie 3: Documents de travail La partie 3 comprend plusieurs documents de travail qui peuvent être utilisés pour franchir les diverses phases.


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE VI


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE

1

TABLE DES MATIERES Préface ........................................................................................................................................3

Introduction – méthodologie ....................................................................................................3

PARTIE 1 : Business Continuity Management - Quoi & Pourquoi ?

1. Qu'est-ce que le Business Continuity Management ?..........................................................7

2. Quelle est la relation avec d'autres disciplines spécifiques ?...............................................8

2.1. Management des risques..............................................................................................8

2.2. Contrôle interne et audit interne..................................................................................10

2.3. Management de crise..................................................................................................15

2.4. Représentation schématique ......................................................................................16

3. Quels sont les avantages du programme de Business Continuity Management ?............17

4. Standards de Business Continuity......................................................................................17

4.1. Diverses normes (standards) et directives (guidelines) BCM internationales ............17

PARTIE 2 : Les 6 phases de Business Continuity Man agement

1 Programme BCM ................................................................................................................25

1.1 Ligne politique / Policy Development.........................................................................25

1.2 Objectifs, délimitations et points de départ de l'organisation / Portée .......................26

1.3 Rôles et responsabilités.............................................................................................27

1.3.1 Structure du projet ...........................................................................................27

1.3.2 Structure permanente ......................................................................................31

1.3.3 Structure de crise.............................................................................................32

2 Acquérir une connaissance approfondie de l’organisation ................................................35

2.1 Business Analyse.......................................................................................................36

2.2 Business Impact Analyse...........................................................................................44

2.3 Analyse des risques...................................................................................................48

3 Définir la stratégie BCM......................................................................................................51

4 BCM response : développement et mise en œuvre ...........................................................55

5 Exercice – Entretien – Révision..........................................................................................63

6 Ancrage du BCM dans la culture d’organisation ................................................................71

Conclusion – recommandations de synthèse ...........................................................................72

PARTIE 3 - Documents de travail

Annexes

Bibliographie



2



3

Préface

En 2007, suite à la propagation du virus de grippe aviaire (H5N1), le SPF Intérieur a mené plusieurs actions de sensibilisation pour conscientiser davantage les gens aux éventuelles conséquences de l'émergence d'une pandémie de grippe sur la vie sociale. Une campagne d'information a notamment été élaborée pour conscientiser le personnel du SPF Intérieur à l'importance d'une bonne hygiène afin de combattre la propagation des virus. De plus, la Direction Générale Centre de Crise a développé et diffusé une liste de contrôle (voir annexe 1) avec des mesures spécifiques qui peuvent être prises au sein des organisations en vue de se préparer à une pandémie de grippe.

Sur base de ces actions et compte tenu des évolutions récentes (pandémie A/H1N1), on a pris de plus en plus conscience du fait qu'il est indispensable que les services publics, compte tenu de l'important rôle social qu'ils ont à remplir, soint capables de garantir la continuité de leurs services quelles que soient les circonstances ou les menaces auxquelles ils sont confrontés. La Présidente du SPF Intérieur, Mademoiselle De Knop, accorde beaucoup d'importance au management des risques au sein du SPF et en particulier à la gestion des risques au niveau de la continuité du service, l'éthique, la gestion des connaissances. Par ce travail, réalisé dans le cadre de ma nomination en tant que fonctionnaire statutaire et qui vise à proposer une méthodologie pour la mise en oeuvre d'un Business Continuity Management, j'espère contribuer concrètement à la réalisation de cet objectif du SPF. Introduction - méthodologie Structure du document

Ce document comporte trois parties: • PARTIE I : traite brièvement du ’Quoi et Pourquoi du Business

Continuity Management’ et donne des exemples de plusieurs normes et directives existantes en ce qui concerne le Business Continuity management.

• PARTIE II : donne les diverses phases à suivre pour mettre en place un Business Continuity Management. La fin de la PARTIE II présente une synthèse de toutes les recommandations faites dans l'ensemble du document.

• PARTIE III : donne d'une part plusieurs documents de travail qui peuvent être utilisés lors de la mise en oeuvre du Business Continuity Management.

Sources Pour arriver à ce travail, une étude littéraire a été faite relative au

Business Continuity Management (la liste des sources consultées figure à la fin de ce document). Le processus de mise en oeuvre d'un Business Continuity Management au SPF Intérieur, présenté dans la PARTIE II tient dès lors compte des principes fondamentaux de plusieurs standards ou directives internationales faisant autorité en matière de Business Continuity Management comme repris dans la PARTIE I. De plus, on a également pris contact avec plusieurs personnes des services internes du SPF ainsi qu'avec des entreprises ou des organisations externes qui, en raison de leur expertise, apportent tous une contribution intéressante à ce document.



4

Documents de travail

Dans le cadre de ce mémoire, plusieurs documents ont également été développés pouvant contribuer au développement d'un Business Continuity Management au sein d'un ou plusieurs services du SPF. Il s'agit surtout de questionnaires et de templates qui peuvent être utilisés lors des diverses phases du processus de Business Continuity Management. Ces questionnaires et templates peuvent être adaptés si nécessaire à la spécificité du service.

Information existante

Dans ce travail on tient compte de l'information existante et des actions entreprises au sein du SPF relatives notamment aux descriptions de processus, à l'analyse de risque (voir par exemple l'information obtenue par les processus de modernisation). Dans certains points de cet ouvrage, une référence est également faite à des méthodes et des documents déjà existants.

Recommandations Tout au long de ce travail, des recommandations sont formulées pour la mise en œuvre d'un Business Continuity Management au sein du SPF Intérieur. Un schéma reprend ces recommandations à la fin de la PARTIE II.

PARTIE 1

Business Continuity Management

- Quoi & Pourquoi ? -



7

1. Qu'est-ce que le Business Continuity Management? Définition Les termes ‘Business Continuity Management’ (BCM) et ‘Business

Continuity Plan (BCP)’ prêtent souvent à confusion. Ces termes sont régulièrement confondus mais ils ne signifient pas la même chose. Voici quelques définitions spécifiques expliquant la différence entre les deux. “Business Continuity Management is a holistic management process that identifies potential threats to an organisation and the impacts to business operations that those threats if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities.”1 « Le Business Continuity Management » est un processus de gestion qui identifie et limite les risques, minimise l'éventuel impact d'une interruption des processus d'entreprise critiques (au niveau du temps) et des systèmes d'appui, avec comme unique objectif la reprise rapide des processus d'entreprise critiques".2 "L'objectif du Business Continuity Management est de garantir la continuité du processus d'entreprise et l'existence de l'organisation. Le produit de BCM consiste en des mesures opérationnelles et applicables à la fois préventives (en vue de prévenir les situations mettant en danger la continuité de l'organisation) et répressives (lorsque le risque est devenu évident, prévoir des mesures répressives pour limiter les dégâts à un niveau acceptable)".3

Business Continuity Plan (BCP)

En d'autres mots, le Business Continuity Plan est un produit du Business Continuity Management. On peut décrire le Business Continuity Plan comme un ensemble de mesures réactives (ou répressives) visant à limiter les conséquences pour la continuité de l'organisation lors de l'apparition d'un risque spécifique. On peut également décrire le Business Continuity Plan comme “a documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable pre-defined level.”4 Les autorités flamandes utilisent la définition suivante: "Un Business Continuity Plan est un document précis et documenté à utiliser lorsque la continuité de l'entreprise est perturbée par un évènement, un incident ou une crise. Ce plan traite spécifiquement de toutes les personnes-clés, moyens, services, activités nécessaires à la gestion du processus BCM.”5

1 British Standard 25999-1:2006, Business continuity management. Code of practice, p.1. 2 Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007. 3 KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006. 4 British Standard 25999-1:2006, Business continuity management. Code of practice, p.2. 5 Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007.



8

En résumé En d'autres mots, le Business Continuity Management est un processus de gestion où l'organisation prend les mesures nécessaires afin de garantir la continuité des processus les plus critiques quelles que soient les circonstances. Lorsqu’un ou plusieurs processus sont interrompus, l'organisation doit être capable d'intervenir rapidement et fermement afin de reprendre ces activités dans le délai le plus bref possible. Un Business Continuity Plan est un produit du Business Continuity Management. C'est un ensemble de procédures, accords et informations de contact qui peuvent être utilisés lorsqu'une interruption a réellement lieu.

L'importance des définitions

Outre les définitions reprises ci-dessus, il existe encore d'innombrables autres définitions du Business Continuity Management. Les unes plus concises que les autres. Il est vraiment important que le management d'une organisation qui souhaite installer un Business Continuity Management, soit d'accord sur le sens donné au sein de l'organisation au Business Continuity Management, sur les objectifs ainsi visés et donc sur le fait qu'un seul et même message soit émis au sein de l'ensemble de l'organisation6 (voir infra PARTIE II, point 1.1. ligne politique).

2. Quelle est la relation avec d'autres disciplines spécifiques ?

Quelle est la relation du Business Continuity Management par rapport aux autres disciplines concernées ? Plusieurs avis existent en la matière. Sur base de la description de plusieurs disciplines concernées, une représentation schématique du point de vue suivi dans cet ouvrage figure à la page 11. 2.1. Management des risques Définitions Une première discipline qui se rapproche beaucoup du Business

Continuity Management est le management des risques. Le management des risques est le processus de coordination pour analyser les risques (l'analyse des risques), prendre des mesures pour limiter les risques à un niveau acceptable, et entretenir le niveau des risques exigé.7 Le management des risques est le processus de gestion des risques du management. Le comportement du management par rapport aux risques d'entreprise, à la fois au niveau stratégique et au niveau des processus d'entreprise.8

Lien BCM Alors que le management des risques traite de la gestion de tous les risques éventuels au sein d'une organisation, le Business Continuity Management vise les risques qui peuvent mettre en danger la continuité de l'organisation. En suivant ce raisonnement, le Business Continuity Management fait intégralement partie du management des risques. Il est difficile d'estimer la part du Business Continuity Management.

7 Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007. 8 R. DRIES, L. VAN BRUSSEL, M. WILLEKENS, Handbook auditing, Intersentia, deuxième édition, 2004, p. 16.



9

En fonction du contexte à un moment précis, un risque peut constituer une menace importante pour la continuité de l'organisation, alors que ce n'était pas le cas avant. Par contre, certaines sources considèrent plutôt le management des risques comme une partie d'une approche globale de Business Continuity. Tout dépend de ce que l'organisation entend par management des risques (quel est l'objectif de l'organisation en matière de management des risques ?) et de l'objectif du programme de Business Continuity Management de l'organisation (gérer les domaines classiques des risques ou gérer plus globalement les éventuels incidents de nature diverse).9

Conclusion On peut conclure qu'il y a un lien précis entre le management des risques et le Business Continuity Management. Dans les ouvrages, plusieurs points de vue différents surgissent. Le contexte du SPF Intérieur et plus particulièrement, les tâches spécifiques de gestion des risques et de crise, permettent de conclure que le Business Continuity Management, en ce qui concerne le SPF Intérieur, fait partie du management des risques, mais ne concerne cependant que le management d'une sorte spécifique de risques. En effet, tous les risques auxquels le SPF peut être confronté ne représentent pas une menace pour la continuité des missions du SPF. Le traitement des risques est ainsi l'une des missions du SPF sans que ces risques ne constituent toutefois une menace pour sa propre continuité. Le fait de décréter des mesures (par exemple la fermeture des poubelles, l'accompagnement policier, etc.) pour un déroulement en toute sécurité d'un Sommet européen constitue, par exemple, une mission du Centre de Crise, mais le risque de sécurité lié à l'organisation d'un Sommet européen ne constitue pas en soi une menace pour la continuité du Centre de Crise.

Management des risques au sein du SPF BiZa

En ce qui concerne le management des risques en général, le SPF Intérieur traite les risques de manière fragmentée. Les risques ont été abordés à l'occasion des projets de modernisation (MPM)), le ‘Service Interne de Prévention et de Protection au travail’ analyse notamment les risques en matière de santé et de bien-être du personnel ainsi qu'au niveau de l'aménagement des lieux et des postes de travail. Le ‘Service Inspection Interne’ vérifie si les risques sont suffisamment maîtrisés et identifient sans aucun doute de nouveaux risques au cours de leurs missions. Des risques seront également identifiés dans le cadre du Business Continuity Management. On recommande d'identifier tous les risques au sein du SPF, d'inventorier les mesures prises selon une méthodologie précise et de réévaluer annuellement les risques (voir infra, point 2.2., Contrôle interne).

9 Business Continuity Management Congres, Kluwer, Edegem, 31 mars 2009.



10

Cette recommandation est conforme à l'Arrêté royal du 17 août 2007 relatif au système de contrôle interne dans certains services du pouvoir exécutif fédéral, plus particulièrement la disposition relative à l'obligation de mettre l'inventaire de la documentation relative aux systèmes de contrôle interne à disposition des auditeurs internes et externes. Il est conseillé de vérifier avec les divers intéressés comment réaliser ceci au mieux au sein du SPF. La gestion et la détection des nouveaux risques est un processus continu mais unique. Il est par conséquent important que la direction détermine sa position en ce qui concerne la relation du management des risques par rapport au Business Continuity Management d'une part, et la mesure dans laquelle elle souhaite investir dans le management des risques en général avec comme point spécifique en première instance le Business Continuity Management. Ceci est surtout important lorsqu'on décide de réaliser l'inventaire de la documentation des systèmes de contrôle interne au sein du SPF. Il faut alors se demander qui doit en être désigné responsable. La fonction de risk manager, une fonction qui apparaît dans diverses organisations, peut être une piste éventuelle. Nous constatons par ailleurs que ce rôle est parfois confié au Business Continuity Manager.

2.2. Contrôle interne et audit interne Le contrôle interne et l'audit interne sont deux disciplines dont le lien avec le Business Continuity Management est très important. En effet, le contrôle interne doit vérifier que l'organisation prend suffisamment de mesures pour éviter les risques. Le contrôle interne examine si les systèmes de contrôle interne, où la mesure dans laquelle les risques sont maîtrisés, sont effectifs et efficaces. Il n'est dès lors pas étonnant que l'intérêt pour le Business Continuity Management s'accroît souvent sur base des résultats d'un audit interne. Ceci est aussi le cas pour les Autorités flamandes où il a été constaté après un audit interne que la majorité des entités au sein des Autorités flamandes ne sont pas suffisamment matures en matière de continuité de l'entreprise. Le point suivant explique la différence entre les termes ‘audit interne’ et ‘contrôle interne'. La base légale ainsi que la manière dont le SPF Intérieur réalise les deux dans la pratique sont abordés ci-dessous. Définition Conformément à l'Arrêté royal de 2007 relatif au système de contrôle

interne au sein de certains départements du pouvoir exécutif fédéral, le contrôle interne est un processus intégré élaboré par les responsables et le personnel de l'organisation et qui vise à traiter les risques et à offrir une certitude relative en ce qui concerne la réalisation, dans le cadre de la mission de l'organisation, des objectifs généraux suivants: - réalisation d'opérations ordonnées, éthiques, économiques, efficaces

et pratiques; - respect des obligations de rendre des comptes; - concordance avec les lois et la réglementation en vigueur; - protection des moyens contre la perte, l'abus et le dommage.



11

Un risque est décrit par l'Arrêté royal comme un événement imprévu qui pourrait mettre en danger la détermination des objectifs fixés. Les Arrêtés royaux suivants imposent aux services publics fédéraux l'élaboration d'un système de contrôle interne:

Contrôle interne: L'Arrêté royal du 26 mai 2002 relatif au système de contrôle interne au

sein des autorités fédérales (Moniteur Belge du 31 mai 2002) impose à chaque service public fédéral et chaque service public fédéral de programmation l'élaboration d'un système de contrôle interne. L' Arrêté royal du 17 août 2007 relatif au système de contrôle interne au sein de certains départements du pouvoir exécutif fédéral adapte certaines dispositions de l'Arrêté royal du 26 mai 2002, les précise et les complète.

Responsable Le management de ligne est responsable de l'élaboration d'un

système de contrôle interne. Il doit veiller au respect de la législation et de la réglementation et élaborer les procédures, les contrôles de gestion et les procédures de rapportage nécessaires au fonctionnement efficace et qualitatif ainsi que protéger les composantes de l'actif.

Méthodologie La méthodologie recommandée dans l'Arrêté royal relatif au contrôle

interne est l'utilisation du ‘COSO-Enterprise Risk Management Framework’. COSO est un modèle de management élaboré par The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Le but du modèle est de proposer aux organisations un cadre de référence commun et uniforme pour le contrôle interne et de soutenir le management dans l'amélioration du système de contrôle interne. Le modèle a été actualisé en 2004, des éléments y ont été ajoutés et adaptés. Ce modèle actualisé ne vise pas seulement le contrôle interne mais l'ensemble du système de maîtrise interne et est connu sous le nom de COSO II of Enterprise Risk Management Framework (ERMF).



12

Qu'est-ce que COSO - ERMF?

Si une organisation souhaite atteindre ses objectifs, elle doit pouvoir gérer et maîtriser les risques. COSO décrit et définit les divers éléments d'un système de contrôle interne. Ceci peut être utilisé comme cadre pour les organisations qui souhaitent mettre en place un système de contrôle interne. Le modèle (voir image ci-dessus) indique dans le cube COSO la relation directe entre:

- Les objectifs d'une organisation (les objectifs stratégiques, l'efficacité et l'efficience des processus de l'entreprise, la fiabilité de l'information et le respect de la législation et la réglementation pertinente).

- Les composantes du contrôle: • Milieu interne (la mesure dans laquelle les risques ont

été pris) • Détermination des objectifs (objective setting) • Identification des événements (chances/risques qui

peuvent avoir une influence positive ou négative sur la réalisation des objectifs)

• L'estimation des risques ou l'évaluation des risques identifiés (probabilité que le risque se produise et les conséquences qui en découleraient)

• Les mesures de maîtrise du risque (risk response) - (éviter, accepter, partager ou diminuer les risques)

• Activités de contrôle (ex. séparation de fonctions) • information et communication • Monitoring

- les activités/unités nécessitant un contrôle interne

Risk management objectives

Risk components Entity & Unit-level

Components

The COSO Enterprise Risk Management Framework www.COSO.org



13

Toutes ces composantes forment ensemble un système intégré qui peut être adapté aux circonstances changeantes

Note de système de contrôle interne

Une analyse détaillée des risques a été menée en 2003 au sein du SPF Intérieur à la demande du Comité de direction. La portée de l'analyse du risque consiste en: - les 5 directions générales - les services d'encadrements ICT, B&B, P&O - les services de coordination et d'appui de la Présidente - le Commissariat général pour les Réfugiés et les Apatrides Un rapport a été présenté avec un inventaire des risques identifiés via divers groupes de travail au sein du SPF Intérieur. Ces risques ont été divisés en domaines à risque. L'impact ainsi que la probabilité de l'apparition du risque ont été évalués. Un responsable du contrôle interne a été désigné par service. Un exercice similaire a été organisé en 2005-2006. Par la suite, les risques ont surtout encore été traités dans le cadre des projets de modernisation.

Définition Outre le contrôle interne, des précisions sont également fournies sur

l'audit interne. La définition d'audit interne déterminée par l'Institute of Internal Auditors est reprise dans l'Arrêté royal relatif à l'audit interne dans les services publics fédéraux (cf. infra) et explique de manière concise la mission de l'audit interne. Cette définition est acceptée comme description de la mission de l'audit interne du service public fédéral. “L'audit interne est une activité indépendante et objective qui donne à une organisation une certitude sur le degré de maîtrise de son fonctionnement, lui apporte ses conseils pour les améliorer, et apporte une valeur ajoutée. L'audit interne aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité.”10 En d'autres mots, l'audit interne est un moyen pour évaluer, améliorer les systèmes de contrôle interne et d'identifier des risques importants.

Audit interne L'Arrêté royal du 2 octobre 2002 relatif à l'audit interne au sein des

services publics fédéraux (Moniteur belge 9 octobre 2002). Service interne d'inspection

Dans le cadre d'un audit interne, la Présidente du Comité de direction a créé à partir du 1er mars 2008 ‘le Service Interne d'Inspection SPF Intérieur'.

10 Established in 1941, The Institute of Internal Auditors (IIA) is an international professional association of more than 150,000 members with global headquarters in Altamonte Springs, Fla., United States. Throughout the world, The IIA is recognized as the internal audit profession's leader in certification, education, research, and technical guidance, http://www.theiia.org/



14

Ce service, dirigé par Madame Els Goddro, a comme mission: - Veiller à l'application correcte des principes de bonne

gouvernance ;11 - Contribuer à l'élaboration du système de contrôle interne au sein de

l'organisation qui doit garantir des informations fiables de management;

- Contribuer à une maîtrise optimale des risques pour remplir les objectifs du SPF Intérieur.

Les activités du service d'audit interne concernent, conformément aux préoccupations de la Présidente et dans la ligne de son plan management, 8 domaines: - la continuité de l'organisation - la gestion financière correcte - une gestion d'achat correcte - le respect de la réglementation - des décisions fondées par rapport aux tiers - l'image du SPF Intérieur - l'intégrité - le respect des droits de l'homme/droits des citoyens

Méthodologie Conformément aux recommandations de l'Arrêté royal relatif au contrôle interne, le Service d'Inspection Interne du SPF Intérieur se sert du ERMF (Enterprise Risk Management Framework) comme cadre et a élaboré une méthodologie pour l'analyse des risques adaptée.

Lien BCM En ce qui concerne l'analyse des risques et le contrôle interne, le SPF

Intérieur a déjà entrepris plusieurs importantes démarches mais avant d'arriver à un véritable management des risques, il faudra certainement encore remplir plusieurs conditions. Les risques en matière de continuité d'entreprise font intégralement partie de l'ensemble des risques auxquels le SPF peut être confronté. Cependant, ceci n'exclut pas qu'un autre risque qui, en soi, ne met pas la continuité en danger, devienne, en cas d'absence de mesures, un véritable risque. Ex. le fait de ne pas conserver une copie ou un back-up ailleurs qu'à la comptabilité ne constitue pas en soi un risque pour la continuité des processus au sein de l'organisation. Lorsqu'un incendie se produit à la comptabilité du service, ceci peut devenir un risque pour la continuité étant donné l'obligation légale de conserver les factures. L'analyse des risques réalisée en 2003-2004 dans le cadre du contrôle interne au sein du SPF ainsi que les analyses des risques réalisées dans le cadre des projets de modernisation constituent une source d'information très importante dans le cadre du projet Business Continuity Management (voir PARTIE II, point 2.3 Analyse des risques, p. 48-49).

11 Définition de ‘Good governance' ou ‘la bonne gestion des affaires publiques’ (basé sur http://www2.vlaanderen.be/bbb/woordenlijst) : L'intervention des pouvoirs publics doit garantir la légitimité, la sécurité juridique et l'égalité juridique en combinaison avec les principes d'économie, d’efficacité, d’effectivité et d’éthique. La bonne gestion des affaires publiques ou good governance implique que l’intervention des pouvoirs publics est accompagnée d'une répartition précise des responsabilités entre les acteurs concernés (le parlement, le gouvernement, l'administration et le citoyen) et d'informations justificatives transparentes sur la réalisation des objectifs politiques, tant aux autorités qu’au citoyen.



15

Conclusion On peut conclure que le contrôle et les mesures internes en matière de

continuité d'entreprise sont indissolublement liés entre-eux et se recouvrent. Le système de contrôle interne doit donc prévoir des mesures de gestion pour tous les risques éventuels, y compris les risques de continuité d'entreprise. Par ailleurs, il y a clairement un lien entre l'audit interne et le Business Continuity Management. L'audit interne évalue dans quelle mesure l'organisation maîtrise les risques qui peuvent mettre en danger la continuité de l'organisation et formule des avis à ce sujet. Il est hautement recommandé au sein du SPF Intérieur que les responsables en matière de contrôle interne au sein du SPF, le service d'inspection interne et le(s) responsable(s) en matière de Business Continuity Management harmonisent leurs activités. Comme indiqué ci-dessus, la continuité d'entreprise est l'un des domaines pouvant faire l'objet d'un audit. Actuellement, ceci n'a pas lieu systématiquement au sein du SPF. Ce n'est que lorsqu'il y a des signes d'un risque grave en la matière et à la demande de la Présidente du Comité de direction, que cet aspect, comme tous les autres aspects, fera l'objet d'un audit. Par conséquent, une éventuelle recommandation pourrait être d'intégrer à chaque audit la maîtrise des risques en matière de continuité d'entreprise et d'en faire, outre le rapport actuel, également un rapport au(x) responsable(s) du Business Continuity Management.

2.3. Management de crise Définition Le management de crise est la diminution des conséquences de la crise

et le fait d'éviter une escalade. L'objectif primaire du management de crise est la maîtrise de la crise. Comme le Business Continuity Plan, le management de crise est une mesure répressive ou réactive.12

Lien BCM Dans le cadre du Business Continuity Management, la première réaction de Business Continuity Management est la gestion de la crise immédiate, la stabilisation de la situation et la limitation des dégâts (Incident Management). En 2ième instance, on décide d'activer le Business Continuity Plan afin de passer finalement à la reprise de tous les processus (Business Recovery). En d'autres mots, les deux se recouvrent clairement en certains points.

2.4. Représentation schématique En guise de conclusion, on peut dire qu'il y a un lien étroit entre le Business Continuity Management, le Management de crise, le Management des risques, le Contrôle interne et l'Audit interne. Ce lien est représenté de manière schématique dans l'image suivante.

12 KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM Academy, Harderwijk, 2007.


- SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE

16

GESTION DES RISQUES

BUSINESS CONTINUITY PLAN

INCIDENT MANAGEMENT PLAN

DISASTER RECOVERY PLAN

MANAGEMENT DES RISQUES

OBJECTIFS DE L'ORGANISATION

BCM RESPONS

MANAGEMENT DE CRISE

INCIDENT

RISQUES

PREVENTIF

REACTIF

CORRECTIF

GESTION DES RISQUES

PROCESSUS

SYSTEME DE CONTROLE INTERNE

AUDIT INTERNE

TRANSFER

ACCEPT

REDUCE

AVOID

PROCESSUS

BUSINESS AS USUAL

ORGANISATION

RISQUES



17

3. Quels sont les avantages du programme de Busines s Continuity Management ? L'installation du Business Continuity Management au sein de l'organisation offre plusieurs avantages dont les plus importants sont repris ci-dessous: Assurer le service L'organisation remplit les conditions en ce qui concerne la responsabilité

morale et sociale de garantir certains services malgré une interruption d'un ou plusieurs processus de travail.

Obligations légales Quelles que soient les circonstances, l'organisation est prête à remplir ses obligations légales et réglementaires.

Réputation

L'organisation est capable de réagir de manière crédible et tout en étant préparée, ce qui permet non seulement de protéger mais également d'enrichir sa réputation.

Besoins acteurs concernés

Les dépendances de l'organisation aux divers acteurs concernés, ainsi que leurs besoins sont connus. Ceux-ci peuvent jouer un rôle crucial pour assurer le service.

Approche convenue

La réaction de l'organisation face à une éventuelle interruption des processus critiques est préparée et des conventions sont fixées par le management. L'organisation dispose de procédures et la disponibilité du personnel et des moyens est garantie.

Moyens

L'organisation sait quels moyens (personnel, infrastructure,...) sont nécessaires pour assurer la continuité des processus les plus critiques.

Compréhension de l'organisation

L'examen détaillé de l'organisation et des divers processus peut parfois apporter des avantages inattendus. Le Business Continuity Management peut contribuer à améliorer les processus en rendant les zones d'ombre plus compréhensibles.

Evaluation de l'impact

L'organisation peut estimer de manière proactive l'impact d'une interruption pour l'organisation. Ceci permet de prendre des mesures pour minimiser l'impact d'une interruption.

Travailler en crossteam

Le personnel est formé et est préparé à réagir efficacement en cas d'accident ou d'interruption et peut en outre être engagé dans d'autres équipes. La flexibilité, l'implication et l'esprit de groupe du personnel est stimulé.

4. Standards de Business Continuity.

4.1. Diverses normes (standards) et directives (gui delines) BCM internationales

De nombreux ouvrages existent sur le Business Continuity Management, ainsi que diverses directives et normes. Ils peuvent servir de cadre théorique pour soutenir les organisations qui souhaitent installer un programme de Business Continuity Management au sein de leur organisation. On retrouve ci-dessous d'abord une explication de la différence entre les deux. Plusieurs exemples sont ensuite donnés au sujet des directives et normes internationales les plus utilisées et les plus lues.



18

Norme BC Une norme Business Continuity est un document élaboré par une

organisation de normes et standards officiellement reconnue par l'International Organisation Standardization (ISO). Cette norme décrit une manière d'agir convenue. Jusqu'à présent il n'existe aucune norme ISO en matière de Business Continuity Management. Un pas a toutefois été fait dans cette direction avec la publication de Publicly Available Specification ISO/PAS 22399:2007 (cfr. infra).

Directives BC Par contre, une directive de Business Continuity n'a pas de caractère officiel. Il s'agit plutôt d'un résumé de plusieurs directives et ‘bonnes pratiques' pour installer un Business Continuity Management.

Pourquoi l'utiliser ? Le recours à des normes ou des directives lors de la mise en place d'un Business Continuity Management n'est pas obligatoire, mais leur utilisation est toutefois vivement recommandée. Il offre à l'organisation des critères permettant à l'organisation d'évaluer son propre Business Continuity Plan et le Processus de Business Continuity Management d'appui. Par ailleurs, certains standards permettent également d'obtenir une labellisation après la mise en oeuvre. Voici quelques-unes unes des directives et normes les plus connues en ce qui concerne le Business Continuity Management. Malgré le fait que divers pays ont élaboré des directives et des standards, le Royaume-Uni figure quand même au premier plan avec un standard utilisé dans le monde entier, à savoir le British Standard 25999.

‘BCI Good Practice Guidelines’

Business Continuity Institute (BCI) Guidelines Le ‘Business Continuity Institute’ a été créé en 1994 au Royaume-Uni. Cette organisation, comptant entre-temps plus de 4000 membres issus de plus de 85 pays différents, vise à soutenir et accompagner les professionnels du BCM. Le BCI Good Practice Guidelines traite des grands principes du processus de Business Continuity Management et fait des recommandations pour l'appliquer. Ces Good Practice Guidelines s'appliquent à la fois aux grandes et aux petites organisations quel que soit le secteur.

BS25999 Le British Standard Institute (BSI) a publié en novembre 2006 l'officiel British Standard BS25999 part one pour remplacer le PAS 56 (Publicly Available Specification) ‘Guide to Business Continuity Management’. Le British Standard BS25999 part two a été publié en novembre 2007. - BS25999 part one: Cette partie présente un cadre général pour ce

qui est du processus, des principes et de la terminologie relative au Business Continuity Management. Il propose une base pour comprendre, développer et mettre en place le Business Continuity dans l'organisation. Comme indiqué ci-dessus, la norme remplace le PAS56 et est basée sur le BCI ‘Good Practice Guidelines’ (voir supra).

- BS25999 part two: Cette partie décrit les exigences spécifiques notamment pour la mise en place, le contrôle, la révision, le test et l'amélioration du système de Business Continuity dans l'ensemble du management des risques au sein de l'organisation.



19

Selon une enquête sur les standards BC organisée par ‘Continuity Central’ (février – mars ’07), le British Standard BS25999 semble être la norme internationale de Business Continuity la plus lue. Cette norme a été achetée par le SPF Intérieur (Direction Générale Centre de Crise)

ISO/PAS22399:2007 ISO a publié en novembre 2007 une Public Available Publication (PAS) et par conséquent le premier document international ratifié relatif au preparedness and continuity management. ‘ISO/PAS 22399:2007 Societal security – Guideline for incident prepared ness and operational continuity management ’ est un consensus international des meilleures pratiques des cinq principaux acteurs dans ce domaine:

1. NFPA 1600, Standard on Disaster Management and Business Continuity Programs of the US National Fire Protection Association (NFPA)

2. BS 25999-1: Business Continuity Management Part 1: Code of Practice of the British Standard Institute (BSI)

3. HB 221: Business Continuity Management, of Standards Australia (SA)

4. SI 24001:2007: Security and continuity management systems – requirements and guidance or use of the Standards Institution of Israel (SII)

5. the work of the Japanese Inustrial Standards Committee (JISC) Cette initiative découle du besoin d'avoir un trajet global et reconnaissable pour définir le preparedness en continuity management et de remédier ainsi à la confusion entre les diverses approches nationales. Ce ISO/PAS a été acheté par le SPF Intérieur (Direction Générale Centre de Crise)

Normes ciblées IT Outre les normes et directives générales relatives aux Business Continuity Management, il existe également plusieurs normes spécifiques axées IT traitant de la continuité en matière d'ICT, dont voici quelques exemples: ITIL (IT Infrastructure Library) est le cadre pour la gestion de l'IT au sein de l'organisation. ISO/IEC 17799:2005 Information technology -- Security techniques -- Code of practice for information security management. NIST – Contingency Planning guide for IT systems (US)

Conclusion Dans le cadre de cet ouvrage, plusieurs directives et normes susmentionnées ont été étudiées.. Le Centre de Crise a acheté S 25999 (partie 1 et partie 2) ainsi que l'ISO/PAS22399:2007. On constate que ces documents traitent dans les grandes lignes de la même chose, il n'y a que la formulation qui varie et certains éléments sont davantage détaillés. Donc, le choix d'une norme plutôt qu'une autre, par l'organisation, n'implique pas forcément des résultats contraires.



20

On peut également faire remarquer que ces directives et normes n'indiquent seulement quelles démarches doivent être entreprises pour installer un Business Continuity Managment, mais qu'elles ne donnent pas beaucoup d'information sur ‘la manière’ de transposer les diverses étapes dans la pratique. Les recommandations pour mettre en oeuvre le Business Continuity Management au sein du SPF Intérieur qui ont été formulées plus loin dans ce document, se basent donc sur les diverses étapes qui reviennent dans les directives et les normes consultées et ce, complété par l'information utile provenant d'une étude littéraire approfondie et d'un entretien personnel avec les personnes ayant déjà une expérience pratique en matière de Business Continuity Management.

PARTIE 2

Les 6 phases de Business Continuity Management


SOFIE SENESAEL – SPF INTÉRIEUR / DIRECTION GENERALE CENTRE DE CRISE 23

Introduction

Cette partie aborde les différentes phases à franchir ou les éléments devant être présents dans l'entreprise afin de pouvoir parler de Business Continuity Management. Outre une description de certains concepts et du contenu exact de cette phase, l'on examine également comment cette phase peut être mise en œuvre au sein du SPF Intérieur.

La PARTIE I résume certains standards internationaux existants. Tous ces standards appliquent un modèle de processus plus ou moins similaire, qui sera abordé plus en détail dans la suite du document. Vous trouverez ci-dessous une illustration du processus de Business Continuity Management basée sur le cycle de vie selon le British Standard 25999-1:2006.

Modèle de processus

Phases du BCM 1. Programme Business Continuity

2. Compréhension de l'organisation

3. Définition de la stratégie BCM

4. BCM Response : développement et mise en œuvre

5. Exercice, entretien et révision

6. Ancrage de BCM dans la culture de l'entreprise

Phase 1 Programme BCM


l'organisation

Phase 3 Stratégie BCM


développement et mise en œuvre


BUSINESS CONTINUITY

MANAGEMENT


SOFIE SENESAEL – SPF INTÉRIEUR / DIRECTION GENERALE CENTRE DE CRISE

24



P

hase

1 –

Pro

gram

me

BC

M

1 Programme BCM Comme lors de chaque projet, il importe d'établir un cadre clair pour la mise en œuvre du Business Continuity Management. Il est notamment nécessaire que les objectifs du projet soient clairs, que les rôles et responsabilités soient décrits, qu'une communication existe sur le projet, etc. Tous ces éléments sont abordés dans le Programme BCM, véritable point de départ du projet. Le point suivant aborde les différentes parties du Programme BCM. 1.1 Ligne politique / Policy Development

Ligne politique L'une des principales conditions préalables d'une mise en œuvre

réussie du Business Continuity Management s'avère être, d'après toutes les sources consultées, le soutien des cadres supérieurs. Les différentes sources recommandent dès lors que les cadres supérieurs signent, de manière formelle, une ligne politique (BCM Policy) et la communiquent à travers l'entreprise. La présidente du Comité de direction de l'Intérieur a inscrit cet objectif – notamment l'élaboration d'un management des risques accordant une attention particulière à la continuité – dans son Plan de management 2009-2014. Ce dernier peut également servir indirectement de ligne politique. Pour souligner l'importance de cet objectif, il est également recommandé aux cadres supérieurs de diffuser une communication spécifique au sein de l’organisation.



l'organisation





BUSINESS CONTINUITY

MANAGEMENT



26

P

hase 1 – Program

me B

CM

Contenu de la ligne politique

Quel est le contenu d'une ligne politique ? Pour répondre à cette question, voici une liste de points qu'il y a lieu d'aborder/que l'on peut aborder dans la ligne politique (liste non exhaustive) :

- La définition du Business Continuity Management selon l’organisation ;

- Les objectifs de Business Continuity de l'organisation (quels sont les résultats attendus ?) ;

- La portée du projet BCM (quels services/processus sont concernés ou non, lesquels le sont à un stade ultérieur ?, quels domaines de risque ?) ;

- L'attribution de responsabilités et l'organisation du projet (chef de projet, commission d'experts, groupe de travail) ;

- La disponibilité du personnel et des moyens (temps/budget) ; - Contrôle des versions et gestion des documents de la ligne

politique ; - Informations de contact ; - Facultativement : références de documentations, standards,

législations, réglementations (ex. Standards BCM) ; - Facultativement : le point de vue de la direction en ce qui

concerne le rapport entre le management des risques et le Business Continuity Management (cf. PARTIE I, point 2.1 Analyse des risques, pg. 8-9).

Initialement, la ligne politique peut être une déclaration d'intention plutôt générale visant à mettre davantage au point et à compléter l'avancée des travaux. Telle est également la raison pour laquelle la ligne politique doit être revue régulièrement.

Proposition pour le SPF Intérieur

La PARTIE III présente un projet de ligne politique pour le SPF Intérieur. Ce document doit dans un premier temps être adapté, conformément aux attentes du management par rapport à ce projet, et doit ensuite être mis au point au fur et à mesure de l'avancée du projet.

1.2 Objectifs, délimitations et points de départ de l'organisation / Portée

Portée du projet Il est recommandé d'appliquer, pour la mise en oeuvre du Business

Continuity Management, les principes généraux du management de projets. Bien que le Business Continuity Management ne soit pas une donnée temporelle, donc une caractéristique d'un projet, différentes sources estiment qu'il s'agit là d'une méthode adéquate pour instaurer le processus de management au sein de l’organisation. A une phase ultérieure, l'on peut opter pour une structure permanente, chargée notamment du suivi, de l'entretien, de l'actualisation et de l'apprentissage pratique de plans de Business Continuity. Le point 1.3 "Rôles et responsabilités" (page 27) distingue donc la structure du projet d'une part (groupes de travail temporaires et personnes de contact qui participeront au développement des plans) et une structure permanente d'autre part (un ou plusieurs interlocuteurs Business Continuity au sein de l'organisation ayant des



P

hase

1 –

Pro

gram

me

BC

M

compétences dans l'activation des plans, responsables de l'actualisation et de l'apprentissage pratique des plans, etc.). Toutefois, il est probable que les personnes responsables de la structure du projet ayant collaboré au développement des plans puissent également jouer un rôle majeur dans la structure permanente. Ce n’est pas étonnant car ces personnes connaissent les plans mieux que quiconque au sein de l'organisation.

1.3 Rôles et responsabilités 1.3.1 Structure du projet Gestion de projet La première phase du programme BCM est la gestion du programme

proprement dit, en d'autres termes le management du projet. Celle-ci comporte principalement l'organisation du projet, les rôles et les responsabilités ainsi que la méthode qui sera appliquée.

Fiche de projet Au début d'un projet, il convient de créer une fiche de projet, selon les principes du management de projet. Cette fiche comporte notamment une description claire des objectifs du projet et des résultats souhaités, une répartition des rôles et des responsabilités, la portée du projet, les corrélations, les risques possibles, une analyse des coûts et des avantages et un planning global du projet. Il importe que la fiche de projet soit abordée avec la direction et approuvée formellement par celle-ci. En effet, cette fiche constitue le point de départ du projet global. Les informations figurant sur la fiche de projet correspondent généralement à celles de la ligne politique, mais comportent davantage de détails relatifs à la méthodologie. Tandis que la fiche de projet est un document interne exclusif ayant comme groupe cible toutes les personnes impliquées de près dans le projet ou y participant, la ligne politique pouvant être consultée par toutes les personnes faisant partie de l'organisation, mais également externes à celle-ci.

Proposition pour le SPF Intérieur

La PARTIE III comporte une ébauche de fiche de projet pour le SPF Intérieur. Ce document doit d'abord être adapté conformément aux attentes du management par rapport à ce projet et doit ensuite être peaufiné avec le groupe de travail désigné à cet effet, dans un plan par étapes détaillé, qualifié également de "Plan d'approche".

Organisation de projet

Avant de pouvoir lancer le projet, les cadres dirigeants, sponsors du projet, doivent désigner un chef de projet chargé de coordonner la "mise en œuvre d'un Business Continuity Management". Le nombre de collaborateurs nécessaires pour ce projet est fonction de la taille, de la nature, de la complexité et de l'emplacement géographique de l'organisation ainsi que de la portée (toutes les directions/tous les services sont-ils impliqués ?) et du temps disponible.



28

P

hase 1 – Program

me B

CM

Benchmarking

Dans les petites et moyennes entreprises (<250 collaborateurs)1 l'activité BCM peut être confiée à un collaborateur en sus de ses autres missions, mais c'est rarement suffisant lorsque les autres missions exigent une responsabilité opérationnelle quotidienne. Dans les entreprises de plus grande taille (>250 collaborateurs), des responsabilités BCM peuvent être confiées à plusieurs personnes, soit à temps plein, soit à temps partiel. Une enquête menée auprès de personnes chargées du Business Continuity Management au sein d'une organisation a révélé que ces personnes exercent généralement cette fonction à temps plein et qu'elles sont soutenues pour ce faire par plusieurs personnes ayant un diplôme universitaire. Parmi les personnes des organisations avec lesquelles des contacts avaient été établis (infra : quelques exemples), ce n'est qu'au sein de la Communauté flamande qu'aucun collaborateur temps plein n'était affecté au Business Continuity Management. Toutefois, les personnes de contact de la Communauté flamande reconnaissent que leur permettre de travailler à temps plein sur le projet ne serait pas un luxe. Quelques exemples :

- Pour le bâtiment Justus Lipsius du Conseil de l'Union européenne (2.400 collaborateurs), 2 ETP travaillent déjà depuis plusieurs années au Business Continuity.

- Au sein du Parlement européen (+/- 5.000 fonctionnaires), 10 ETP sont chargés du management des crises dont 2 ETP du Business Continuity Management.

- Chez Infrabel (+/-13.000 collaborateurs), 3 ETP diplômés universitaires collaborent avec 3 consultants de Deloitte.

- Chez Dexia Banque Belgique, 10 ETP sont chargés du management opérationnel des risques dont 4 ETP du Business Continuity Management (+/-14.000 collaborateurs)

- A la Communauté flamande (pour 11 entités), 3 ETP à temps partiel (15%) à côté d'autres tâches.

Structure de l'organisation de projet

Pour le SPF Intérieur, il est recommandé qu'au moins 1 personne se charge à temps plein (éventuellement à temps plein temporairement, ensuite à temps partiel) de ce projet. Cette personne serait le point de contact central pour l'ensemble de l'organisation. En outre, il est utile de prévoir dans chaque direction une personne de contact Business Continuity (correspondant BCM) chargée de coordonner les actions concrètes au sein de sa propre direction et de rapporter au chef de projet. Il est recommandé de prévoir les rôles suivants dans l'organisation de projet :

- Le sponsor du projet : le donneur d'ordre du projet, cadres dirigeants

- Le chef de projet : personne désignée pour diriger le projet et coordonner les travaux

- Les correspondants / task force : représentants des différentes 1 Commission Recommendation 96/280/EC of 3 April 1996 concerning the definition of small and medium-sized enterprises



P

hase

1 –

Pro

gram

me

BC

M

directions - Participants aux groupes de travail au sein de la direction :

membres du personnel qui collaborent à l'opérationnalisation des actions sur le terrain.

Ci-dessous, une énumération, par rôle, des compétences de chaque rôle ainsi que, pour certains rôles, une description du profil. Une illustration schématique de l'organisation du projet est ensuite fournie et une proposition de méthode de travail en vue de la constituer.

Rôle du sponsor du projet

Le rôle du sponsor du projet prévoit notamment : - La désignation d'une personne ou d'une équipe chargée de la

management du programme BCM ; - La définition de la portée du processus de management (ex. nombre

d'ETP, deadlines, etc.) ainsi que du programme BCM (ex. quels services ? quels domaines de risque ?) ;

- L'approbation du budget éventuel ; - Le contrôle de l'état d'avancement du projet ; - L'approbation de la ligne politique et des communications

afférentes ; - L'approbation des processus-clés d'un service ; - L'approbation des actions à entreprendre (BCM Respons) ; - Approbation du programme BCP de formation, exercice et révision.

Rôle du chef de projet – (BC Manager)

Le rôle du chef de projet prévoit notamment : - La coordination du projet ; - La mise au point et l'approbation d'un plan BCM d'approche (étapes

à entreprendre) ; - Le suivi du planning et l'organisation des différentes activités BCM

au sein de l'organisation et des différents départements ; - Promotion du Business Continuity à travers l'organisation et en

dehors de celle-ci le cas échéant ; - La gestion du budget éventuel ; - L'actualisation de l'ensemble de la documentation relative au

programme BCM ; - La rédaction de rapports réguliers pour le sponsor du projet au sujet

de l'état d'avancement du projet et des lacunes ; - La garantie du suivi du planning du projet, conformément au

calendrier ; - L'élaboration et la supervision du plan de test et d’exercice - Révision périodique des plans développés ; - Contrôle des risques

Profil du Chef de projet (BC Manager)

Il importe que la personne responsable de la coordination du projet pour l'ensemble de l’organisation dispose d'une ancienneté et d'une autorité suffisantes pour porter ce projet. En outre, il est souhaitable que cette personne dispose de connaissances suffisantes des missions de l'organisation et des différents départements, ou qu'elle soit disposée à se familiariser rapidement avec ces questions. Le chef de projet doit également être à même d'établir aisément des contacts avec des personnes de différents niveaux et doit se montrer convainquant.



30

P

hase 1 – Program

me B

CM

Rôle du comité d'experts – Task Force BCM

Rôle du groupe de pilotage – Task Force BCM : - Le groupe de pilotage se compose de représentants des différents

départements d'une organisation (correspondant BCM) ; - Planifier et organiser les activités BCM adéquates au sein de son

département dans l’organisation ; - Organiser une concertation interne au sein du département ; - Etablir des rapports pour son chef de service ; - Etablir des rapports pour le chef de projet / BCM Manager.

Profil du correspondant BCM

Il s'agit de préférence d'une personne assumant cette mission sur une base volontaire et qui est donc convaincue de la nécessité du projet. Cette personne doit se prévaloir de bonnes connaissances des missions de sa direction ou doit être disposée à s'y familiariser rapidement. En outre, elle doit être à même d'établir aisément des contacts au sein de sa direction et mobiliser des personnes de sa direction dans un groupe de travail afin d'élaborer des actions concrètes pour la direction.

Groupe de travail Rôle du groupe de travail : - Préparer les activités BCM sous la direction du correspondant BCM - Mettre en oeuvre des mesures BCM concrètes au sein de

l’organisation

Profil du groupe de travail

Le groupe de travail est autant que possible composé de représentants de différents départements/services de la direction.

Proposition d'organisation de projet BiZa

Chef de projet

(Coordinateur BCM)

Task Force BCM

Correspondant BCM

DVZ/OE

Correspondant BCM

VPB/SPP

Correspondant BCM

CV/SC

Correspondant BCM IB/IP

Correspondant BCM CC

Correspondant BCM

Service

Correspondant BCM

Service

Correspondant BCM Service du personnel

ICT

Correspondant BCM

RVV/CCE

Correspondant BCM

CGVS/CGRA Experts

Sponsor du projet

Présidente du Comité de direction



P

hase

1 –

Pro

gram

me

BC

M

Dans ce schéma, la Task Force Business Continuity Management se compose : - Du chef de projet ; - D'un correspondant BCM par direction ; - D'un correspondant BCM par service d’encadrement ; - D'experts internes et externes éventuellement invités, en

fonction des points à aborder au sein de la Task Force. Autres recommandations relatives à l'organisation du projet BCM pour le SPF Intérieur :

- La diffusion d'un appel interne pour la désignation du chef de projet et des correspondants BCM (chefs de projets des différents services) constitue une possibilité.

- La désignation du chef de projet et des correspondants BCM incombe au sponsor du projet et a lieu de préférence de manière formelle. Les cadres dirigeants communiquent ensuite la décision à travers l’organisation. Celle-ci illustre d'une part l'importance que les cadres dirigeants accordent au projet et, d'autre part, cette communication permet également de garantir que les rôles et les responsabilités de chacun soient clairs.

- Les rôles attribués dans le cadre de ce projet sont inscrits dans la description de fonction.

- Il peut être envisagé de valoriser les collaborateurs de ce projet, notamment par les biais suivants :

o Leur permettre de suivre une formation externe en matière de Business Continuity Management ;

o Leur octroyer une prime de projet ; o Publier un article relatif au projet et aux collaborateurs

de projet dans Interiors, par exemple.

1.3.2 Structure permanente

Comme déjà mentionné précédemment, le Business Continuity Management n'est pas une donnée temporaire. En d'autres termes, il ne suffit pas d'avoir quelques plans qui reposent dans le placard. Au contraire, les plans établis doivent être actualisés en permanence en fonction des modifications survenues au sein de l’organisation, ils doivent être adaptés aux nouveaux risques ou menaces auxquels l'organisation est confrontée, testés quant à leur faisabilité et le personnel doit régulièrement se familiariser avec les rôles décrits dans les plans, etc. En dépit de tout cela, il est recommandé d'appliquer les principes du management de projet afin d'introduire et lancer le processus dans l’organisation. Pour les raisons mentionnées ci-dessus, il est fortement recommandé de prévoir ensuite une structure permanente pour le Business Continuity Management au sein de l’organisation. Une structure permanente permettra d'une part qu'une ou plusieurs personnes au niveau des services de coordination centraux se charge en permanence du Business Continuity Management et du management des risques en général (Business Continuity Manager / Risk Manager).



32

P

hase 1 – Program

me B

CM

En outre, il est également recommandé que les correspondants BCM au sein des différentes directions continuent à jouer un rôle permanent. Ils restent le point de contact pour toute question relative au Business Continuity Management au sein de leur direction, informent le BC Manager des modifications à apporter aux plans et transmettent les informations ; ils peuvent également agir comme point de contact pour l'organisation d'exercices, formations, etc.

1.3.3 Structure de crise

Rôle du BC Manager Correspondant BCM en cas d'interruption des activités

D'autre part, il y a lieu de songer ici également au rôle de cette structure permanente, plus particulièrement des correspondants BCM et du BC Manager, dans l'hypothèse d'une interruption grave nécessitant la mise en œuvre effective du Business Continuity Plan. Etant donné que ces personnes connaissent parfaitement le plan, il serait imprudent de ne pas faire appel à leurs connaissances en situation d'urgence. En fonction de la culture de l’organisation, il convient de définir le rôle exact de ces personnes en situation d'urgence. Dans tous les cas, il doit être clair qu'en cas d'interruption, le Business Continuity Manager et/ou les correspondants BCM ne sont pas responsables de la reprise des activités. Leur rôle consiste à intervenir comme facilitateur afin de soutenir et, dans certains cas, diriger les opérations, de sorte que le processus de reprise puisse se dérouler plus aisément.

Exemple pratique Centre de crise

Au mois de mai 2009, à la suite de l'apparition de la grippe A/H1N1, le déclenchement possible du plan national d'urgence pour une pandémie de grippe avait été préparé au sein du Centre de crise. Une réunion de coordination interne avait été organisée sous la houlette du chef de service planification d'urgence, de deux gestionnaires de dossiers planification d'urgence, d'un chef de la permanence, d'un communicateur et de la personne chargée actuellement du Business Continuity Management au sein du Centre de crise. Etant donné que lors du déclenchement de la phase nationale des prestations accrues ont été fournies par le personnel du Centre de crise et qu'en cas de pandémie de grippe, le Centre de crise peut également être confronté à un nombre élevé de malades, il est possible qu'à un certain moment l'on soit confronté à un manque de personnel risquant de mettre en péril la continuité des activités (en cas de gestion de la phase fédérale). La proposition peut être que le Centre de crise informe le correspondant BCM dès qu'une phase de coordination nationale est déclenchée à la suite d'un événement spécifique. Cela peut se concrétiser, par exemple, par la participation du correspondant BCM à la réunion de coordination interne, comme décrit ci-dessus, de manière à pouvoir évaluer au mieux les différentes menaces pour la continuité. Le correspondant BCM peut ensuite entreprendre les actions requises pour briefer les éventuelles personnes de back-up et les avertir de rester en stand-by.



P

hase

1 –

Pro

gram

me

BC

M

Egalement en cas de panne de courant, de problèmes informatiques ou de problèmes relatifs à l'accès au bâtiment ou à une partie de celui-ci, il importe de décrire dans quels cas le correspondant doit ou non être contacté, quel est son rôle exact (déclenchement du plan, contacts avec d'autres services, back-up des appels, etc.) et des accords internes doivent être fixés à ce sujet. Le rôle du correspondant BCM doit dès lors être analysé de manière distincte pour chaque service et la structure doit correspondre au maximum aux structures existant actuellement.



34

P

hase 1 – Program

me B

CM



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

2 Acquérir une connaissance approfondie de l’organ isation La deuxième phase du processus de Business Continuity Management consiste à acquérir une connaissance approfondie de l’organisation, du fonctionnement des processus d’organisation, des ressources humaines et matérielles nécessaires à la mise en œuvre de ces processus, des interdépendances, de l’impact d’une interruption des processus sur l’organisation et des menaces auxquelles l’organisation est susceptible d’être confrontée. Dans la littérature, cette phase est considérée comme une des principales étapes du Business Continuity Management, en ce qu’elle pose les fondements du déroulement du processus. Afin de savoir comment et à quoi on doit/peut se préparer et quels sont les moyens qui doivent être disponibles, un examen détaillé des processus s’impose. Cette phase se subdivise en 3 grandes étapes : Business Analyse (BA)

Dans le cadre d’une Business Analyse, tous les éléments (input, output, objectif, moyens,…) du processus sont définis, de même que les éventuelles dépendances du processus par rapport à d’autres processus.

Business Impact Analyse (BIA)

La Business Impact Analyse vise à analyser l’impact d’une interruption des processus sur l’organisation, quelle que soit la cause de cette interruption.

Analyse des risques (AR)

L’analyse des risques sert à examiner les possibilités de menaces pouvant entraîner une interruption des processus de l’organisation, ainsi que leur probabilité de survenance et leur impact sur l’organisation.



l’organisation





BUSINESS CONTINUITY

MANAGEMENT



36

P

hase 2 – Com

prendre l’organisation B

usiness Analyse (B

A)

2.1 Business Analyse Comme décrit supra, la mise en œuvre d’une Business Analyse fournit des informations sur les processus au sein d’une organisation. Ci-après, nous décrivons comment sont définis des processus au sein d’une organisation, ce qu’est un processus, comment les processus peuvent être catégorisés au sein d’une organisation et quels processus sont importants dans le cadre du projet Business Continuity Management. Objectifs de l’organisation

Chaque organisation se base sur une vision qui se traduit, à son tour, en objectifs d’organisation. Afin de réaliser ces objectifs, la direction de l’organisation élaborera une stratégie, définira et instaurera des processus et engagera et/ou attirera des moyens. Pour connaître les processus au sein de l’organisation, il faut donc avant tout identifier les objectifs de l’organisation. Cette phase vise à recueillir un maximum d’informations en ce qui concerne les objectifs de l’organisation. Ces informations peuvent par exemple se retrouver dans : - les plans de management - les mission statements - le décret ou la loi d’institution de l’organisation - les statuts de l’organisation - les Balanced Scorecards - les analyses swot - les projets de modernisation - les audits - les rapports annuels - etc.

Prioritiser Après avoir dressé l’inventaire des objectifs de l’organisation, il y a lieu d’examiner avec la direction quels sont les objectifs qui sont prioritaires pour elle en termes de Business Continuity. En d’autres termes, quels sont les objectifs dont la continuité ne peut être interrompue, que ce soit temporairement o u sur une longue période. Il n’y a pas de réponse ‘correcte’ ou ‘incorrecte’ à cette question. De même, aucun critère univoque ne permet de déterminer quels objectifs sont importants ou critiques pour la continuité d’une organisation en cas d’interruption et quels objectifs le sont moins.

Etape 1

Business Impact

Analyse (BIA)

Business Analyse

(BA)

Analyse des risques

(AR)

Phase 2

Etape 2 Etape 3

Comprendre l’organisation



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

Pour un certain nombre d’objectifs, il est évident qu’ils sont essentiels. Pour d’autres, ce n’est pas du tout facile à déterminer. La continuité de certains objectifs sera hic et nunc certainement plus importante que celle d’autres objectifs au sein de l’organisation. Cela n’est toutefois que provisoire. En fonction de différents facteurs environnementaux et/ou autres, de nouveaux risques peuvent apparaître et d’autres diminuer, ce qui nécessite une adaptation de la portée du projet. Si l’on souhaite cependant aboutir rapidement à des résultats concrets, il est préférable de se concentrer d’abord sur un nombre limité d’objectifs et d’en ajouter d’autres par la suite, plutôt que de vouloir élaborer des stratégies de continuité en une seule fois pour l’ensemble de l’organisation.

Processus Une fois que la direction décide quels objectifs d’organisation sont inclus dans la portée du projet, il convient d’examiner quels sont les différents processus au sein de l’organisation qui permettront d’attendre ces objectifs. Ensuite, il faudra analyser et visualiser ces processus pour que tout le monde les comprenne de la même manière. Rappelons ici aussi que l’objectif du BCM ne consiste pas à réactiver le plus rapidement possible tous les processus après une interruption. Par contre, il est important de se poser la question suivante : “quel est le minimum à faire pour rétablir les activités les plus critiques ?” Avant d’approfondir la méthodologie relative à la collecte d’informations sur un processus déterminé, il convient de se concentrer sur la notion à proprement parler. Qu’est-ce qu’un processus ?

Qu’est-ce qu’un processus ?

La définition de la notion de processus n’est pas encore tout à fait précise. La norme ISO 9000:2005 la définit comme suit : un processus est un ensemble d’activités corrélées ou interactives qui transforment des éléments d'entrée (input) en éléments de sortie (output). Un processus englobe des activités qui sont généralement effectuées par différents rôles. Une activité est un terme générique désignant un groupe de tâches ou de travaux au sein d’un processus. Une activité

INPUT OUTPUT

ACTIVITE 1

taak c

taak b

Taak a

ACTVITE 2

ACTIVITE 3

Processus

Tâche c

Tâche b

Tâche a



38

P

hase 2 – Com


usiness Analyse (B

A)

ou une tâche est effectuée par un rôle. Un rôle n’est pas nécessairement une fonction, mais bien un ensemble de compétences nécessaires à l’exécution d’une certaine activité ou tâche (président d’une réunion, porte-parole, …). En d’autres termes, un rôle ne correspond pas nécessairement à une fonction existant au sein de l’organisation.

Types de processus

Dans chaque organisation, on peut distinguer trois types de processus (primaires, d’appui et de management). Cette distinction peut être utile lorsque la direction détermine quels processus font partie du projet BCM et quels en sont exclus. On peut ainsi décider de se concentrer dans un premier temps sur les processus primaires pour viser dans un second temps les processus d’appui. Cela permet d’avoir une idée plus claire des processus qui ont déjà été abordés dans le cadre du projet et de ceux qui n’ont pas encore fait l’objet de discussions.

Processus primaires (processus principaux ou opérationnels)

Les processus primaires sont des processus de l’organisation qui sont nécessaires pour remplir les missions principales. Les processus primaires sont les plus distinctifs étant donné qu’ils sont uniques et qu’ils décrivent le service spécifique fourni par l’organisation. Un exemple pour le Centre de crise :

- assurer une permanence 24h est un processus primaire - la sélection et le recrutement de personnel est un processus

d’appui - le suivi des indicateurs critiques de prestation (KPI) est un

processus de management ou d’administration

Processus d’appui Les processus d’appui sont des processus de l’organisation qui soutiennent les processus primaires (ex. recrutement de personnel, mise à disposition de l’infrastructure ICT, …), mais aussi bien entendu les processus d’administration et eux-mêmes. Les processus d’appui, tout comme les processus d’administration (voir infra), sont conçus de manière quasi identique dans toutes les organisations. Conformément au modèle EFQM1, une distinction peut être faite pour les processus d’appui en termes de personnes (gestion du personnel) et de moyens. Les processus liés aux moyens peuvent être subdivisés en gestion de l’information, gestion de la communication, gestion facilitaire et gestion financière.

Processus de management

Les processus de management englobent toutes les activités liées à la planification, au contrôle, à l’évaluation et à l’adaptation. Il s’agit, en d’autres termes, des processus nécessaires pour diriger l’organisation et pouvoir ainsi atteindre les objectifs et se conformer à la législation et à la réglementation en vigueur. On peut y ajouter le pilotage du développement de processus, à savoir ce qu’on appelle les processus d’amélioration ou ‘Business Process Reengineering’ (BPR) ou Projets de modernisation (MPM). Les processus d’amélioration peuvent être perçus comme une sorte de processus d’administration. Ils ont en effet pour objectif de repenser

1Le modèle EFQM a été développé par la European Foundation for Quality Management. L’objectif primaire de cet outil consiste à permettre aux organisations d’évaluer plus facilement leur propre fonctionnement en ce qui concerne leur gestion dans son ensemble, à la lumière du Total Quality Management (TQM). Cette évaluation se base sur une autocritique (self-assessment) qui est définie comme suit par la EFQM : “Self-Assessment is a comprehensive, systematic and regular review of an organisation’s activities and results referenced against the EFQM-model”.



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

fondamentalement et de renouveler radicalement les processus d’organisation afin de réaliser d’importantes améliorations en termes de prestations.

Présentation schématique

Schéma : formation certifiée CACERSA02 – Définir des processus – IFA

Processus du SPF Intérieur

Dans le cadre des projets de modernisation au sein du SPF Intérieur, les différents processus mis en place dans les directions générales ont déjà été répertoriés. Pour ce faire, le programme informatique ‘Office Visio’ a été utilisé. Les projets de modernisation sont donc également une importante source d’information.

Processus-clés

En principe, toutes les activités d’une organisation font partie d’un ou plusieurs processus. Tous les processus ne sont toutefois pas aussi importants. Comme déjà mentionné supra, il est important dans le cadre du Business Continuity Management de définir les processus-clés au sein de l’organisation. Il s’agit des processus critiques pour la continuité de l’organisation. Attention : à la fois les processus primaires, les processus d’appui et les processus d’administration peuvent faire partie des processus-clés de l’organisation. Un processus-clé n’est donc pas nécessairement pareil à un processus primaire.

Visularisation des processus-clés

Afin de se faire une idée plus précise des différents processus au sein de l’organisation et leurs interdépendances, il peut être utile de les visualiser à l’aide d’organigrammes ou de cartes de processus. Un organigramme fournit une image visuelle d’un processus et permet ainsi de mieux comprendre le processus ou système reproduit. Les processus qui sont reproduits de manière descriptive sont par contre souvent peu clairs. En outre, il est difficile de savoir s’ils sont complets et cohérents. La normalisation graphique des processus présente l’avantage ou la particularité suivante : - utilisation d’un langage commun, qui fait que les processus sont

plus rapidement compris par tous ; - présence d’une structure qui est indépendante de l’organisation ou

des fonctions ;

HRM

Processus de management

Processus primaires

Processus d’appui



40

P

hase 2 – Com


usiness Analyse (B

A)

- présence d’une base qui permet de revoir les processus ; - indication des problèmes au moment de la délivrance des résultats ; - possibilité de visualiser la méthode de travail actuelle ; - structure hiérarchique et priorité accordée à ce qui est important.

Analyse des processus-clés

Pour savoir comment doit se préparer à assurer la continuité des processus-clés, l’organisation doit pouvoir disposer d’un inventaire de toutes les conditions qui doivent être remplies pour que le processus puisse être opérationnel. Afin de traduire des inputs en ouputs, des moyens sont en effet nécessaires (personnes, systèmes informatiques, matériel, équipement, …), il faut disposer de certains fichiers vitaux, tenir compte de la législation et de la réglementation spécifiques, etc.

A l’aide du modèle ci-après, toutes les informations relatives à un processus en particulier peuvent être répertoriées de manière claire.

Modèle de processus Caractéristiques du processus

Ce schéma reprend toutes les caractéristiques d’un processus. Une définition de chaque caractéristique est fournie ci-après.

Input Qu’est-ce que l’input du processus ? Un input se transforme, est utilisé, traité, … dans le processus. Des exemples d’inputs d’un processus peuvent être : les données d’une personne de contact, une demande, une demande de formation du personnel, une demande d’un citoyen au guichet, une demande de congé, une facture d’un fournisseur,… Ces inputs sont traduits en outputs pour répondre aux besoins et attentes du demandeur. Dans les processus administratifs, les inputs sont généralement des données.

Output Qu’est-ce que l’output du processus ? Un output est produit par le processus. Il s’agit du résultat fourni ou du service à un bénéficiaire externe, voire d’un autre processus interne. Comme exemples d’outputs, citons une autorisation délivrée, une réponse contenant l’autorisation ou le refus d’un congé, une réponse à la question d’un citoyen, une facture payée, …

Objectif Que souhaite-t-on atteindre par ce processus ?

PROCESSUS

Règles Objectif Départ Fin

Intéressés Personnel Moyens Lieu

INPUT OUTPUT



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

Départ

Quel est l’élément (fait, événement, catalyseur) qui déclenche le processus ? - Le catalyseur ne fait pas partie du processus - Il ne s’agit donc pas de la première activité du processus - Un processus commence toujours par un ou plusieurs éléments

détonateurs. Ex. le détonateur du traitement d’une demande d’asile peut par exemple être la déclaration du candidat-réfugié souhaitant demander l’asile. Détonateurs possibles : - Avis ou message : ex. appel, avis, fax, demande du citoyen - Moment : ex. tous les premiers jeudis du mois, chaque

semaine, une date ou heure précise, le lundi,… - Règle : ex. une situation d’urgence se présence, une limite a

été franchie,… - Autre processus : ex. le processus X apporte un input au

processus - Quelle est la relation avec d’autres processus ?

Règles A quelles règles le processus est-il lié ? - Règles fixées en interne : ex. notes de service, règlements de

travail, instructions, manuels, … - Règles imposées par des tiers : ex. lois, directives européennes,

... - Existe-t-il des protocoles et procédures écrits concernant ce

processus ? - Des assurances ont-elles été prises et donnent-elles droit à un

remboursement en cas de calamités ? - Quelles sont les obligations contractuelles avec des tiers ? - Quelle législation et réglementation sont en vigueur pour

l’organisation ?

Personnes concernées

Qui a intérêt (instances, organisations, …) à ce que le processus se déroule correctement ? A-t-on recours aux services de tiers dans le cadre de la mise en œuvre du processus ?

Personnel Quel est le nombre idéal de membres du personnel nécessaires à la mise en œuvre de ce processus ? Quel est le nombre minimum de membres du personnel nécessaires à la mise en œuvre du processus ? Quelles sont les fonctions (rôles) nécessaires ? : nombre, compétences, tâches, quantité et temps

Moyens Quels sont les moyens nécessaires à la mise en œuvre du processus ? Ex. applications informatiques, données, check-lists, formulaires, actifs, …. Technologie :

- Quelle IT est essentielle à la mise en œuvre des activités ? - Quels systèmes de reconnaissance vocale et de données

sont essentiels pour vos activités ? Information :

- Quelle information est essentielle à la mise en œuvre des activités ?



42

P

hase 2 – Com


usiness Analyse (B

A)

- Comment et où cette information est-elle sauvegardée ? Fournisseurs et partenaires :

- Qui sont les fournisseurs et partenaires prioritaires dont dépendent les activités ?

- Certaines missions relatives à ce processus sont-elles confiées à d’autres organisations ? A qui et pour quoi ?

- Des conventions/contrats ont-ils été conclus avec d’autres organisations ?

Lieu Où (lieu géographique) ce processus est-il mis en œuvre ? (1 ou plusieurs endroits). Les activités ont-elles lieu à différents endroits ? D’autres endroits sont-ils disponibles pour mettre en œuvre le processus ? Quelles installations, machines et autre infrastructure sont essentielles pour la réalisation des activités ?

Fin L’événement final est le moment où plus aucune activité n’est nécessaire. Façon dont le processus peut terminer : - Avis ou message : ex. réponse envoyée au demandeur pour

conclure le processus - Erreur : ex. erreur pendant le processus, qui fait stopper le

processus - Autre processus : ex. le processus donne un output à un autre

processus - Combinaison de ce qui précède - Quelle est la relation avec d’autres processus ?

Ci-après figure un exemple fictif d’un processus fictif de ‘délivrance d’une autorisation’. Attention, dans le cadre du Business Continuity, il est nécessaire de détailler et de quantifier davantage les moyens et le personnel. Schéma : formation certifiée CACERSA02 – Définir des processus – IFA

Fin autorisation

délivrée

Inputs • Demande du client • Données du client

Groupe concerné • Demandeur • Société • Direction • Autre autorité

Personnel • Gestionnaire de

dossier • Juriste • Collaborateur

administratif

Moyens • Logiciels • PC portables • Moyens de

communication

Lieu • Bruxelles • Ostende • Liège

Outputs • Courrier avec décision

d’autorisation • Autorisation • Registre adapté

Départ Demande

Objectifs • Traitement rapide • Traitement correct • Service axé sur le client • Traitement efficace

Règles • Arrêté ministériel du

6 déc. dernier • Directive UE 87/999

Processus 'délivrance d’une autorisation' • Réception de la demande • Vérification que la demande soit complète • Evaluation du contenu • Préparation de la décision • Approbation de la décision • Communication de la décision



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

Dépendances du processus

Outre la réalisation d’un inventaire de tous les éléments qui gravitent autour d’un processus, il est tout aussi important de se pencher sur l’éventuelle dépendance du processus par rapport à d’autres. Il convient d’examiner dans quelle mesure des processus-clés sont vulnérables ou dépendants d’autres. Lorsqu’un processus-clé X est dépendant de l’input du processus Y, il faut tenir compte du fait que le processus Y doit être rétabli avant que le processus X ne puisse fonctionner à nouveau. On peut alors affirmer que le processus Y est également un processus-clé au sein de l’organisation. Il est dès lors important d’examiner le rapport et les dépendances entre les différents processus de l’organisation et d’en tenir compte. Il est par ailleurs possible qu’un processus-clé de l’organisation dépende d’un processus qui ne fasse pas partie de l’organisation, mais bien d’une organisation externe. Dans ce cas, l’organisation est toujours tenue d’assurer la continuité de son processus. Elle peut par exemple le faire en concluant, avec des organisations externes, des contrats ou protocoles qui mettent l’accent sur la continuité ou en implquant activement les organisations externes dans la réalisation du Business Continuity Plan.

Niveau du processus Certains processus sont toutefois trop complexes pour être examinés dans leur ensemble. Le cas échéant, le processus peut être plus détaillé. Cela peut se faire à plusieurs niveaux jusqu’à ce qu’on atteigne un niveau suffisant de détail. En examinant de plus près un processus (ex. au niveau des activités), il faut appliquer le modèle de processus par étape du processus ou activité et classer les informations relatives aux caractéristiques de l’étape du processus. Le niveau le plus bas est celui d’une étape du processus ou activité. - Niveau 0 : organisation - Niveau 1 : processus de base (3 à 6 activités qui constituent des

processus-clés au sein de l’organisation) - Niveau 2 : sous-processus - Niveau 3 : activités au sein d’un sous-processus

Méthode de travail

Il n’existe pas de méthode standard de collecte des données concernant les processus. Ci-après sont néanmoins reprises quelques méthodes pouvant être utilisées, de même qu’une évaluation de la méthode utilisée. Il est recommandé d’utiliser une combinaison de ces méthodes et plus spécifiquement l’organisation d’un atelier qui utilise un questionnaire comme fil conducteur. Si cela s’avère souhaitable, il peut être plus utile, dans le cas de processus complexes ou très techniques, d’organiser des entretiens individuels complémentaires avec les gestionnaires du processus. Les différentes possibilités sont présentées ci-après :

Ateliers Un groupe de personnes (3 à 7 personnes) pouvant fournir des informations concernant un processus déterminé (e.a. le détenteur du processus, les personnes qui exercent des activités) est réuni et questionné au sujet du processus.



44

P

hase 2 – Com


usiness Analyse (B

A)

Evaluation de la méthode : - Résultat rapide ; - Occasion de créer une implication par la participation ; - Conscientisation nettement accrue des employés lorsqu’on

aborde des questions et scénarios du type “quid si”

Questionnaires Les questionnaires standard sont diffusés et il est demandé de les renvoyer complétés. Evaluation de la méthode : - Les questionnaires fournissent une grande quantité d’informations

et les résultats sont directement comparables, mais la qualité peut être remise en cause si le questionnaire n’a pas été complété de manière cohérente ;

- Possibilité d’erreurs d’interprétation des questions.

Interviews Entretiens individuels avec les détenteurs du processus ou les personnes qui exercent les activités (les intervenants-clés) Evaluation de la méthode : - Les interviews peuvent fournir de très bonnes informations, mais

elles prennent énormément de temps. - L’output des interviews peut varier en fonction du format et des

détails.

Proposition de questionnaire Business Analyse

Dans la PARTIE III, on trouve un projet de questionnaire pour le SPF Intérieur. Ce questionnaire peut servir dans le cadre de la Business Analyse.

Résultat Business Analyse

A la fin de la Business Analyse, on dispose d’une liste ou d’un tableau qui reprend tout ce qui est lié au processus (tous les moyens nécessaires à la mise en œuvre du processus, la législation et la réglementation, …). Lorsqu’un processus est relancé après ne interruption, il faut en effet savoir tout ce qui est nécessaire à cet effet et dans quel ordre.

2.2 Business Impact Analyse Définition BIA La réalisation d’une Business Impact Analyse consiste à analyser

l’impact (en termes de conséquences négatives) d’une interruption des processus-clés de l’organisation et de son déroulement dans le temps, quelle que soit la cause de l’interruption. Au cours de cette phase, l’objectif consiste en d’autres termes à évaluer l’impact d’une interruption des processus au sein de l’organisation. Cela permettra non seulement de déterminer l’ordre dans lequel les activités devront être rétablies. Ces informations permettront également au management de décider en connaissance de cause dans quelles mesures de Business Continuity (cfr. infra) elles investiront en priorité. Les processus dont l’interruption produit un très grand impact devront être en toute logique rétablis plus rapidement que ceux dont l’interruption n’a que peu d’impact. Au cours de la Business Impact Analyse, il importe en outre d’examiner, pour chaque processus, quelle est l’interruption qui est tout au plus tolérable (MTPD) avant que l’interruption du processus ne



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

cause des dommages irréparables à l’organisation et à ce que l’organisation se fixe comme objectif de délai de reprise du processus (RTO). Ces deux notions sont explicitées ci-dessous :

RTO (Temps de reprise)

Le RTO (Recovery Time Objective) est donc le délai fixé par l’organisation, dans lequel le processus doit être relancé. Au sein de l’organisation, il est indiqué que le niveau de management définisse les différents Recovery Time Objectives (RTO) possibles et utilise la même classification dans toute l’organisation. L’avantage en est qu’en cas d’interruption d’un processus déterminé avec un impact transversal (dans le cas du SPF Intérieur : impact pour plusieurs directions et/ou services), une coordination transservices peut se dérouler plus facilement. En effet, tout le monde parle la même langue dans ce cas. Il peut également être utile de travailler non seulement sur la base d’un RTO préfixé, mais aussi de formuler une description générale (sorte de définition) par RTO. Il est conseillé de ne pas utiliser plus de 5 à 6 RTO. Par exemple, la Banque Dexia de Belgique utilise 4 classifications :

- RTO 1 – Le processus doit être relancé dans les 4h après l’interruption = opérations interbancaires, salle des marchés

- RTO 2 – Le processus doit être relancé dans les 48h après l’interruption = processus opérationnels axés sur le client

- RTO 3 – Le processus doit être relancé dans la semaine qui suit l’interruption = processus d’appui et de management importants

- RTO 4 – Le processus peut être relancé plus d’une semaine après l’interruption = autres processus d’appui et de managementen

Exemple de description :

- Activités critiques : Activités qui doivent être immédiatement prévues, vu le risque de perte de vies humaines, de détérioration de l’infrastructure, de perte de confiance dans l’autorité et de perte considérable de revenus. Ces activités nécessitent généralement une continuité dans les 24h suivant l’interruption .

-Activités vitales : Activités qui doit être prévues dans les 72h , vu le risque de perte de vies humaines, de détérioration de l’infrastructure, de perte de confiance dans l’autorité et de perte considérable de revenus ou de coûts disproportionnés de reprise.

- Activités nécessaires : Activités nécessaires qui doivent être reprises dans les deux semaines , vu le risque de perte considérable, de détérioration continue ou de coûts disproportionnés de reprise.

-Activités souhaitées : Activités qui pourraient être reportées pendant deux semaines ou plus , mais qui sont nécessairse pour revenir aux conditions normales et remédier à la désorganisation et à la perturbation des conditions normales.

Il ne s’agit là que d’exemples. Ceux-ci doivent être adaptés conformément aux attentes du management et à la situation spécifique de l’organisation et, en particulier, la nature des processus.

MTPD (temps d’interruption maximal acceptable)

Le MTPD (Maximum Tolerable Period of Disruption) est la durée maximale d’interruption, faute de quoi l’organisation peut encourir des dommages irréparables. Il va dès lors de soi que le RTO (objectif de reprise) doit être plus bref que le MTPD (temps d’interruption maximal acceptable).



46

P

hase 2 – Com


usiness Analyse (B

A)

Points de départ

Dans le cadre d’une Business Impact Analyse, on examine quelles sont les conséquences d’une interruption d’un processus-clé et comment l’organisation peut soit relancer le plus rapidement possible le processus-clé, soit minimaliser l’impact de l’interruption. Au cours de cette phase, il n’est dès lors pas important de se pencher sur la cause de l’interruption, mais bien sur ses conséquences. C’est pourquoi une Business Impact Analyse se base sur : - Un scénario catastrophe, ex. manque de données, de personnel et

d’infrastructure. Exemple : destruction par le feu. Une situation pour laquelle il n’existe actuellement aucune possibilité de reprise.

- L’idée selon laquelle on ne peut pas se concentrer sur la reprise immédiate de tous les processus et/ou services. Le but est de relancer rapidement les processus les plus nécessaires.

Objectifs BIA Les objectifs de la Business Impact Analyse consistent à :

- Identifier l’impact quantitatif et qualitatif d’une perturbation des processus critiques. Ces informations s’avèreront importantes à un stade ultérieur et influenceront le processus de détermination de la bonne réaction.

- Examiner à quels processus-clés il faut donner la priorité en cas d’interruption et dans quel ordre ces processus doivent être rétablis. Plus l’impact est important et moins le délai de reprise du processus est long, plus le processus sera ‘critique’.

- Par processus, identifier dans quel délai le processus doit idéalement être rétabli et peut l’être de façon réaliste (RTO). Différents niveaux doivent être attribués ici (par l’organisation elle-même). Ex. RTO 0 = reprise dans les 12h, RTO 1 = dans les 24h, etc.

- Par processus-clé, examiner combien de temps le processus peut maximum être interrompu (MTPD). Si l’interruption dure plus longtemps, elle causera des dommages irréparables.

- Faire une estimation des moyens nécessaires dans le temps (principaux systèmes informatiques, matériel, personnel, …). Pendant la Business Analyse, les moyens nécessaires par processus-clé ont déjà été définir en cas de ‘business as usual’. Dans le cadre de la Business Impact Analyse, cela revient à classer le besoin de moyens dans le temps.

Estimation de l’impact

Comme précité, il convient de définir pour chaque processus l’impact de l’interruption du processus et de le définir le plus correctement possible, si possible de le quantifier. Peuvent notamment être inclus : - l’impact sur la sécurité, la santé ou le bien-être du personnel - l’impact sur la sécurité, la santé ou le bien-être des citoyens - la transgression des missions et dispositions légales - dommage causé à la réputation - dommages financiers - diminution de la qualité des produits et services - dégâts environnementaux - …



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

Résultat BA et BIA

A la fin de la Business Impact Analyse, il convient, par processus, de disposer des informations suivantes : - Une classification des processus-clés par ordre de priorité dans le

cadre de la continuité de l’entreprise - Le temps d’interruption maximum acceptable (MTPD) - Le RTO et MTPD pour chaque processus-clé - La liste des fournisseurs, systèmes importants et des données vitales - Des estimations de l’impact qualitatif et quantitatif d’un événement en

fonction de la durée de la perturbation (ex. 24 heures, 48 heures, 5 jours, etc.)

- Un aperçu de ce qui est nécessaire pour rétablir les processus-clés en fonction de la durée de la perturbation

- Les informations obtenues sur la base de la Business Analyse et de la Business Impact Analyse sont un important input pour le Business Continuity Plan, en ce qu’elles décrivent quelles actions doivent avoir lieu à quel moment en cas d’interruption d’un processus.

Méthode de travail Les méthodes de travail en vue de la collecte de données qui peuvent

être proposées sont les mêmes que celles énumérées dans le cadre de la Business Analyse (voir infra, point 2.1, p. 36). La réalisation de la Business Analyse et de la Business Impact Analyse sont souvent mentionnés en une seule étape dans la littérature. Il est toutefois possible de distinguer ces deux étapes. Cela dépend de la complexité du processus que l’on souhaite aborder. Par processus, il convient néanmoins de répéter toute la procédure.

Résultats sign-off Les résultats de la Business Analyse et de la Business Impact Analyse

doivent être présentés au management et approuvés par celui-ci.

Proposition de modèle

Dans la PARTIE III figure un modèle de Business Impact Analyse. Le RTO (objectif de reprise) et le MTPD (temps d’interruption maximum acceptable) dans le modèle tiennent lieu d’exemple et peuvent dès lors être adaptés en fonction des besoins. Il est toutefois recommandé d’utiliser les mêmes RTO et MTPD dans l’ensemble de l’organisation.



48

P

hase 2 – Com


usiness Analyse (B

A)

2.3 Analyse des risques

Une étape suivante dans la compréhension de l’organisation consiste à mener une analyse des risques. Cette analyse concerne les menaces éventuelles qui peuvent entraîner une interruption des processus de l’organisation, leur probabilité de survenance et leur impact sur l’organisation. L’on constate à la fois dans la littérature et dans la pratique qu’il existe deux visions divergentes en termes d’approche des risques dans le cadre du Business Continuity Management : Analyse des risques détaillée

Il y a d’une part la vision qui se base sur un inventaire de tous les risques possibles et une estimation de l’impact des différents risques sur les processus de l’organisation. En fonction des ‘probabilités de survenance du risque’ et de ‘l’impact’ que le risque produit, on définit la stratégie et on examine quelles mesures/actions doivent être entreprises.

Scénarios

Il y a d’autre part la vision selon laquelle il n’est pas toujours nécessaire d’élaborer une analyse des risques détaillée dans le cadre du Business Continuity Management. Il est néanmoins important de mener une analyse des risques à intervalles réguliers (idéalement 1 fois par an), mais la réalisation de cette analyse n’est pas une condition absolue de mise en œuvre du processus de Business Continuity Management au sein de l’organisation. Une approche plus pragmatique consiste à partir d’un risque prioritaire défini par le management ou, mieux encore, d’un ‘scénario catastrophe’. Dans ce cas, on ne se base pas sur les risques possibles, mais sur les conséquences éventuelles pour l’organisation, quelle que soit la menace. Les conséquences possibles peuvent être :

- un manque de facilités ou d’accès aux facilités (bâtiments, locaux, …)

- un manque de données vitales - un manque d’infrastructure ICT - un manque de ressources humaines/personnel

Un piège est d’établir un plan spécifiquement axé sur un seul risque (ex. pandémie de grippe). Il est préférable de disposer d’un plan global qui couvre différents risques plutôt que de réaliser, pour chaque risque spécifique, une annexe au plan global. La revue Beveiliging le formule comme suit : “C’est une opportunité manquée que de réaliser un BCP uniquement pour lutter contre une pandémie. Le coût d’un BCP complet est inférieur à la somme d’une série de petits plans, sans parler des frais d’entretien”. Les spécificités liées à un risque déterminé seront de préférence jointes en annexe du Global Business Continuity Plan.

Recommandation du SPF Intérieur

Pour le SPF Intérieur, il est recommandé, sur le plan de l’analyse des risques, d’actualiser l’analyse effectuée en ’03-’04. Cette analyse des risques peut servir de point de départ pour une nouvelle analyse des risques, de même que le système de points quelque peu adapé, si nécessaire. Cette analyse des risques doit idéalement être actualisée chaque année, mais il n’y a pas de condition pour pouvoir mettre en œuvre un Business Continuity Management au sein du SPF Intérieur. Pour le SPF Intérieur, il est également recommandé, dans le cadre du Business Continuity Management, de réaliser un ‘Global Business



P

hase

2 –

Com

pren

dre

l’org

anis

atio

n

Continuity Plan’ permettant au SPF de se préparer à une éventuelle interruption des activités les plus critiques. Il est indiqué à cet egard de ne pas trop se focaliser sur tous les risques possibles auxquels le SPF peut être confronté (et d’élaborer par conséquent un Business Continuity Plan pour chaque risque éventuel), mais plutôt sur les conséquences éventuelles de ces risques. Les principales conséquences pour le SPF Intérieur peuvent être :

- un manque de personnel - un manque d’infrastructure ICT - un manque de données/d’informations - un manque de facilités

Ceci n’exclut pas que l’on se concentre sur certains risques spécifiques (par exemple ‘l’apparition de la pandémie de grippe’). Le cas échéant, il est recommandé de joindre des mesures de Business Continuity en annexe au Business Continuity Plan global (cf. exemple de l’annexe 2, proposition de mesures spécifiques pouvant être élaborées dans le cadre de la pandémie de grippe). Les mesures élaborées font donc partie, en annexe du BCP global du SPF).

Conclusion Une analyse des risques approfondie n’est pas une condition absolue de mise en œuvre d’un Business Continuity Management. Il est toutefois important de réaliser régulièrement une analyse des risques au sein de l’organisation (notamment dans le cadre du contrôle interne, cf. supra) pour déceler les ‘nouveaux’ risques, s’y attaquer, préciser et compléter ainsi le Business Continuity Plan. La mise en oeuvre d’une analyse des risques est en effet un processus qui prend énormément de temps. En ce qui concerne l’analyse des risques, le SPF a déjà une expérience pratique :

- Dans le cadre des projets de modernisation, l’analyse des risques est toujours le point de départ.

- Dans le cadre de l’élaboration d’un système de contrôle interne, une analyse des risques a également été menée en 2003 – 2004 au sein du SPF.

- Le Service d’inspection interne dirigé par Mme Goddro a développé une méthodologie en matière d’analyse des risques.

Pour les raisons précitées, on n’approfondira pas ici la méthodologie en matière d’analyse des risques.



50

P

hase 2 – Com


usiness Analyse (B

A)



P

hase

3 –

Dét

erm

iner

la s

trat

égie

BC

M

3 Définir la stratégie BCM

Objectif Sur la base des résultats approuvés de la Business Impact Analyse et

des conséquences éventuelles d’une interruption (manque de personnel, de données, d’infrastructure, d’ICT), ou éventuellement des résultats de l’analyse des risques (en fonction de la méthodologie appliquée), des mesures doivent être formulées afin de veiller à : - réduire les probabilités de survenance d’une interruption ; - limiter la période d’interruption ; - limiter l’impact de l’interruption sur les activités critiques. Dans le cadre de la Business Impact Analyse, il convient de déterminer dans quel délai quelles activités doivent reprendre (Recovery Time Object / RTO). Au cours de cette phase, il convient donc de formuler des propositions d’action (mesures) permettant d’en tenir compte. Il va de soi que plus le Recovery Time Object est court, plus la stratégie sera difficile. Lorsqu’une activité doit par exemple être rétablie dans les 4h, les mesures sont souvent plus coûteuses. En outre, il convient également de tenir compte des mesures déjà existantes.

Analyse coût-efficacité

Par activité (et par sous-activité, si c’est souhaitable), il convient de dresser la liste des propositions de mesures. Ces mesures peuvent à la fois être préventives, réactives et correctives. - Mesures préventives : entreprendre des actions pour éviter

d’éventuels problèmes à l’avenir. - Mesures correctives : entreprendre des actions pour corriger quelque

chose. Ces mesures impliquent intrinsèquement que quelque chose



l’organisation





BUSINESS CONTINUITY

MANAGEMENT



52

P

hase 3 – Déterm

iner la stratégie BC

M

s’est mal passé. - Mesures réactives : mesures qui entrent en vigueur si un risque

devient manifeste et qui font en sorte de mettre le plus rapidement possible un terme à la menace et de limiter autant que possible les conséquences néfastes.

Par proposition de mesure, il convient de réaliser une analyse coût-

efficacité ou d’examiner d’une part quels sont les coûts (en moyens financiers, mais aussi en heures de travail) du développement, de la mise en œuvre et de l’entretien des mesures, et quels sont, d’autre part, les intérêts et avantages de ces mesures. Cet examen doit permettre au management de prendre la bonne décision en ce qui concerne la stratégie qu’il souhaite suivre. Par exemple, lorsque le bâtiment d’une organisation n’est plus accessible, on peut décider de travailler à partir d’un autre endroit. En réalisant une analyse coût-efficacité des différents endroits possibles, le management est à même de décider en connaissance de cause.

Méthode de travail Cet exercice sera idéalement mené au sein d’un groupe de travail composé notamment du (des) détenteur(s) du processus et du personnel qui est opérationnel dans ce processus. Dans la structure de projet proposée pour le SPF Intérieur, il peut être perçu comme la création de plusieurs groupes de travail (1 ou plusieurs par direction/service, en fonction du nombre de processus qui doivent être abordés) où siègent différents membres du personnel du service. Ce groupe de travail est précisé par le correspondant BCM du service/de la direction. Ce correspondant bénéficie d’un soutien sur le plan méthodologique et rapporte les résultats du (des) groupe(s) de travail au coordinateur/responsable du projet BCM. La mission du correspondant BCM consiste à : - Identifier par activité les différentes actions possibles pour atteindre

le temps de reprise (RTO ou Recovery Time Object) ; - Procéder à l’analyse coût-efficacité des différentes actions, à

l’évaluation des avantages et des inconvénients par action ; - Après le choix du management parmi les différentes actions,

élaborer un plan de mise en œuvre (qui-quoi-quand-comment) pour les mesures choisies ;

- Mettre en œuvre et assurer un suivi du plan d’action.

Résultats sign-off A la fin de cet exercice, le management doit donner l’approbation formelle quant aux mesures à prendre. C’est également la phase dans laquelle le management décide des budgets qui seront dégagés pour mettre en œuvre telles ou telles mesures. Comme déjà signalé, les mesures peuvent être à la fois préventives, correctives et réactives. Outre l’adoption des mesures préventives nécessaires (sous le slogan ‘mieux vaut prévenir que guérir’), le chapitre suivant se concentre principalement sur les mesures réactives, en particulier la réalisation d’un Business Continuity Plan (BCP). Un BCP est un



P

hase

3 –

Dét

erm

iner

la s

trat

égie

BC

M

ensemble de mesures réactives, qui décrit ‘qui doit faire quoi et quand’ au cas où le risque se manifeste réellement. En d’autres termes, le plan fournit une description des procédures à suivre. Une fois que le management a décidé des mesures qui doivent être prises, il y a lieu d’élaborer un plan d’approche.



54

P

hase 3 – Déterm

iner la stratégie BC

M



P

hase

4 –

BC

M r

espo

nse

: dé

velo

ppem

ent e

t mis

e en

œuv

re

4 BCM response : développement et mise en œuvre « Business Continuity Management Response » : réaction qu’une

organisation a préparée pour maîtriser un incident et minimiser son impact sur les processus de travail. Les mesures validées par le management au cours de la phase précédente doivent être élaborées de façon à ce que l’organisation soit à même de réagir rapidement et efficacement en cas d’interruption d’un processus donné.

D’après la norme ISO/PAS 22399:2007 « Societal security – Guideline for incident preparedness and operational continuity management », les organisations font face aux incidents de différentes façons. A côté de leur approche spécifique, il existe trois étapes de la réaction qui sont génériques et interdépendantes : - Emergency Response (Incident Management) - Continuity Response (Business Continuity) - Recovery Response (Business Recovery)



l’organisation


Phase 4 BCM response :



BUSINESS CONTINUITY

MANAGEMENT



56

P

hase 4 – BC

M response :

développement et m

ise en œuvre

Le graphique suivant montre la distinction entre les différentes actions : Graphique : British standard, Business Continuity Management, part 1: Code of practice, p.27

Emergency Response

« Emergency Response » : première réaction après un incident. Il s’agit en premier lieu de protéger les personnes (par exemple en faisant évacuer le bâtiment, en appelant les services d’aide et d’intervention, en prodiguant les premiers soins…) et les biens pour limiter les dégâts et maîtriser l’incident. L’ensemble des procédures liées à la première réaction suivant l’incident est appelé Plan de Gestion des Incidents (PGI), de l’anglais « Incident Management Plan » (IMP).

Business Continuity Response

« Business Continuity Response » : démarrer les processus et débloquer des moyens pour que l’organisation puisse garantir la continuité des processus les plus critiques.

Business Recovery Response

« Business Recovery Response » : la phase dans laquelle on revient à la situation « business as usual ».

Structure des plans de réaction

L’organisation doit disposer d’un plan ou de procédures pour chaque phase de réaction. L’ensemble de ces plans forme le « Global

Incident

Axe du temps

Réaction à l’incident

Business Continuity

Business Recovery – retour à la normale

Inst

ant z

éro

Objectif global de reprise Retour à la situation normale le plus rapidement po ssible

Stap 1

Business Continuity

Plan (BCP)

Incident

ManagementPlan (IMP)

Business Recovery

Plan (BRP)

Stap 2 Stap 3

Phase 4

BCM Response



P

hase

4 –

BC

M r

espo

nse

: dé

velo

ppem

ent e

t mis

e en

œuv

re

Business Continuity Plan ». Evidemment, il faut d’abord maîtriser l’incident qui a entraîné l’interruption (par ex. un incendie) avant de pouvoir relancer le processus. - Incident Management Plan (IMP) - Business Continuity Plan (BCP) - Business Recovery Plan (BRP) Ces plans (partiels) doivent tous contenir les éléments suivants : - L’objectif et la portée du plan - Les rôles et les responsabilités - Le lancement du plan (comment, par qui, quand…) - Le propriétaire des documents - Les coordonnées essentielles

Incident Management Plan

D’après la norme britannique 25999, le Plan de Gestion des Incidents (PGI) ou en anglais, Incident Management Plan (IMP), peut être défini comme suit : « the incident management plan is a clearly defined and documented plan of action for use at the time of an incident, typically covering the key personnel, resources, services and actions needed to implement the incident management process. » Cet Incident Management Plan doit prévoir une structure simple et facile à suivre permettant à l’organisation :

- de confirmer la nature et la portée de l’incident ; - de prendre le contrôle de la situation ; - de communiquer avec les acteurs concernés ; - enfin, cette structure doit aussi déboucher sur la « business

continuity response » appropriée. Il ne s’agit pas de commencer à élaborer de nouvelles procédures et de nouveaux plans. Au contraire, l’objectif est de réunir les procédures et les documents qui existent déjà (consignes d’évacuation, coordonnées des services d’aide et d’intervention…) et d’identifier les éventuelles lacunes pour continuer à y travailler.

Lancement de l’IMP En fonction de la gravité de l’incident, il faut prévoir une procédure d’intervention par paliers, dite « procédure d'escalade » (logigramme, en anglais flowchart) avec plusieurs phases. Il faut définir les différents paliers de gravité et pour chaque palier, préciser qui contacter. Par exemple, voici les différents niveaux d’« emergency response / crisis escalation » chez Belgacom :

� minor incident level 0 � noticeable incident level 1 � critical incident level 2 - (BERT-team Belgacom

Emergency Response Team) � major disaster level 3 : (BERT-team + ad hoc BMC

members) Chaque organisation doit déterminer ses propres paliers.

Propriétaire de document

Il est important que le rôle de « propriétaire des documents » soit attribué à plusieurs personnes, de préférence au chef de projet et aux correspondants BCM. Puisque ces personnes sont justement chargées de la coordination, respectivement dans l’organisation et dans leur



58

P

hase 4 – BC

M response :

développement et m

ise en œuvre

département, elles sont les plus à mêmes de tenir à jour toutes les informations. Les coordonnées de cette ou de ces personnes sont indiquées sur le plan lui-même. Elles sont responsables de la mise à jour de ces données et doivent apporter les modifications nécessaires en cas de changement. En outre, elles doivent veiller à ce que tous les acteurs soient bien en possession de la version la plus récente du plan. Il est donc important de travailler avec des versions numérotées. Pour l’envoi et l’archivage électronique des documents, nous travaillerons très probablement avec Sharepoint.

Contenu de l’IMP Voici la liste des informations et des documents que vous pourrez trouver dans l’Incident Management Plan. Cette liste n’est pas exhaustive. - Procédure d'escalade - Coordonnées essentielles (liste de contacts) : services d’incendie,

police, intervention médicale, direction… - Liste des tâches/ listes de contrôle : procédure de gestion des

conséquences immédiates d’une désorganisation (par ex. consignes en cas d’incendie).

- Coordonnées en cas d’urgence : procédure décrivant comment et dans quelles conditions l’organisation fait une communication au personnel/à la famille/aux amis et aux personnes de contact. Informations pour contacter des proches en cas d’urgence.

- Procédures relatives aux personnes / identification des responsables : o Plan d’évacuation, lieux de rassemblement o Accords concernant le transport du personnel o Procédure de mobilisation des équipes de sauvetage, des

premiers soins et d’aide à l’évacuation o Procédure de localisation des personnes qui étaient présentes

ou qui se trouvaient dans les environs du site o Accords concernant le débriefing avec le personnel touché /

l’accompagnement / l’aide sociale o Communication et débriefing sur la sécurité

- Données relatives à la localisation pour la gestion de l’incident : autre lieu de rassemblement si le premier n’est plus accessible.

- Modèles ou formulaires pour consigner les informations vitales concernant l’incident (par ex. axe du temps de l’incident, détails concernant les victimes, décisions prises, argent utilisé, estimation des dégâts, communication utilisée et toutes les informations jugées utiles pour soutenir le rappel post-incident)

- Réaction par rapport aux médias : stratégie de communication envers les médias, coordonnées des porte-paroles, modèles pour les communiqués de presse…

- Gestion des acteurs concernés : stratégie envers les acteurs concernés

- Autres annexes éventuelles : plan du bâtiment, procédure de gestion des dommages et intérêts, …

La forme de l’information importe moins, c’est la raison pour laquelle nous n’entrerons pas dans les détails à ce sujet.

Business Continuity Plan

Le Business Continuity Plan (BCP) indique en détails à propos de quoi, par qui et comment certaines actions doivent être entreprises pour



P

hase

4 –

BC

M r

espo

nse

: dé

velo

ppem

ent e

t mis

e en

œuv

re

garantir la continuité des activités critiques au sein de l’organisation, de façon à ce que les activités en question puissent redémarrer le plus rapidement possible. En d’autres termes, le Business Continuity Plan est composé d’un ensemble de mesures réactives validées par le management. Il décrit la façon dont une organisation réagit au moment où un risque survient réellement. Dans une organisation moyenne ou dans une grande organisation, le BCP peut être divisé en plusieurs Business Activity Response Plans : dans ce cas, chaque département élabore pour lui-même un plan de réaction.

Lancement du BCP L’IMP (voir plus haut) indique qui est la personne chargée du démarrage du Business Continuity Plan ainsi que quand ce démarrage a lieu et quelle est la procédure à suivre. Ces informations figurent également dans le Business Continuity Plan lui-même. En outre, le BCP indique qui contacter une fois que la décision de lancer le BCP a été prise et dans quel ordre ces personnes doivent être contactées (par exemple à l’aide d’une arborescence reprenant les coordonnées des personnes de contact).

Propriétaire de document

Dans le Business Continuity Plan, il est également important d’attribuer le rôle de « propriétaire des documents » à une personne donnée. C’est cette personne qui sera chargée de la mise à jour de l’ensemble des données et qui devra apporter les modifications nécessaires en cas de changement. En outre, elle doit veiller à ce que tous les acteurs soient bien en possession de la version la plus récente du plan. Il est donc important de travailler avec des versions numérotées du BCP.

Contenu du BCP - Procédure d'escalade / de lancement du BCP - Coordonnées essentielles : responsables de la publication du

Business Continuity Plan - Plan d’action / liste des tâches des responsables du BCP - Lieu alternatif :

o Pour la rencontre des responsables du BCP o Pour la continuité des processus-clés si l’infrastructure

n’est plus accessible - Liste des processus-clés critiques mentionnant dans quel délai

l’activité doit être reprise (objectif quant au temps de reprise, correspond à RTO ou Recovery Time Objective), ainsi que l’ordre des processus et des activités en fonction du RTO.

- Liens de dépendance par rapport à d’autres processus (avec les RTO et les personnes de contact respectives. Par ex. : le processus ICT)

- Personnel nécessaire à la réalisation des processus-clés critiques (coordonnées, rôles et responsabilités ainsi que l’éventuel transport, la logistique, le catering…)

- Données vitales nécessaires à la réalisation du processus et leur localisation (ou celle de la copie de sauvegarde de ces données)

- Aménagements (par ex. salles de réunion, espace de presse au cas où les activités-clés doivent être déplacées dans un lieu alternatif)

- Liste des fournisseurs ou d’autres prestataires de services - Eventuels autres équipements nécessaires (argent liquide pour les



60

P

hase 4 – BC

M response :

développement et m

ise en œuvre

paiements urgents) - Autres informations utiles :

- documents légaux (par ex. contrats, polices d’assurance, actes de propriété, etc.)

- Stratégie de communication (envers le personnel / les partenaires / les parties concernées, les fournisseurs, les médias…)

- Formulaires : modèles de journal de bord / de registre des incidents

Plan de reprise Le plan de reprise ou Business Recovery Plan décrit les activités à réaliser pour revenir à la situation « business as usual ». Le plan indique les objectifs de la reprise (recovery targets) ou les points de repère (milestones) à la suite d’une interruption complète ou partielle de certaines activités. Evidemment, il est essentiel d’assurer d’abord la continuité des activités les plus critiques et de la préparer avant même de prendre des mesures pour revenir à la situation « business as usual ». Pour certains processus, il peut être nécessaire d’avoir une reprise complète le plus rapidement possible après l’interruption. Pensons notamment à tout ce qui concerne les processus ICT. L’organisation est en effet fortement dépendante des processus ICT. Il est donc essentiel de disposer d’un Business Recovery Plan pour l’ICT.

Gestion des documents

Dans le Business Continuity Plan, il est également important d’attribuer le rôle de « propriétaire de document » à une personne donnée. D’une part, il est important que cette personne s’assure que c’est bien la version la plus récente du plan qui est diffusée et à ce que tous les acteurs soient bien en possession de la dernière mise à jour (contrôle de la version). D’autre part, il est tout aussi important de conserver des copies du plan à un autre endroit, qui soit suffisamment éloigné pour exclure tout éventuel impact d’une menace ou d’un incident sur le siège principal et de garantir que cet autre endroit dispose du même niveau de sécurité que le siège principal.



P

hase

4 –

BC

M r

espo

nse

: dé

velo

ppem

ent e

t mis

e en

œuv

re

BCM Response - Synthèse

Objectif Quoi ?

Incident Management Plan ��Maîtrise de l’incident ou de

l’interruption même. ��Limitation des dégâts.

��Prise de contact avec les services d’aide et d’intervention

��Evacuation du bâtiment ��Aide sociale et accueil du

personnel ��…

Business Continuity Plan ��Reprise ou poursuite des activités les plus critiques.

��Toutes les informations utiles (coordonnées, procédures…) pour redémarrer ou poursuivre les activités critiques

Business Recovery Plan ��Reprise de l’ensemble des

activités ��Retour à la normale

��Toutes les informations utiles pour la reprise ou la poursuite des activités non-critiques (les activités qui ne sont pas reprises dans le BCP).



62

P

hase 4 – BC

M response :

développement et m

ise en œuvre



63

63

P

hase

5 –

Exe

rcic

e, e

ntre

tien,

ré

visi

on

5 Exercice – Entretien – Révision Politique d’apprentissage

Il ne suffit pas simplement de prévoir un Incident Management Plan, un Business Continuity Plan et un Business Recovery Plan. Les plans n’ont d’utilité que s’ils sont connus, s’ils sont actualisés et s’ils font l’objet d’exercices. Donc, il faut aussi développer et mettre en œuvre un programme d’apprentissage dans l’organisation. Réaliser des exercices sur les procédures et mesures préconisées par les plans doit permettre de respecter les objectifs quant au temps de reprise (Recovery Time Objectives) qui ont été déterminés dans la Business Impact Analyse et d’assurer la reprise des activités critiques, c’est-à-dire de pouvoir reprendre les activités dans les délais prévus. Il est essentiel que les grandes lignes de la politique d’apprentissage de l’organisation soient également reprises dans la déclaration de politique globale en matière de Business Continuity. Celle-ci doit comprendre non seulement les responsabilités, la méthodologie et le calendrier à suivre, mais aussi une description des types d’exercices qui seront organisés et l’ordre de ceux-ci. La politique d’apprentissage est validée par le management.

Objectif L’organisation d’exercices a notamment pour objectif de : - familiariser le personnel avec le contenu des plans ; - contrôler la qualité des plans (les données sont-elles

complètes, actuelles et cohérentes ?) ; - vérifier si les personnes citées dans le plan sont informées de

leur rôle et sont capables d’assumer leurs responsabilités ; - examiner si les procédures prévues par le plan sont

Fase 1 Programme BCM


l’organisation





BUSINESS CONTINUITY

MANAGEMENT



64

P

hase 5 – Exercice, entretien,

révision

réalisables et réalistes ; - étudier la faisabilité des objectifs de reprise proposés ; - adapter les plans en fonction des points à améliorer qui ont été

constatés durant les exercices. L’apprentissage des plans doit faire partie intégrante du Business Continuity Management. Il est par conséquent important que le management valide une politique d’apprentissage sur mesure et alignée sur l’organisation. Idéalement, les plans devraient être testés chaque année. Il n’est cependant pas nécessaire de tester l’ensemble du plan lors de chaque exercice. Il est néanmoins possible d’organiser des exercices de différents degrés de difficulté et d’ampleur variée ou portant uniquement sur une partie de l’organisation ou des processus. Le résultat des exercices doit servir à apporter d’éventuelles adaptations au plan.

Types d’exercices Difficulté Type d’exercice Description Facile

Exercice de simulation (table top) ou contrôle de programmation (desk check)

Certaines parties du plan ou certaines procédures sont examinées et parcourues en groupe et font l’objet de discussions.

Moyen

Exercice de simulation (table top) avec scénario

Certaines parties du plan ou certaines procédures sont examinées et parcourues en groupe et font l’objet de discussions à l’aide d’un ou de plusieurs scénarios. Les procédures ne sont pas appliquées « en temps réel ».

Simulation Une interruption d’un ou de plusieurs processus est simulée de la façon la plus réaliste possible pour tester les procédures du plan. La collaboration mutuelle et la répartition des rôles sont évaluées à l’aide d’un scénario et des exercices sont réalisés pour savoir comment agir en cas d’information manquante et quelle décision prendre.

Difficile Exercice global Exercice le plus réaliste possible permettant de tester le plan dans son ensemble. Une interruption est simulée « en temps réel ». Les procédures sont effectivement lancées et appliquées. Attention : il est toujours nécessaire d’évaluer les coûts, l’impact de l’exercice et les risques pour le fonctionnement normal.



65

65

P

hase

5 –

Exe

rcic

e, e

ntre

tien,

ré

visi

on

Elaboration d’un exercice

Le type d’exercice choisi dépend de l’objectif visé. En d’autres termes, il est important de bien préparer l’exercice pour qu’il atteigne son but. En général, on peut distinguer plusieurs phases successives dans l’organisation des exercices : 1 Planification de l’exercice. La planification comporte notamment

les éléments suivants : - Evaluer les connaissances présentes et la capacité de

l’organisation à réagir effectivement et efficacement à une interruption ;

- Définir la portée de l’exercice (quelle partie du plan va-t-on tester ?) ;

- Déterminer l’objectif global de l’exercice (que souhaite-t-on atteindre ?) ;

- Constituer l’équipe qui préparera l’exercice (accompagnateurs pour l’exercice) ;

- Identifier les objectifs spécifiques (Spécifique, Mesurable, Acceptable, Réaliste et liés au Temps) des exercices, le contexte et les participants.

2 Elaboration de l’exercice. L’élaboration comporte notamment les

éléments suivants : - Elaborer un scénario d’exercice ; - Dresser une liste générale reprenant les activités principales

(par ex. activation du BCP, lancement de la procédure de back-up, communication au personnel …) qui doivent avoir lieu durant l’exercice, conformément aux objectifs fixés pour l’exercice ;

- Dresser une liste des actions à réaliser pour chaque activité ; - Si nécessaire (en fonction de l’importance et du type

d’exercice), évaluer les risques liés à l’exercice et prendre éventuellement les mesures de précaution utiles ;

- Déterminer les besoins matériels pour la réalisation de l’exercice : soutien administratif, salles, matériel didactique, éventuel transport, plans…) ;

- Développer un mécanisme d’évaluation (comment l’exercice sera-t-il évalué ?) ;

- Prévoir les mécanismes nécessaires pour le pilotage et l’accompagnement de l’exercice (observateurs, évaluateurs…) ;

- Préparer les instructions et les communiquer aux personnes qui participent à l’exercice ;

- Obtenir l’approbation et le soutien du management.

3 Exercice : l’exercice est piloté et soutenu par une ou plusieurs personnes chargées de l’accompagnement des exercices. Il est important que ces personnes soient formées à l’organisation, au pilotage et à l’accompagnement d’exercices afin qu’elles sachent clairement ce que l’on attend d’elles. Il serait donc utile que les responsables BCM des différentes directions et services du SPF Intérieur puissent suivre une formation sur l’organisation et l’accompagnement d’exercices.



66

P


révision

4 Evaluation de l’exercice - Juste après l’exercice, organiser un debriefing et un échange

de feedback avec les participants ; - Au plus tard quelques semaines après l’exercice, organiser

une discussion en groupe pour dresser la liste des recommandations et adaptations nécessaires dans le plan ;

- Rédiger un rapport avec les conclusions finales de l’exercice et élaborer un plan d’action.

5 Phase post-exercice

- Communiquer les résultats de l’exercice au management ; - Faire valider le plan d’action par le management ; - Organiser des séances de suivi pour les personnes

participants à l’exercice ; - Apporter les modifications dans les plans (dans le

Business Continuity Plan, l’Incident Management Plan et éventuellement, le Business Recovery Plan).

Cycle d’apprentissage

Il est recommandé de réaliser un cycle d’apprentissage dans l’organisation. Ce cycle, idéalement réalisé chaque année, comprend une série de méthodes d’exercices successifs qui augmentent en difficulté et en importance et que l’organisation doit passer. Ce cycle d’exercices détermine la fréquence des exercices et est basé sur la politique d’apprentissage définie par le management. Cela ne signifie pas qu’on ne peut pas organiser d’exercice sur certaines parties spécifiques du plan en attendant la réalisation des plans. Sur le graphique de la page suivante, vous pouvez observer le cycle d’exercices de Dexia. Il s’agit plus particulièrement du type d’exercices organisés (exercice de simulation, cascade téléphonique…) et de l’ordre de ceux-ci (difficulté croissante).

Exemples d’exercices

Les exercices suivants peuvent par exemple être proposés pour le SPF Intérieur :

- Réaliser un exercice pour tester les procédures - Réaliser un test de disponibilité : les personnes de contact

mentionnées dans les procédures et les plans sont appelées par téléphone pour s’assurer qu’elles sont joignables et accessibles, à la fois pendant et en dehors des heures de bureau

- Appeler les personnes désignées comme remplaçant (back-up) et les faire venir effectivement sur place

- Faire évacuer le bâtiment, lancer et poursuivre les activités critiques à un autre endroit.

Suivi et entretien Il sera encore nécessaire d’adapter ou de compléter le contenu des

plans, et pas uniquement à la suite des exercices : il faudra aussi prévoir une procédure qui sera testée lors de chaque changement (interne ou externe) ayant un impact sur l’organisation du programme de Business Continuity Management et apporter les modifications nécessaires dans les plans. Par exemple, Belgacom a mis au point une procédure pour que les nouveaux produits fassent obligatoirement l’objet d’une demande auprès de l’équipe du Business Continuity



67

67

P

hase

5 –

Exe

rcic

e, e

ntre

tien,

ré

visi

on

Management : il faut au préalable pouvoir démontrer comment assurer la continuité du produit en cas d’interruption. Outre les modifications apportées à la suite des exercices, il faut communiquer formellement aux personnes-ressources (c’est-à-dire les personnes qui détiennent un rôle-clé dans le cadre du BCM) les mises à jour des plans, ou, en d’autres termes, les modifications, les ajouts de procédures, de processus, de stratégies ou toute modification apportée à la déclaration de politique. Il est important de consigner qui dispose d’une version papier du plan, où sont conservées les différentes versions et quand les mises à jour sont diffusées (par ex. 4 fois par an : en janvier, en avril, en juillet et en octobre). Pour s’assurer que tous les acteurs concernés disposent bien de la version la plus récente, il est donc recommandé de travailler avec une liste de distribution (que les intéressés doivent signer pour réception).

Mesure de l’avancement et de la maturité

Plusieurs possibilités existent pour assurer le suivi du Business Continuity Management. L’avancement du projet peut être utilisé comme indicateur de prestation dans n’importe quel système de suivi des prestations. Une autre possibilité consiste à mesurer la maturité de l’organisation en matière de Business Continuity en réalisant un contrôle interne et un audit interne. Les graphiques suivants représentent le système de suivi du BCM utilisé chez Dexia. Pour ce faire, Dexia s’est basé sur la norme britannique 25999.



68

P


révision

Graphique ‘Tableau de gestion (managementdashboard) du Business Continuity Management’ – Dexia Bank (British Standard 25999)

Graphique ‘Système de points pour la phase 5 du cycle du BCM : Exercice – Entretien – Révision’



Graphique : Tableau de gestion (managementdashboard) du cycle complet du BCM



70



P

hase

6 –

Anc

rage

dan

s la

cul

ture

d’

orga

nisa

tion

6 Ancrage du BCM dans la culture d’organisation

Soutien Pour pouvoir être mené à bien, le projet de Business Continuity

Management doit être porté par un maximum de personnes dans l’organisation. Le management (tant les cadres supérieurs que les cadres moyens) joue un rôle essentiel dans la détermination des processus critiques. Leur soutien est donc vital pour le projet. Il faut convaincre un maximum de personnes du fait qu’elles ont un rôle important à jouer pour assurer la continuité des activités de l’organisation. Il faut donc se montrer suffisamment attentif à sensibiliser et à former le personnel à l’aide de programmes. D’une part, tous les agents doivent être informés du contenu des plans et chacun doit prendre conscience de ses responsabilités individuelles. D’autre part, il est recommandé que les agents ayant des responsabilités directes (par ex. les correspondants BCM) puissent avoir l’occasion de suivre des formations relatives au Business Continuity Management en général ou, comme expliqué précédemment, à l’organisation d’exercices. Le programme de Business Continuity Management doit continuer à faire l’objet d’une attention particulière, par exemple en diffusant des informations au moyen d’un bulletin d’informations interne, en publiant des informations sur l’intranet, en discutant de ce thème lors des



l’organisation





BUSINESS CONTINUITY

MANAGEMENT



72

P

hase 6 – Ancrage dans la culture

d’organisation

réunions d’équipe, en utilisant un logo spécifique... La politique de Business Continuity Management de l’organisation peut également être intégrée dans le programme de formation ou d’accueil des nouveaux agents. Pour que le projet soit porté par l’organisation, on peut également :

- Organiser des ateliers ou des discussions en groupe sur ce thème

- Publier des articles sur les exercices et les réunions du groupe de travail : communication des travaux

- Organiser des formations ou des séances d’informations - Publier un bulletin d’informations - Créer une page sur l’intranet à propos du BCM - Visiter le lieu alternatif - Rencontrer les cadres moyens

Conclusion – recommandations de synthèse Lorsque toutes les phases du cycle de Business Continuity Management ont été réalisées, la mise en œuvre du programme de Business Continuity Management est terminée. Cependant, certaines tâches doivent être réalisées en permanence et de ce fait, le cycle du BCM recommence perpétuellement. Ainsi, il est utile d’évaluer régulièrement à quels risques une organisation peut être confrontée ou de mesurer à nouveau l’impact d’une interruption sur l’organisation. En effet, ceux-ci peuvent différer en fonction du contexte de l’organisation. En outre, des exercices peuvent permettre d’adapter les plans et de mettre au point la déclaration de politique. Tout cela nous montre qu’il est nécessaire de réfléchir à l’élaboration d’une structure permanente de Business Continuity Management ou en général, à la gestion des risques dans l’organisation (voir point 1.3.2 structure permanente p.31). En guise de conclusion, vous trouverez à la page suivante une synthèse des recommandations formulées tout au long de ce document à propos de l’introduction d’un Business Continuity Management dans l’organisation, et plus particulièrement au sein du SPF Intérieur.

Phase 2 Compréhension de l'organisation

Phase 6 L'intégration dans la structure d'organisation

Phase 1 Programme Business Continuity Management

� Veillez à ce qu'au sein de l'organisation, on sache clairement ce qu'on entend par Business Continuity Management. Formulez une définition d'organisation.

� Formulez les objectifs visés. � Quel est la portée du projet ? Il ne faut pas impliquer dès le début tous les services et processus.

Ceci peut avoir une influence sur les avancées du projet. � Diffuser une ligne politique: communiquez de manière formelle dans l'organisation à propos du projet

et de son importance. � Fixer le Business Continuity Management comme objectif dans le plan stratégique et opérationnel de

l'organisation. � Utilisez une norme ou un standard pour appuyer le Business Continuity Management.

Considérez ceci comme un fil conducteur et complétez-le comme vous le souhaiter. � Appliquez les principes du management de projet à la mise en oeuvre du Business Continuity Management � Créez une structure de projet (chef de projet, groupe de pilotage, groupe de travail) pour la mise en oeuvre � Prévoyez une structure de permanence pour tester, entretenir et revoir les plans (voir phase 4). � Prévoyez une formation générale relative au Business Continuity Management pour les membres de l'équipe de

� Dressez une liste des processus au sein de l'organisation et visualisez-la à l'aide d'organigrammes. � Travaillez sur un nombre limité de processus (par exemple les processus primaires) et élargissez ensuite à

d'autres. Posez la question "quel est le minimum à faire pour reprendre les activités les plus critiques?”. � Réunissez par processus plusieurs personnes étroitement concernées et analysez ensemble le processus

(nommez les caractéristiques et les corrélations du processus) � Fixez au sein de l'organisation plusieurs objectifs quant au temps de reprise ou Recovery Time Objectives

(RTO) (par exemple RTO 1 = reprise dans les 4h après l'interruption, RTO 2 = reprise dans les 12h, etc) utilisés dans l'organisation et ajoutez-les à la ligne politique.

� Fixez au sein de l'organisation plusieurs délais maximums tolérables ou Maximum Tolerable Period of Disruption (MTPD) (par exemple MTPD 1 = interruption maximale tolérable = 24h, MTPD 2 = interruption maximale tolérable = 48h,. ). Lorsque ceux-ci sont dépassés, l'organisation subit des dégâts irréparables.

� Réunissez par processus à nouveau plusieurs collaborateurs étroitement concernés et déterminez par processus quel objectif quant au temps de reprise ou RTO et quel MTPD s'applique au processus et quel est l'impact de l'interruption du processus.

� Faites un rapport de cet exercice pour le management et faites leur valider l'information. � Ne faites pas un Business Continuity Plan par risque spécifique mais visez à réaliser un Global Business

Continuity Plan (BCP) qui couvre plusieurs risques. Des mesures spécifiques pour les risques spécifiques peuvent être annexées au BCP global.

� Tenez compte des 4 scénarios les plus probables: manque de personnel, manque d'accès aux facilités, manque de données vitales, manque d'infrastructure ICT.

� Une analyse des risques n'est pas une valeur absolue pour réaliser un Business Continuity Plan. Réalisez régulièrement (idéalement 1 x par an) une analyse des risques pour peaufiner le Global BCP.

�

Phase 4 Développer et mettre en œuvre le Business Continuit y Respons

� Notez les mesures réactives (l'intervention en cas d'interruption réelle) dans : - Le Incident Management Plan (lorsque ceci concerne la gestion du risque dans une phase

aigüe ou la limitation des dégâts) - le Business Continuity Plan (lorsque ceci concerne la reprise ou la poursuite des processus

les plus critiques) - le Business Recovery Plan (lorsque ceci concerne le retour à la situation normale)

� Notez ces mesures sous forme de procédures, accords, coordonnées, etc. Par exemple pour: - L'Incident Management Plan, il peut s'agir d'une procédure d'évacuation. - Le Business Continuity Plan, il peut s'agir d'une procédure pour appeler des back-ups et

d’une liste des coordonnées. - Le Business Recovery Plan, il peut s'agir d'une procédure pour la reprise d'un processus non

critique.

Phase 3 Business Continuity Stratégie

� Par processus, réunissez plusieurs collaborateurs étroitement concernés et déterminez quelles mesures doivent être prises pour continuer à garantir la continuité des processus en cas de:

- manque de personnel - manque d'accès aux facilités - manque de données vitales - manque d'infrastructure ICT

� Tenez compte lors de la formulation des mesures du délai dans lequel le processus doit être repris (les RTO fixés dans la phase précédente), du temps d'interruption maximum tolérable (le MTPD fixé dans la phase précédente) et de l'impact de l'interruption du processus.

� Plus grand est l'impact de l'interruption du processus et plus court est le RTO, plus ‘urgentes/hotter’ sont les mesures.

� Réalisez par mesure proposée, une analyse des coûts et avantages. � Faites un rapport de cet exercice et laissez le management convenir sur base de l'information

rassemblée au cours des phases antérieures, quelles mesures doivent être prises. � Réalisez un plan d'action pour la mise en oeuvre des mesures approuvées. � Faites une distinction entre les mesures préventives, correctives et réactives. � Prévoyez les moyens nécessaires (budget et personnel) pour l'exécution des actions.

Phase 5 Exercer, entretenir, revoir

� Faites en sorte qu'il soit clair qui détient toutes les informations.

� Faites un programme d'exercices avec les divers types d'exercices avec leur degré de difficulté croissant.

� Implémentez les expériences des exercices et complétez ou adaptez les plans si nécessaire (voir phase 4)

� Prévoyez un système de suivi pour mesurer les avancées du projet.

� Elaborez une procédure pour l'entretien des plans réalisés (garder à jour les données et diffuser la version la plus récente).

� Créez une base au sein de l'organisation et veillez à ce que les membres du personnel soient conscients qu'ils jouent un rôle important dans la garantie de la continuité des activités.

� Par exemple via : une campagne de communication, une page intranet, un article dans le journal du personnel, ...

Phase 1 BCM Programme


l'organisation

Phase 3 BCM Stratégie




BUSINESS CONTINUITY

MANAGEMENT

PARTIE 3

- Documents de travail -


SOFIE SENESAEL – SPF INTÉRIEUR/ DIRECTION GÉNÉRALE CENTRE DE CRISE - 1 -

Pha

se 1

- P

rogr

amm

e B

CM

Li

gne

polit

ique

PROJET

LIGNE POLITIQUE – SPF Intérieur

BUSINESS CONTINUITY MANAGEMENT Gestion version Ligne politique Business Continuity Management : Version Date Approuvé par Le (date) Modifications

synthèse Prochaine révision

0.01 dd.mm.jj dd.mm.jj

dd.mm.jj

Diffusion Ligne politique Business Continuity Management (version 0.01) à :

Nom

Date

Intranet

Personel BiZa


- 2- SOFIE SENESAEL – SPF INTÉRIEUR/ DIRECTION GÉNÉRALE CENTRE DE CRISE

Pha

se 1

- P

rogr

amm

e B

CM

Li

gne

polit

ique

Que signifie Business Continuity Management pour le SPF Intérieur (définition)

Le Service Public Fédéral Intérieur a pour mission de préparer et exécuter la politique du ministre fédéral de l'Intérieur.

Le SPF Intérieur est chargé d'un large éventail de missions qui touchent à 4 grands domaines:

- La sécurité du citoyen et la protection des propriétés publiques et privées: ordre public et prévention, aide à la population et gestion de crise.

- L'accès au territoire et le séjour sur notre territoire d'étrangers: accès des étrangers au territoire, leur séjour, établissement, retour et expulsion. La gestion des centres fermés, des centres de transit et des centres de rapatriement et la collaboration à la lutte contre l'immigration clandestine et le trafic d'êtres humains.

- L'enregistrement et l'identification des personnes naturelles : identification des personnes naturelles (législation, production, protection des systèmes) et la législation relative au fonctionnement de et l'accès au registre national.

- L'exercice de certains droits démocratiques: la gestion des aspects réglementaires relatifs aux institutions, pour autant que ces aspects fassent partie de la compétence fédérale. L'exercice de certains droits démocratiques concerne notamment les élections qui relèvent de la compétence fédérale et de la publicité de l'administration.

Ces missions sont toutes très importantes d’un point de vue social. Par conséquent, le SPF Intérieur doit pouvoir garantir l'exécution effective et efficace de ces missions et ce, non seulement dans des circonstances normales. Le SPF Intérieur doit être en permanence capable d'exécuter ses missions, également lorsque les circonstances sont de nature à mettre en danger la continuité de celles-ci. Le SPF Intérieur estime dès lors qu'il est importan t de s'organiser et de prendre les mesures nécessaires afin qu'en cas d'interruption d 'un ou plusieurs processus, il soit capable d'intervenir rapidement et résolument afin de reprendre aussi vite que possible les principales activités critiques. Objectifs Business Continuity Management Le processus de Business Continuity Management permettra d'avoir une meilleure vue de la structure d'organisation et des corrélations au sein du SPF Intérieur. Le principal objectif du processus consiste toutefois à donner au SPF Intérieur la possibilité de réagir rapidement et efficacement en cas d'interruption afin de :

- pouvoir maintenir le service le plus critique; - pouvoir conserver notre responsabilité sociale pour l'environnement et la sécurité

du citoyen; - pouvoir protéger la réputation du Service Public Fédéral Intérieur; - remplir les prescriptions légales et réglementaires; - pouvoir réagir aux situations d'urgence et les gérer de manière à protéger la

communauté;

La portée du Business Continuity Management pour le SPF Intérieur Le Programme de Business Continuity Management du SPF Intérieur vise en première instance les 4 grandes conséquences des risques qui peuvent mettre en danger la continuité de notre service à savoir:



Pha

se 1

- P

rogr

amm

e B

CM

Li

gne

polit

ique

- L’accès impossible à nos facilités (bâtiments, matériel,...) - Le manque de personnel pour l'exécution de notre service - Le manque d'infrastructure ICT - Un manque d'accès aux informations vitales nécessaires pour exécuter nos missions

Les Directions Générales et les services du SPF Intérieur qui suivent s'y prépareront et élaboreront les mesures nécessaires: - Direction Générale Centre de Crise - Direction Générale Sécurité et Prévention - Direction Générale Institutions et Population - Direction Générale Sécurité Civile - Office des Etrangers - Service d'encadrement P&O - Service d'encadrement ICT - Service d'encadrement B&B - (Commissariat général pour les Réfugiés et les Apatrides) - (Conseil du Contentieux des Etrangers)

Le Programme de Business Continuity Management : La Présidente et les membres du Comité de direction reconnaissent l'importance de la mise en oeuvre de ce processus au sein du SPF Intérieur. Une équipe de projet Business Continuity Management sera mise en place dans laquelle les divers services repris dans le point susmentionné seront représentés. Ils coordonneront les activités en matière de Business Continuity Management au sein de leur service et interviendront comme point de contact du Business Continuity Management au sein de leur organisation.

Bruxelles, dd.mm.jjjj Après révision, la Policy peut être complétée et détaillée: Les membres de l'équipe de projet Le programme de formation La politique d'exercice Le programme de révision



Pha

se 1

- P

rogr

amm

e B

CM

Li

gne

polit

ique



Pha

se 1

- P

rogr

amm

e B

CM

F

iche

de

proj

et

PROJET

Fiche de projet

Mise en œuvre du Business Continuity Management SPF Intérieur

Version Date Auteur document Raison de la modification 0.01 dd.mm.jj

Fiche de projet Nom du projet: Mise en œuvre du Business Continuity Management au sein du SPF

Intérieur Appartenant à:

Service Public Fédéral Intérieur

Chef de projet: X

Donneur d'ordre: Mademoiselle De Knop, Présidente du Comité de direction

Principale information Projet

Défi / Motif

En 2007, suite à la propagation du virus de grippe aviaire (H5N1), le SPF Intérieur a mené plusieurs actions de sensibilisation pour conscientiser davantage les gens aux éventuelles conséquences de l'émergence d'une pandémie de grippe sur la vie sociale, à savoir:

- une campagne d'information a été élaborée pour conscientiser le personnel du SPF Intérieur à l'importance d'une bonne hygiène afin de combattre la propagation des virus.

- La Direction Générale Centre de Crise a développé et diffusé une liste de contrôle avec des mesures spécifiques qui peuvent être prises au sein des organisations en vue de se préparer à une pandémie de grippe.

Sur base de ces actions et compte tenu des évolutions récentes (pandémie A/H1N1), on a pris de plus en plus conscience du fait qu'il est indispensable que les services publics compte tenu de l'important rôle social qu'ils ont à remplir, doivent être capables de garantir la continuité de leur service quelles que soient les circonstances ou les menaces auxquelles ils sont confrontés.


Pha

se 1

- P

rogr

amm

e B

CM

F

iche

de

proj

et

Objectifs:

Le principal objectif du processus consiste à donner au SPF Intérieur la possibilité de réagir rapidement et efficacement en cas d'interruption afin de : - pouvoir maintenir le service le plus critique; - pouvoir conserver notre responsabilité sociale pour l'environnement et

la sécurité du citoyen; - pouvoir protéger la réputation du Service Public Fédéral Intérieur; - remplir les prescriptions légales et réglementaires; - pouvoir réagir aux situations d'urgence et les gérer de manière à

protéger la communauté;

Définitions En élaborant des mesures, rédigeant et testant des procédures et des accords internes, le SPF Intérieur doit être en permanence capable d'exécuter ses missions, également lorsque les circonstances sont de nature à mettre en danger la continuité de celles-ci.

Participant (Indépendamment de la décision du management - ceci n'est qu'un exemple) Processus primaires de:

- Direction Générale Centre de Crise - Direction Générale Sécurité et

Prévention - Direction Générale Institutions et

Population - Direction Générale Sécurité Civile - Office des Etrangers - Service d'encadrement P&O - Service d'encadrement ICT - Service d'encadrement B&B

Ne participant pas

- Commissariat général pour les Réfugiés et les Apatrides

- Conseil du Contentieux des Etrangers

Dépendances

- Personel: attirer ou désigner les personnes correctes pour diriger le projet et coordonner les activités des divers services et directions.

Liste des risques

- Il n'y a pas de soutien suffisamment grand au sein de l'organisation. - La portée du projet est trop grande et compromet les avancées du

projet. - Il n'y a pas suffisamment de moyens disponibles pour exécuter

certaines mesures préventives (par exemple l'aménagement d'un lieu alternatif).



Pha

se 1

- P

rogr

amm

e B

CM

F

iche

de

proj

et

Coûts / Avantages Avantages:

- Garantir la continuité de notre service en cas d'interruption - Une meilleure image chez les autres SPF, citoyens et entreprises. - Une fonction d'exemple pour les autres services publics fédéraux

Coûts:

- Investissement en temps personnel - Formation du personnel concerné - Investissements pour l'élaboration de certaines mesures

spécifiques (par exemple un centre externe de back-up pour les données sur le réseau, l'aménagement d'un endroit alternatif,...)

Planning global du projet

Description de la réception concrète Date

1 L'équipe de projet a été composée

2 La portée du projet a été définie

3 La ligne politique a été diffusée

4 Le ‘Plan d'Approche’ a été approuvé

5 L'analyse des processus est finalisée

6 La Business Impact Analyse a été réalisée et approuvée

7 Un inventaire et une analyse des coûts et avantages des éventuelles mesures ont été réalisés.

8 Le plan d'action avec les mesures choisies par la Présidente et le Comité de direction a été transmis et exécuté.

9 L'Incident Management Plan, le Business Continuity Plan et le Disaster Recovery Plan ont été transmis.

10 Un programme d'exercice a été défini.

11 Une procédure d'entretien a été définie.


Pha

se 1

- P

rogr

amm

e B

CM

F

iche

de

proj

et

Approbation Plan d'Approche

Aperçu des personnes qui doivent approuver le Plan d'Approche Nom

Service Rôle & responsabilité

Mademoiselle De Knop Présidente du Comité de Direction

Directeur général

Liste des personnes qui participeront à la suite de l'élaboration du Plan d'Approche Nom / profil

Service

BCM correspondant 1

Direction Générale A

BCM correspondant 2 Direction Générale B

BCM correspondant 3 Service d'encadrement C:



Pha

se 2

- C

ompr

éhen

sion

de

l'org

anis

atio

n Q

uest

ionn

aire

Bus

ines

s Im

pact

Ana

lyse

PROJET

QUESTIONNAIRE - BUSINESS ANALYSE

Nom processus: Description processus:

Décrivez brièvement le processus.

Sous-processus Distinguer les éventuels sous-processus (ou activités) du processus.

Présentation visuelle

Visualiser le processus à l'aide d'un organigramme.

Propriétaire du processus (responsable)

Qui est responsable du processus au sein de l'organisation ?

Relation avec les autres processus

Quelles sont les relations de ces processus avec les autres sections ou les tiers ?

Corrélations avec d'autres processus

De quels processus dépend le processus ? Processus internes: Processus externes:

Caractéristiques

PROCESS

Règles Objectif Départ Fin

Intéressés Personnel Moyens Lieu

INPUT OUTPUT


- 2 - SOFIE SENESAEL – SPF INTÉRIEUR/ DIRECTION GÉNÉRALE CENTRE DE CRISE

Pha

se 2

- C

ompr

éhen

sion

de

l'org

anis

atio

n Q

uest

ionn

aire

Bus

ines

s Im

pact

Ana

lyse

Input Quel est l'input du processus ? Un input est quelque chose qui est transformé, dépensé, utilisé, traité, ... dans le processus. Les exemples d'input dans un processus peuvent être : les coordonnées d'une personne de contact, une requête, une demande de formation du propre personnel, une demande d'un citoyen au guichet, une demande de congé, une facture d'un fournisseur,… Cet input est transformé en output pour satisfaire aux besoins et attentes du demandeur. Dans les processus administratifs, l'input est généralement lié aux données.

Output Quel est l'output du processus ? Un output est produit par le processus. C'est le résultat ou le service fourni à un intéressé externe ou un autre processus interne. Des exemples d'output sont: un permis délivré, une réponse d'autorisation ou de refus de congé, une réponse à une question d'un citoyen, une facture payée, …

Objectif Que veut-on atteindre avec ce processus ?

Départ

Quel est l'élément déclencheur/trigger (événement, fait, élément déclencheur) du processus ?

- L'élément déclencheur/trigger ne fait pas partie du processus en lui-même

- En d'autres mots, ce n'est pas la première activité du processus - Un processus démarre toujours avec un ou plusieurs éléments

déclencheurs. Ex. un élément déclencheur pour le traitement d'une demande d'asile peut par exemple être la déclaration du candidat réfugié qu'il/elle souhaite demander l'asile. Eléments déclencheurs possibles:

- Avis ou message: ex. appel, avis, fax, demande du citoyen - Temps: ex. chaque premier jeudi du mois, chaque semaine, une

date ou une heure concrète, le lundi,... - Règle: ex. une situation d'urgence se produit, une limite est

dépassée,… - Autre processus: ex. processus X donne de l'input au processus - Combinaison de ce qui précède

Règles Quelles sont les règles auxquelles le proces sus est lié ?

- Règles déterminées de manière interne: ex. notes de services, règlements de travail, instructions, guides, …

- Règles fixées par des tiers: ex. des lois, des directives européennes,... - Est-ce qu'il existe des protocoles et des procédures écrits en ce qui

concerne ce processus ? (indiqué, type et lieu) - Est-ce des assurances souscrites sont versées en cas de calamités ? - Quelles sont les obligations contractuelles à l'égard des tiers ? - Quel règlement et quelle législation s'appliquent à l'organisation ?

Intéressés Qui a intérêt (instances, organisations, ...) que le processus se déroule

bien ? - Est-ce qu'on a recours aux services de tiers pour l'exécution du

processus ?



Pha

se 2

- C

ompr

éhen

sion

de

l'org

anis

atio

n Q

uest

ionn

aire

Bus

ines

s Im

pact

Ana

lyse

Personnel Combien de membres du personnel sont néce ssaires pour réaliser ce processus ?

- Quelles fonctions (rôles) sont nécessaires ? : nombre, compétences, missions, quantité et temps

(Exprimer en rôles, autant de rôles existants que possible)

Moyens Quels sont les moyens nécessaires pour réali ser le processus ? Ex. applications informatiques, données, check-list, formulaires, actifs,... (Les moyens courants ne sont pas repris dans la description du processus (téléphone, chaise, local,...)

- Dressez une liste de toutes les applications/systèmes informatiques utilisés pour ce processus (y compris les spreadsheets, les bases de données locales, etc...)

- De quels systèmes d'information se sert-on pour l'exécution du processus ?

- De quels autres moyens de production se sert-on pour l'exécution du processus ?

- Est-ce que le processus dépend de l'électricité et/ou du gaz ? - Est-ce que le processus dépend de l'eau ? - Est-ce que le processus dépend de la climatisation ? - Est-ce que le processus dépend d'autre matériel ? - Est-ce que le processus dépend du téléphone? (sortant, entrant,

vidéoconférence,...)? - Est-ce que le processus dépend du fax ? - Est-ce que le processus dépend de l'ordinateur et du réseau (spécificités

pc: software/hardware, connexions pc, serveurs, ..) - Est-ce que le processus dépend de matériel unique ? (ex. calculatrices,

enregistreurs audio, appareils audio/visio, …) - Est-ce que le processus dépend de la poste ou d'autres services de

messageries ? - Est-ce que le processus dépend des services de sécurité? - Est-ce que le processus dépend de documentation spécifique ? - Est-ce que le processus dépend d'un groupe de travail interne ? *Cette liste n'est pas exhaustive et peut encore être complétée

Lieu Où (lieu géographique) se déroule ce processus ? (1 ou plusieurs endroits)

- Est-ce que les activités se déroulent en divers endroits ?

Fin L'évènement final est le moment où les activité s ne sont plus nécessaires. Manière dont le processus peut se terminer:

- Avis ou message: ex. réponse est envoyée au demandeur comme conclusion du processus

- Erreur: ex. une erreur pendant le processus, interrompt le processus - Autre processus: ex. le processus donne de l'output à un autre processus - Combinaison de ce qui précède - Quelle est la relation avec d'autres processus ?

Alternatives Est-ce que certaines activités du processus peuvent être réalisées manuellement? Est-ce que certaines activités du processus peuvent être réalisées en d'autres lieux ?


SOFIE SENESAEL – SPF INTÉRIEUR/ DIRECTION GÉNÉRALE CENTRE DE CRISE

-1-

Phase 2 - Compréhension de l'organisation Questionnaire Business Impact Analyse

BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T

PROJET

QUESTIONNAIRE - BUSINESS IMPACT ANALYSE Nom processus:

Impact interruption:

Estimation des conséquences de l'interruption du processus ? What if? Indication dans le tableau repris ci-dessus selon les critères suivants:

1 = AUCUN 2 = MINIMAL 3 = MODERE 4 = GRAND 5 = CRITIQUE 1 2 3 4 5

Impact financier

• Est-ce qu'une interruption du processus pourrait avoir un impact sur les revenus en cours ou les revenus futurs ?

• Est-ce que l'organisation risque une amende financière suite au non-respect des obligations contractuelles ?

• Est-ce que l'organisation risque des réclamations en dommages et intérêts suite à l'interruption du processus ?

Description

Impact sur le bien-être et la sécurité du

personnel

• Est-ce que l'interruption du processus a une influence sur la sécurité, la santé et/ou le bien-être du personnel ?

Description

Impact sur l'image et la réputation de l'organisation

• Est-ce que l'interruption du processus pourrait avoir un impact négatif sur la réputation de l'organisation ?

• Est-ce que l'interruption du processus pourrait avoir un impact négatif sur l'image publique de l'organisation ?

• Est-ce que l'interruption du processus pourrait avoir un impact négatif sur la confiance publique en l'organisation ?

Description

BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T


-2-

Obligations statutaires et légales

• Est-ce que l'organisation s'expose à des obligations légales si le processus n'est pas réalisé ?

Description

Environnement (sécurité publique et santé)

• Est-ce que l'interruption du processus a une influence sur la sécurité publique, la santé et/ou le bien-être des citoyens ?

• Est-ce que l'interruption du processus a une influence sur l'environnement ou les environs ?

Description

Continuité de la propre organisation • Quelle est l'influence de l'interruption du processus sur la continuité des autres processus au sein de l'organisation?

MTPD (Maximum Tolerable Period of Disruption)

Interruption maximale tolérable: Après combien de temps une interruption engendre un risque de dégâts graves, irréparables pour l'organisation ?

� Description

MTPD1 L'organisation peut subir des dégâts irréparables si le processus est interrompu pendant 24h ou plus.

MTPD2 L'organisation peut subir des dégâts irréparables si le processus est interrompu pendant 48h ou plus.

MTPD3 L'organisation peut subir des dégâts irréparables si le processus est interrompu moins de 48h.

MTPD4 Une interruption du processus n'entraînera pas nécessairement des dégâts irréparables pour l'organisation.

RTO (Recovery Time Object)

Objectif quant au temps de reprise : Quel est le délai fixé par l'organisation dans lequel le processus doit être rétabli ? Attention: S'il y a des corrélations entre les processus (voir Business Analyse), il faut que le RTO de ces processus soit harmonisé.

� Description

RTO 1 Le processus doit reprendre dans les 4 heures après l'interruption RTO 2 Le processus doit reprendre dans les 4 - 24 heures après l'interruption RTO 3 Le processus doit reprendre dans les 24 - 48 heures après l'interruption RTO 4 Le processus doit reprendre dans les 48h - 5 jours après l'interruption RTO 5 Le processus doit reprendre dans les 5 - 10 jours après l'interruption RTO 6 Le processus peut être interrompu pendant > 10 jours

-3-


BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T

Dépendances - Moyens

Quels sont les moyens dont le rétablissement dépend le plus ? Déterminer les priorités pour le rétablissement des moyens énumérés dans la Business Analyse.

3 MINOR Après combien de temps le manque de/l'indisponibilité de …..provoqueraient des désagréments pour le processus?

2 MAJOR

Après combien de temps le manque de/l'indisponibilité de …..provoqueraient une importante perturbation du processus ?

1 CRITICAL Après combien de temps l'indisponibilité de …..aurait un effet critique sur le processus (le processus s'arrête)?

< 2h 2 – 4h 4 - 12h 12 - 24h 24 – 48h 45h - 5j. 5 - 10 j. > 10 jours

Moyens

BU

SIN

ES

S C

ON

TIN

UIT

Y M

AN

AG

EM

EN

T

Phase 2 - Vue de l'organisation Questionnaire Business Impact Analyse

Phase 3 - Déterminer la stratégie BCM


-1-

PROJET

TEMPLATE - MESURES BUSINESS CONTINUITY Nom processus:

Synthèse

Recovery Time objective (RTO ou objectif quant au temps de reprise):

Maximal Tolerable Period of Disruption (MTPD ou durée maximale d'interruption):

Dépendance aux autres processus (lesquels + RTO):

Alternatives présentes:

Manque de personnel

Mesures Type de mesure

P: préventive C: corrective R: réactive

Avantages/bénéfices Désavantages/coûts


Phase 3 - Déterminer la stratégie BCM

-2-

Pas d'accès aux données vitales

Mesures Type de mesure P: préventive

C: corrective R: réactive


Manque de facilités/infrastructure




Manque d'ICT





SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENRALE CENTRE DE CRISE - 1 -

Pha

se 4

– B

CM

Res

pons

e :

déve

lopp

emen

t et m

ise

en œ

uvre

PROJET

TEMPLATE - BUSINESS CONTINUITY PLAN

I. INTRODUCTION

Objectifs:

Autorités:

Liste de distribution

Copie n° Fonction Lieu

Références et documents liés

Titre document Propriétaire du document Lieu

II. PROCESSUS D'ORGANISATION

1. Mission et activités-clés

a. Mission

b. Processus-clés (énumération)

2. Rôles et responsabilités

a. BCM Sponsor:

b. BCM Coordinateur:

c. BCM Equipe de projet:

Membres Equipe de projet:

Rôles et responsabilités Coordonnées


- 2 - SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENERALE CENTRE DE CRISE

Pha

se 4

– B

CM

Res

pons

e :

déve

lopp

emen

t et m

ise

en œ

uvre

d. BCM Structure permanente/ BCM Response team:

Nom Rôles et responsabilités Coordonnées

3. Procédures d'activation

4. Lieu alternatif

a. Pour la réunion BCM response team

b. Pour l'exécution des processus-clés

5. Stratégie de communication

Personnes compétentes pour la coordination de la communication à l'égard de

Personnes ou organisations qui peuvent ressentir les conséquences néfastes de l'interruption.

Fonction Coordonnées

Partenaires/intéressés

Personnel

Chefs de service

Fournisseurs

Médias

Autres

II. PROCESSUS-CLES CRITIQUES

Complétez par processus les informations suivantes:

1. Description du processus (voir Business Analyse)

2. MTPD (Maximum Tolerable Period of Disruption) (voir Business Impact analyse)

3. RTO (Recovery Time Object) (voir Business Analyse)

4. Personel (complétez qui sont les membres du personnel qui ont un rôle critique à jouer lors de l'exécution des activités)

Nom Rôles et responsabilités Coordonnées

5. Dépendances

De quels processus dépend le processus ?

Rôles et responsabilités Coordonnées

6. Données vitales

Description Où ? Coordonnées


SOFIE SENESAEL – SPF INTERIEUR/ DIRECTION GENRALE CENTRE DE CRISE - 3 -

Pha

se 4

– B

CM

Res

pons

e :

déve

lopp

emen

t et m

ise

en œ

uvre

7. Matériel


8. Facilités


9. Fournisseurs/consultants

Description Service presté ou produit Coordonnées

10. Fournisseurs alternatifs


11. Autres informations

Répétez le point III par processus et selon l'ordre d'importance des processus



Pha

se 4

- D

ével

oppe

r, r

éalis

er

BC

M R

espo

ns

- Annexes -

� \\Filev2\arpccvrp$\BCP1\FINAL TE PRINTEN 30.06.2009\Version FR\16 Bijlage 1 BCP checklist_FR.doc

Mise en place d’un business continuity planning

Préparation à l’émergence d’une pandémie de grippe

ANNEXE 1

2

Table des matières

Mise en place d’un business continuity planning 1

Table des matières 2

1 Objectif 3

2 Postulats standards pour la planification 3

3 Planification de la continuité des affaires en cas de pandémie de grippe 4

4 Business continuity planning: checklist 4

I Réduire l’impact de la pandémie sur le travail 5

II Protéger la santé du personnel 7

III Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe 8

IV Assurer une formation et une communication adéquates 9

V Coordonner ses actions avec les services horizontaux, les organisations externes et les autorités publiques 10

3

1 Objectif

Le but de ce document est de fournir un ensemble de points essentiels à prendre en considération afin de préparer l’ensemble des secteurs de la vie socio-économique à faire face à l’émergence d’une pandémie de grippe.

La planification de la continuité des affaires permettra notamment :

- d’établir quels sont les ressources humaines et matérielles nécessaires pour faire face à une pandémie de grippe

- de limiter les conséquences socio-économiques sur le lieu de travail et au sein du personnel

- de maintenir l’activité au niveau le plus élevé possible tout en protégeant le personnel exposé

- de permettre aux opérations et fonctions essentielles d’être maintenues (notamment grâce à une gestion planifiée des ressources humaines et matérielles)

L’élaboration d’un business continuity planning (BCP) met en avant la pro-activité de l’organisation et permet de donner un signal au personnel et aux partenaires quant à la prise en considération des problèmes que pourraient entraîner la pandémie de grippe. La mise en place d’un tel plan aidera également l’organisation qui le développe à faire l’état des lieux des ressources et renseignements nécessaires pour faire face à une pandémie de grippe.

En outre, ce BCP pourra être utilisé pour d’autres situations qui pourraient perturber la continuité des affaires.

Avant toute chose, il faut souligner l’importance centrale du rôle que joue le service « Ressources Humaines/Personnel et Organisation » (RH/PO) de chaque organisation dans l’élaboration de ce plan, vu le taux attendu d’absentéisme du personnel.

Les informations fournies dans ce document proviennent de conseils émanant de l’OMS et sont également inspirées des business continuity plannings établis au sein des gouvernements du Canada et des USA. Ces informations sont de nature générale et devront être adaptées à la situation de chaque lieu de travail.

2 Postulats standards pour la planification

- Une pandémie aurait des effets qui toucheraient de nombreuses régions, voire toutes les régions du monde. Par conséquent, il se peut que l’assistance externe soit de faible envergure.

- L’ensemble des organisations risquent de devoir faire face à un taux d’absentéisme très important, étant donné que de nombreux travailleurs tomberont malades, resteront chez eux pour prendre soin de leurs enfants ou membres de leur famille ou refuseront de se rendre au travail, pour éviter la contamination dans les transports en commun et les bureaux.

- On prévoit un taux d’absentéisme doublé par rapport au nombre de personnes malades, c’est-à-dire que pour chaque membre du personnel qui tombe malade, un autre ne viendra pas au travail car il devra s’occuper d’un proche, ou refuse de se déplacer ou de travailler.

- Il est probable que 15 à 35 % de la population active tombera malade à un moment donné au cours de la pandémie (plusieurs vagues possibles, de 8 à 12 semaines chacune).

- Les attaques par vagues dans les lieux travail seront semblables à celles affectant la population générale.

- Toutes les personnes qui tomberont malades seront sans doute absentes au minimum 7 jours du travail.

4

3 Planification de la continuité des affaires en cas de pandémie de grippe

Les conséquences de la pandémie toucheront essentiellement les ressources humaines, impliquant de nombreux impacts dans l’ensemble de la vie socio-économique.

Par exemple :

- la dégradation de services essentiels : services d’information et télécommunications, approvisionnement en énergie, eau, nourriture et transport, perturbation du système bancaire (disponibilités de fonds)

- la difficulté d’obtenir l’approvisionnement nécessaire à la poursuite des activités (ex : problèmes lié à l’importation, la livraison, les services sous-traités)

- l’affection de l’offre et la demande dans certains secteurs : les services liés à la santé (ex : hôpitaux, médecins), la sécurité (ex : police) ou à la communication (ex : Internet, téléphonie) seront fortement sollicités, alors que la demande de services liés aux activités de loisirs (ex : secteur du tourisme, de la culture, certains secteurs de l’HORECA) risque de chuter

Les instances publiques seules ne seront pas en mesure de répondre à l’ensemble des problèmes que pourra rencontrer la population belge en général. Une coordination et une collaboration entre le niveau public et privé est donc indispensable, ainsi qu’une politique efficace d’information, pour limiter les conséquences de la pandémie de grippe.

Chaque organisation publique doit donc être capable de :

- se préparer à assurer le fonctionnement de son organisation

- assurer le maintien de la vie socio-économique permettant le maintien de l’appareil de l’Etat, dans ses domaines essentiels de compétence. A ce titre, elle doit :

o prévoir un système de monitoring de la situation, c’est à dire être capable de faire l’état des lieux de la situation au sein des secteurs concernés.

o s’assurer qu’au sein de tous les secteurs et domaines d’activités relevant de ses compétences, les éléments à considérer afin d’assurer la continuité des services aient été diffusés.

- assurer une politique efficace de communication dans chaque secteur, à intégrer dans la stratégie globale de communication déterminée par les autorités publiques (www.influenza.be)

4 Business continuity planning: checklist

La liste des éléments à prendre en considération pour l’élaboration d’un business continuity planning peut être répartie en cinq grands thèmes :

I Réduire l’impact de la pandémie sur le travail

II Protéger la santé du personnel

III Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe

IV Assurer une formation et une communication adéquates

V Coordonner ses actions avec les services horizontaux, les organisations externes et les autorités publiques

5

Terminé En cours Pas

commencé I. Réduire l’impact de la pandémie sur le travail (1) Moyens utiles proposés pour réaliser cette tâche

1. Identifier et nommer, au sein de l’organisation*, une personne (et/ou une équipe)

responsable de la coordination dans la préparation d’un BCP. Cette personne (et/ou cette équipe) sera responsable de la planification et de la coordination de la gestion de crise en cas de pandémie de grippe.

Cette personne ou cette équipe peut être intégrée au sein d’une cellule de crise. Avec le service « RH/PO», officialiser éventuellement cette nomination (ex :via une description précise de cette fonction).

2. Hiérarchiser les activités au sein de l’organisation : - identifier les activités indispensables, devant être assurées en permanence - identifier les activités pouvant être interrompues pendant 2 semaines - identifier les activités pouvant être interrompues pendant 8 à 12 semaines

Avoir au préalable défini chaque fonction au sein de l’organisation.

3. Identifier si ces fonctions sont bien occupées par des personnes internes à l’organisation ou si certaines sont occupées par des personnes externes (ex : sous-traitance). Si certaines sont externes, assurez-vous de la continuité de leurs activités en cas de pandémie de grippe.

4. Identifier les ressources nécessaires à la continuité des activités indispensables : - les ressources humaines : effectifs, compétences, suppléance pour les postes essentiels

(système de remplacement, à savoir deux personnes « back-up » par fonction-clé, en plus de la personne occupant initialement cette fonction-clé), liste des volontaires pour travailler pendant la pandémie, étudier les possibilités de renforcement par des retraités, des intérimaires ou des étudiants

- les moyens matériels nécessaires pour le maintien de l’activité (ex : matières premières indispensables, ressources en énergie, budget suffisant)

- les bases légales et les règles spécifiques applicables en situation de pandémie (pour la prise de mesures relatives à la rémunération du personnel, aux éventuelles réquisitions, aux congés, à la médecine du travail, aux procédures spécifiques)

Identifier avec le service «RH/PO» les procédures spécifiques pouvant être nécessaires (ex :système de remplacement « back-up », réquisition, listing des personnes volontaires, rémunérations spécifiques, etc.). Identifier avec le service ICT la continuité des systèmes d’informatisation (ex : méthodologie de continuité des systèmes ICT proposée par FEDICT, pour les Services publics fédéraux).

5. Former et préparer les personnes désignées comme devant assurer des fonctions-clé en cas de pandémie de grippe. Cette formation concerne le personnel interne ou externe, en fonction des besoins (ex : employés avec d’autres titres/descriptions de fonction, mais aussi des sous-traitants, des retraités).

A accomplir avec l’aide du service «RH/PO».

6. En fonction du rôle de l’organisation, développer et prévoir des scénarios susceptibles

d’aboutir à une augmentation ou diminution de la demande de vos produits et/ou services pendant une pandémie (ex : diminution probable de la demande en matière de restauration suite à l’éventuelle restriction sur les rassemblements, demande accrue de l’aide des services de secours, besoin plus important de matériel d’hygiène).

6


commencé I. Réduire l’impact de la pandémie sur le travail (2) Moyens utiles proposés pour réaliser cette tâche

7. En fonction du rôle de l’organisation, développer et prévoir des scénarios susceptibles d’aboutir à une augmentation ou diminution de la demande de vos produits et/ou services pendant une pandémie (ex : diminution probable de la demande en matière de restauration suite à l’éventuelle restriction sur les rassemblements, demande accrue de l’aide des services de secours, besoin plus important de matériel d’hygiène).

8. Déterminer l’impact potentiel d’une pandémie de grippe sur les finances et le budget de l’organisation, en fonction de son rôle et de ses besoins.

Support de la part du service « Budget/Finances», en fonction des différents scénarios possibles.

9. Prévoir l’impact potentiel d’une pandémie de grippe sur les déplacements et les voyages d’affaire nationaux et internationaux (ex : possibilité d’une diminution des moyens de transport, de quarantaines, de fermetures des frontières).

10. Etudier les différentes possibilités alternatives :

- de lieux de travail ou façon de travailler (ex : le télétravail, la vidéoconférence) - de transport (ex : si la fréquence des transports en commun est diminuée, il

faut s’assurer que les personnes remplissant des fonctions indispensables pourront se rendre sur leur lieu de travail)

- d’hébergement (ex : envisager la possibilité, pour que les personnes remplissant des fonctions indispensables, de loger sur place si nécessaire)

Avec l’aide du service ICT, du service RH/PO, du SIPPT1, faire l’état des lieux des possibilités en infrastructure et en moyens logistiques sur le lieu de travail (ex :disponibilité de locaux, de vidéoconférences, des travailleurs à leur domicile, de lits, de sanitaires, de voitures) et éventuellement au domicile du personnel concerné (ex : disponibilité d’un ordinateur, connections Internet, vidéoconférence)

11. S’informer continuellement sur la pandémie de grippe, via des canaux

d’informations officiels, actualisés et fiables (ex : information émanant d’un organe officiel de santé publique)

Suivre les informations diffusées notamment par les médias. Visiter le site www.influenza.be ou téléphoner au numéro 0800/99 777

12. Établir un plan de communication et l’actualiser régulièrement. Ce plan doit comprendre : - l’identification de la (ou les) personne(s) en charge de la coordination de la

planification et de la gestion de la crise suite à une pandémie de grippe - l’identification des personnes accomplissant des fonctions-clés, ainsi que leurs

remplaçants - une chaîne de communication, incluant les partenaires indispensables (ex :

groupes-cibles, fournisseurs, clients) - un processus permettant de diffuser régulièrement l’état de la situation de

l’organisation et celle du personnel

A élaborer au sein des services « RH/PO » et « Communication ».

13. Organiser un exercice pour tester votre plan et l’actualiser régulièrement.

1 SIPPT= Service Interne de Prévention et de Protection du Travail

7


commencé II. Protéger la santé du personnel Moyens utiles proposés pour réaliser cette tâche

1. En période de pandémie de grippe, prévoir et autoriser les absences du personnel qui sont liées à des facteurs tels que : - la maladie personnelle - la maladie d’un membre de la famille - des mesures collectives de contraintes ou de quarantaines - la fermeture d’école et/ou d’entreprise - la diminution voire la suppression des transports publics

Solliciter l’aide du service «RH/PO» afin de prévoir des procédures spécifiques en cas d’absence selon les cas cités.

2. Renforcer les mesures destinées à freiner la contagion via : - l’application de mesures d’hygiène personnelles renforcées : lavage fréquent des mains au

savon et séchage avec une serviette jetable, utilisation de mouchoirs en papier à usage unique qui sont jetés dès la première utilisation, mettre sa main devant sa bouche en cas de toux ou d’éternuement et ensuite se laver les mains, port éventuel du masque

- l’application des mesures d’hygiène renforcée au sein du bâtiment : désinfection des bureaux des personnes malades (en ce compris la table du bureau, les téléphones, claviers, fournitures de bureau), nettoyage fréquent renforcé, ramassage fréquent des poubelles contenant des mouchoirs usagés sans risque de contamination

- la réduction des contacts entre les personnes, en interne et avec les partenaires externes: maintenir une distance sociale (les recommandations générales de santé prévoient une distance de minimum un mètre entre chaque individu), ne pas se serrer la main, éviter les lieux de rassemblements (cantine, réunions)

Solliciter le service « Budget/achats », afin de prévoir :

- des produits d’hygiène (désinfectant, savon, mouchoirs et serviettes jetables, solution alcoolique pour les mains, masques, gants) et de nettoyage (désinfectant pour sol et surfaces, sacs poubelles spécifiques) en suffisance

- du personnel nécessaire pour assurer l’hygiène

- un aménagement particulier des bureaux

3. Encourager et tracer la vaccination annuelle contre la grippe saisonnière du personnel faisant partie des groupes à risque (la préparation d’un vaccin pandémique est liée aux capacités de production du vaccin contre la grippe saisonnière)

4. Identifier le personnel à risque d’exposition majeure : - personnel en contact avec un public nombreux - personnel en contact avec un public susceptible d’être malade (ex : professionnels de la santé,

personnel des hôpitaux) - personnel en charge de l’hygiène et du nettoyage - professionnels en contact avec toute espèce, vivante ou morte, susceptible de pouvoir être

contaminée (ex : professionnels d’élevage de volatiles, pompes funèbres)

En concertation notamment avec le SIPPT, prévoir des équipements adéquats et des mesures de protection en fonction du risque encouru par le personnel concerné.

5. Identifier les membres du personnel et les partenaires ayant des besoins spécifiques, et intégrer les besoins de ces personnes dans votre plan de préparation (soutien en matière de santé et de besoins psycho-sociaux)

6. Assurer, au sein de l’organisation, la gestion de l’environnement, de la climatisation, des déchets.

Prévoir un système de ramassage des poubelles contenant des mouchoirs usagés sans risque de contamination, supprimer la climatisation.

8


commencé

III. Elaborer des politiques à mettre en œuvre en c as de pandémie de grippe (L’ensemble des tâches reprises ci dessus et ci bas doit être réalisées dans une dynamique générale, préparée et

élaborée. Il convient donc de définir des politiques et des directives afin de clarifier les décisions prises par la direction. Des mesures génériques par secteur peuvent utilement être envisagées)

Moyens utiles proposés pour réaliser cette tâche

1. Définir une politique en matière d’indemnisation des employés et d’absence pour congé de maladie propre à la pandémie de grippe (ex. congés non punissables, libres), ainsi que des directives prévoyant le moment où une personne, auparavant malade, n’est plus contagieuse et peut retourner travailler.

Identifier avec le service «RH/PO» et le service SIPPT les procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions.

2. Définir des directives en ce qui concerne les lieux et modes de travail alternatifs (ex.

télétravail) et les heures de travail flexibles (ex. équipes variables).

Identifier avec le service «RH/PO» et le SIPPT les procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions.

3. Définir des directives afin d’empêcher la propagation de la maladie sur le lieu de travail (ex.

encourager une hygiène personnelles et certains comportements sociaux, prévoir l’exclusion immédiate des personnes présentant des symptômes de la grippe).

Identifier avec le service «RH/PO» et le SIPPT les procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions.

4. En ce qui concerne les risques spécifiques de contamination, définir des directives pour le personnel étant:

- plus exposé à un risque de contamination de la maladie - soupçonné d’être malades ou de le devenir sur le lieu du travail (ex. congé de maladie

immédiat et obligatoire).

Identifier avec le service «RH/PO» et le SIPPT des procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions.

5. En ce qui concerne la mobilité du personnel, définir une politique afin de: - limiter les déplacements et les voyages vers les zones touchées (nationales et

internationales) - évacuer le personnel travaillant dans ou près des zones touchées lorsque la pandémie

éclate - suivre les employés revenant d’une zone touchée

Identifier avec le service «RH/PO» les procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions.

6. Définir les autorités, les déclencheurs et les procédures permettant d’activer et de mettre fin au plan d’action de l’organisation, ce qui va provoquer une alerte pour les activités professionnelles de l’organisation (ex. mettre fin aux activités dans les zones touchées) et implique le transmis des informations clés au personnel concerné.

Identifier avec le service «RH/PO» les procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions.

7. Déterminer une politique en matière de communication de crise, comprenant :

- une communication interne et externe : avec le personnel, les partenaires et groupes-cibles, ainsi qu’avec le reste de la population (via les médias)

- un communication avant l’émergence d’une pandémie (anticipation-préparation) et une communication en période pandémique (gestion).

Identifier avec le service «Communication » les procédures et mesures spécifiques nécessaires, en accord avec la direction et suite à ses décisions. Ces procédures et mesures spécifiques s’intègreront dans la stratégie globale de communication.

9


commencé IV. Assurer une formation et une communication adéq uates Moyens utiles proposés pour réaliser cette tâche

1. Identifier les sources officielles d’informations précises et opportunes relatives à la

pandémie (nationales et internationales), ainsi que les ressources permettant de prendre des mesures de prévention et d’action en cas de pandémie de grippe.

Les services « Communication » et « SIPPT » s’assurent qu’ils disposent d’une information correcte, adaptée (variation possible en fonction du risque encouru par le personnel et les partenaires) et officielle (possibilité de justifier ses sources).

2. Développer et diffuser des documents et des informations traitant des données relatives :

- à la pandémie elle même ( ex. signes et symptômes de la grippe, modes de transmission)

- aux soins médicaux et sociaux prévus en cas de pandémie de grippe (ex : les soins médicaux particuliers prévus par les autorités publiques en cas de pandémie de grippe)

- aux traitements possibles (ex : utilisation des antiviraux, vaccins) - aux mesures de protection et d’hygiène personnelle et familiale (ex : hygiène

des mains, comportement à adopter en cas de toux/éternuement, distance sociale)

- au plan d’actions mis en place au sein de l’organisation.

Le service «RH/PO» en collaboration avec le service « Communication », peuvent convenir de :

- réaliser des séances d’information (voire de formation, en fonction du risque encouru) à destination du personnel

- distribuer des documents avec les informations utiles et diffuser ces mêmes informations via l’intranet de l’organisation

- diriger le personnel vers des sites utiles, tel que www.influenza.be

3. Anticiper la peur et l’anxiété, les rumeurs et l’information erronée au sein du

personnel et planifier la stratégie de communication en fonction.

Avec le service « Communication », s’assurer d’une diffusion, en temps voulu, d’informations claires, réalistes mais rassurantes, et adaptées en fonction du risque encouru par le personnel.

4. S’assurer que les communications sont culturellement et linguistiquement appropriées.

Prévoir une diffusion d’informations dans toutes les langues représentées au sein de l’organisation. Suite aux séances d’informations et à la diffusion des informations, mentionner la personne de référence « pandémie » au sein de l’organisation, qui pourra répondre aux questions de tout un chacun.

5. Mettre en place un système de contact (site web, numéros d’urgence) permettant de garder un lien social entre le personnel et son organisation, afin de communiquer, en temps opportun :

- l’état de la pandémie au sein de l’organisation (absentéisme, situation au niveau de la production du travail/des services) et en dehors

- les actions pour le personnel et les partenaires, sur le lieu de travail et en dehors (ex : numéros d’urgence, sites web spécialisés)

- des rappels sur le système de contact d’urgence.

Les services « Communication » et « RH/PO » peuvent envisager une sorte de forum sur son site web, où le personnel peut récolter des informations utiles et maintenir un contact social avec son lieu de travail et les personnes qui en font partie.

10


commencé V. Coordonner ses actions avec les services horizon taux, les organisations

externes et les autorités publiques Moyens utiles proposés pour réaliser cette tâche

1. Collaborer avec les services horizontaux, tels que :

- Le service « P&O/RH » - Le service « Communication » - Le service « SIPPT » (comprenant la médecine du travail), afin de vérifier vos

obligations légales vis à vis du personnel - Le service ICT - Le service « Budget/achats »

La coordination sera utilement organisée par la direction (ex : au sein d’un comité de direction)

2. Collaborer avec les organisations externes, telles que :

- les assureurs : vérifier ce que couvre vos assurances dans le contexte des problèmes pouvant survenir en cas de pandémie de grippe

- les sociétés privées de services de prévention

3. Collaborer avec les autorités publiques, telles que : - le Service Public Fédéral Emploi et Travail (en matière de protection des

travailleurs) - le Service Public Fédéral Santé Publique (en matière de politique de santé) - le Centre Gouvernemental de Coordination et de Crise (en matière de coordination

interdépartementale et interdisciplinaire entre autorités publiques)

4. Collaborer avec les systèmes de santé prévus au niveau de la santé publique, au niveau fédéral et local, et/ou les urgences pour :

- connaître leurs plans et communiquer les vôtres (en fonction des possibilités) - participer à la planification des processus si cela est pertinent et si votre organisation

a été sollicitée en ce sens par les autorités concernées - définir ce que votre organisation peut fournir à la communauté/au secteur.

5. Partager les bonnes pratiques avec d’autres organisations de votre communauté/secteur ,

afin d’améliorer les efforts d’intervention au sein de cette communauté/ce secteur.

Global Business Continuity Plan: Pour le SPF Intérieur, on recommande dans le cadre du Business Continuity Management, de réaliser un global Business Continuity Plan permettant au SPF de se préparer à une éventuelle interruption des activités les plus critiques. Il est dés lors conseiller de ne pas tant se fixer sur tous les éventuels risques auxquels le SPF peut être confronté (et dès lors élaborer un BCP pour chaque éventuel risque) mais plutôt sur les éventuelles conséquences des risques. Les principales conséquences auxquelles le SPF peut être confronté sont:

- manque de personnel - manque d'ICT - manque de données/informations - manque de facilités

Ceci n'exclut pas qu'on travaille sur certains risques spécifiques (par exemple ‘l’apparition d'une pandémie de grippe’). Dans ce cas, il vaut mieux joindre les mesures relatives au Business Continuity au global Business Continuity Plan. Les mesures à prendre en matière de personnel (faire en sorte qu'il y ait suffisamment de personnel pour poursuivre les activités critiques) font déjà parties du ‘Global Business Continuity Plan’. En d'autres mots, toutes les directions doivent prendre les mesures nécessaires pour s'assurer qu'il y ait suffisamment de personnel disponible/formé pour poursuivre les activités les plus critiques en cas de pandémie de grippe et par conséquent lorsque le nombre d’absences pour raison de maladie est élevé. Mesures spécifiques de Business Continuity en ce qu i concerne la pandémie de grippe Le principal objectif de ces mesures est d’assurer le bien-être des collaborateurs de l'organisation et de les annexer au Global Business Continuity Plan. Voici une liste de plusieurs mesures que le SPF peut préparer en vue d'une pandémie de grippe: Eventuelles mesures en ce qui concerne la communication interne (en plus de la communication actuelle) Il vaut mieux que ces mesures soient préparées par: la Cellule Centrale d'Information et de Communication en collaboration avec le service d'encadrement P&O, les correspondants P&O, les communicateurs DGCC (garantir la cohérence entre la politique de communication émanant de la Santé publique et le contenu de la communication au sein du SPF Biza)

1. Accords sur la méthode de travail relative à la communication interne (qui communique quand vers le personnel/critères): CCIC, service d'encadrement P&O, Service Interne pour la Protection et la Prévention au travail (SIPP), Centre de Crise.

2. Diffusion de l'information:

En cas d'activation du BCP (en attendant le global BPF, il faut se mettre d'accord sur les critères/procédure pour la diffusion), diverses procédures et rondes d'informations peuvent être mises en place afin que chacun sache rapidement ce que la nouvelle situation entraîne. Une note d’information adressée à temps au personnel peut éviter de semer le trouble et contribue à limiter la propagation de la maladie. Les aspects qui doivent être abordés lors des instructions:

• Quels symptômes doivent vous faire penser à une grippe ? (cf. par exemple le tableau avec la comparaison entre les symptômes d'un simple rhume et ceux d'une grippe)

• Quelles sont les procédures (adaptées) prévues dans l’entreprise pour se déclarer malade lors d’une pandémie de grippe ?

• Que peut-on faire au sein de l’entreprise pour limiter autant que possible le risque de contamination ?

ANNEXE 2

• Que faut-il faire si la grippe a été constatée chez votre(vos) collègue(s) ? • Que peut-on faire à la maison en cas de grippe pour limiter autant que

possible le risque de contamination (pour vous et les membres de votre famille) ?

• Quand peut-on reprendre le travail et quelle procédure doit être suivie ?

3. Page internet reprenant e.a. toutes les informations importantes (critères justifiant l’absence en cas de pandémie de grippe, soutien psychologique et disponibilité morale pour le personnel, évolution de la pandémie en chiffres, répétition des mesures d’hygiène, etc…)

4. Point général de contact pour le personnel (site web/ numéro d’urgence – conserver le lien

social personnel/organisation – communication et suivi de la situation): • Point de la situation de la pandémie au sein de l’organisation (absence, suivi situation

relative au fonctionnement du service) Eventuelles mesures en matière d’organisation interne SPF par rapport au personnel Il vaut mieux que ces mesures soient préparées par: Service d'encadrement P&O en collaboration avec les correspondants P&O (en collaboration avec SIPP pour le point 6).

1. Adaptation des procédures pour la déclaration de maladie. Etre préparé à et autoriser des absences du personnel lors d’une pandémie de grippe en raison de :

• Propre maladie • Maladie d’un membre de la famille • Mesures de restriction collective ou quarantaines • Fermeture d’une école et/ou entreprise • Diminution ou même suppression du transport public

2. Adaptation des directives relatives au retour du congé de maladie (éviter que les personnes puissent revenir plus tôt de leur congé de maladie, par exemple, en dérogeant temporairement à la possibilité de reprendre spontanément le travail plus tôt, cf. note de service du 11-01-2008 relative à l’absence pour maladie – réglementation générale, point 2,4)

3. Directives en cas de suspicion de maladie (prévoir la possibilité d’envoyer immédiatement et obligatoirement le personnel en congé de maladie)

4. Contrôle de la situation - bon suivi du déroulement de la maladie (ce qui peut éventuellement pousser le management à fermer certains services).

5. Il est utile de vérifier si on peut réduire ou éviter les concentrations de personnel (par

exemple, fermer provisoirement la cafétéria)

6. Préparation de directives spécifiques pour le personnel qui court éventuellement, en raison de leur fonction, un plus grand risque de contamination. Inventorier le groupe cible à risque et préparer les directives/communications spécifiques.

7. Adaptation des directives relatives aux déplacements professionnels à l’étranger.

- Bibliographie -


SOFIE SENESAEL – FOD BINNENLANDSE ZAKEN / ALGEMENE DIRECTIE CRISISCENTRUM

Littérature: BARE A., Project CC-ICT STAND ALONE Of Verzekering van de informaticacontinuïteit door de installatie van een Continuity Server, wat ertoe leidt dat het Crisiscentrum volledig onafhankelijk en transporteerbaar wordt, Brussel, Juli 2008. BRANDT, Geert, Uittekenen van processen: gecertificeerde opleiding CACERSA02, Brussel: Opleidingsinstituut van de Federale Overheid, 2007. CONSEIL A. en al., Business Continuity Planning and Pandemic Influenza in Europe An Analysis of Independent Sector and National Governments’ Guidance, London: London School of Hygiene & Tropical Medicine, 2008. CORNELIS B., JUPRELLE P., BRUNET S., dir, Federal Risk Inventory, Survey and Knowledge building (FRISK), Convention VIII/C/P2003, Rapport final, Révision, Liège: Université de Liège, November 2004. ERNST J., “Normen, richtlijnen en wet- en regelgeving voor Business Continuity Management” in Informatiebeveiling, p.16-20, Juli 2006. KENNEDY S. en HILL D., BCP for smarties. Super user group meeting, Office of Audit, Compliance & Privacy, s.l., October 10 2005. KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006 KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM Academy, Harderwijk, 2007 LESSEN C. en BRONSELAER J., Rapport de projet “Développement du service Inspection interne”, Confidentiel, SPF Intérieur, Bruxelles, november 2008. TRIEST V. en POLEUNUS H., Projectmanagement: Policy, Brussel: Federale Overheidsdienst Personeel & Organisatie, 17 december 2003. LILBURN WATSON D., A guide to Business Continuity Management using BS25999, s.l., s.d. PEDROSA NEGAMI DO NASCIMENTO G., Risicoanalyse van IT Gerelateerde Bedrijfsprocessen. Master project BMI verslag, ING, Amsterdan, december 2008. VARGHESE R., Maintaining Local Government Business Continuity. Preparing for a Local Crisis within a Global Pandemic, Virginia: Public Health Division, USA, s.d. WAMSLEY R., Overview Briefing, National Continuity Programs Directorate, Federal Emergency Management Agency, US Department of Homeland Security, USA, 7-8 August 2008. WITHBECK, Dave, dir., Oregon Secretary of State: Business Continuity Planning Project Human Resources Division Business Impact Analysis Report, version 1.2, s.l., 10 april 2008. WOODMAN P., Business Continuity Management, London: Chartered Management Institute, UK, March 2007. WOODMAN P., Business Continuity Management 2008, Cabinet Office in association with Continuity Forum, s.l., March 2008.


SOFIE SENESAEL – SPF INTÉRIEUR / DIRECTION GÉNÉRALE CENTRE DE CRISE

“A Risk-based approach to BCM”, in Continuity, September 2008, p.12-13. Activiteiten voor het Comité voor Financiële Stabiliteit 2003-2007, Activiteitsverslag 2007, België, 6 juni 2008 Business Continuity Planning Guide, First edition, Property Advisers to the Civil Estate, Central Advice Unit, s.l., 1st May 1998. Business Continuity Guide, 2nd edition, Alberta Emergency Management Agency, Alberta Municipal Affairs and Housing, Edmonton, Canada, march 2007. British Standard Toolkit, British Standard Institute, BS 25999, UK, 2007. Business Continuity Guide for Small Businesses, AXA Insurance UK, London, UK, 2004. Verbeterprojecten, BPR, Instrument bij de modernisering van de federale overheid, Brussel: Federal Overheidsdienst Personeel & Organisatie, april 2005. Business Continuity Planning for small to medium-sized businesses, Norfolk County Council Emergency Planning Unit and Norfolk Major Incident Team, UK, s.d. Business Continuity Management, A staff Guide, Version 2.0, Financial Services Authority, UK, August 2007. Business Continuity Management good practice guidelines 2008, Business Continuity Institute, s.l., 2008. Business continuity management part 1- Code of practice, British Standard Institute, BS 25999-1, UK, 2006. Business continuity management part 2- Code of practice, British Standard Institute, BS 25999-2, UK, 2007. Business Continuity Management (BCM), International Faculty for Executives, s.l., 2006. Business Continuity Management, Policy Statement, Monmouthshire, U.K., april 2007. Business Continuity Plan Template, Canadian Centre for Emergency Preparedness, Canada, 2000. Business Continuity Planning, BCP Prepardness Planner, Upper Mohawk Inc., USA, s.d. Business continuity planning guide, First Edition, Property Advisers to the Civil Estate (PACE), s.l., May 1998. Business Continuity Planning Guidelines, Texas Department of Information Resources, Austin, Texas, USA, December 2004. Business Continuity Planning. IT Examination Handbook, Federal Financial Institutions Examination Council, s.l., March 2008. Business Continuity Planning Template, Version 4, Brent, UK, June 2002. Business Continuity Planning Workbook 2006, version 06.1, Government of Saskatchewan, Saskatchewan, Canada, 2006.



Evaluatierooster, Vlaamse Overheid – Interne Controle, Organisatiebeheersing, België, December 2008. Guide to Business Continuity Management, Frequently Asked Questions, Second edition, protiviti, Independent Risk Consulting, s.l., 2006. Guide to Developing a BCP, DAS Enterprise Program, s.l., mei 2008. Guide to developing a business Continuity Plan, Guidance for Oregon Agencies, DAS, provided by Enterprise BCP Program, Oregon, USA, may 2008. Het communicatieplan van een project opstellen, Gids voor de federale communicatoren, COMM Collection, nr.12, Brussel: Federale Overheidsdienst Personeel & Organisatie, December 2005. How prepared are you? Business management toolkit, version 1, Her Majesty’s Government, s.d. Influenza Pandemic Planning. Business Continuity Planning Guide, Government of New-Zealand, New-Zealand, October 2005. Interne audit: Bedrijfscontinuïteitsmanagement, Vlaamse Overheid, België, 26 februari 2007. Keuzen en aanpak voor uw Business Continuity Plan (BCP) of Calamiteitenplan, ZBC Consultants bv, België, 25 oktober 2007. Leidraad, Vlaamse Overheid – Interne Controle, Organisatiebeheersing, België, December 2008. Mission statement- Uittreksel, Dienst Interne Inspectie FOD Binnenlandse Zaken, Brussel, December 2007. Model Business Continuity Plan for State Agencies, State of Oregon, USA, May 2008. Business Continuity Management, Vlaamse Maatschappij voor Sociaal Wonen, België, 24 april 2008. Nota aan de leden van het Directiecomité, Interne controle – FOD Binnenlandse Zaken, Brussel, 1 juli 2003. Pandemic Influenza Response Plan – Business Continuity Planning Tool Kit, Niagara Region Public Health, Canada, November 2006. Pandemic Influenza - Preparedness, Response and Recovery. Guide for critical infrastructure and key resources, U.S. Department of Homeland Security, USA, 19 september 2006. Plan de Continuité d’Activité – Cas de la pandémie grippale, Version 2, Groupe Carrefour, s.l., december 2007. Preparedness Pandemic Manual prepared for ITMA Foundation, Environmental and Occupational Risk Management, California, USA, December 2006. Professional Practices for Business Continuity Planners, DRIBCI, s.l., 28 august 2003. “ISO/PAS 22399 provides international best practice for preparedness and continuity management” in ISO Management System, January-February 2008, p.5-9.



Rapport de projet: Analyse des risques, Service Inspection Interne, Bruxelles : Service Public Fédéral Intérieur, November 2008. Rapport interne controle: risicoanalyse, FOD Binnenlandse Zaken, Brussel, 9 maart 2004. “Pandemie en Business Continuity Planning”, in Beveiliging, Oktober 2008, p.108-113. De risicoanalyse, Algemene Directie Humanisering van de Arbeid et al., Brussel, Mei 2006. Risk Analysis Methodology, Gundersen Lutheran Medical Center, La Crosse, Wisconsin, USA, s.d. Risk Assessment Questionnaire, BCM & Risk Management Program, Office of the State Chief Information Officer, Information Technology Services, Raleigh, North Carolina, USA, 2004. De Risk Management Standard, Federation of European Risk Management Associations, s.l., 2003. Security-aspecten tijdens een grieppandemie , Security Management, nr.10, oktober 2008, p.44-47. Societal security — Guideline for incident preparedness and operational continuity management, First Edition, ISO/PAS, Switzerland, 1 december 2007 Standard on Disaster/Emergency Management and Business Continuity Program, National Fire Protection Association 1600, Quincy, Massachusetts, USA, 2007. Stanford University Business Continuity Planning, Standford Univertity, USA, s.d. Pages Internet consultées : Public Savety Canada, A guide to business continuity planning, http://www.publicsafety.gc.ca/prg/em/gds/bcp-eng.aspx , pagina geconsulteerd op 3 september 2008. Continuity Central, http://www.continuitycentral.com/index.htm , site geconsulteerd op 3 september 2008. State Office of Risk Management, Business Continuity Impact Analysis, http://www.sorm.state.tx.us/Risk_Management/Business_Continuity/bus_impact.php#top , pagina geconsulteerd op 5 september 2008. The National Forum for Risk Management in the Public Sector, Publications page, http://www.alarm-uk.org/publications.aspx , pagina geconsulteerd op 5 september 2008. Teed Business Continuity, BCM Standards, http://www.teed.co.uk/bcm_standards.shtml , pagina geconsulteerd op 8 september 2008. The British Standards Institution, BS 25999 Business continuity, http://www.bsigroup.co.uk/en/Assessment-and-Certification-services/Management-systems/Standards-and-Schemes/BS-2599/ , pagina geconsulteerd op 8 september 2008.



Teed Business Continuity, A Guidance Note on Pandemic Business Continuity Planning, http://www.teed.co.uk/shu/docs/Pandemic%20BCP%20Guidance%20Note%202008.pdf , pagina geconsulteerd op 26 november 2008. ASIS International Advancing Security Worldwide, Business Continuity Guideline, http://www.asisonline.org/guidelines/guidelinesbc.pdf , pagina geconsulteerd op 26 november 2008. ASIS International Advancing Security Worldwide, General Security Risk Assessment, http://www.asisonline.org/guidelines/guidelinesgsra.pdf , pagina geconsulteerd op 26 november 2008. Educause Center for Applied Research, Shared Responsibility for Business Continuity: The Team Approach at UCLA, http://www.educause.edu/ECAR/SharedResponsibilityforBusines/155130 , pagina geconsulteerd op 26 november 2008. NC State University, Business Continuity and Disaster Recovery Department: Project Plan, http://www.ncsu.edu/ehs/BCP/project_plan/ , pagina geconsulteerd op 26 november 2008. Business Continuity International, Business Continuity Planning Asia Pacific, http://www.businesscontinuityinternational.com/ , pagina geconsulteerd op 26 november 2008. The Institute for continuity Management, Developing Business Continuity strategies, www.drii.org/professional_prac/profprac_developing_BC.html., geconsulteerd op 8 december 2008. Australian Government, Business Continuity Planning, http://www.nationalsecurity.gov.au/agd/www/nationalsecurity.nsf/AllDocs/15AA23030D0BD4EDCA256FAA001EBB37?OpenDocument , pagina geconsulteerd op 11 janvier 2009. Texas State University, Business Continuity Program, http://www.fss.txstate.edu/ehsrm/business/business1.html , pagina geconsulteerd op 11 januari 2009. DRI The Institute for Continuity Management, Business Impact Analysis, https://www.drii.org/professionalprac/index.php , pagina geconsulteerd op 11 januari 2009. The American Institute of Certified Public Accountants, Protecting Business Continuity, http://www.aicpa.org/Magazines+and+Newsletters/Newsletters/The+Practicing+CPA/March+April+2008/Protecting+Business+Continuity.htm , pagina geconsulteerd op 11 januari 2009. The art of Management, Structuur, http://123management.nl/0/020_structuur/a200_structuur.html , pagina geconsulteerd op 7 februari 2009. FP&M's World-Class Journey, Process Mapping, http://www.fpm.iastate.edu/worldclass/process_mapping.asp , pagina geconsulteerd op 7 februari 2009. COMATECH, Het EFQM-Excellence model, http://www.comatech.be/nl/efqm.php , pagina geconsulteerd op 15 februari 2009. Universiteit Antwerp, Doctoraatsverdediging Kathleen Van Heuverswyn, 3 november 2008, http://www.ua.ac.be/main.aspx?c=*FACREC&n=59898&ct=58353&e=180471 , pagina geconsulteerd op 1er april 2009.



Committee of sponsoring organizations of the tradeway commission, www.coso.org, geconsulteerd op 1er april 2009. PAS56, Business Continuity Management Using BS25999 , http://www.pas56.com/index.htm pagina geconsulteerd op 3 april 2009. EUR-LEX, BICHAT, http://eur-lex.europa.eu , pagina geconsulteerd op 14 mai 2009. Nonprofit Risk Management Center, Business Continuity Planning Course, http://nonprofitrisk.org/tools/business-continuity/intro/1.htm pagina geconsulteerd op 17 november 2008 Government of Oregon, Business Continuity Planning for Oregon State Agencies, http://www.oregon.gov/DAS/EISPD/BCP/index.shtml , pagina geconsulteerd op 17 november 2008 Government of Oregon, Business Impact Analysis, http://www.oregon.gov/DAS/EISPD/BCP/docs/Business_Impact_Analysis_Questionnaire.doc, pagina geconsulteerd op 17 november 2008 The National academies, Business Continuity and Disaster Recovery Planning References, http://www.nationalacademies.org, 17 november 2008 MARSH Nederland, Risicomanagement publieke organisatie, http://www.marsh.nl/sectorNL/overheid/MRC_Risicoanalyse.php , pagina geconsulteerd op 7 december 2008 Amelior Center for Excellence, Procesmanagement als pijler van uitmuntendheid, http://www.amelior.be/ndl/artikels/artikel.asp?c=4&sc=9&a=179&tc=1 pagina geconsulteerd op 7 december 2008 Government of Canada, Operational Security Standard - Business Continuity Planning (BCP) Program, http://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=12324 pagina geconsulteerd op 7 december 2008 FR Technologies, Business Continuity and Disaster Recovery, http://www.fr-tech.net/bcp-dr.php#tbl-of-contents pagina geconsulteerd op 16 april 2009 Homeland Security Europe, “Fail to prepare and prepare to fail”, http://www.homelandsecurityeu.com/currentissue/article.asp?art=271251&issue=219 pagina geconsulteerd op 16 april 2009 Wildinghe Consultancy, http://www.t-vw.nl/site2/doc_Soorten_Risicos.htm, site geconsulteerd op 16 april 2009 Academisch Medisch Centrum Amsterdam Kwaliteitsinstituut voor de Gezondheidszorg CBO, Draaiboek Bow-Ti, http://www.platformpatientveiligheid.nl/UserFiles/Draaiboek%20Bow-Tie%20methode%20versie%201.0.pdf, pagina geconsulteerd op 1 mei 2009 Business Continuity Planners, “Een ICT-benadering is vaak kostbaar en ineffectief Business continuity planning vraagt om bedrijfsbrede inzet” http://www.bcpi.eu/downloads/artikel_it_beheer_mei_2005.pdf, geconsulteerd op 1 mei 2009 Amsterdam Graduate Business School, Doctoraalscriptie t.b.v. opleiding Bedrijfseconomie, afdeling BIV –AO, http://dare.uva.nl/document/37031



Government of Alberta, http://www.aema.alberta.ca/se_business_continuity_templates.cfm, site geconsulteerd op 1 mei 2009 Pitney Bowes, Business Continuity Plan: table of contents, http://www.pb.com/bv70/en_us/extranet/contentfiles/editorials/downloads/ed_Business_Continuity_BCP_Table_of_Contents.pdf , pagina geconsulteerd op 31 maart 2009 Institute for Business & Home Safety, Business Continuity Forms, http://www.ibhs.org/business_protection/bus_cont_forms.asp , pagina geconsulteerd op 31 maart 2009 RIT Finance and Administration, RIT Business Impact Analysis, http://finweb.rit.edu/buscont/docs/bia_template_rit.doc , pagina geconsulteerd op 31 maart 2009 The Business Continuity Institute, www.thebci.org, UK. pagina geconsulteerd op 31 maart 2009 Cabinet Office of UK Government, www.ukresilience.gov.uk, UK. pagina geconsulteerd op 31 maart 2009 Business Continuity Management Academy, www.bcmacademy.be , België. pagina geconsulteerd op 31 maart 2009 Entretiens : Gesprek met Bart Van Herzele, Operational Risk Management bij Dexia, Business continuity & Crisismanagement, 9 april 2009. Gesprek met Els Goddro, Hoofd van de dienst Interne Inspectie, FOD Binnenlandse Zaken, 02 februari en 27 februari 2009. Gesprek met Eric Thonnard, Business Continuity Planning Manager bij Belgacom, Présentation de l’approche globale et de la méthodologie de Belgacom en matière de business continuity planning, 19 december 2007. Gesprek met Carolina Stevens, Departement Bestuurszaken, Vlaamse overheid, 7 mei 2009. Présentations et séminaires : BERNAERTS Philip, Interne Audit en ERM: een integratie, Universiteit Antwerpen Management School Expert Class Internal Auditing, Antwerpen, Academiejaar 2004-2005. DAMOISEAU Ronny, Risicoanalyse met betrekking tot BPR, BCM, interne Controle, FOD Budget & Begroting, Management Support, Brussel, 18 februari 2009. FAURE F., Présentation BCP, Sernoptès Conseil, Visite à la DG Centre de Crise, SPF Intérieur, Bruxelles, 10 december 2007. Business Continuity Management Congres, Kluwer, Edegem, 31 maart 2009.



Législation : Koninklijk Besluit betreffende de interne audit binnen de federale overheidsdiensten, Brussel, 2 oktober 2002 (BS 09/10/2002). Koninklijk Besluit betreffende het intern controlesysteem binnen de federale overheidsdienst, Brussel, 26 mei 2002 (BS 31/05/2002). Koninklijk Besluit betreffende het intern controlesysteem binnen sommige diensten aan de federale uitvoerende macht, Brussel, 17 augustus 2007 (BS 18/10/2007).

BUSINESS CONTINUITY MANAGEMENT · Business Continuity Management et définir un Business Continuity...

Documents

Transcript of BUSINESS CONTINUITY MANAGEMENT · Business Continuity Management et définir un Business Continuity...