8 étapes pour planifier votre réponse aux urgences et catastrophes
Qu’il s’agisse d’une catastrophe naturelle, telle qu’une tempête de verglas, ou encore d’un grave accident survenant dans une installation industrielle ou d’une attaque par rançongiciel, toute entreprise peut un jour devoir faire face à des événements imprévus susceptibles de perturber son fonctionnement.
Votre personnel pourrait être dans l’incapacité de se rendre au travail ou d’avoir accès à l’équipement, aux systèmes ou aux données. Les entreprises fournisseuses pourraient ne pas être en mesure de vous livrer le matériel nécessaire à la poursuite de vos activités, ou la demande pour vos services pourrait tout simplement chuter.
Les avantages clés d’un plan de continuité des affaires
Nul ne peut prédire l’avenir. Il est toutefois possible de s’y préparer en rédigeant un plan de continuité des affaires solide. En vous dotant d’un tel plan, vous démontrez à votre personnel, à vos parties prenantes et à votre clientèle que votre organisation a une attitude proactive. Vous améliorez du même coup l’efficacité globale de votre entreprise et aurez plus de facilité à attribuer les ressources financières, humaines et techniques appropriées pour assurer son fonctionnement continu en cas de grave perturbation de ses activités.
Voici 8 étapes fondamentales à garder présentes à l’esprit lorsque vous élaborez votre plan. Cliquez sur le lien de chaque étape pour obtenir davantage d’information ainsi que des gabarits utiles qui font partie de notre Modèle de plan de continuité des affaires.
Assignez à une équipe la responsabilité de la préparation aux situations d’urgence. Vous pouvez confier ce projet à quelques gestionnaires désignés ou encore à un comité existant.
Il est conseillé de confier à une seule personne la responsabilité de diriger le processus de planification à titre de «gestionnaire des urgences» et de s’assurer que cette personne a le pouvoir d’accomplir le travail nécessaire.
Tout comme les autres aspects du fonctionnement de l’entreprise, la planification des mesures d’urgence doit être fondée sur les éléments suivants:
- la compréhension des objectifs organisationnels;
- une bonne évaluation des risques et une analyse de leurs répercussions sur les activités;
- des approches créatives face aux défis;
- un processus de prise de décisions fiable.
Quels sont les principaux rôles et responsabilités de votre équipe de préparation aux urgences?
Planification et mise en œuvre
- Préparer un plan de continuité des affaires (PCA) et y inclure ou y ajouter un plan de reprise après sinistre (PRS) pour les TI et un plan d’intervention en cas d’incident (PII). Ces plans devraient comprendre des renseignements sur les situations qui déclenchent leur mise en application. Par exemple, le PRS est généralement activé si l’infrastructure (matérielle ou logicielle) des TI est touchée.
- Établir les niveaux d’alerte et en assurer la surveillance.
- Élaborer des programmes de formation et d’apprentissage réciproque.
- Identifier les principaux partenaires d’affaires (entreprises fournisseuses, clientèle, etc.) et déterminer si elles ou ils ont un PCA.
- Évaluer les répercussions financières éventuelles d’une situation d’urgence sur l’entreprise.
- Assurer un approvisionnement adéquat en fournitures (équipement de sécurité d’urgence, comme de l’équipement de protection individuelle ou, en cas de pandémie, des fournitures d’hygiène comme du désinfectant pour les mains, des produits de nettoyage, des masques et des dispositifs de protection).
- Le ou les membres de l’équipe locale de gestion de site mettent le plan en œuvre.
- Soumettre le plan à un essai.
Politiques, procédures et organisation
- Établir des politiques (rémunération et absences, procédures de retour au travail, télétravail, horaires de travail variables, restrictions concernant les déplacements, etc.).
- Définir la voie hiérarchique pour la mise en œuvre du plan.
- Établir des politiques de sécurité en cas de situation d’urgence en milieu de travail. Par exemple, en cas de pandémie, établir des politiques qui aideront à prévenir la propagation de la grippe sur les lieux de travail (en encourageant l’hygiène respiratoire et, en cas de toux, l’étiquette respiratoire et la mise à l’écart rapide des personnes présentant des symptômes de la grippe).
- Établir des politiques à l’intention du personnel directement touché par la situation d’urgence. Par exemple, en cas de pandémie, élaborer des politiques relatives aux membres du personnel qui ont été exposés à la maladie.
Communications
- Entretenir de bonnes communications et gérer les relations avec le personnel de tous les niveaux.
- Informer la haute direction.
- Amener les gens à bien comprendre l’importance du PCA (ainsi que du PRS et du PII) dans toute l’organisation.
- Prendre contact avec les organismes gouvernementaux locaux tels que Santé Canada, Sécurité publique Canada et le Commissariat à la protection de la vie privée du Canada (dans le dernier cas, pour signaler les atteintes aux données personnelles).
- Préparer et diffuser de l’information exacte à tout le personnel, en temps opportun.
- Sensibiliser le personnel aux situations d’urgence possibles. Par exemple, en cas de pandémie, donner de l’information sur les signes et les symptômes de la grippe, les modes de transmission, la protection personnelle et familiale et les stratégies d’intervention.
- Évaluer l’utilisation de diverses technologies pour entretenir la communication.
- Aider à la préparation de la formation à ce sujet.
- Demander aux gestionnaires de site locaux de mettre le plan en œuvre.
Utilisez le gabarit «Équipe de la planification de la continuité des opérations» du Modèle de plan de continuité des affaires pour identifier clairement les membres de l’équipe ainsi que la coordonnatrice ou le coordonnateur qui créeront votre PCA et pour conserver leurs coordonnées.
Pendant une urgence, votre entreprise pourrait avoir à composer avec une perturbation de ses activités causée par les facteurs suivants:
- fort taux d’absentéisme;
- manque de fournitures et de matériaux;
- perturbation de l’accès aux données, aux systèmes et à l’équipement;
- interruption de services tels que l’alimentation électrique, les transports ou les communications.
Objectif du processus de planification de la continuité des affaires
Déterminer comment votre entreprise maintiendra ses fonctions et services essentiels en cas d’urgence.
Ce que sont les services essentiels
Il s’agit des services:
- dont l’interruption a des répercussions sur la santé et la sécurité des gens;
- qui sont susceptibles de paralyser une unité d’affaires si certaines activités ne sont pas réalisées dans un délai établi;
- qui, dans certaines entreprises, doivent être exécutés afin de satisfaire certaines exigences d’ordre réglementaire;
- dont l’interruption peut produire des répercussions immédiates ou survenant sur une certaine période.
Cela signifie que votre entreprise pourrait devoir modifier, réduire, voire éliminer certains services ou fonctions pour pouvoir composer avec les répercussions d’une situation d’urgence. Ces changements peuvent avoir un impact sur l’ensemble de l’entreprise, ou n’affecter que certaines unités d’affaires.
Lorsque vous lancerez des discussions au sujet des fonctions et services essentiels, vous vous rendrez peut-être compte que vous disposez de ressources que vous pouvez mobiliser pour extraire de l’information de votre organisation, comme des plans en cas de pandémie.
Comment déterminer et prioriser les services essentiels
- Remplissez le gabarit «Classement des services/fonctions essentiels» du Modèle de plan de continuité des affaires.
- Celui-ci vous aidera à créer votre liste de services essentiels par service ou par unité d’affaires. Vous devrez ensuite coter l’incidence négative qu’aurait leur paralysie sur divers domaines clés, comme les finances, le personnel, la clientèle et la technologie.
- Priorisez et classez les fonctions et services essentiels par niveau d’importance en utilisant le gabarit «Recensement des fonctions et services essentiels par niveau d’importance» du Modèle de plan de continuité des affaires.
- Attribuez à chaque service essentiel un «niveau d’importance» (priorité A, B ou C). Cotez l’incidence sur chaque service d’éléments comme l’absentéisme, la non-disponibilité des fournitures essentielles ou la perturbation de systèmes essentiels.
- Priorité A: Fonctions et services essentiels.
- Priorité B: Services pouvant être suspendus pour une courte période (un mois, par exemple).
- Priorité C: Services pouvant être suspendus durant une longue période. Ces cas devront peut-être être examinés par la direction de l’entreprise.
Dans le cadre de votre processus de planification de la continuité des activités, vous devrez établir le nombre de membres du personnel ainsi que les compétences nécessaires pour assurer et maintenir l’exécution des fonctions et services essentiels.
Utilisez le gabarit «Recensement des fonctions et services essentiels par niveau d’importance» du Modèle de plan de continuité des affaires en vue de consigner l’information nécessaire à l’élaboration du plan.
Essayez de déterminer les exigences particulières à satisfaire pour que les fonctions et services essentiels puissent être exécutés (obtention d’un permis d’opératrice ou opérateur de machinerie lourde, etc.).
Il peut également être recommandé de préparer une liste de tâches spéciales et de compétences nécessaires en cas d’urgence et de les attribuer au personnel approprié, comme l’équipe de gestion de crise, le soutien aux membres du personnel, les services de secours en TI, l’établissement du périmètre de sécurité, etc.
Sites supplémentaires pour en savoir plus:
Discuter des conséquences potentielles d’une réduction, d’une modification ou de l’élimination de services ou de fonctions. Documentez les points suivants:
- tous les problèmes que l’on peut repérer;
- des plans d’action pour chaque problème;
- les responsabilités des personnes désignées pour chaque fonction ou service essentiel.
Stratégies et plans d’action
Utilisez le gabarit «Plan d’action pour le maintien d’un service essentiel» du Modèle de plan de continuité des affaires pour rédiger des plans concernant chaque fonction ou service essentiel. Ceux-ci devraient comprendre:
- une description du service ou de la fonction;
- les noms des personnes chargées de mettre en œuvre le plan d’action;
- les noms des personnes remplaçantes;
- la description des impacts sur l’entreprise;
- un plan de reprise après sinistre qui comprend des renseignements clés comme votre plan de communication des notifications, la réinstallation du personnel, le recours à d’autres ressources ou fournisseuses et fournisseurs, un inventaire du matériel, des logiciels et des données technologiques, une liste du personnel technique; votre plan de sauvegarde des données et une liste de priorités pour la reprise en fonction de l’information préparée au cours des étapes précédentes (comme votre analyse des impacts sur l’entreprise);
- les besoins en ressources.
Personnes-ressources principales
Utilisez les gabarits fournis pour constituer des listes de personnes-ressources en indiquant leurs coordonnées.
Clientèle
Pour atténuer les pertes, il importe de prendre l’initiative de communiquer avec la clientèle. Utilisez le gabarit «La clientèle la plus importante» du Modèle de plan de continuité des affaires pour dresser la liste des clientes et clients qui devraient être notifiés ou qui verraient d’un mauvais œil le fait que vous ne les informiez pas.
Les renseignements suivants doivent figurer sur votre liste:
- Produit ou service fourni: Utilisez les commentaires pour préciser la raison pour laquelle il faut communiquer avec cette cliente ou ce client en cas d’urgence, ainsi que le produit ou service fourni.
- Nom de la personne-ressource: Pour quelques clientes et clients, il n’y aura peut-être pas de nom à inscrire. Le cas échéant, vous pourriez inscrire «représentante ou représentant de service» ou «service à la clientèle».
- Numéros de téléphone et courriel de la personne-ressource: Inscrivez tous les moyens possibles de joindre la cliente ou le client, y compris les numéros de téléphone cellulaire et de téléphone fixe, l’adresse de courriel et les coordonnées sur LinkedIn ou le site Web de l’entreprise.
- Autres noms et numéros de téléphone: Dans la mesure du possible, indiquez d’autres contact que la personne-ressource principale.
- Service 24 heures sur 24: Si votre cliente ou client n’offre pas de service jour et nuit, discutez de la façon de communiquer en dehors des heures de travail. Pour la ou le rassurer, promettez-lui que cette information ne sera transmise qu’à très peu de gens.
- Commentaires: Incluez tout renseignement important, y compris la raison pour laquelle il faut communiquer avec cette cliente ou ce client en cas d’incident, et les directives dont la cliente ou le client aurait besoin.
Principales entreprises fournisseuses et sous-traitantes
Utilisez le gabarit « Fournisseuses et fournisseurs clés » du Modèle de plan de continuité des affaires pour consigner les renseignements essentiels sur ces fournisseuses et fournisseurs. L’information doit être identique à celle fournie pour la clientèle principale, ci-dessus.
Partenaires d’affaires et services auxiliaires
Cette section concerne les partenaires importants qui ne relèvent pas des catégories précédentes, mais qu’il serait de mise d’appeler en cas d’urgence:
- les partenaires d’affaires (à l’interne et à l’externe) qui ne sont ni des fournisseuses ou fournisseurs ni des clientes ou clients. Il s’agit notamment d’unités d’affaires internes qui se fient à votre entreprise pour obtenir de l’information ou vos services de gestion, ou qui fourniront un soutien à la reprise de vos activités. Par exemple, le service d’assurance de l’entreprise, la sécurité interne, le service de gestion des sites, les relations publiques, les entités juridiques, la cybersécurité et les fournisseuses et fournisseurs de services.
- les services auxiliaires, qui comprennent les organismes d’intervention en cas d’urgence tels que les services de police ou d’incendie, les services publics et la Croix-Rouge canadienne. (Si le service 911 est disponible dans votre communauté, il est important de l’indiquer.)
Utilisez le gabarit «Principaux partenaires d’affaires et fournisseuses et fournisseurs de soutien» du Modèle de plan de continuité des affaires pour dresser la liste des données essentielles sur ces autres partenaires. L’information doit être identique à celle fournie pour la clientèle principale, ci-dessus.
Passez en revue votre plan de continuité des affaires pour vous assurer que toutes les questions sont abordées et pour relever les domaines où vous pourriez avoir besoin d’un complément de documentation.
La Liste de vérification pour la planification de la continuité des opérations a été conçue pour vous assurer d’avoir couvert la plupart des aspects du plan, notamment:
- l’impact sur votre entreprise, votre personnel et votre clientèle;
- les politiques à mettre en œuvre en situation d’urgence;
- les ressources à affecter pour protéger le personnel et la clientèle;
- les communications avec le personnel;
- la coordination avec d’autres organisations et l’approche communautaire.
Impact d’une urgence sur votre entreprise
- Avez-vous identifié une coordonnatrice ou un coordonnateur – ou une équipe – en cas d’urgence et clairement défini les rôles et les responsabilités? Devez-vous faire appel à des représentantes et représentants du personnel?
- Avez-vous identifié les membres du personnel et autres intrants essentiels nécessaires au maintien des opérations de l’entreprise en cas d’urgence?
- Avez-vous formé et préparé de la main-d’œuvre auxiliaire?
- Avez-vous élaboré des scénarios pour les cas où la demande pour vos produits ou services augmenterait ou diminuerait en cas d’urgence?
- Quels sont les éventuels effets d’une urgence sur la situation financière de l’entreprise ainsi que sur différentes gammes de produits et différents sites de production, systèmes technologiques ou données?
- Quels sont les éventuels effets d’une urgence sur les déplacements professionnels à l’intérieur du pays et à l’étranger?
- Avez-vous établi l’incidence financière d’une panne ou d’une interruption de service inattendue (par ex., défaillance matérielle ou cyberattaque) sur vos systèmes technologiques ou vos données?
- Avez-vous accès à des renseignements fiables et à jour sur les situations d’urgence auprès de la direction locale de la santé publique, des services d’urgence et des autres sources? Les liens vers cette information fonctionnent-ils?
- Avez-vous élaboré un plan de communication des urgences?
- Quels sont les mécanismes en place pour réviser et mettre à jour le plan régulièrement afin de s’assurer que l’information est à jour?
- Avez-vous testé votre plan?
Impact d’une urgence sur votre personnel et votre clientèle
- Avez-vous prévu les absences de membres du personnel pendant une urgence?
- Avez-vous mis en place des directives afin de réduire les contacts personnels entre le personnel et la clientèle en cas de pandémie?
- Encouragez-vous et contrôlez-vous la vaccination annuelle contre la grippe chez les membres du personnel?
- Avez-vous évalué l’accès des membres du personnel aux services de soins de santé ainsi que leur disponibilité en cas d’urgence? Ces services doivent-ils être améliorés?
- Avez-vous évalué l’accès des membres du personnel aux services de santé mentale et aux services sociaux pendant une urgence?
- Avez-vous identifié les membres du personnel et les clientes et clients principaux ayant des besoins particuliers? Ces besoins sont-ils intégrés à votre PCA?
Élaboration des politiques à mettre en œuvre en cas d’urgence
- Avez-vous élaboré des politiques d’urgence pour la rémunération du personnel et les congés de maladie?
- Avez-vous élaboré des politiques afin d’accorder de la souplesse quant au télétravail?
- Avez-vous élaboré des politiques afin de prévenir la propagation d’une maladie sur le lieu de travail?
- Avez-vous élaboré des politiques pour les membres du personnel qui ont été exposés à la contamination, sont soupçonnés d’être malades ou tombent malades sur leur lieu de travail?
- Avez-vous élaboré des politiques pour limiter les déplacements dans les régions touchées, évacuer les membres du personnel qui travaillent dans une région touchée – ou à proximité – en cas d’urgence et pour offrir des conseils aux membres du personnel qui rentrent de régions touchées?
- Avez-vous déterminé les pouvoirs, les déclencheurs et les procédures pour l’activation et l’arrêt du plan d’intervention de l’entreprise, la modification des activités de l’entreprise et la communication des renseignements clés aux membres du personnel?
- Votre PCA comprend-il un plan de reprise après sinistre pour les TI comprenant un inventaire du matériel, des applications logicielles et des données, des sites de sauvegarde, du personnel des TI, un flux de travail et les priorités pour la récupération?
- Votre PCA comprend-il un plan d’intervention en cas d’incident pour permettre à votre organisation de réagir rapidement et efficacement en cas de cyberattaque ou de catastrophe naturelle?
Affectation de ressources à la protection de votre personnel et de votre clientèle en cas d’urgence
- Fournissez-vous suffisamment de matériel d’urgence et est-il accessible?
- Devez-vous améliorer les infrastructures de communication et de technologie de l’information afin de permettre le télétravail pour le personnel et l’accès à distance pour la clientèle?
- Est-ce que des consultations et des conseils médicaux seront disponibles pour les interventions d’urgence?
Communication avec le personnel
- Avez-vous élaboré et diffusé des programmes et des documents communiquant les données fondamentales relatives à une urgence?
- Avez-vous prévu la gestion des craintes et des inquiétudes que pourraient ressentir les membres du personnel ou des façons d’atténuer les éventuelles rumeurs et la désinformation potentielle?
- Avez-vous vérifié que les communications sont culturellement et linguistiquement appropriées?
- Avez-vous communiqué aux membres du personnel votre plan de préparation et d’intervention en cas d’urgence?
- Avez-vous fourni des renseignements sur les soins à domicile pour les membres du personnel malades et les membres de leur famille?
- Avez-vous une plateforme pour communiquer avec les membres du personnel, les vendeuses et vendeurs, les fournisseuses et fournisseurs et la clientèle, sur le lieu de travail et à l’extérieur, de façon pertinente et en temps opportun? Avez-vous inclus des redondances dans le système de contacts d’urgence, notamment en cas de perturbation de vos systèmes de technologie de l’information et de vos données?
- Avez-vous identifié les sources communautaires pour obtenir des renseignements opportuns et exacts sur les situations d’urgence? Des ressources pour obtenir de l’équipement de sécurité et prendre des mesures de prévention?
- Avez-vous établi des politiques sur la sécurité informatique et l’utilisation d’Internet à l’intention du personnel?
Coordination des interventions avec celles d’organisations externes et aide à la communauté
- Avez-vous consulté les compagnies d’assurance, les prestataires de régimes de soins médicaux et les grands centres locaux de soins médicaux afin de communiquer vos plans en cas d’urgence, et de comprendre leurs capacités et leurs plans?
- Avez-vous consulté vos fournisseurs de services de gestion des TI et d’autres partenaires technologiques pour discuter de votre plan de reprise après sinistre et de votre plan d’intervention en cas d’incident, et de comprendre quelles sont leurs capacités?
- Avez-vous consulté les organismes publics fédéraux, provinciaux et locaux ou communiqué avec les intervenantes et intervenants en cas d’urgence?
- Avez-vous demandé aux organismes publics locaux ou provinciaux ou aux intervenantes et intervenants en cas d’urgence comment votre entreprise pourrait venir en aide à la communauté en cas de catastrophe?
- Avez-vous partagé les pratiques exemplaires avec les autres entreprises de votre communauté, des chambres de commerce et des associations pour améliorer les efforts d’intervention au sein de la communauté?
- Avez-vous établi un plan pour communiquer avec votre clientèle, le public et vos partenaires en cas d’atteinte à la sécurité ou de perturbation de vos technologies de l’information?
Vous devriez présenter une ébauche du PCA (y compris le plan de reprise après sinistre pour les TI et le plan d’intervention en cas d’incident) à votre équipe de préparation aux urgences aux fins d’examen ou de commentaires. Étant donné que le comité comprendra l’impact global d’une urgence sur l’entreprise, il devrait examiner le plan afin de s’assurer qu’il:
- est cohérent pour l’ensemble des unités d’affaires et des services;
- traite de tous les éléments essentiels.
De plus, le comité directeur de l’entreprise surveille la progression de l’initiative.
Agissez de manière proactive et mettez vos plans à l’épreuve en procédant à des séries d’essais. Cela vous aidera à cerner les lacunes ou les faiblesses potentielles. Il est également important de les mettre à jour régulièrement. Par exemple, vous devrez vous assurer que votre plan est à jour en ce qui concerne les contacts avec le personnel et les fournisseuses et fournisseurs ainsi que les systèmes technologiques.
BDC est là pour vous aider
Nos expertes et experts en services-conseils peuvent vous aider à élaborer et à mettre en œuvre un plan de continuité des affaires pour veiller à ce que votre entreprise demeure résiliente pendant toutes les crises. Si vous souhaitez en savoir plus, communiquez avec nous.