Vous êtes sur la page 1sur 24

 

 
Comment êtes‐
vous préparés? 
 
Boîte à Outils du 
Business 
Continuity 
Management 
 
 
 
    Version 1.1 


 
 

Contents                    Pg. 
Qu’est‐ce que le Business Continuity Management (BCM)?           3 
À propos de la boîte à outils                  4 
1.  Politique et Management du Programme               5 
2. Analyser – Comprendre l’Organisation              6‐10 
3. Conception – Détermination de la Stratégie BCM            11‐13 
4. Mise en oeuvre – Dévéloppement et Mise en place d’une reponse BCM      14 
5. Validation – Excercices, maintien et revision                16 
6. Intégrer le BCM dans la culture de l’organisation            17 
 
Annex A– Glossaire des termes                  18 
Annex B– Pack d’Urgence                  19 
Annex C– Remerciement et vos Commentaires                              19 
           
 


 
 

Qu'est-ce que la gestion de la continuité des


activités? 
 
Le  Business  Continuity  Management  (BCM)  consiste  à  identifier  les  parties  de  votre 
organisation  que  vous  ne  pouvez  pas  vous  permettre  de  perdre  ‐  telles  que  les  informations, 
les stocks, les locaux, le personnel ‐ et à planifier la façon de les maintenir en cas incident. 
 
Tout  incident,  grand  ou  petit,  qu'il  soit  naturel,  accidentel  ou  délibéré,  peut  perturber 
gravement  votre  organisation.  Mais  si  vous  planifiez  maintenant,  plutôt  que  d'attendre  que 
cela se produise, vous serez 
être en mesure de reprendre les affaires le plus rapidement possible. 
 
Les  retards  peuvent  signifier  que  vous  perdez  de  précieuses  affaires  au  profit  de  vos 
concurrents  ou  que  vos  clients  perdent  confiance  en  vous.  BCM  est  plus  simple  que  vous  ne  le 
pensez. Pour implémenter BCM, vous devrez 
doivent considérer les questions suivantes: 
 
 Quels sont les produits et services clés de votre organisation? 
 Quelles  sont  les  activités  et  les  ressources  les  plus  sensibles  au  facteur  temps 
nécessaires pour les réaliser? 
 Quels sont les risques pour ces activités urgentes? 
 Comment  allez‐vous  maintenir  ces  activités  en  cas  d'incident  (perte  d'accès  aux  locaux, 
perte de services publics, etc.)? 
 
BCM  fait  partie  intégrante  de  nombreuses  activités  de  Jerseys  et  joue  un  rôle  important  en 
aidant  l'organisation  locale  à  préparer  adéquatement  la  gestion  des  risques,  qu'il  s'agisse  de 
défaillances  du  système  interne  ou  d'urgences  externes  telles  que  des  conditions 
météorologiques extrêmes, des inondations, le terrorisme ou des maladies infectieuses. 
 


 
 

 
 

À propos de la boîte à outils


 

La boîte à outils vise à vous aider à mettre la théorie en pratique en vous guidant à travers les étapes 
que vous devrez suivre pour mettre en œuvre le BCM dans votre organisation. 

Il s'agit d'un guide étape par étape qui vous guide à travers les six éléments qui composent le cycle de 
vie BCM, tels que définis dans les Business Continuity Institutes Good Practice Guidelines 2013 et 
illustrés dans le diagramme ci‐contre. 

Bien que la boîte à outils soit applicable à toutes les tailles d'organisations dans tous les secteurs, elle a 
été développée spécifiquement pour les petites et moyennes organisations du secteur commercial et 
bénévole qui sont relativement nouvelles pour BCM. 

La boîte à outils a été spécialement conçue pour être utilisée comme un outil électronique, mais peut 
être imprimée si vous le souhaitez.   


 
 

1. Gestion des politiques et des programmes


Une gestion efficace du programme garantira que la capacité BCM est établie et maintenue au sein 
de votre organisation. Le processus se déroule en trois étapes: 

1. Attribuer des responsabilités. 

2. Etablir et mettre en œuvre le BCM dans l'organisation; et 

3. gestion continue. 

Attribuer des responsabilités 

Il est essentiel que BCM bénéficie du plein soutien de la Haute Direction et cela devrait être obtenu 
dès le départ. Sans ce soutien, il sera pratiquement impossible de susciter un sentiment de valeur et 
d'appropriation parmi le reste de l’Entreprise. Il est également important qu'un individu ou une 
équipe au sein de votre Organisation soit responsable de la gestion et de la coordination de la 
capabilité du BCM. Pour ces raisons, il est recommandé que la Direction: 

 fasse un choix ou nomme une personne au niveau du Conseil d'Administration pour être 
responsable du BCM; et 

 nomme une ou plusieurs personnes chargées de faire avancer le programme. 

Établir et mettre en œuvre le BCM dans l'organisation 

L'une des premières tâches devrait être de convenir de la politique du BCM de l'Organisation. Cette 
responsabilité incomberait normalement au Représentant du Conseil d'Administration, en 
collaboration avec d'autres, le cas échéant, et devrait indiquer: 

 Le descriptif, le buts et objectifs du BCM dans l'Organisation; et 

 les activités ou «programme» qui seront nécessaires pour les réaliser. 

La politique devrait appartenir au Conseil d'Administration et être régulièrement revue. Une fois 
que la politique a été élaborée et approuvée, il appartiendra à la personne ou à l'équipe responsable 
de BCM de veiller à la mise en œuvre de la politique. 

Cela impliquera: 

 de communiquer le programme aux parties Prenantes Internes. 

 d’organiser une formation appropriée pour le personnel. 

 De s'assurer que les activités sont terminées; et 

 De faire un exercice initial des dispositions BCM de l'organisation. 

 

 
 

Gestion continue 
Il y a plusieurs activités qui devraient être entreprises sur une base continuité pour s'assurer que le 
BCM continue d'être ancré dans l'organisation et reste à jour. 

La responsabilité de veiller à ce que cela se produise devrait incomber à la personne ou à l'équipe 
chargée de BCM. Cela impliquera: 

 S’assurer que les plans de continuité des activités de l'organisation, 

 Et les documents connexes, sont régulièrement examinés et mis à jour. 

 Continuer à promouvoir la continuité des activités dans l'ensemble de l'organisation. 

 Administrer le programme d'exercices; et 

 Maintenir le programme BCM à jour grâce aux enseignements tirés et aux bonnes pratiques. 

Les pages suivantes examineront ces activités plus en détail. 
 

4. Analyse - Comprendre l'organisation


Il s'agit d'un élément clé de BCM et du travail de base à partir duquel l'ensemble du processus est 
construit. 
Entreprendre une analyse d'impact sur les entreprises et une évaluation des risques vous permettra de 
mieux comprendre votre organisation et de renforcer vos capacités BCM. 
 
Analyse de l'impact sur les entreprises (BIA) 
Un BIA identifie et documente vos produits et services clés ; les activités sensibles au facteur temps 
nécessaires à leur réalisation ; l'impact qu'une interruption de ces activités aurait sur votre organisation 
; et les ressources nécessaires pour reprendre les activités. 
Pour entreprendre une ZAC, vous devez suivre les étapes décrites ci‐dessous : 
 
Étape 1 ‐ Énumérez les principaux produits et services fournis par votre organisation qui, s'ils sont 
interrompus pour une raison quelconque, auront le plus grand impact. Pour chaque produit ou service 
identifié, vous devez considérer quel serait l'impact d'une perturbation à la fois en termes de capacité 
de votre organisation à atteindre ses buts et objectifs, et l'impact sur ses parties prenantes. 
 
Vous devez ensuite documenter l'impact sur : 
• 24 premières heures 
• 24 ‐ 48 heures 
• Jusqu'à une semaine 
• Jusqu'à deux semaines 
  
Étape 2 ‐ Vous devriez maintenant être en mesure d'identifier la durée maximale pendant laquelle vous 
pouvez gérer une interruption de chacun de vos produits et services clés sans que cela menace la 
viabilité de votre organisation, que ce soit 


 
 
Financièrement ou par une perte de réputation (on parle souvent de période de perturbation maximale 
tolérable ou MTPD). 
 
Étape 3 ‐ Vous devez maintenant définir le moment auquel chacun de vos produits et services clés 
devrait être repris en cas de perturbation (on parle souvent d'objectif de temps de récupération ou 
RTO). 
 
Pour déterminer le RTO, vous devez : 
Considérez la confiance que vous avez dans le MTPD et si, à la réflexion, il était trop optimiste; et 
Assurez‐vous que vous avez intégré une marge pour les difficultés imprévues liées à la récupération. 
 
Étape 4 ‐ Vous devez maintenant documenter les activités urgentes qui sont nécessaires pour fournir 
vos produits et services clés. 
  
Étape 5 ‐ Vous devez maintenant quantifier les ressources nécessaires au fil du temps pour maintenir les 
activités les plus sensibles au temps à un niveau acceptable et pour répondre à l'OTR identifié à l'étape 3 
ci‐dessus et les documenter. 
 
Ceux‐ci peuvent inclure: 
 
 personnes; 
 locaux; 
 technologie; 
 l'information; 
 fournitures et partenaires 
 
Le tableau ci‐dessous présente certaines des questions que vous voudrez peut‐être prendre en 
considération lors de la quantification des ressources, vous devrez maintenir vos activités urgentes mais 
ne devrait pas être une liste exhaustive 
 
 
 


 
 

PERSONNEL   
 Quel est le nombre optimal de personnel dont  LA TECHNOLOGIE 
vous avez besoin pour mener à bien vos   Quelle informatique est indispensable pour mener à 
activités les plus urgentes ?  bien vos activités les plus urgentes ? 
 Quel est le niveau minimum de personnel avec   Quels systèmes et moyens de communication voix et 
lequel vous pourriez fournir une sorte de  données sont nécessaires pour mener à bien ces 
service ?  activités ? 
 Quelles compétences / niveau d'expertise sont   
requis pour entreprendre ces activités ?  INFORMATION 
   Quelles informations sont essentielles pour mener à 
LOCAUX  bien vos activités les plus urgentes ? 
 À partir de quels emplacements votre   Comment ces informations sont‐elles stockées ? 
organisation exerce‐t‐elle la plupart de ses   
activités ?  FOURNISSEURS ET PARTENAIRES 
 De quels locaux alternatifs disposez‐vous ?   Quels sont vos fournisseurs / partenaires prioritaires 
 Quelles installations, machines et autres  dont vous dépendez pour entreprendre vos activités 
installations sont essentielles pour mener à bien  les plus urgentes ? 
ces activités   Offrez‐vous des services clés à une autre organisation, 
à qui et pourquoi ? 
 Avez‐vous des accords réciproques avec une autre 
organisation. 

Il convient de noter que les ressources nécessaires pour reprendre une activité après un incident ne 
seront pas nécessairement les mêmes que pendant les opérations normales, car vous pourriez avoir 
besoin de ressources supplémentaires pour effacer les arriérés. 

 
L'approche  que  vous  adopterez  pour  entreprendre  un  BIA  (Business  Impact  Analysis) 
dépendra de la taille et du type d'organisation. 
 
Par  exemple,  dans  certaines  organisations,  la  personne  ou  l'équipe  désignée  pour  gérer  et 
coordonner  BCM  peut  très  bien  avoir  une  vue  d'ensemble  suffisante  de  la  livraison  de  bout  en 
bout  de  vos  produits  et  services  clés  pour  entreprendre  cet  exercice.  Considérant  que,  dans 
une  organisation  plus  grande,  il  sera  nécessaire  d'impliquer  un  éventail  de  personnes  ayant 
une connaissance détaillée des activités spécifiques de l'organisation. 
 
S'il  est  nécessaire,  pour  consulter  l'ensemble  de  l'organisation,  il  existe  trois  mécanismes 
généralement reconnus pour ce faire, chacun ayant ses points forts. 
 
Ateliers  ‐  ceux‐ci  fournissent  des  résultats  rapides  et  une  opportunité  pour  un  engagement 
pratique 
 
Questionnaires  ‐  ils  fournissent  de  grandes  quantités  de  données,  mais  la  qualité  de 
l'information peut être très discutable si elle n'est pas remplie avec cohérence 
 

 
 
Entretiens  ‐  ceux‐ci  peuvent  fournir  de  très  bonnes  informations  mais  peuvent  prendre 
beaucoup de temps et les résultats peuvent varier en détail et en format 
 
L'évaluation des risques 
 
Dans  le  contexte  de  BCM,  une  évaluation  des  risques  examine  la  probabilité  et  l'impact  d'une 
variété  de  risques  susceptibles  de  provoquer  une  interruption  d'activité.  En  les  évaluant,  vous 
pourrez hiérarchiser vos activités de réduction des risques. 
 
Vous  devez  concentrer  votre  évaluation  des  risques  sur  les  activités  les  plus  urgentes  et  les 
ressources de soutien identifiées à l'étape du BIA. 
 
Pour cette raison, une évaluation des risques ne peut avoir lieu qu'une fois le BIA terminé. 
 
Pour  entreprendre  une  évaluation  des  risques,  vous  devez  suivre  les  étapes  décrites  ci‐
dessous : 
 
Étape  1  ‐  Identifiez  et  documentez  le  risque  pour  votre  organisation.  Ceux‐ci  pourraient 
inclure : 
 
 Perte de personnel 
 Perte de systèmes (informatique et télécommunications) 
 Perte de services publics (eau, gaz ou électricité) 
 Perte ou accès aux locaux 
 Perte de fournisseurs clés 
 Perturbation du transport 
 
Des informations sur certains de ces défis génériques sont disponibles à l'adresse suivante: 
 
http://www.gov.je/StayingSafe/EmergencyPlanning/Pages /index.aspx 
 
 
Étape 2 ‐ Énumérez la probabilité que le risque se produise. 
Étape  3  ‐  Énumérez  les  dispositions  que  vous  avez  actuellement  en  place  pour  prévenir  ou  réduire  la 
probabilité que le risque se produise. 
 
Étape 4 ‐ Énumérez les dispositions que vous pourriez mettre en place pour prévenir ou réduire le risque 
pour votre organisation. 
 
Étape 5 ‐ En utilisant les informations ci‐dessus, vous devez maintenant attribuer un score de probabilité 
à chaque risque. 
 
Étape 6 ‐ Utilisation de la matrice des risques de la fig. 2 tracer la probabilité identifiée à l'étape 5 par 
rapport à l'impact tel qu'identifié précédemment dans le BIA. 
 
 


 
 

Fig ‐ 2 

 
 
 
Étape 7 ‐ Vous serez désormais en mesure de classer les risques et de prendre une décision éclairée sur 
les mesures à prendre. Les options sont les suivantes : 
 
Traiter ‐ utiliser le BCM pour réduire les perturbations en garantissant que l'activité se poursuit ou est 
rétablie à un niveau minimum acceptable (RTO) et un délai stipulé dans le BIA 
 
Tolérer ‐ vous pouvez décider d'accepter le risque, car le coût de la mise en œuvre de toute stratégie de 
réduction des risques l'emporte sur les avantages. 
 
Transfert ‐ pour certains risques, la meilleure réponse peut être de les transférer. Cela peut être fait par 
une assurance conventionnelle ou des accords contractuels, ou cela peut être fait en payant un tiers pour 
prendre le risque d'une autre manière. Cette option est particulièrement bonne pour atténuer les risques 
financiers ou les risques sur les actifs. 
 
Mettre  fin  ‐  dans  certaines  circonstances,  il  peut  être  approprié  de  modifier,  suspendre  ou  résilier  le 
service, le produit, l'activité, la fonction ou le processus. Cette option ne doit être envisagée que lorsqu'il 
n'y a pas de conflit avec les objectifs de l'organisation, la conformité statutaire et les attentes des parties 
prenantes.  Cette  approche  est  plus  susceptible  d'être  envisagée  lorsqu'un  service,  un  produit,  une 
activité, une fonction ou un processus a une durée de vie limitée. 
 
Dans  de  nombreux  cas,  une  combinaison  de  BCM  et  d'assurance  donnera  à  votre  organisation  les 
meilleures chances de récupérer rapidement. Cette opinion est soutenue par la British Insurance Brokers 
’Association qui déclare : 
 

http://www.biba.org.uk/BusinessResilience.aspx 
 
 
Données pour «comprendre l'organisation» 
10 
 
 
Les documents suivants devraient être produits et signés par la Haute Direction dans ce processus : 
 

Analyse d'impact sur les affaires détaillant : 
 Les produits et services clés de votre organisation, les activités urgentes et les 
ressources de support ; 
 La durée maximale pendant laquelle vous pouvez gérer une interruption de chaque 
produit / service clé ; et 
 Les ressources nécessaires pour reprendre les produits et services clés. 
 
Évaluation des risques détaillant : 
 Les risques qui pourraient survenir pour les activités les plus urgentes et les 
ressources de soutien qui auraient un impact sur la capacité de votre organisation à 
fournir ses produits et services clés. 

11 
 
 

Conception - Détermination de la stratégie BCM


Cette  étape  du  processus  BCM  consiste  à  identifier  les  mesures  que  vous  pouvez  prendre 
pour  maintenir  les  activités  les  plus  urgentes  qui  sous‐tendent  la  livraison  des  produits  et 
services de votre organisation. 

Après  avoir  déterminé  le  RTO  pour  chaque  activité  sensible  au  temps,  vous  devez  maintenant 
développer une stratégie pour y répondre. Cela implique 

Prendre  les  mesures  appropriées  pour  atténuer  la  perte  des  ressources  que  vous  avez 
identifiées à l'étape 5 de l'étape « comprendre l’organisation ». 

Les  tableaux  ci‐dessous  fournissent  certaines  des  tactiques  que  vous  pourriez  adopter  pour 
protéger vos ressources, mais ne devraient pas être une liste exhaustive. 

PERSONNEL  LOCAUX 
 Inventaire des compétences du personnel non   Réinstallation du personnel dans d'autres 
utilisées dans leurs fonctions existantes ‐ pour  logements appartenant à votre 
permettre le redéploiement  organisation, tels que des centres de 
 Cartographie des processus et documentation  formation 
pour permettre au personnel d'assumer des   Déplacement du personnel effectuant des 
rôles avec lesquels il n'est pas familier  processus commerciaux moins urgents 
 Formation multi‐compétences de chaque  avec du personnel effectuant une activité 
individu  prioritaire. Lorsque vous utilisez cette 
 Formation croisée des compétences chez un  option, vous devez veiller à ce que les 
certain nombre de personnes  arriérés de travaux moins urgents ne 
 Planification de succession  deviennent pas ingérables. 
 Utilisation d'un support tiers, soutenu par des   Travail à distance ‐ cela peut être du travail 
accords contractuels  à domicile ou à partir d'autres endroits 
 La séparation géographique des individus ou   Utiliser les locaux fournis par d'autres 
des groupes ayant des compétences de base  organisations, y compris ceux fournis par 
peut réduire la probabilité de perdre tous  un tiers spécialiste 
ceux qui sont capables d'exercer un rôle   Sources alternatives d'installations, de 
spécifique  machines et d'autres équipements 

12 
 
 

LA TECHNOLOGIE  FOURNISSEURS ET PARTENAIRES 
 Maintenir la même technologie à différents   Stockage de fournitures supplémentaires à un 
endroits qui ne seront pas affectés par la même  autre endroit 
interruption des activités   Double ou multi‐sources de matériaux 
 Tenir des équipements plus anciens comme   Identification de fournisseurs alternatifs 
remplacement d'urgence ou pièces de rechange   Encourager ou obliger les fournisseurs / 
  partenaires à avoir une capacité de continuité 
INFORMATION  des activités validée 
 Assurez‐vous que les données sont   Clauses pénales importantes sur les marchés de 
sauvegardées et conservées hors site  fournitures 
 La documentation essentielle est stockée en   
toute sécurité (par exemple, coffre‐fort  LES PARTIES PRENANTES 
ignifuge)   Mécanismes en place pour fournir des 
 Des copies de la documentation essentielle sont  informations aux parties prenantes 
conservées ailleurs   Arrangement pour assurer le traitement des 
groupes vulnérables 

13 
 
 

Conception - Détermination de la stratégie BCM


 

    

Stratégies 
 
Diversification ‐ nécessite d'entreprendre en direct des activités dans deux ou plusieurs endroits 
géographiquement dispersés afin que, en cas de perte d'une opération, l'activité puisse se poursuivre 
sur les autres sites. Cette stratégie convient lorsque le RTO est mesurée en minutes ou heures plutôt 
qu'en jours. 
 
Réplication ‐ la copie des ressources pour permettre la récupération rapide des opérations est une 
variante de la diversification dans la mesure où le site répliqué est dormant et mis en service après un 
incident. Cette stratégie peut convenir lorsque le RTO est supérieure à quelques heures et inférieure à 
un jour environ. 
 
Veille ‐ Lorsque le RTO est supérieure à une journée, une stratégie appropriée peut consister à disposer 
d'une installation de secours pouvant être rendue opérationnelle au sein du RTO. 
 
Acquisition après incident ‐ L'acquisition des ressources nécessaires pour entreprendre des activités 
après un incident à partir d'une liste d'exigences convient aux RTO mesurés en jours ou en semaines et 
dépend de la fourniture de ressources par des fournisseurs pré‐qualifiés à court terme. 
 
Sous‐traitance ‐ des tiers peuvent être utilisés pour produire un produit ou un service, fournir une 
infrastructure de processus et entreprendre des activités. 
 
Ne rien faire ‐ attendre qu'après l'incident pour décider quoi faire peut‐être une stratégie appropriée 
lorsque le RTO est mesurée en mois, mais uniquement dans les cas où des équipements, des 
installations ou des compétences spécialisées sont difficiles à obtenir ou ont des délais d'exécution ne 
sont pas nécessaires. 

14 
 
 
 

   

Comme l'analyse des exigences du BC, la conception de stratégies et de tactiques de 
continuité et de rétablissement devrait être entreprise de haut en bas à tous les niveaux 
de l'organisation. 
 
Vous devez également déterminer qui d'autre au sein de votre organisation envisage 
également de déménager vers le site de récupération que vous avez choisi et si vous avez 
la capacité d'utiliser en commun certaines ressources. 
 
Un accord sur les stratégies à utiliser doit être obtenu auprès de la haute direction 
 
Cela devrait inclure le coût et les dépenses d'exploitation prévus ainsi que les ressources 
nécessaires pour livrer les produits ou services aux niveaux de service convenus. 

L'assurance comme stratégie 
 
Les compagnies d'assurance peuvent offrir une assurance contre les interruptions 
d'activité qui contribuera à réduire les coûts encourus lors d'une interruption. 
Cependant, cela peut prendre un certain temps pour traiter une réclamation, vous devez 
donc toujours vous demander comment cela aidera votre entreprise à se remettre en 
marche si vous avez des RTO relativement courts. 

15 
 
 

1. Mise en œuvre - Élaboration et mise en œuvre de la réponse


BCM
 

Cette  étape  du  processus  BCM  concerne  l'élaboration  et  la  mise  en  œuvre  de  plans  et 
d'arrangements  appropriés  pour  assurer  la  gestion  d'un  incident  et  la  continuité  et  la  reprise 
des activités les plus urgentes qui soutiennent les produits et services clés. 

Le  nombre  de  plans  et  leur  contenu  varieront  d'une  organisation  à  l'autre  et  devraient  refléter 
la  structure  et  la  culture  de  l'organisation  et  la  complexité  de  ses  activités  sensibles  au  facteur 
temps. 

En  fonction  de  ces  facteurs,  vous  pouvez  choisir  d'avoir  des  plans  distincts  de  gestion  des 
incidents,  de  continuité  des  activités  et  de  reprise  des  activités  ;  ou  des  plans  distincts 
couvrant  une  partie  de  votre  organisation,  de  vos  locaux  ou  de  votre  scénario.  Pour  une  très 
petite organisation, un seul plan intégrant tous les éléments ci‐dessus peut suffire. 

Le  point  clé  à  retenir  est  que,  dans  l'ensemble,  les  plans  et  les  documents  complémentaires 
doivent  fournir  toutes  les  informations  dont  l'organisation  a  besoin  pour  s'assurer  qu'elle 
peut  gérer  l'incident  immédiat  et  continuer  et  récupérer  les  activités  les  plus  urgentes 
identifiées  dans  la  «  compréhension  de  l’organisation  ».  Il  est  également  important  de 
s'assurer  que  vos  plans  sont  facilement  accessibles  et  que  des  copies  doivent  être  conservées 
sur et hors site. 

Étant  donné  qu'il  n'y  a  pas  de  plan  unique  qui  conviendrait  à  toutes  les  organisations,  nous 
n'avons  pas  inclus  de  modèle  de  plan  dans  la  boîte  à  outils.  Cependant,  les  conseils  contenus 
dans cette section devraient fournir un point de référence utile pour vous aider à démarrer 

Planifier le contenu 

But et Impact 

Quel  que  soit  le  type  de  plan  que  vous  rédigez,  il  est  important  d'indiquer  clairement  son 
objectif  et  sa  portée.  Toute  relation  avec  d'autres  plans  ou  documents  pertinents  au  sein  de 
l'organisation  doit  être  clairement  référencée  et  la  méthode  pour  les  obtenir  et  y  accéder  doit 
être décrite. 

Propriétaire et responsable du document 

Vous  devez  documenter  à  qui  appartient  le  plan  et  qui  est  responsable  de  l'examiner,  de  le 
modifier  et  de  le  mettre  à  jour  à  intervalles  réguliers.  Un  système  de  contrôle  des  versions 
devrait également être adopté. 

Rôles et responsabilités 

Le  plan  devrait  énumérer  toutes  les  personnes  ayant  un  rôle  dans  sa  mise  en  œuvre  et 
expliquer ce qu'est ce rôle. 

Planifier l'invocation 

16 
 
 
La  méthode  par  laquelle  le  plan  est  invoqué  doit  être  clairement  documentée,  indiquant  les 
personnes  qui  ont  le  pouvoir  d'invoquer  le  plan  et  dans  quelles  circonstances.  Le  plan  devrait 
également  définir  le  processus  de  mobilisation  et  de  retrait  des  équipes  concernées.  Ce 
faisant,  vous  devriez  envisager  de  mettre  en  place  des  dispositions  pour  que  les  équipes 
concernées  soient  mobilisées  le  plus  tôt  possible  lorsqu'un  incident  se  produit.  Un  retard  dans 
la  mobilisation  de  ces  équipes  pourrait  avoir  un  impact  majeur  sur  l'efficacité  de  vos  accords 
BCM. 

Détails du contact 

Tous  les  plans  doivent  contenir  ou  fournir  une  référence  aux  coordonnées  essentielles  de 
toutes  les  parties  prenantes  clés,  y  compris  tout  le  personnel  impliqué  dans  la  mise  en  œuvre 
du plan. 

La gestion des incidents 

Vous  devez  documenter  les  tâches  qui  seront  nécessaires  pour  gérer  la  phase  initiale  de 
l'incident et la personne responsable de chaque tâche. Cela comprendra probablement : 

 évacuation du site; 
 mobilisation des équipes de sécurité, de premiers secours ou d'évacuation; 
 localiser et comptabiliser ceux qui se trouvaient sur place ou à proximité immédiate; et 
 communications  continues  des  employés  et  des  clients  et  séances  d'information  sur  la 
sécurité 

Le  plan  devrait  définir  les  modalités  de  communication  avec  le  personnel,  les  parties 
prenantes  au  sens  large  et,  si  nécessaire,  les  médias.  Il  devrait  y  avoir  une  liste  de  contacts  à 
jour et l'emplacement et la méthode pour l'obtenir décrits dans le plan 

Lors  de  l'élaboration  de  votre  stratégie  de  communication,  vous  devrez  tenir  compte  des 
personnes handicapées ou d'autres besoins spécifiques. 

L'organisation  doit  identifier  un  emplacement,  une  pièce  ou  un  espace  solide  à  partir  duquel 
un  incident  sera  géré.  Une  fois  établi,  cet  emplacement  devrait  être  le  point  focal  de  la 
réponse de l’organisation. 

Un  autre  point  de  rencontre  à  un  autre  endroit  devrait  également  être  désigné  au  cas  où 
l'accès  au  lieu  principal  serait  refusé.  Chaque  emplacement  doit  avoir  accès  à  des  ressources 
appropriées,  telles  que  les  télécommunications,  grâce  auxquelles  l'équipe  chargée  des 
incidents  peut  entreprendre  sans  délai  des  activités  efficaces  de  gestion  des  incidents.  Vous 
devriez également avoir votre « trousse d’urgence » sur place 

Business continuity et reprise des activités 

En termes de continuité et de reprise des activités, votre plan doit : 

 définir  les  activités  les  plus  urgentes  à  récupérer,  les  délais  dans  lesquels  elles  doivent 
être récupérées et les niveaux de récupération nécessaires ; 
 les  ressources  disponibles  à  différents  moments  pour  réaliser  vos  activités  sensibles  au 
temps; • le processus de mobilisation de ces ressources; et 

17 
 
 
 détailler  les  actions  et  les  tâches  nécessaires  pour  assurer  la  continuité  et  la  reprise  de 
vos activités sensibles au facteur temps   

18 
 
 

Validation - Exercice, maintien et révision


 

Un  exercice  en  direct  va  d'un  test  à  petite  échelle  d'un  composant,  tel  que  l'évacuation,  à  un 
test  à  grande  échelle  de  tous  les  composants  du  plan.  Les  exercices  en  direct  sont  une 
nécessité  pour  des  composants  tels  que  l'évacuation  qui  ne  peuvent  pas  être  testés 
efficacement  d'une  autre  manière.  Bien  que  les  tests  à  composant  unique  soient  relativement 
faciles  à  configurer,  les  tests  complets  sont  beaucoup  plus  complexes  et  peuvent  être 
coûteux.  Avant  de  vous  lancer  dans  un  exercice  en  direct,  il  est  important  de  déterminer  si 
votre  organisation  a  la  capacité  nécessaire  pour  exécuter  l'exercice  sans  que  cela  ne  perturbe 
votre capacité à fournir vos produits et services clés. 

Quel  que  soit  le  type  d'exercice  que  vous  choisissez,  il  vaut  la  peine  d'envisager  d'inviter 
d'autres  parties  prenantes  et  celles  sur  lesquelles  vous  comptez  pour  fournir  vos  produits  et 
services clés. 

Il  est  également  important  d'enregistrer  et  d'évaluer  l'événement,  à  travers  un  débriefing 
immédiatement  après  l'exercice,  puis  rédigé  dans  un  rapport  de  leçon  apprise  avec  des 
actions si nécessaires. 

Maintien des dispositions du BCM 

Vos  organisations  devraient  non  seulement  mettre  en  place  des  accords  de  BCM,  mais 
également  veiller  à  ce  qu'elles  soient  tenues  à  jour.  Un  programme  de  maintenance  doit  être 
mis en place pour assurer la mise à jour de vos plans : 

 s'il  y  a  des  changements  dans  votre  organisation,  y  compris  des  restructurations,  des 
méthodes modifiées de livraison de vos activités les plus urgentes; 
 s'il  y  a  un  changement  dans  l'environnement  externe  dans  lequel  l'organisation  opère; 
suivre les leçons tirées d'un incident ou d'un exercice; et 
 changements  de  personnel  Lors  de  la  mise  à  jour  du  (des)  plan  (s),  un  système  efficace 
de contrôle des versions doit être adopté. 

Examen des dispositions du BCM 

Il  est  fortement  recommandé  que  les  dispositions  du  BCM  de  votre  organisation  soient 
examinées  soit  par  un  audit  formel,  soit  par  une  auto‐évaluation  à  intervalles  réguliers,  si  cela 
est jugé approprié. Cet examen doit être documenté et doit vérifier que : 

 tous  les  produits  et  services  clés  et  leurs  activités  sensibles  au  facteur  temps  et  les 
ressources de soutien ont été identifiés; 
 les dispositions reflètent fidèlement les objectifs de votre organisation; 
 les  dispositions  sont  adaptées  à  l'objectif  et  adaptées  au  niveau  de  risque  auquel  votre 
organisation est confrontée; 
 Les  programmes  de  maintenance  et  d'exercice  BCM  ont  été  mis  en  œuvre 
efficacement ; 
 Les  accords  BCM  intègrent  les  améliorations  identifiées  lors  des  incidents  et  des 
exercices et dans le programme de maintenance ; 

19 
 
 
 un  programme  efficace  de  formation  et  de  sensibilisation  est  en  place;  •  des 
procédures de contrôle des changements sont en place et fonctionnent efficacement 

Un  mécanisme  pour  examiner  vos  propres  accords  BCM  et  ceux  de  vos  principaux 
fournisseurs consiste à les évaluer par rapport à la norme ISO 22301 : 2014 

Les données (résultats) de « l’exercice, le maintien et l'examen des accords de BCM » 

 Un programme d'exercices, incluant les buts et objectifs 
 Rapport sur les leçons apprises de chaque exercice ou incident réel 
 Plan de continuité des activités mis à jour 
 Rapport de révision du BCM 

2. Intégrer le BCM dans la culture de l'organisation 


Pour réussir, BCM doit faire partie de la culture de votre organisation. Cet objectif peut être atteint 
grâce à une combinaison de sensibilisation et de formation. 

Sensibilisation 

Sensibiliser et maintenir la sensibilisation à BCM avec tout votre personnel pour vous assurer qu'ils 
savent pourquoi BCM est important pour l'organisation. 

Les mécanismes de sensibilisation comprennent : 

 associer le personnel à l’élaboration de la stratégie de l’organisation; 
 briefings écrits et oraux; 
 apprendre des incidents internes et externes; et 
 exercices basés sur la discussion 

Tous les nouveaux membres du personnel doivent être informés des dispositions BCM de l’organisation 
en matière d’adhésion et cela doit faire partie intégrante du processus d’initiation. 

Formation Il est recommandé de veiller à ce que tous les membres du personnel de votre organisation 
qui ont des responsabilités en matière de continuité des activités reçoivent une formation sur BCM. Au 
minimum, il est recommandé que ce personnel travaille à travers cette boîte à suggestion. 

20 
 
 

Annexe A - Glossaire des Termes

Gestion de la continuité d’activité

21 
 
 

22 
 
 

 
   

23 
 
 
 

Annexure B – Emergency Pack

 
Annexure C – Acknowledgements and your feedback

24