Académique Documents
Professionnel Documents
Culture Documents
Sofie Senesael
Mémoire réalisé dans le cadre d'une nomination statutaire, juin 2009
Executive Summary
Les services publics, notamment le SPF Intérieur, ont un rôle social très important à jouer. Ils
doivent donc être capables d'assurer la continuité de leur service quelles que soient les
circonstances ou les menaces auxquelles ils sont confrontés. Ils peuvent s'y préparer afin qu'en
cas d'interruption de leurs activités, ils puissent reprendre les activités les plus critiques dans le
délai le plus bref possible.
Les termes ’Business Continuity Management’ (BCM) et ‘Business Continuity Plan (BCP)’ prêtent
souvent à confusion.
Un Business Continuity Plan décrit comment y parvenir concrètement et est donc un produit du
Business Continuity Management. Le Business Continuity Plan est un ensemble de procédures,
accords et coordonnées qui peuvent être utilisés lorsqu'une interruption se produit réellement.
La partie 2 traite des diverses phases à franchir ou des éléments qui doivent être présents dans
l'organisation pour pouvoir parler d'un Business Continuity Management. Outre la description
d'un certain nombre de termes et du contenu précis de cette phase, une attention est également
accordée à la manière dont cette phase peut être mise en oeuvre au sein du SPF Intérieur.
Phase 1
BCM Programme
Phase 2
Compréhension de
l'organisation
BUSINESS
Phase 5 CONTINUITY
Exercice
Entretien MANAGEMENT
Révision
Phase 3
BCM Stratégie
Phase 4
BCM Response :
développement et
mise en oeuvre
Il est important que dès le début du projet, le management communique formellement, sous
forme d'une ligne politique, sur le projet. Ceci souligne l'importance qu'ils accordent à ce projet et
constitue une des conditions essentielles pour une mise en oeuvre réussie.
Business Analyse
Une fois la structure du projet mise en place et les rôles et responsabilités attribués, les activités
peuvent démarrer. Dans cette phase, les divers processus de l'organisation doivent être définis et
il faut examiner avec le management quels sont, pour eux, les objectifs prioritaires en matière de
Business Continuity. En d'autres mots, quels sont les objectifs dont la continuité ne peut pas être
interrompue temporairement ou pour une longue durée.
Il faut faire une analyse de ces processus (Business Analyse) afin de savoir notamment quels
sont les moyens nécessaires pour réaliser le processus, quels sont les règles légales auxquelles
le processus est tenu, combien de personnel est nécessaire pour réaliser le processus, quelle est
l'infrastructure requise, etc.
Il faut ensuite réaliser par processus une Business Impact Analyse. On entend par là qu'il faut
d'abord évaluer les conséquences de l'interruption du processus pour l'organisation. De plus, il
faut déterminer par processus la durée maximale possible d'interruption du processus, sinon
l'organisation risque des dégâts irréparables, ainsi que le délai dans lequel le processus doit être
rétabli (objectif de rétablissement).
Analyse du risque
La détermination de toutes les menaces possibles qui peuvent entraîner une interruption d'un ou
plusieurs processus au sein de l'organisation n'est pas une condition absolue pour installer un
Business Continuity Management et définir un Business Continuity Plan. On recommande
d'élaborer un Global Business Continuity Plan qui couvre un maximum de risques au lieu
d'élaborer un plan spécifique par risque. Il vaut mieux joindre en annexe les mesures spécifiques
du Global Business Continuity Plan.
Il est recommandé de se baser sur les 4 grandes éventuelles conséquences auxquelles une
organisation peut être confrontée, à savoir:
- Manque de personnel
- Manque de facilités (bâtiment, locaux...)
- Perte d'accès aux données vitales
- Manque d'ICT
Sur base de l'information relative au processus lui-même (Business Analyse) et d'une estimation
des conséquences d'une interruption du processus, il faut formuler des mesures pour :
- diminuer la probabilité d'une interruption;
- diminuer la durée de l'interruption;
- limiter l'impact de l'interruption sur les activités critiques.
Dans le cadre de la Business Impact Analyse, on a déterminé dans quel laps de temps quelles
activités devaient reprendre (objectif de reprise). Cette phase consiste à formuler des
propositions d'action (mesures) susceptibles d'y remédier et réaliser une analyse des coûts et
avantages pour chaque mesure proposée.
Business Continuity Management Response est la réponse préparée par une organisation pour
pouvoir gérer un incident et minimaliser son impact sur les processus de travail. Les mesures
approuvées par le management dans la phase précédente doivent être développées dans cette
phase afin que l'organisation puisse réagir rapidement et efficacement en cas d'interruption d'un
processus particulier.
On distingue trois étapes de response reliées entre elles. L'organisation doit disposer d'un plan
ou de procédures par phase de response. Tous ces plans peuvent être décrits comme le Global
Business Continuity Plan.
- Emergency Response Incident Management Plan
- Business Continuity Response Business Continuity Plan
- Business Recovery Response Business Recovery Plan
Objectif Quoi ?
Il ne suffit pas d'avoir un Incident Management Plan, un Business Continuity Plan et un Business
Recovery Plan à disposition dans son placard. Les plans ne sont utiles que lorsqu'ils sont
connus, actualisés et testés. Le fait de tester les procédures et les mesures prévues dans les
plans permet de s'assurer que les activités critiques peuvent être rétablies dans le délai prévu.
A la suite des exercices, il sera nécessaire d'adapter ou de compléter le contenu des plans. De
plus, il faut prévoir une procédure veillant à ce que pour chaque modification (interne ou externe)
ayant un impact pour l'organisation, le programme du Business Continuity Management soit
évalué et que les plans soient si nécessaire adaptés.
Pour être une réussite le projet de Business Continuity Management doit être soutenu par un
maximum de personnes au sein de l'organisation. Le management (à la fois le management
supérieur et moyen) joue un rôle essentiel lors de la détermination des processus critiques. Il est
donc vital pour le projet de gagner leur soutien.
Il faut qu'un nombre maximum de membres du personnel soient convaincus qu'ils ont un rôle
important à jouer pour garantir la continuité des activités de l'organisation. Il est dès lors
important d'accorder suffisamment d'attention aux programmes de conscientisation et de
formation du personnel et d'organiser plusieurs activités de sensibilisation.
On retrouve à la page 73 un résumé reprenant ‘étape par étape’ ce qu'il faut concrètement faire
pour franchir les 6 phases du Business Continuity Management.
La partie 3 comprend plusieurs documents de travail qui peuvent être utilisés pour franchir les
diverses phases.
Préface........................................................................................................................................3
Introduction – méthodologie....................................................................................................3
Annexes
Bibliographie
1
BUSINESS CONTINUITY MANAGEMENT
2
BUSINESS CONTINUITY MANAGEMENT
Préface
En 2007, suite à la propagation du virus de grippe aviaire (H5N1), le SPF Intérieur a mené
plusieurs actions de sensibilisation pour conscientiser davantage les gens aux éventuelles
conséquences de l'émergence d'une pandémie de grippe sur la vie sociale. Une campagne
d'information a notamment été élaborée pour conscientiser le personnel du SPF Intérieur à
l'importance d'une bonne hygiène afin de combattre la propagation des virus. De plus, la
Direction Générale Centre de Crise a développé et diffusé une liste de contrôle (voir annexe 1)
avec des mesures spécifiques qui peuvent être prises au sein des organisations en vue de se
préparer à une pandémie de grippe.
Sur base de ces actions et compte tenu des évolutions récentes (pandémie A/H1N1), on a pris
de plus en plus conscience du fait qu'il est indispensable que les services publics, compte tenu
de l'important rôle social qu'ils ont à remplir, soint capables de garantir la continuité de leurs
services quelles que soient les circonstances ou les menaces auxquelles ils sont confrontés.
La Présidente du SPF Intérieur, Mademoiselle De Knop, accorde beaucoup d'importance au
management des risques au sein du SPF et en particulier à la gestion des risques au niveau de
la continuité du service, l'éthique, la gestion des connaissances.
Par ce travail, réalisé dans le cadre de ma nomination en tant que fonctionnaire statutaire et qui
vise à proposer une méthodologie pour la mise en oeuvre d'un Business Continuity
Management, j'espère contribuer concrètement à la réalisation de cet objectif du SPF.
Introduction - méthodologie
Sources Pour arriver à ce travail, une étude littéraire a été faite relative au
Business Continuity Management (la liste des sources consultées figure
à la fin de ce document). Le processus de mise en oeuvre d'un
Business Continuity Management au SPF Intérieur, présenté dans la
PARTIE II tient dès lors compte des principes fondamentaux de
plusieurs standards ou directives internationales faisant autorité en
matière de Business Continuity Management comme repris dans la
PARTIE I.
De plus, on a également pris contact avec plusieurs personnes des
services internes du SPF ainsi qu'avec des entreprises ou des
organisations externes qui, en raison de leur expertise, apportent tous
une contribution intéressante à ce document.
3
BUSINESS CONTINUITY MANAGEMENT
4
PARTIE 1
1
British Standard 25999-1:2006, Business continuity management. Code of practice, p.1.
2
Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007.
3
KNEGTEL, Louise, BCM Pocketbook, BCM Academy Harderwijk, 2006.
4
British Standard 25999-1:2006, Business continuity management. Code of practice, p.2.
5
Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007.
7
BUSINESS CONTINUITY MANAGEMENT
L'importance des Outre les définitions reprises ci-dessus, il existe encore d'innombrables
définitions autres définitions du Business Continuity Management. Les unes plus
concises que les autres. Il est vraiment important que le management
d'une organisation qui souhaite installer un Business Continuity
Management, soit d'accord sur le sens donné au sein de l'organisation
au Business Continuity Management, sur les objectifs ainsi visés et
donc sur le fait qu'un seul et même message soit émis au sein de
6
l'ensemble de l'organisation (voir infra PARTIE II, point 1.1. ligne
politique).
Quelle est la relation du Business Continuity Management par rapport aux autres disciplines
concernées ? Plusieurs avis existent en la matière. Sur base de la description de plusieurs
disciplines concernées, une représentation schématique du point de vue suivi dans cet ouvrage
figure à la page 11.
Lien BCM Alors que le management des risques traite de la gestion de tous les
risques éventuels au sein d'une organisation, le Business Continuity
Management vise les risques qui peuvent mettre en danger la
continuité de l'organisation.
7
Interne audit: Bedrijfscontinuïteitsmanagement, Les Autorités flamandes, Belgique, 26 février 2007.
8
R. DRIES, L. VAN BRUSSEL, M. WILLEKENS, Handbook auditing, Intersentia, deuxième édition, 2004, p. 16.
8
BUSINESS CONTINUITY MANAGEMENT
9
Business Continuity Management Congres, Kluwer, Edegem, 31 mars 2009.
9
BUSINESS CONTINUITY MANAGEMENT
Le contrôle interne et l'audit interne sont deux disciplines dont le lien avec le Business
Continuity Management est très important. En effet, le contrôle interne doit vérifier que
l'organisation prend suffisamment de mesures pour éviter les risques. Le contrôle interne
examine si les systèmes de contrôle interne, où la mesure dans laquelle les risques sont
maîtrisés, sont effectifs et efficaces. Il n'est dès lors pas étonnant que l'intérêt pour le Business
Continuity Management s'accroît souvent sur base des résultats d'un audit interne.
Ceci est aussi le cas pour les Autorités flamandes où il a été constaté après un audit interne
que la majorité des entités au sein des Autorités flamandes ne sont pas suffisamment matures
en matière de continuité de l'entreprise.
Le point suivant explique la différence entre les termes ‘audit interne’ et ‘contrôle interne'. La
base légale ainsi que la manière dont le SPF Intérieur réalise les deux dans la pratique sont
abordés ci-dessous.
10
BUSINESS CONTINUITY MANAGEMENT
Contrôle interne: L'Arrêté royal du 26 mai 2002 relatif au système de contrôle interne au
sein des autorités fédérales (Moniteur Belge du 31 mai 2002) impose
à chaque service public fédéral et chaque service public fédéral de
programmation l'élaboration d'un système de contrôle interne.
11
BUSINESS CONTINUITY MANAGEMENT
Qu'est-ce que Si une organisation souhaite atteindre ses objectifs, elle doit pouvoir
COSO - ERMF? gérer et maîtriser les risques. COSO décrit et définit les divers
éléments d'un système de contrôle interne. Ceci peut être utilisé
comme cadre pour les organisations qui souhaitent mettre en place un
système de contrôle interne.
12
BUSINESS CONTINUITY MANAGEMENT
Note de système Une analyse détaillée des risques a été menée en 2003 au sein du
de contrôle interne SPF Intérieur à la demande du Comité de direction.
La portée de l'analyse du risque consiste en:
- les 5 directions générales
- les services d'encadrements ICT, B&B, P&O
- les services de coordination et d'appui de la Présidente
- le Commissariat général pour les Réfugiés et les Apatrides
Définition Outre le contrôle interne, des précisions sont également fournies sur
l'audit interne. La définition d'audit interne déterminée par l'Institute of
Internal Auditors est reprise dans l'Arrêté royal relatif à l'audit interne
dans les services publics fédéraux (cf. infra) et explique de manière
concise la mission de l'audit interne. Cette définition est acceptée
comme description de la mission de l'audit interne du service public
fédéral.
Audit interne L'Arrêté royal du 2 octobre 2002 relatif à l'audit interne au sein des
services publics fédéraux (Moniteur belge 9 octobre 2002).
Service interne Dans le cadre d'un audit interne, la Présidente du Comité de direction
d'inspection a créé à partir du 1er mars 2008 ‘le Service Interne d'Inspection SPF
Intérieur'.
10
Established in 1941, The Institute of Internal Auditors (IIA) is an international professional association of more than
150,000 members with global headquarters in Altamonte Springs, Fla., United States. Throughout the world, The IIA is
recognized as the internal audit profession's leader in certification, education, research, and technical guidance,
http://www.theiia.org/
13
BUSINESS CONTINUITY MANAGEMENT
Lien BCM En ce qui concerne l'analyse des risques et le contrôle interne, le SPF
Intérieur a déjà entrepris plusieurs importantes démarches mais avant
d'arriver à un véritable management des risques, il faudra
certainement encore remplir plusieurs conditions. Les risques en
matière de continuité d'entreprise font intégralement partie de
l'ensemble des risques auxquels le SPF peut être confronté.
Cependant, ceci n'exclut pas qu'un autre risque qui, en soi, ne met pas
la continuité en danger, devienne, en cas d'absence de mesures, un
véritable risque.
Ex. le fait de ne pas conserver une copie ou un back-up ailleurs qu'à la
comptabilité ne constitue pas en soi un risque pour la continuité des
processus au sein de l'organisation. Lorsqu'un incendie se produit à la
comptabilité du service, ceci peut devenir un risque pour la continuité
étant donné l'obligation légale de conserver les factures.
L'analyse des risques réalisée en 2003-2004 dans le cadre du contrôle
interne au sein du SPF ainsi que les analyses des risques réalisées
dans le cadre des projets de modernisation constituent une source
d'information très importante dans le cadre du projet Business
Continuity Management (voir PARTIE II, point 2.3 Analyse des
risques, p. 48-49).
11
Définition de ‘Good governance' ou ‘la bonne gestion des affaires publiques’ (basé sur
http://www2.vlaanderen.be/bbb/woordenlijst) : L'intervention des pouvoirs publics doit garantir la légitimité, la sécurité
juridique et l'égalité juridique en combinaison avec les principes d'économie, d’efficacité, d’effectivité et d’éthique. La
bonne gestion des affaires publiques ou good governance implique que l’intervention des pouvoirs publics est
accompagnée d'une répartition précise des responsabilités entre les acteurs concernés (le parlement, le gouvernement,
l'administration et le citoyen) et d'informations justificatives transparentes sur la réalisation des objectifs politiques, tant
aux autorités qu’au citoyen.
14
BUSINESS CONTINUITY MANAGEMENT
En guise de conclusion, on peut dire qu'il y a un lien étroit entre le Business Continuity
Management, le Management de crise, le Management des risques, le Contrôle interne et
l'Audit interne. Ce lien est représenté de manière schématique dans l'image suivante.
12
KNEGTEL, Louise, Crisismanagement vanuit een Business Continuity perspectief, BCM Academy, Harderwijk, 2007.
15
16
BUSINESS CONTINUITY MANAGEMENT
BUSINESS AS USUAL
ORGANISATION
OBJECTIFS DE L'ORGANISATION
PROCESSUS PROCESSUS
RISQUES
RISQUES
TRANSFER
INCIDENT
ACCEPT
REDUCE
AVOID
INCIDENT MANAGEMENT PLAN
GESTION DES
GESTION DES RISQUES
RISQUES BUSINESS CONTINUITY PLAN
PREVENTIF
REACTIF
BCM RESPONS
SYSTEME DE CONTROLE INTERNE
MANAGEMENT DE CRISE
MANAGEMENT DES RISQUES
AUDIT INTERNE
Obligations légales Quelles que soient les circonstances, l'organisation est prête à remplir
ses obligations légales et réglementaires.
Besoins acteurs Les dépendances de l'organisation aux divers acteurs concernés, ainsi
concernés que leurs besoins sont connus. Ceux-ci peuvent jouer un rôle crucial
pour assurer le service.
De nombreux ouvrages existent sur le Business Continuity Management, ainsi que diverses
directives et normes. Ils peuvent servir de cadre théorique pour soutenir les organisations qui
souhaitent installer un programme de Business Continuity Management au sein de leur
organisation.
On retrouve ci-dessous d'abord une explication de la différence entre les deux. Plusieurs
exemples sont ensuite donnés au sujet des directives et normes internationales les plus
utilisées et les plus lues.
Norme BC Une norme Business Continuity est un document élaboré par une
organisation de normes et standards officiellement reconnue par
l'International Organisation Standardization (ISO). Cette norme décrit
une manière d'agir convenue. Jusqu'à présent il n'existe aucune norme
ISO en matière de Business Continuity Management. Un pas a
toutefois été fait dans cette direction avec la publication de Publicly
Available Specification ISO/PAS 22399:2007 (cfr. infra).
Directives BC Par contre, une directive de Business Continuity n'a pas de caractère
officiel. Il s'agit plutôt d'un résumé de plusieurs directives et ‘bonnes
pratiques' pour installer un Business Continuity Management.
Pourquoi l'utiliser ? Le recours à des normes ou des directives lors de la mise en place d'un
Business Continuity Management n'est pas obligatoire, mais leur
utilisation est toutefois vivement recommandée. Il offre à l'organisation
des critères permettant à l'organisation d'évaluer son propre Business
Continuity Plan et le Processus de Business Continuity Management
d'appui. Par ailleurs, certains standards permettent également d'obtenir
une labellisation après la mise en oeuvre.
ISO/PAS22399:2007 ISO a publié en novembre 2007 une Public Available Publication (PAS)
et par conséquent le premier document international ratifié relatif au
preparedness and continuity management. ‘ISO/PAS 22399:2007
Societal security – Guideline for incident preparedness and
operational continuity management’ est un consensus international
des meilleures pratiques des cinq principaux acteurs dans ce domaine:
1. NFPA 1600, Standard on Disaster Management and Business
Continuity Programs of the US National Fire Protection
Association (NFPA)
2. BS 25999-1: Business Continuity Management Part 1: Code of
Practice of the British Standard Institute (BSI)
3. HB 221: Business Continuity Management, of Standards
Australia (SA)
4. SI 24001:2007: Security and continuity management systems –
requirements and guidance or use of the Standards Institution
of Israel (SII)
5. the work of the Japanese Inustrial Standards Committee (JISC)
Cette initiative découle du besoin d'avoir un trajet global et
reconnaissable pour définir le preparedness en continuity management
et de remédier ainsi à la confusion entre les diverses approches
nationales.
Ce ISO/PAS a été acheté par le SPF Intérieur (Direction Générale
Centre de Crise)
Normes ciblées IT Outre les normes et directives générales relatives aux Business
Continuity Management, il existe également plusieurs normes
spécifiques axées IT traitant de la continuité en matière d'ICT, dont voici
quelques exemples:
ITIL (IT Infrastructure Library) est le cadre pour la gestion de l'IT au sein
de l'organisation.
ISO/IEC 17799:2005 Information technology -- Security techniques --
Code of practice for information security management.
NIST – Contingency Planning guide for IT systems (US)
Introduction
Cette partie aborde les différentes phases à franchir ou les éléments devant être présents dans
l'entreprise afin de pouvoir parler de Business Continuity Management. Outre une description
de certains concepts et du contenu exact de cette phase, l'on examine également comment
cette phase peut être mise en œuvre au sein du SPF Intérieur.
La PARTIE I résume certains standards internationaux existants. Tous ces standards
appliquent un modèle de processus plus ou moins similaire, qui sera abordé plus en détail dans
la suite du document. Vous trouverez ci-dessous une illustration du processus de Business
Continuity Management basée sur le cycle de vie selon le British Standard 25999-1:2006.
Modèle de
processus
Phase 1
Programme BCM
Phase 2
Compréhension de
l'organisation
BUSINESS
Phase 5 CONTINUITY
Exercice
Entretien
MANAGEMENT
Révision Phase 3
Stratégie BCM
Phase 4
BCM Response :
développement et
mise en œuvre
24
BUSINESS CONTINUITY MANAGEMENT
1 Programme BCM
Comme lors de chaque projet, il importe d'établir un cadre clair pour la mise en œuvre du
Business Continuity Management. Il est notamment nécessaire que les objectifs du projet soient
clairs, que les rôles et responsabilités soient décrits, qu'une communication existe sur le projet,
etc. Tous ces éléments sont abordés dans le Programme BCM, véritable point de départ du
projet. Le point suivant aborde les différentes parties du Programme BCM.
Phase 1
Programme BCM
Phase 2
Compréhension de
l'organisation
Phase 5 BUSINESS
Exercice CONTINUITY
Entretien
Révision MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM Response :
développement et
mise en œuvre
Ligne politique L'une des principales conditions préalables d'une mise en œuvre
Phase 1 – Programme BCM
Contenu de la ligne Quel est le contenu d'une ligne politique ? Pour répondre à cette
politique question, voici une liste de points qu'il y a lieu d'aborder/que l'on peut
aborder dans la ligne politique (liste non exhaustive) :
Proposition pour le La PARTIE III présente un projet de ligne politique pour le SPF
SPF Intérieur Intérieur. Ce document doit dans un premier temps être adapté,
conformément aux attentes du management par rapport à ce projet, et
doit ensuite être mis au point au fur et à mesure de l'avancée du projet.
26
BUSINESS CONTINUITY MANAGEMENT
Fiche de projet Au début d'un projet, il convient de créer une fiche de projet, selon les
principes du management de projet. Cette fiche comporte notamment
une description claire des objectifs du projet et des résultats souhaités,
une répartition des rôles et des responsabilités, la portée du projet, les
corrélations, les risques possibles, une analyse des coûts et des
avantages et un planning global du projet.
Proposition pour le La PARTIE III comporte une ébauche de fiche de projet pour le SPF
SPF Intérieur Intérieur. Ce document doit d'abord être adapté conformément aux
attentes du management par rapport à ce projet et doit ensuite être
Phase 1 – Programme BCM
peaufiné avec le groupe de travail désigné à cet effet, dans un plan par
étapes détaillé, qualifié également de "Plan d'approche".
1
Dans les petites et moyennes entreprises (<250 collaborateurs)
l'activité BCM peut être confiée à un collaborateur en sus de ses autres
missions, mais c'est rarement suffisant lorsque les autres missions
exigent une responsabilité opérationnelle quotidienne.
Quelques exemples :
- Pour le bâtiment Justus Lipsius du Conseil de l'Union
européenne (2.400 collaborateurs), 2 ETP travaillent déjà
depuis plusieurs années au Business Continuity.
- Au sein du Parlement européen (+/- 5.000 fonctionnaires), 10
ETP sont chargés du management des crises dont 2 ETP du
Business Continuity Management.
- Chez Infrabel (+/-13.000 collaborateurs), 3 ETP diplômés
universitaires collaborent avec 3 consultants de Deloitte.
- Chez Dexia Banque Belgique, 10 ETP sont chargés du
management opérationnel des risques dont 4 ETP du Business
Continuity Management (+/-14.000 collaborateurs)
- A la Communauté flamande (pour 11 entités), 3 ETP à temps
partiel (15%) à côté d'autres tâches.
1
Commission Recommendation 96/280/EC of 3 April 1996 concerning the definition of small and medium-sized
enterprises
28
BUSINESS CONTINUITY MANAGEMENT
directions
- Participants aux groupes de travail au sein de la direction :
membres du personnel qui collaborent à l'opérationnalisation
des actions sur le terrain.
Ci-dessous, une énumération, par rôle, des compétences de chaque
rôle ainsi que, pour certains rôles, une description du profil. Une
illustration schématique de l'organisation du projet est ensuite fournie
et une proposition de méthode de travail en vue de la constituer.
Profil du Il s'agit de préférence d'une personne assumant cette mission sur une
correspondant base volontaire et qui est donc convaincue de la nécessité du projet.
BCM Cette personne doit se prévaloir de bonnes connaissances des
missions de sa direction ou doit être disposée à s'y familiariser
rapidement. En outre, elle doit être à même d'établir aisément des
contacts au sein de sa direction et mobiliser des personnes de sa
direction dans un groupe de travail afin d'élaborer des actions
concrètes pour la direction.
Profil du groupe de Le groupe de travail est autant que possible composé de représentants
travail de différents départements/services de la direction.
Proposition
d'organisation de Sponsor du projet
projet BiZa Présidente du Comité de
direction
Chef de projet
(Coordinateur BCM)
Phase 1 – Programme BCM
Correspondant
Experts BCM
CGVS/CGRA
30
BUSINESS CONTINUITY MANAGEMENT
32
BUSINESS CONTINUITY MANAGEMENT
34
BUSINESS CONTINUITY MANAGEMENT
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5 BUSINESS
Exercice CONTINUITY
Entretien
Révision MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM Response :
développement et
mise en œuvre
Business Analyse Dans le cadre d’une Business Analyse, tous les éléments (input,
(BA) output, objectif, moyens,…) du processus sont définis, de même que
les éventuelles dépendances du processus par rapport à d’autres
processus.
Business Impact La Business Impact Analyse vise à analyser l’impact d’une interruption
Analyse (BIA) des processus sur l’organisation, quelle que soit la cause de cette
interruption.
Analyse des L’analyse des risques sert à examiner les possibilités de menaces
risques (AR) pouvant entraîner une interruption des processus de l’organisation,
ainsi que leur probabilité de survenance et leur impact sur
l’organisation.
Phase 2
Comprendre
l’organisation
Comme décrit supra, la mise en œuvre d’une Business Analyse fournit des informations sur
les processus au sein d’une organisation. Ci-après, nous décrivons comment sont définis des
processus au sein d’une organisation, ce qu’est un processus, comment les processus
peuvent être catégorisés au sein d’une organisation et quels processus sont importants dans
le cadre du projet Business Continuity Management.
Objectifs de Chaque organisation se base sur une vision qui se traduit, à son tour,
l’organisation en objectifs d’organisation. Afin de réaliser ces objectifs, la direction de
l’organisation élaborera une stratégie, définira et instaurera des
processus et engagera et/ou attirera des moyens. Pour connaître les
processus au sein de l’organisation, il faut donc avant tout identifier les
objectifs de l’organisation.
Cette phase vise à recueillir un maximum d’informations en ce qui
concerne les objectifs de l’organisation.
Ces informations peuvent par exemple se retrouver dans :
- les plans de management
- les mission statements
- le décret ou la loi d’institution de l’organisation
- les statuts de l’organisation
- les Balanced Scorecards
- les analyses swot
Phase 2 – Comprendre l’organisation
- etc.
36
BUSINESS CONTINUITY MANAGEMENT
Processus Une fois que la direction décide quels objectifs d’organisation sont
inclus dans la portée du projet, il convient d’examiner quels sont les
différents processus au sein de l’organisation qui permettront
d’attendre ces objectifs. Ensuite, il faudra analyser et visualiser ces
processus pour que tout le monde les comprenne de la même
manière.
Qu’est-ce qu’un La définition de la notion de processus n’est pas encore tout à fait
processus ? précise. La norme ISO 9000:2005 la définit comme suit : un processus
est un ensemble d’activités corrélées ou interactives qui transforment
des éléments d'entrée (input) en éléments de sortie (output).
Processus
Tâche
Taak aa
INPUT OUTPUT
Tâche
taak bb
Tâche
taak cc
ACTVITE 2
ACTIVITE 3
Processus Les processus primaires sont des processus de l’organisation qui sont
primaires nécessaires pour remplir les missions principales. Les processus
(processus primaires sont les plus distinctifs étant donné qu’ils sont uniques et
principaux ou qu’ils décrivent le service spécifique fourni par l’organisation.
opérationnels) Un exemple pour le Centre de crise :
- assurer une permanence 24h est un processus primaire
- la sélection et le recrutement de personnel est un processus
d’appui
- le suivi des indicateurs critiques de prestation (KPI) est un
processus de management ou d’administration
Processus d’appui Les processus d’appui sont des processus de l’organisation qui
soutiennent les processus primaires (ex. recrutement de personnel,
mise à disposition de l’infrastructure ICT, …), mais aussi bien entendu
les processus d’administration et eux-mêmes. Les processus d’appui,
tout comme les processus d’administration (voir infra), sont conçus de
manière quasi identique dans toutes les organisations.
1
Conformément au modèle EFQM , une distinction peut être faite pour
les processus d’appui en termes de personnes (gestion du personnel)
et de moyens. Les processus liés aux moyens peuvent être subdivisés
Phase 2 – Comprendre l’organisation
1
Le modèle EFQM a été développé par la European Foundation for Quality Management. L’objectif primaire de cet outil
consiste à permettre aux organisations d’évaluer plus facilement leur propre fonctionnement en ce qui concerne leur
gestion dans son ensemble, à la lumière du Total Quality Management (TQM). Cette évaluation se base sur une
autocritique (self-assessment) qui est définie comme suit par la EFQM : “Self-Assessment is a comprehensive,
systematic and regular review of an organisation’s activities and results referenced against the EFQM-model”.
38
BUSINESS CONTINUITY MANAGEMENT
Présentation Processus de
schématique management
Processus primaires
Processus d’appui
HRM
Processus du SPF Dans le cadre des projets de modernisation au sein du SPF Intérieur,
Intérieur les différents processus mis en place dans les directions générales ont
déjà été répertoriés. Pour ce faire, le programme informatique ‘Office
Visio’ a été utilisé. Les projets de modernisation sont donc également
une importante source d’information.
Processus-clés En principe, toutes les activités d’une organisation font partie d’un ou
plusieurs processus. Tous les processus ne sont toutefois pas aussi
importants. Comme déjà mentionné supra, il est important dans le
cadre du Business Continuity Management de définir les processus-
clés au sein de l’organisation. Il s’agit des processus critiques pour la
continuité de l’organisation.
Attention : à la fois les processus primaires, les processus d’appui et
les processus d’administration peuvent faire partie des processus-clés
de l’organisation. Un processus-clé n’est donc pas nécessairement Phase 2 – Comprendre l’organisation
pareil à un processus primaire.
Visularisation des Afin de se faire une idée plus précise des différents processus au sein
processus-clés de l’organisation et leurs interdépendances, il peut être utile de les
visualiser à l’aide d’organigrammes ou de cartes de processus. Un
organigramme fournit une image visuelle d’un processus et permet
ainsi de mieux comprendre le processus ou système reproduit. Les
processus qui sont reproduits de manière descriptive sont par contre
souvent peu clairs. En outre, il est difficile de savoir s’ils sont complets
et cohérents.
La normalisation graphique des processus présente l’avantage ou la
particularité suivante :
- utilisation d’un langage commun, qui fait que les processus sont
plus rapidement compris par tous ;
- présence d’une structure qui est indépendante de l’organisation ou
des fonctions ;
Analyse des Pour savoir comment doit se préparer à assurer la continuité des
processus-clés processus-clés, l’organisation doit pouvoir disposer d’un inventaire de
toutes les conditions qui doivent être remplies pour que le processus
puisse être opérationnel. Afin de traduire des inputs en ouputs, des
moyens sont en effet nécessaires (personnes, systèmes informatiques,
matériel, équipement, …), il faut disposer de certains fichiers vitaux,
tenir compte de la législation et de la réglementation spécifiques, etc.
INPUT OUTPUT
PROCESSUS
40
BUSINESS CONTINUITY MANAGEMENT
Personnel Quel est le nombre idéal de membres du personnel nécessaires à la Phase 2 – Comprendre l’organisation
mise en œuvre de ce processus ? Quel est le nombre minimum de
membres du personnel nécessaires à la mise en œuvre du
processus ?
Quelles sont les fonctions (rôles) nécessaires ? : nombre,
compétences, tâches, quantité et temps
Ci-après figure un exemple fictif d’un processus fictif de ‘délivrance d’une autorisation’.
Attention, dans le cadre du Business Continuity, il est nécessaire de détailler et de quantifier
davantage les moyens et le personnel.
Règles Objectifs
• Arrêté ministériel du • Traitement rapide
6 déc. dernier • Traitement correct
Départ • Directive UE 87/999 • Service axé sur le client Fin
Demande • Traitement efficace autorisation
délivrée
Phase 2 – Comprendre l’organisation
Réception de la demande
Inputs Outputs
• Vérification que la demande soit complète
• Demande du client • Courrier avec décision
• Evaluation du contenu
• Données du client d’autorisation
• Préparation de la décision
• Autorisation
• Approbation de la décision
• Registre adapté
• Communication de la décision
42
BUSINESS CONTINUITY MANAGEMENT
Dépendances du Outre la réalisation d’un inventaire de tous les éléments qui gravitent
processus autour d’un processus, il est tout aussi important de se pencher sur
l’éventuelle dépendance du processus par rapport à d’autres. Il
convient d’examiner dans quelle mesure des processus-clés sont
vulnérables ou dépendants d’autres. Lorsqu’un processus-clé X est
dépendant de l’input du processus Y, il faut tenir compte du fait que
le processus Y doit être rétabli avant que le processus X ne puisse
fonctionner à nouveau. On peut alors affirmer que le processus Y est
également un processus-clé au sein de l’organisation. Il est dès lors
important d’examiner le rapport et les dépendances entre les
différents processus de l’organisation et d’en tenir compte.
Niveau du processus Certains processus sont toutefois trop complexes pour être
examinés dans leur ensemble. Le cas échéant, le processus peut
être plus détaillé. Cela peut se faire à plusieurs niveaux jusqu’à ce
qu’on atteigne un niveau suffisant de détail. En examinant de plus
près un processus (ex. au niveau des activités), il faut appliquer le
modèle de processus par étape du processus ou activité et classer
les informations relatives aux caractéristiques de l’étape du
processus.
Le niveau le plus bas est celui d’une étape du processus ou activité.
- Niveau 0 : organisation
- Niveau 1 : processus de base (3 à 6 activités qui constituent des
processus-clés au sein de l’organisation)
- Niveau 2 : sous-processus
- Niveau 3 : activités au sein d’un sous-processus
Méthode de travail Il n’existe pas de méthode standard de collecte des données Phase 2 – Comprendre l’organisation
concernant les processus. Ci-après sont néanmoins reprises
quelques méthodes pouvant être utilisées, de même qu’une
évaluation de la méthode utilisée. Il est recommandé d’utiliser une
combinaison de ces méthodes et plus spécifiquement l’organisation
d’un atelier qui utilise un questionnaire comme fil conducteur. Si cela
s’avère souhaitable, il peut être plus utile, dans le cas de processus
complexes ou très techniques, d’organiser des entretiens individuels
complémentaires avec les gestionnaires du processus.
Les différentes possibilités sont présentées ci-après :
Evaluation de la méthode :
- Résultat rapide ;
- Occasion de créer une implication par la participation ;
- Conscientisation nettement accrue des employés lorsqu’on
aborde des questions et scénarios du type “quid si”
44
BUSINESS CONTINUITY MANAGEMENT
RTO (Temps de Le RTO (Recovery Time Objective) est donc le délai fixé par
reprise) l’organisation, dans lequel le processus doit être relancé.
Au sein de l’organisation, il est indiqué que le niveau de management
définisse les différents Recovery Time Objectives (RTO) possibles et
utilise la même classification dans toute l’organisation. L’avantage en
est qu’en cas d’interruption d’un processus déterminé avec un impact
transversal (dans le cas du SPF Intérieur : impact pour plusieurs
directions et/ou services), une coordination transservices peut se
dérouler plus facilement. En effet, tout le monde parle la même langue
dans ce cas. Il peut également être utile de travailler non seulement
sur la base d’un RTO préfixé, mais aussi de formuler une description
générale (sorte de définition) par RTO.
Exemple de description :
-Activités vitales : Activités qui doit être prévues dans les 72h, vu le risque de
perte de vies humaines, de détérioration de l’infrastructure, de perte de
confiance dans l’autorité et de perte considérable de revenus ou de coûts
disproportionnés de reprise.
Phase 2 – Comprendre l’organisation
- Activités nécessaires : Activités nécessaires qui doivent être reprises dans
les deux semaines, vu le risque de perte considérable, de détérioration
continue ou de coûts disproportionnés de reprise.
Points de départ Dans le cadre d’une Business Impact Analyse, on examine quelles
sont les conséquences d’une interruption d’un processus-clé et
comment l’organisation peut soit relancer le plus rapidement possible
le processus-clé, soit minimaliser l’impact de l’interruption.
46
BUSINESS CONTINUITY MANAGEMENT
Méthode de travail Les méthodes de travail en vue de la collecte de données qui peuvent
être proposées sont les mêmes que celles énumérées dans le cadre
de la Business Analyse (voir infra, point 2.1, p. 36). La réalisation de
la Business Analyse et de la Business Impact Analyse sont souvent
mentionnés en une seule étape dans la littérature. Il est toutefois
possible de distinguer ces deux étapes. Cela dépend de la complexité
du processus que l’on souhaite aborder. Par processus, il convient
néanmoins de répéter toute la procédure.
Une étape suivante dans la compréhension de l’organisation consiste à mener une analyse
des risques. Cette analyse concerne les menaces éventuelles qui peuvent entraîner une
interruption des processus de l’organisation, leur probabilité de survenance et leur impact sur
l’organisation.
L’on constate à la fois dans la littérature et dans la pratique qu’il existe deux visions
divergentes en termes d’approche des risques dans le cadre du Business Continuity
Management :
Analyse des Il y a d’une part la vision qui se base sur un inventaire de tous les
risques détaillée risques possibles et une estimation de l’impact des différents risques
sur les processus de l’organisation. En fonction des ‘probabilités de
survenance du risque’ et de ‘l’impact’ que le risque produit, on définit la
stratégie et on examine quelles mesures/actions doivent être
entreprises.
Scénarios Il y a d’autre part la vision selon laquelle il n’est pas toujours nécessaire
d’élaborer une analyse des risques détaillée dans le cadre du Business
Continuity Management. Il est néanmoins important de mener une
analyse des risques à intervalles réguliers (idéalement 1 fois par an),
mais la réalisation de cette analyse n’est pas une condition absolue de
mise en œuvre du processus de Business Continuity Management au
sein de l’organisation. Une approche plus pragmatique consiste à partir
d’un risque prioritaire défini par le management ou, mieux encore, d’un
‘scénario catastrophe’. Dans ce cas, on ne se base pas sur les risques
possibles, mais sur les conséquences éventuelles pour l’organisation,
quelle que soit la menace. Les conséquences possibles peuvent être :
- un manque de facilités ou d’accès aux facilités
(bâtiments, locaux, …)
- un manque de données vitales
- un manque d’infrastructure ICT
- un manque de ressources humaines/personnel
Un piège est d’établir un plan spécifiquement axé sur un seul risque
(ex. pandémie de grippe). Il est préférable de disposer d’un plan global
qui couvre différents risques plutôt que de réaliser, pour chaque risque
Phase 2 – Comprendre l’organisation
série de petits plans, sans parler des frais d’entretien”. Les spécificités
liées à un risque déterminé seront de préférence jointes en annexe du
Global Business Continuity Plan.
Recommandation Pour le SPF Intérieur, il est recommandé, sur le plan de l’analyse des
du SPF Intérieur risques, d’actualiser l’analyse effectuée en ’03-’04. Cette analyse des
risques peut servir de point de départ pour une nouvelle analyse des
risques, de même que le système de points quelque peu adapé, si
nécessaire. Cette analyse des risques doit idéalement être actualisée
chaque année, mais il n’y a pas de condition pour pouvoir mettre en
œuvre un Business Continuity Management au sein du SPF Intérieur.
48
BUSINESS CONTINUITY MANAGEMENT
Conclusion Une analyse des risques approfondie n’est pas une condition absolue
de mise en œuvre d’un Business Continuity Management. Il est
toutefois important de réaliser régulièrement une analyse des risques
au sein de l’organisation (notamment dans le cadre du contrôle interne,
cf. supra) pour déceler les ‘nouveaux’ risques, s’y attaquer, préciser et
compléter ainsi le Business Continuity Plan. La mise en oeuvre d’une
analyse des risques est en effet un processus qui prend énormément
de temps.
En ce qui concerne l’analyse des risques, le SPF a déjà une expérience
pratique :
- Dans le cadre des projets de modernisation, l’analyse des
risques est toujours le point de départ.
- Dans le cadre de l’élaboration d’un système de contrôle interne,
une analyse des risques a également été menée en 2003 –
2004 au sein du SPF.
- Le Service d’inspection interne dirigé par Mme Goddro a
développé une méthodologie en matière d’analyse des risques.
Pour les raisons précitées, on n’approfondira pas ici la méthodologie en Phase 2 – Comprendre l’organisation
matière d’analyse des risques.
50
BUSINESS CONTINUITY MANAGEMENT
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5 BUSINESS
Exercice CONTINUITY
Entretien
Révision MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM Response :
développement et
mise en œuvre
Analyse coût- Par activité (et par sous-activité, si c’est souhaitable), il convient de
efficacité dresser la liste des propositions de mesures.
Méthode de travail Cet exercice sera idéalement mené au sein d’un groupe de travail
composé notamment du (des) détenteur(s) du processus et du
personnel qui est opérationnel dans ce processus. Dans la structure de
projet proposée pour le SPF Intérieur, il peut être perçu comme la
création de plusieurs groupes de travail (1 ou plusieurs par
direction/service, en fonction du nombre de processus qui doivent être
abordés) où siègent différents membres du personnel du service. Ce
groupe de travail est précisé par le correspondant BCM du service/de la
direction.
Ce correspondant bénéficie d’un soutien sur le plan méthodologique et
rapporte les résultats du (des) groupe(s) de travail au
coordinateur/responsable du projet BCM.
52
BUSINESS CONTINUITY MANAGEMENT
ensemble de mesures réactives, qui décrit ‘qui doit faire quoi et quand’
au cas où le risque se manifeste réellement. En d’autres termes, le plan
fournit une description des procédures à suivre. Une fois que le
management a décidé des mesures qui doivent être prises, il y a lieu
d’élaborer un plan d’approche.
54
BUSINESS CONTINUITY MANAGEMENT
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5 BUSINESS
Exercice CONTINUITY
Entretien
Révision MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM response :
développement et
mise en œuvre
Axe du temps
Réaction à l’incident
Business Continuity
Graphique : British standard, Business Continuity Management, part 1: Code of practice, p.27
Phase 4
BCM
Response
Stap 1 Stap 2 Stap 3
Structure des plans L’organisation doit disposer d’un plan ou de procédures pour chaque
de réaction phase de réaction. L’ensemble de ces plans forme le « Global
56
BUSINESS CONTINUITY MANAGEMENT
département, elles sont les plus à mêmes de tenir à jour toutes les
informations. Les coordonnées de cette ou de ces personnes sont
indiquées sur le plan lui-même. Elles sont responsables de la mise à
jour de ces données et doivent apporter les modifications nécessaires
en cas de changement. En outre, elles doivent veiller à ce que tous les
acteurs soient bien en possession de la version la plus récente du
plan. Il est donc important de travailler avec des versions numérotées.
Pour l’envoi et l’archivage électronique des documents, nous
travaillerons très probablement avec Sharepoint.
Contenu de l’IMP Voici la liste des informations et des documents que vous pourrez
trouver dans l’Incident Management Plan.
Cette liste n’est pas exhaustive.
- Procédure d'escalade
- Coordonnées essentielles (liste de contacts) : services d’incendie,
police, intervention médicale, direction…
- Liste des tâches/ listes de contrôle : procédure de gestion des
conséquences immédiates d’une désorganisation (par ex.
consignes en cas d’incendie).
- Coordonnées en cas d’urgence : procédure décrivant comment et
dans quelles conditions l’organisation fait une communication au
personnel/à la famille/aux amis et aux personnes de contact.
Informations pour contacter des proches en cas d’urgence.
- Procédures relatives aux personnes / identification des
responsables :
o Plan d’évacuation, lieux de rassemblement
o Accords concernant le transport du personnel
o Procédure de mobilisation des équipes de sauvetage, des
premiers soins et d’aide à l’évacuation
o Procédure de localisation des personnes qui étaient présentes
ou qui se trouvaient dans les environs du site
o Accords concernant le débriefing avec le personnel touché /
l’accompagnement / l’aide sociale
o Communication et débriefing sur la sécurité
- Données relatives à la localisation pour la gestion de l’incident :
autre lieu de rassemblement si le premier n’est plus accessible.
- Modèles ou formulaires pour consigner les informations vitales
développement et mise en œuvre
Business Continuity Le Business Continuity Plan (BCP) indique en détails à propos de quoi,
Plan par qui et comment certaines actions doivent être entreprises pour
58
BUSINESS CONTINUITY MANAGEMENT
Lancement du BCP L’IMP (voir plus haut) indique qui est la personne chargée du
démarrage du Business Continuity Plan ainsi que quand ce démarrage
a lieu et quelle est la procédure à suivre.
Ces informations figurent également dans le Business Continuity Plan
lui-même. En outre, le BCP indique qui contacter une fois que la
décision de lancer le BCP a été prise et dans quel ordre ces personnes
doivent être contactées (par exemple à l’aide d’une arborescence
reprenant les coordonnées des personnes de contact).
paiements urgents)
- Autres informations utiles :
- documents légaux (par ex. contrats, polices d’assurance, actes
de propriété, etc.)
- Stratégie de communication (envers le personnel / les partenaires /
les parties concernées, les fournisseurs, les médias…)
- Formulaires : modèles de journal de bord / de registre des incidents
Plan de reprise Le plan de reprise ou Business Recovery Plan décrit les activités à
réaliser pour revenir à la situation « business as usual ». Le plan
indique les objectifs de la reprise (recovery targets) ou les points de
repère (milestones) à la suite d’une interruption complète ou partielle
de certaines activités.
Evidemment, il est essentiel d’assurer d’abord la continuité des
activités les plus critiques et de la préparer avant même de prendre
des mesures pour revenir à la situation « business as usual ».
Gestion des Dans le Business Continuity Plan, il est également important d’attribuer
documents le rôle de « propriétaire de document » à une personne donnée. D’une
part, il est important que cette personne s’assure que c’est bien la
version la plus récente du plan qui est diffusée et à ce que tous les
acteurs soient bien en possession de la dernière mise à jour (contrôle
de la version). D’autre part, il est tout aussi important de conserver des
copies du plan à un autre endroit, qui soit suffisamment éloigné pour
exclure tout éventuel impact d’une menace ou d’un incident sur le
siège principal et de garantir que cet autre endroit dispose du même
niveau de sécurité que le siège principal.
développement et mise en œuvre
Phase 4 – BCM response :
60
BUSINESS CONTINUITY MANAGEMENT
Objectif Quoi ?
62
BUSINESS CONTINUITY MANAGEMENT
Fase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5 BUSINESS
Exercice CONTINUITY
Entretien
Révision MANAGEMENT
Phase 3
Stratégie BCM
Phase 4
BCM response :
développement et
mise en œuvre
réalisables et réalistes ;
- étudier la faisabilité des objectifs de reprise proposés ;
- adapter les plans en fonction des points à améliorer qui ont été
constatés durant les exercices.
64
BUSINESS CONTINUITY MANAGEMENT
Elaboration d’un Le type d’exercice choisi dépend de l’objectif visé. En d’autres termes,
exercice il est important de bien préparer l’exercice pour qu’il atteigne son but.
En général, on peut distinguer plusieurs phases successives dans
l’organisation des exercices :
4 Evaluation de l’exercice
- Juste après l’exercice, organiser un debriefing et un échange
de feedback avec les participants ;
- Au plus tard quelques semaines après l’exercice, organiser
une discussion en groupe pour dresser la liste des
recommandations et adaptations nécessaires dans le plan ;
- Rédiger un rapport avec les conclusions finales de l’exercice et
élaborer un plan d’action.
5 Phase post-exercice
- Communiquer les résultats de l’exercice au management ;
- Faire valider le plan d’action par le management ;
- Organiser des séances de suivi pour les personnes
participants à l’exercice ;
- Apporter les modifications dans les plans (dans le
Business Continuity Plan, l’Incident Management Plan et
éventuellement, le Business Recovery Plan).
Exemples Les exercices suivants peuvent par exemple être proposés pour le
d’exercices SPF Intérieur :
- Réaliser un exercice pour tester les procédures
- Réaliser un test de disponibilité : les personnes de contact
mentionnées dans les procédures et les plans sont
appelées par téléphone pour s’assurer qu’elles sont
Phase 5 – Exercice, entretien,
66
BUSINESS CONTINUITY MANAGEMENT
Graphique ‘Tableau de gestion (managementdashboard) du Business Continuity Management’ – Dexia Bank (British
Standard 25999)
Graphique ‘Système de points pour la phase 5 du cycle du BCM : Exercice – Entretien – Révision’
Phase 5 – Exercice, entretien,
révision
68
BUSINESS CONTINUITY MANAGEMENT
70
BUSINESS CONTINUITY MANAGEMENT
Phase 1
Programme BCM
Phase 2
Compréhension de
l’organisation
Phase 5 BUSINESS
Exercice CONTINUITY
Entretien MANAGEMENT
Révision
Phase 3
Stratégie BCM
Phase 4
BCM response :
développement et
mise en œuvre
Il faut convaincre un maximum de personnes du fait qu’elles ont un Phase 6 – Ancrage dans la culture
rôle important à jouer pour assurer la continuité des activités de
l’organisation. Il faut donc se montrer suffisamment attentif à
sensibiliser et à former le personnel à l’aide de programmes.
D’une part, tous les agents doivent être informés du contenu des
d’organisation
Lorsque toutes les phases du cycle de Business Continuity Management ont été réalisées, la
mise en œuvre du programme de Business Continuity Management est terminée. Cependant,
certaines tâches doivent être réalisées en permanence et de ce fait, le cycle du BCM
recommence perpétuellement. Ainsi, il est utile d’évaluer régulièrement à quels risques une
organisation peut être confrontée ou de mesurer à nouveau l’impact d’une interruption sur
l’organisation. En effet, ceux-ci peuvent différer en fonction du contexte de l’organisation. En
outre, des exercices peuvent permettre d’adapter les plans et de mettre au point la déclaration de
politique. Tout cela nous montre qu’il est nécessaire de réfléchir à l’élaboration d’une structure
permanente de Business Continuity Management ou en général, à la gestion des risques dans
l’organisation (voir point 1.3.2 structure permanente p.31).
En guise de conclusion, vous trouverez à la page suivante une synthèse des recommandations
formulées tout au long de ce document à propos de l’introduction d’un Business Continuity
Management dans l’organisation, et plus particulièrement au sein du SPF Intérieur.
Phase 6 – Ancrage dans la culture
d’organisation
72
Phase 1 Programme Business Continuity Management Phase 2 Compréhension de l'organisation
Veillez à ce qu'au sein de l'organisation, on sache clairement ce qu'on entend par Business Continuity Dressez une liste des processus au sein de l'organisation et visualisez-la à l'aide d'organigrammes.
Management. Formulez une définition d'organisation. Travaillez sur un nombre limité de processus (par exemple les processus primaires) et élargissez ensuite à
Formulez les objectifs visés. d'autres. Posez la question "quel est le minimum à faire pour reprendre les activités les plus critiques?”.
Quel est la portée du projet ? Il ne faut pas impliquer dès le début tous les services et processus. Réunissez par processus plusieurs personnes étroitement concernées et analysez ensemble le processus
Ceci peut avoir une influence sur les avancées du projet. (nommez les caractéristiques et les corrélations du processus)
Diffuser une ligne politique: communiquez de manière formelle dans l'organisation à propos du projet Fixez au sein de l'organisation plusieurs objectifs quant au temps de reprise ou Recovery Time Objectives
et de son importance. (RTO) (par exemple RTO 1 = reprise dans les 4h après l'interruption, RTO 2 = reprise dans les 12h, etc)
Fixer le Business Continuity Management comme objectif dans le plan stratégique et opérationnel de utilisés dans l'organisation et ajoutez-les à la ligne politique.
l'organisation.
Fixez au sein de l'organisation plusieurs délais maximums tolérables ou Maximum Tolerable Period of
Disruption (MTPD) (par exemple MTPD 1 = interruption maximale tolérable = 24h, MTPD 2 = interruption
Utilisez une norme ou un standard pour appuyer le Business Continuity Management.
maximale tolérable = 48h,. ). Lorsque ceux-ci sont dépassés, l'organisation subit des dégâts irréparables.
Considérez ceci comme un fil conducteur et complétez-le comme vous le souhaiter.
Réunissez par processus à nouveau plusieurs collaborateurs étroitement concernés et déterminez par
Appliquez les principes du management de projet à la mise en oeuvre du Business Continuity Management processus quel objectif quant au temps de reprise ou RTO et quel MTPD s'applique au processus et quel est
Créez une structure de projet (chef de projet, groupe de pilotage, groupe de travail) pour la mise en oeuvre l'impact de l'interruption du processus.
Prévoyez une structure de permanence pour tester, entretenir et revoir les plans (voir phase 4). Faites un rapport de cet exercice pour le management et faites leur valider l'information.
Prévoyez une formation générale relative au Business Continuity Management pour les membres de l'équipe de Ne faites pas un Business Continuity Plan par risque spécifique mais visez à réaliser un Global Business
Continuity Plan (BCP) qui couvre plusieurs risques. Des mesures spécifiques pour les risques spécifiques
peuvent être annexées au BCP global.
Phase 6 L'intégration dans la structure d'organisation Tenez compte des 4 scénarios les plus probables: manque de personnel, manque d'accès aux facilités,
manque de données vitales, manque d'infrastructure ICT.
Créez une base au sein de l'organisation et veillez à Une analyse des risques n'est pas une valeur absolue pour réaliser un Business Continuity Plan. Réalisez
ce que les membres du personnel soient conscients Phase 1 régulièrement (idéalement 1 x par an) une analyse des risques pour peaufiner le Global BCP.
qu'ils jouent un rôle important dans la garantie de la BCM Programme
continuité des activités.
Par exemple via : une campagne de communication, Phase 2
Compréhension de
une page intranet, un article dans le journal du
l'organisation
Phase 3 Business Continuity Stratégie
personnel, ...
Par processus, réunissez plusieurs collaborateurs étroitement concernés et déterminez quelles
Phase 5 Exercer, entretenir, revoir Phase 5 BUSINESS mesures doivent être prises pour continuer à garantir la continuité des processus en cas de:
Exercice
Entretien
CONTINUITY - manque de personnel
Faites en sorte qu'il soit clair qui détient toutes les - manque d'accès aux facilités
informations. Révision MANAGEMENT - manque de données vitales
Faites un programme d'exercices avec les divers Phase 3 - manque d'infrastructure ICT
types d'exercices avec leur degré de difficulté BCM Stratégie Tenez compte lors de la formulation des mesures du délai dans lequel le processus doit être repris (les
croissant. RTO fixés dans la phase précédente), du temps d'interruption maximum tolérable (le MTPD fixé dans
Implémentez les expériences des exercices et la phase précédente) et de l'impact de l'interruption du processus.
complétez ou adaptez les plans si nécessaire (voir Phase 4 Plus grand est l'impact de l'interruption du processus et plus court est le RTO, plus ‘urgentes/hotter’
phase 4) BCM Response :
développement et sont les mesures.
Prévoyez un système de suivi pour mesurer les mise en œuvre Réalisez par mesure proposée, une analyse des coûts et avantages.
avancées du projet. Faites un rapport de cet exercice et laissez le management convenir sur base de l'information
Elaborez une procédure pour l'entretien des plans rassemblée au cours des phases antérieures, quelles mesures doivent être prises.
réalisés (garder à jour les données et diffuser la Réalisez un plan d'action pour la mise en oeuvre des mesures approuvées.
version la plus récente). Faites une distinction entre les mesures préventives, correctives et réactives.
Prévoyez les moyens nécessaires (budget et personnel) pour l'exécution des actions.
Phase 4 Développer et mettre en œuvre le Business Continuity Respons
Notez les mesures réactives (l'intervention en cas d'interruption réelle) dans :
- Le Incident Management Plan (lorsque ceci concerne la gestion du risque dans une phase
aigüe ou la limitation des dégâts)
- le Business Continuity Plan (lorsque ceci concerne la reprise ou la poursuite des processus
les plus critiques)
- le Business Recovery Plan (lorsque ceci concerne le retour à la situation normale)
Notez ces mesures sous forme de procédures, accords, coordonnées, etc. Par exemple pour:
- L'Incident Management Plan, il peut s'agir d'une procédure d'évacuation.
- Le Business Continuity Plan, il peut s'agir d'une procédure pour appeler des back-ups et
d’une liste des coordonnées.
- Le Business Recovery Plan, il peut s'agir d'une procédure pour la reprise d'un processus non
critique.
PARTIE 3
- Documents de travail -
BUSINESS CONTINUITY MANAGEMENT
PROJET
Nom Date
Intranet
Personel BiZa
Le SPF Intérieur est chargé d'un large éventail de missions qui touchent à 4 grands
domaines:
- L'accès au territoire et le séjour sur notre territoire d'étrangers: accès des étrangers
au territoire, leur séjour, établissement, retour et expulsion. La gestion des centres
fermés, des centres de transit et des centres de rapatriement et la collaboration à la
lutte contre l'immigration clandestine et le trafic d'êtres humains.
Ces missions sont toutes très importantes d’un point de vue social. Par conséquent, le SPF
Intérieur doit pouvoir garantir l'exécution effective et efficace de ces missions et ce, non
seulement dans des circonstances normales. Le SPF Intérieur doit être en permanence
capable d'exécuter ses missions, également lorsque les circonstances sont de nature à
mettre en danger la continuité de celles-ci.
Le SPF Intérieur estime dès lors qu'il est important de s'organiser et de prendre les
mesures nécessaires afin qu'en cas d'interruption d'un ou plusieurs processus, il soit
capable d'intervenir rapidement et résolument afin de reprendre aussi vite que possible
les principales activités critiques.
Le Programme de Business Continuity Management du SPF Intérieur vise en première instance les 4
grandes conséquences des risques qui peuvent mettre en danger la continuité de notre service à savoir:
Les Directions Générales et les services du SPF Intérieur qui suivent s'y prépareront et élaboreront
les mesures nécessaires:
- Direction Générale Centre de Crise
- Direction Générale Sécurité et Prévention
- Direction Générale Institutions et Population
- Direction Générale Sécurité Civile
- Office des Etrangers
- Service d'encadrement P&O
- Service d'encadrement ICT
- Service d'encadrement B&B
- (Commissariat général pour les Réfugiés et les Apatrides)
- (Conseil du Contentieux des Etrangers)
Bruxelles, dd.mm.jjjj
Phase 1 - Programme BCM
Le programme de formation
La politique d'exercice
Le programme de révision
PROJET
Fiche de projet
Fiche de projet
Nom du projet: Mise en œuvre du Business Continuity Management au sein du SPF
Intérieur
Appartenant à:
Service Public Fédéral Intérieur
Chef de projet:
X
Donneur d'ordre:
Mademoiselle De Knop, Présidente du Comité de direction
Coûts:
- Investissement en temps personnel
- Formation du personnel concerné
- Investissements pour l'élaboration de certaines mesures
spécifiques (par exemple un centre externe de back-up pour les
données sur le réseau, l'aménagement d'un endroit alternatif,...)
PROJET
QUESTIONNAIRE - BUSINESS ANALYSE
Nom processus:
Relation avec les Quelles sont les relations de ces processus avec les autres sections ou les
autres processus tiers ?
Caractéristiques
INPUT OUTPUT
PROCESS
Un input est quelque chose qui est transformé, dépensé, utilisé, traité, ... dans
le processus. Les exemples d'input dans un processus peuvent être : les
coordonnées d'une personne de contact, une requête, une demande de
formation du propre personnel, une demande d'un citoyen au guichet, une
demande de congé, une facture d'un fournisseur,…
Cet input est transformé en output pour satisfaire aux besoins et attentes du
demandeur. Dans les processus administratifs, l'input est généralement lié aux
données.
Fin L'évènement final est le moment où les activités ne sont plus nécessaires.
Obligations statutaires et légales • Est-ce que l'organisation s'expose à des obligations légales si le processus n'est
Continuité de la propre organisation • Quelle est l'influence de l'interruption du processus sur la continuité des
autres processus au sein de l'organisation?
MTPD (Maximum Tolerable Period of Interruption maximale tolérable: Après combien de temps une interruption engendre un risque
Disruption) de dégâts graves, irréparables pour l'organisation ?
Description
MTPD1 L'organisation peut subir des dégâts irréparables si le processus est
interrompu pendant 24h ou plus.
MTPD2 L'organisation peut subir des dégâts irréparables si le processus est
interrompu pendant 48h ou plus.
MTPD3 L'organisation peut subir des dégâts irréparables si le processus est
interrompu moins de 48h.
MTPD4 Une interruption du processus n'entraînera pas nécessairement des dégâts
irréparables pour l'organisation.
Objectif quant au temps de reprise : Quel est le délai fixé par l'organisation dans lequel le
RTO (Recovery Time Object) processus doit être rétabli ? Attention: S'il y a des corrélations entre les processus (voir
Business Analyse), il faut que le RTO de ces processus soit harmonisé.
Description
RTO 1 Le processus doit reprendre dans les 4 heures après l'interruption
RTO 2 Le processus doit reprendre dans les 4 - 24 heures après l'interruption
RTO 3 Le processus doit reprendre dans les 24 - 48 heures après l'interruption
RTO 4 Le processus doit reprendre dans les 48h - 5 jours après l'interruption
RTO 5 Le processus doit reprendre dans les 5 - 10 jours après l'interruption
RTO 6 Le processus peut être interrompu pendant > 10 jours
Quels sont les moyens dont le rétablissement dépend le plus ?
Dépendances - Moyens Déterminer les priorités pour le rétablissement des moyens énumérés dans la Business
Analyse.
3 MINOR Après combien de temps le manque de/l'indisponibilité de …..provoqueraient des désagréments pour le processus?
1 CRITICAL Après combien de temps l'indisponibilité de …..aurait un effet critique sur le processus (le processus s'arrête)?
PROJET
TEMPLATE - MESURES BUSINESS CONTINUITY
Nom processus:
Synthèse
Alternatives présentes:
Manque de personnel
Manque de facilités/infrastructure
Manque d'ICT
PROJET
TEMPLATE - BUSINESS CONTINUITY PLAN
I. INTRODUCTION
Objectifs:
Autorités:
Liste de distribution
1. Mission et activités-clés
2. Rôles et responsabilités
a. BCM Sponsor:
b. BCM Coordinateur:
c. BCM Equipe de projet:
3. Procédures d'activation
4. Lieu alternatif
a. Pour la réunion BCM response team
b. Pour l'exécution des processus-clés
5. Stratégie de communication
Personnel
Chefs de service
Fournisseurs
Médias
Autres
5. Dépendances
6. Données vitales
Description Où ? Coordonnées
7. Matériel
Description Où ? Coordonnées
8. Facilités
Description Où ? Coordonnées
9. Fournisseurs/consultants
Description Où ? Coordonnées
Répétez le point III par processus et selon l'ordre d'importance des processus
1 Objectif 3
V Coordonner ses actions avec les services horizontaux, les organisations externes et les autorités
publiques 10
2
1 Objectif
Le but de ce document est de fournir un ensemble de points essentiels à prendre en considération afin de
préparer l’ensemble des secteurs de la vie socio-économique à faire face à l’émergence d’une pandémie de
grippe.
L’élaboration d’un business continuity planning (BCP) met en avant la pro-activité de l’organisation et permet de
donner un signal au personnel et aux partenaires quant à la prise en considération des problèmes que pourraient
entraîner la pandémie de grippe. La mise en place d’un tel plan aidera également l’organisation qui le développe
à faire l’état des lieux des ressources et renseignements nécessaires pour faire face à une pandémie de grippe.
En outre, ce BCP pourra être utilisé pour d’autres situations qui pourraient perturber la continuité des affaires.
Avant toute chose, il faut souligner l’importance centrale du rôle que joue le service « Ressources
Humaines/Personnel et Organisation » (RH/PO) de chaque organisation dans l’élaboration de ce plan, vu le taux
attendu d’absentéisme du personnel.
Les informations fournies dans ce document proviennent de conseils émanant de l’OMS et sont également
inspirées des business continuity plannings établis au sein des gouvernements du Canada et des USA. Ces
informations sont de nature générale et devront être adaptées à la situation de chaque lieu de travail.
3
3 Planification de la continuité des affaires en cas de pandémie de grippe
Les conséquences de la pandémie toucheront essentiellement les ressources humaines, impliquant de nombreux
impacts dans l’ensemble de la vie socio-économique.
Par exemple :
- la dégradation de services essentiels : services d’information et télécommunications,
approvisionnement en énergie, eau, nourriture et transport, perturbation du système bancaire
(disponibilités de fonds)
- la difficulté d’obtenir l’approvisionnement nécessaire à la poursuite des activités (ex : problèmes lié à
l’importation, la livraison, les services sous-traités)
- l’affection de l’offre et la demande dans certains secteurs : les services liés à la santé (ex : hôpitaux,
médecins), la sécurité (ex : police) ou à la communication (ex : Internet, téléphonie) seront fortement
sollicités, alors que la demande de services liés aux activités de loisirs (ex : secteur du tourisme, de
la culture, certains secteurs de l’HORECA) risque de chuter
Les instances publiques seules ne seront pas en mesure de répondre à l’ensemble des problèmes que pourra
rencontrer la population belge en général. Une coordination et une collaboration entre le niveau public et privé est
donc indispensable, ainsi qu’une politique efficace d’information, pour limiter les conséquences de la pandémie
de grippe.
La liste des éléments à prendre en considération pour l’élaboration d’un business continuity planning peut être
répartie en cinq grands thèmes :
I Réduire l’impact de la pandémie sur le travail
II Protéger la santé du personnel
III Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe
IV Assurer une formation et une communication adéquates
V Coordonner ses actions avec les services horizontaux, les organisations externes et les autorités
publiques
4
Pas
Terminé En cours I. Réduire l’impact de la pandémie sur le travail (1) Moyens utiles proposés pour réaliser cette tâche
commencé
5
Pas
Terminé En cours I. Réduire l’impact de la pandémie sur le travail(2) Moyens utiles proposés pour réaliser cette tâche
commencé
7. En fonction du rôle de l’organisation, développer et prévoir des scénarios
susceptibles d’aboutir à une augmentation ou diminution de la demande de vos
produits et/ou services pendant une pandémie (ex : diminution probable de la
demande en matière de restauration suite à l’éventuelle restriction sur les
rassemblements, demande accrue de l’aide des services de secours, besoin plus
important de matériel d’hygiène).
8. Déterminer l’impact potentiel d’une pandémie de grippe sur les finances et le budget Support de la part du service « Budget/Finances», en
de l’organisation, en fonction de son rôle et de ses besoins. fonction des différents scénarios possibles.
9. Prévoir l’impact potentiel d’une pandémie de grippe sur les déplacements et les
voyages d’affaire nationaux et internationaux (ex : possibilité d’une diminution des
moyens de transport, de quarantaines, de fermetures des frontières).
1
Avec l’aide du service ICT, du service RH/PO, du SIPPT ,
10.Etudier les différentes possibilités alternatives : faire l’état des lieux des possibilités en infrastructure et en
- de lieux de travail ou façon de travailler (ex : le télétravail, la vidéoconférence) moyens logistiques sur le lieu de travail (ex :disponibilité
- de transport (ex : si la fréquence des transports en commun est diminuée, il
de locaux, de vidéoconférences, des travailleurs à leur
faut s’assurer que les personnes remplissant des fonctions indispensables
pourront se rendre sur leur lieu de travail) domicile, de lits, de sanitaires, de voitures) et
- d’hébergement (ex : envisager la possibilité, pour que les personnes éventuellement au domicile du personnel concerné (ex :
remplissant des fonctions indispensables, de loger sur place si nécessaire) disponibilité d’un ordinateur, connections Internet,
vidéoconférence)
Suivre les informations diffusées notamment par les
11. S’informer continuellement sur la pandémie de grippe, via des canaux
médias.
d’informations officiels, actualisés et fiables (ex : information émanant d’un organe
officiel de santé publique) Visiter le site www.influenza.be ou téléphoner au numéro
0800/99 777
12. Établir un plan de communication et l’actualiser régulièrement. Ce plan doit
comprendre :
- l’identification de la (ou les) personne(s) en charge de la coordination de la
planification et de la gestion de la crise suite à une pandémie de grippe
- l’identification des personnes accomplissant des fonctions-clés, ainsi que leurs A élaborer au sein des services « RH/PO » et
remplaçants « Communication ».
- une chaîne de communication, incluant les partenaires indispensables (ex :
groupes-cibles, fournisseurs, clients)
- un processus permettant de diffuser régulièrement l’état de la situation de
l’organisation et celle du personnel
13. Organiser un exercice pour tester votre plan et l’actualiser régulièrement.
1
SIPPT= Service Interne de Prévention et de Protection du Travail
6
Pas Moyens utiles proposés pour réaliser cette
Terminé En cours II. Protéger la santé du personnel
commencé tâche
1. En période de pandémie de grippe, prévoir et autoriser les absences du personnel qui sont liées à
des facteurs tels que :
- la maladie personnelle Solliciter l’aide du service «RH/PO» afin de
- la maladie d’un membre de la famille prévoir des procédures spécifiques en cas
- des mesures collectives de contraintes ou de quarantaines d’absence selon les cas cités.
- la fermeture d’école et/ou d’entreprise
- la diminution voire la suppression des transports publics
2. Renforcer les mesures destinées à freiner la contagion via :
- l’application de mesures d’hygiène personnelles renforcées : lavage fréquent des mains au Solliciter le service « Budget/achats », afin
savon et séchage avec une serviette jetable, utilisation de mouchoirs en papier à usage unique de prévoir :
qui sont jetés dès la première utilisation, mettre sa main devant sa bouche en cas de toux ou - des produits d’hygiène (désinfectant,
d’éternuement et ensuite se laver les mains, port éventuel du masque savon, mouchoirs et serviettes jetables,
- l’application des mesures d’hygiène renforcée au sein du bâtiment : désinfection des bureaux solution alcoolique pour les mains,
des personnes malades (en ce compris la table du bureau, les téléphones, claviers, fournitures masques, gants) et de nettoyage
de bureau), nettoyage fréquent renforcé, ramassage fréquent des poubelles contenant des (désinfectant pour sol et surfaces, sacs
mouchoirs usagés sans risque de contamination poubelles spécifiques) en suffisance
- la réduction des contacts entre les personnes, en interne et avec les partenaires externes: - du personnel nécessaire pour assurer
maintenir une distance sociale (les recommandations générales de santé prévoient une l’hygiène
distance de minimum un mètre entre chaque individu), ne pas se serrer la main, éviter les lieux - un aménagement particulier des bureaux
de rassemblements (cantine, réunions)
3. Encourager et tracer la vaccination annuelle contre la grippe saisonnière du personnel faisant
partie des groupes à risque (la préparation d’un vaccin pandémique est liée aux capacités de
production du vaccin contre la grippe saisonnière)
4. Identifier le personnel à risque d’exposition majeure :
- personnel en contact avec un public nombreux En concertation notamment avec le SIPPT,
- personnel en contact avec un public susceptible d’être malade (ex : professionnels de la santé,
prévoir des équipements adéquats et des
personnel des hôpitaux)
- personnel en charge de l’hygiène et du nettoyage mesures de protection en fonction du risque
- professionnels en contact avec toute espèce, vivante ou morte, susceptible de pouvoir être encouru par le personnel concerné.
contaminée (ex : professionnels d’élevage de volatiles, pompes funèbres)
5. Identifier les membres du personnel et les partenaires ayant des besoins spécifiques, et intégrer
les besoins de ces personnes dans votre plan de préparation (soutien en matière de santé et de
besoins psycho-sociaux)
Prévoir un système de ramassage des
poubelles contenant des mouchoirs usagés
6. Assurer, au sein de l’organisation, la gestion de l’environnement, de la climatisation, des déchets.
sans risque de contamination, supprimer la
climatisation.
7
Pas III. Elaborer des politiques à mettre en œuvre en cas de pandémie de grippe
Terminé En cours Moyens utiles proposés pour réaliser cette
commencé (L’ensemble des tâches reprises ci dessus et ci bas doit être réalisées dans une dynamique générale, préparée et
élaborée. Il convient donc de définir des politiques et des directives afin de clarifier les décisions prises par la direction. Des tâche
mesures génériques par secteur peuvent utilement être envisagées)
1. Définir une politique en matière d’indemnisation des employés et d’absence pour congé de Identifier avec le service «RH/PO» et le
maladie propre à la pandémie de grippe (ex. congés non punissables, libres), ainsi que des service SIPPT les procédures et mesures
directives prévoyant le moment où une personne, auparavant malade, n’est plus contagieuse spécifiques nécessaires, en accord avec la
et peut retourner travailler. direction et suite à ses décisions.
Identifier avec le service «RH/PO» et le
2. Définir des directives en ce qui concerne les lieux et modes de travail alternatifs (ex. SIPPT les procédures et mesures
télétravail) et les heures de travail flexibles (ex. équipes variables). spécifiques nécessaires, en accord avec la
direction et suite à ses décisions.
Identifier avec le service «RH/PO» et le
3. Définir des directives afin d’empêcher la propagation de la maladie sur le lieu de travail (ex.
SIPPT les procédures et mesures
encourager une hygiène personnelles et certains comportements sociaux, prévoir l’exclusion
immédiate des personnes présentant des symptômes de la grippe). spécifiques nécessaires, en accord avec la
direction et suite à ses décisions.
4. En ce qui concerne les risques spécifiques de contamination, définir des directives pour le Identifier avec le service «RH/PO» et le
personnel étant:
SIPPT des procédures et mesures
- plus exposé à un risque de contamination de la maladie
- soupçonné d’être malades ou de le devenir sur le lieu du travail (ex. congé de maladie spécifiques nécessaires, en accord avec la
immédiat et obligatoire). direction et suite à ses décisions.
6. Définir les autorités, les déclencheurs et les procédures permettant d’activer et de mettre fin Identifier avec le service «RH/PO» les
au plan d’action de l’organisation, ce qui va provoquer une alerte pour les activités procédures et mesures spécifiques
professionnelles de l’organisation (ex. mettre fin aux activités dans les zones touchées) et nécessaires, en accord avec la direction et
implique le transmis des informations clés au personnel concerné. suite à ses décisions.
Identifier avec le service «Communication »
7. Déterminer une politique en matière de communication de crise, comprenant : les procédures et mesures spécifiques
- une communication interne et externe : avec le personnel, les partenaires et groupes-
nécessaires, en accord avec la direction et
cibles, ainsi qu’avec le reste de la population (via les médias)
- un communication avant l’émergence d’une pandémie (anticipation-préparation) et une suite à ses décisions. Ces procédures et
communication en période pandémique (gestion). mesures spécifiques s’intègreront dans la
stratégie globale de communication.
8
Pas
Terminé En cours IV. Assurer une formation et une communication adéquates Moyens utiles proposés pour réaliser cette tâche
commencé
9
Pas V. Coordonner ses actions avec les services horizontaux, les organisations Moyens utiles proposés pour réaliser cette
Terminé En cours
commencé externes et les autorités publiques tâche
4. Collaborer avec les systèmes de santé prévus au niveau de la santé publique, au niveau
fédéral et local, et/ou les urgences pour :
- connaître leurs plans et communiquer les vôtres (en fonction des possibilités)
- participer à la planification des processus si cela est pertinent et si votre organisation
a été sollicitée en ce sens par les autorités concernées
- définir ce que votre organisation peut fournir à la communauté/au secteur.
10
ANNEXE 2
Pour le SPF Intérieur, on recommande dans le cadre du Business Continuity Management, de réaliser
un global Business Continuity Plan permettant au SPF de se préparer à une éventuelle interruption
des activités les plus critiques. Il est dés lors conseiller de ne pas tant se fixer sur tous les éventuels
risques auxquels le SPF peut être confronté (et dès lors élaborer un BCP pour chaque éventuel
risque) mais plutôt sur les éventuelles conséquences des risques.
- manque de personnel
- manque d'ICT
- manque de données/informations
- manque de facilités
Ceci n'exclut pas qu'on travaille sur certains risques spécifiques (par exemple ‘l’apparition d'une
pandémie de grippe’). Dans ce cas, il vaut mieux joindre les mesures relatives au Business Continuity
au global Business Continuity Plan.
Les mesures à prendre en matière de personnel (faire en sorte qu'il y ait suffisamment de personnel
pour poursuivre les activités critiques) font déjà parties du ‘Global Business Continuity Plan’. En
d'autres mots, toutes les directions doivent prendre les mesures nécessaires pour s'assurer qu'il y ait
suffisamment de personnel disponible/formé pour poursuivre les activités les plus critiques en cas de
pandémie de grippe et par conséquent lorsque le nombre d’absences pour raison de maladie est
élevé.
Le principal objectif de ces mesures est d’assurer le bien-être des collaborateurs de l'organisation et
de les annexer au Global Business Continuity Plan.
Voici une liste de plusieurs mesures que le SPF peut préparer en vue d'une pandémie de grippe:
Il vaut mieux que ces mesures soient préparées par: la Cellule Centrale d'Information et de
Communication en collaboration avec le service d'encadrement P&O, les correspondants P&O, les
communicateurs DGCC (garantir la cohérence entre la politique de communication émanant de la
Santé publique et le contenu de la communication au sein du SPF Biza)
1. Accords sur la méthode de travail relative à la communication interne (qui communique quand
vers le personnel/critères): CCIC, service d'encadrement P&O, Service Interne pour la
Protection et la Prévention au travail (SIPP), Centre de Crise.
2. Diffusion de l'information:
En cas d'activation du BCP (en attendant le global BPF, il faut se mettre d'accord sur les
critères/procédure pour la diffusion), diverses procédures et rondes d'informations peuvent
être mises en place afin que chacun sache rapidement ce que la nouvelle situation entraîne.
Une note d’information adressée à temps au personnel peut éviter de semer le trouble et
contribue à limiter la propagation de la maladie. Les aspects qui doivent être abordés lors des
instructions:
• Quels symptômes doivent vous faire penser à une grippe ? (cf. par
exemple le tableau avec la comparaison entre les symptômes d'un simple
rhume et ceux d'une grippe)
• Quelles sont les procédures (adaptées) prévues dans l’entreprise pour se
déclarer malade lors d’une pandémie de grippe ?
• Que peut-on faire au sein de l’entreprise pour limiter autant que possible le
risque de contamination ?
• Que faut-il faire si la grippe a été constatée chez votre(vos) collègue(s) ?
• Que peut-on faire à la maison en cas de grippe pour limiter autant que
possible le risque de contamination (pour vous et les membres de votre
famille) ?
• Quand peut-on reprendre le travail et quelle procédure doit être suivie ?
3. Page internet reprenant e.a. toutes les informations importantes (critères justifiant l’absence
en cas de pandémie de grippe, soutien psychologique et disponibilité morale pour le
personnel, évolution de la pandémie en chiffres, répétition des mesures d’hygiène, etc…)
4. Point général de contact pour le personnel (site web/ numéro d’urgence – conserver le lien
social personnel/organisation – communication et suivi de la situation):
• Point de la situation de la pandémie au sein de l’organisation (absence, suivi situation
relative au fonctionnement du service)
Il vaut mieux que ces mesures soient préparées par: Service d'encadrement P&O en collaboration
avec les correspondants P&O (en collaboration avec SIPP pour le point 6).
1. Adaptation des procédures pour la déclaration de maladie. Etre préparé à et autoriser des
absences du personnel lors d’une pandémie de grippe en raison de :
• Propre maladie
• Maladie d’un membre de la famille
• Mesures de restriction collective ou quarantaines
• Fermeture d’une école et/ou entreprise
• Diminution ou même suppression du transport public
2. Adaptation des directives relatives au retour du congé de maladie (éviter que les personnes
puissent revenir plus tôt de leur congé de maladie, par exemple, en dérogeant
temporairement à la possibilité de reprendre spontanément le travail plus tôt, cf. note de
service du 11-01-2008 relative à l’absence pour maladie – réglementation générale, point 2,4)
4. Contrôle de la situation - bon suivi du déroulement de la maladie (ce qui peut éventuellement
pousser le management à fermer certains services).
5. Il est utile de vérifier si on peut réduire ou éviter les concentrations de personnel (par
exemple, fermer provisoirement la cafétéria)
Littérature:
CORNELIS B., JUPRELLE P., BRUNET S., dir, Federal Risk Inventory, Survey and
Knowledge building (FRISK), Convention VIII/C/P2003, Rapport final, Révision, Liège:
Université de Liège, November 2004.
KENNEDY S. en HILL D., BCP for smarties. Super user group meeting, Office of Audit,
Compliance & Privacy, s.l., October 10 2005.
LILBURN WATSON D., A guide to Business Continuity Management using BS25999, s.l.,
s.d.
VARGHESE R., Maintaining Local Government Business Continuity. Preparing for a Local
Crisis within a Global Pandemic, Virginia: Public Health Division, USA, s.d.
WITHBECK, Dave, dir., Oregon Secretary of State: Business Continuity Planning Project
Human Resources Division Business Impact Analysis Report, version 1.2, s.l., 10 april 2008.
WOODMAN P., Business Continuity Management 2008, Cabinet Office in association with
Continuity Forum, s.l., March 2008.
Activiteiten voor het Comité voor Financiële Stabiliteit 2003-2007, Activiteitsverslag 2007,
België, 6 juni 2008
Business Continuity Planning Guide, First edition, Property Advisers to the Civil Estate,
st
Central Advice Unit, s.l., 1 May 1998.
nd
Business Continuity Guide, 2 edition, Alberta Emergency Management Agency, Alberta
Municipal Affairs and Housing, Edmonton, Canada, march 2007.
Business Continuity Guide for Small Businesses, AXA Insurance UK, London, UK, 2004.
Verbeterprojecten, BPR, Instrument bij de modernisering van de federale overheid, Brussel:
Federal Overheidsdienst Personeel & Organisatie, april 2005.
Business Continuity Planning for small to medium-sized businesses, Norfolk County Council
Emergency Planning Unit and Norfolk Major Incident Team, UK, s.d.
Business Continuity Management, A staff Guide, Version 2.0, Financial Services Authority,
UK, August 2007.
Business Continuity Management (BCM), International Faculty for Executives, s.l., 2006.
Business Continuity Planning, BCP Prepardness Planner, Upper Mohawk Inc., USA, s.d.
Business continuity planning guide, First Edition, Property Advisers to the Civil Estate
(PACE), s.l., May 1998.
Guide to developing a business Continuity Plan, Guidance for Oregon Agencies, DAS,
provided by Enterprise BCP Program, Oregon, USA, may 2008.
Het communicatieplan van een project opstellen, Gids voor de federale communicatoren,
COMM Collection, nr.12, Brussel: Federale Overheidsdienst Personeel & Organisatie,
December 2005.
How prepared are you? Business management toolkit, version 1, Her Majesty’s Government,
s.d.
Mission statement- Uittreksel, Dienst Interne Inspectie FOD Binnenlandse Zaken, Brussel,
December 2007.
Model Business Continuity Plan for State Agencies, State of Oregon, USA, May 2008.
Business Continuity Management, Vlaamse Maatschappij voor Sociaal Wonen, België, 24
april 2008.
Nota aan de leden van het Directiecomité, Interne controle – FOD Binnenlandse Zaken,
Brussel, 1 juli 2003.
Pandemic Influenza Response Plan – Business Continuity Planning Tool Kit, Niagara Region
Public Health, Canada, November 2006.
Professional Practices for Business Continuity Planners, DRIBCI, s.l., 28 august 2003.
“ISO/PAS 22399 provides international best practice for preparedness and continuity
management” in ISO Management System, January-February 2008, p.5-9.
Rapport de projet: Analyse des risques, Service Inspection Interne, Bruxelles : Service
Public Fédéral Intérieur, November 2008.
Rapport interne controle: risicoanalyse, FOD Binnenlandse Zaken, Brussel, 9 maart 2004.
De risicoanalyse, Algemene Directie Humanisering van de Arbeid et al., Brussel, Mei 2006.
Risk Assessment Questionnaire, BCM & Risk Management Program, Office of the State
Chief Information Officer, Information Technology Services, Raleigh, North Carolina, USA,
2004.
The National Forum for Risk Management in the Public Sector, Publications page,
http://www.alarm-uk.org/publications.aspx , pagina geconsulteerd op 5 september 2008.
Educause Center for Applied Research, Shared Responsibility for Business Continuity: The
Team Approach at UCLA,
http://www.educause.edu/ECAR/SharedResponsibilityforBusines/155130 , pagina
geconsulteerd op 26 november 2008.
NC State University, Business Continuity and Disaster Recovery Department: Project Plan,
http://www.ncsu.edu/ehs/BCP/project_plan/ , pagina geconsulteerd op 26 november 2008.
The National academies, Business Continuity and Disaster Recovery Planning References,
http://www.nationalacademies.org, 17 november 2008
Entretiens :
Gesprek met Bart Van Herzele, Operational Risk Management bij Dexia, Business continuity
& Crisismanagement, 9 april 2009.
Gesprek met Els Goddro, Hoofd van de dienst Interne Inspectie, FOD Binnenlandse Zaken,
02 februari en 27 februari 2009.
Gesprek met Eric Thonnard, Business Continuity Planning Manager bij Belgacom,
Présentation de l’approche globale et de la méthodologie de Belgacom en matière de
business continuity planning, 19 december 2007.
Présentations et séminaires :
DAMOISEAU Ronny, Risicoanalyse met betrekking tot BPR, BCM, interne Controle, FOD
Budget & Begroting, Management Support, Brussel, 18 februari 2009.
FAURE F., Présentation BCP, Sernoptès Conseil, Visite à la DG Centre de Crise, SPF
Intérieur, Bruxelles, 10 december 2007.
Législation :
Koninklijk Besluit betreffende het intern controlesysteem binnen sommige diensten aan de
federale uitvoerende macht, Brussel, 17 augustus 2007 (BS 18/10/2007).