ministère de la sécurité publique - outils et moyens …...outils et moyens pour implanter la...
TRANSCRIPT
Outils et moyens pour implanter la continuité des opérations dans votre organisation
Colloque sur la sécurité civile, 15 février 2012Mariette Trottier
Ministère du Développement économique, de l’Innovation et de l’ExportationDenis Brousseau
Réseau d’échange en continuité des opérations du Québec
Déroulement
• Définition de la continuité des opérations et références
• Sondage du MDEIE sur la continuité des opérations• Avantages de la continuité des opérations• Mettre en place un Plan de continuité des opérations
− Éléments potentiels− Documents précisant les responsables et les procédures − Étapes à franchir (6)
• Guide en gestion de la continuité des opérations pour les entreprises
• Période de questions/échanges
Définition et références
• Capacité stratégique et tactique d’une organisation à planifier et à faire face à des incidents ou des perturbations (aléas), dans le but de poursuivre ses opérations à un niveau acceptable préétabli.
Source : BCI
Références utiles en continuité des opérations :• Principales normes : BS25999, ISO 22301, NFPA / CSA
Z1600• Instituts professionnels :
– Business Continuity Institute (BCI)– Disaster Recovery Institute (DRI)
• Association de professionnels au Québec : RÉCO-Québec
Sondage du MDEIE sur la continuité des opérations
• Contexte
• Pourquoi un sondage?
• Méthodologie
Sondage du MDEIE sur la continuité des opérations (suite)
• Définition d’une entreprise déterminante :– elle possède un nombre d’employés relativement important et
significatif;– elle a un impact sur sa communauté.
• D’autres facteurs peuvent aussi être considérés pour qualifier une entreprise de déterminante :– elle œuvre dans un créneau d’excellence de la région;– elle est établie dans une ville mono industrielle;– elle est un grand donneur d’ordres;– elle est considérée comme un intégrateur;– elle est un sous-traitant stratégique;– ou selon d'autres facteurs pertinents propres à la région.
Sondage du MDEIE sur la continuité des opérations (suite)
• 38 % des entreprises déterminantes ont prévu des mesures d’urgence regroupées dans un document qu’on pourrait qualifier de « plan de continuité des opérations »
Avantages de la continuité des opérations
Selon le sondage réalisé par le MDEIE
Avantages Nombre %Réponses plus efficaces au moment d'un incident 103 042,7Gestion de la crise/prise en charge des opérations plus faciles 031 012,9Poursuite des opérations critiques/continuité de l'entreprise mieux assurées 025 010,4Meilleure préparation/prévision de l'imprévisible 019 007,9Sécurité des employés/protection de la vie des employés améliorée 011 004,6Démonstration de l'image d'une entreprise responsable 008 003,3Confiance des clients et des partenaires financiers renforcée 008 003,3Reprise plus rapide des activités 006 002,5
Mettre en place un Plan de continuité des opérations (PCO)
• Les éléments potentiels d’un PCO déjà en place :– plan de sécurité incendie– procédure d’alerte et de mobilisation en cas d’urgence– plan de pandémie– sauvegarde des données à l’externe– capacité d’effectuer une activité sur plusieurs sites – capacité de travailler à distance– descriptions de tâches
Mettre en place un PCO (suite)
• Les documents précisant les responsables et les procédures en cas de sinistre, selon le sondage du MDEIE
Type de document Nombre %
Plan d'urgence 95 31,4Liste des personnes à contacter en cas de sinistre 31 10,2Procédure d'alerte et de mobilisation 25 08,3Le rôle de chaque employé en cas de sinistre 25 08,3Plan de remplacement (ressources humaines, matérielles, informatiques) 22 07,3Plan de sécurité incendie 21 06,9Plan de communication 20 06,6Plan de contingence 19 06,3Plan d'évacuation 14 04,6Plan en cas de pandémie 09 03,0
Mettre en place un PCO (suite)
• Les 6 étapes du processus de développement d’un PCO
ÉTAPE 1
Avoir l’aval et l’engagement de la direction de votre organisation.Nommer un responsable de la mise en place et de la continuité du plan.Avoir les ressources requises :
• humaines, matérielles, financièresPrendre en considération :
• les objectifs de l’organisation• les partenaires et les fournisseurs
ÉTAPE 2Intégrer la continuité des opérations dans la culture de l’entreprise.
• prendre en compte le contexte :− la tolérance aux risques de l’entreprise − les réflexes naturels du personnel− les solutions efficaces déjà existantes en lien avec la CO
• établir les besoins de formation• tenir des activités de sensibilisation et de formation• établir les plans de communication appropriés• s’assurer de l’intégration de la CO dans l’évolution de
l’entreprise
ÉTAPE 3
Connaître votre environnement de travail.
• risques naturels :− inondations, grandes marées− tremblements de terre− affaissements des sols− zone de vents forts
Étape 3 (suite)
Connaître votre environnement de travail.
• risques technologiques :− accidents de transport à cause de chemins de fer ou
d’autoroutes à proximité− manipulation de substances dangereuses− équipement ou machinerie à risque
Étape 3 (suite)
Connaître votre environnement de travail.
• risques humains ou anthropiques :− gangs de rues− zone à forte criminalité (vols, recels)− entreprises non désirées− problèmes internes avec le personnel
Types de sinistres qu’uneentreprise a subis ou pourrait subir
Selon le sondage du MDEIEAyant déjà
subiEstimant être
exposéeNombre % Nombre %
Incendie ou feu de forêt 065 042,7 206 060,4Inondation 019 012,8 025 007,4Tremblement de terre 00- 000- 019 005,6Tempête de verglas 025 016,5 011 003,3Vandalisme/vol/terrorisme 006 003,7 006 001,7
Défaillance technologique/ bris informatique/bris de machinerie
005 003,3 004 001,3
Panne électrique prolongée 008 005,1 008 002,4
Conséquences des sinistres subis ou anticipéspar les entreprises
Selon le sondage du MDEIE
Conséquences Nombre %Perte de production 178 034,6Perte de revenus 082 015,9Pertes matérielles (bâtiments, équipements, etc.) 078 015,1Fermeture de l'entreprise 040 007,8Pertes financières dues à la reconstruction ou à l’achat d'équipement 024 004,7Pertes humaines 023 004,5
Étape 3 (suite)
Inventorier les risques qui pourraient nuire aux opérations essentielles et critiques de votre organisation.
Déterminer leurs impacts sur vos opérations.
Identifier les gestes qui pourraient être posés pour éliminer ou atténuer ces risques.
Mesures prises ou prévues par les entreprises
pour continuer leurs activités
Selon le sondage du MDEIE
Mesures prises Nombre %Alternative de relocalisation ou mise sur pied d’opérations temporaires 206 046,1Suppléance par une succursale 046 010,3Reconstruction d'installations ou réparation d'équipements 045 010,1Location d'équipements pour minimiser l'impact du sinistre 034 007,6Entente avec un concurrent pour sous-traiter temporairement la production 026 005,8Télétravail 025 005,6Mise en application d'un plan d'action prédéterminé 019 004,3
ÉTAPE 4
Compiler les informations recueillies à l’étape précédente.
Définir les stratégies appropriées pour éliminer ou atténuer les risques identifiés.
Procéder à leur mise en place dans votre organisation.
Étape 4 (suite)
Exemples de stratégies :
• continuité de la main-d'œuvre (avoir le nombre suffisant de ressources)
• sites alternatifs : relocalisation de vos espaces de travail vers d’autres sites ou vers des tiers
• entente d’entraide mutuelle avec un autre organisme• continuité de l’approvisionnement• assurances de dommages et perte de profits• redirection des lignes téléphoniques
ÉTAPE 5Établir la structure de réponse :
• stratégique : gestion de l’incident, priorités, alignement • tactique : coordination des processus• opérationnelle : application des procédures
Établir la procédure d’alerte et de mobilisation :• qui appelle qui, où, quand, pourquoi et comment• établir un schéma d’escalade• établir les critères selon l’ampleur de la crise
Mettre en place un centre de coordination :• physique ou virtuel• prévoir un espace suffisant, du matériel adéquat et des
moyens de communication appropriés
Étape 5 (suite)
Processus de communications :• quoi? information de qualité (partielle au début), message
cohérent (attention à la responsabilité légale!)• à qui? aux employés, aux citoyens, aux fournisseurs, aux
médias, aux gouvernements et autres• quand? en temps opportun / être proactif / fréquence• comment? téléphone, ligne info / site Internet, médias
sociaux, médias traditionnels, lettres• qui? qui communiquera à qui / désigner le porte-parole
médias
Compiler ce qui est dit sur l’organisme pendant l’incident.Noter tous les échanges avec les partenaires et les intervenants (log book).
Étape 5 (suite)
Déterminer si un plan ou plusieurs plans.Établir le format de la documentation :
• pratique et facile d’accès (électronique et papier)• au moins deux copies (dont une hors-site)
Développer le contenu :• responsabilités et procédures • coordonnées • outils
Impliquer les utilisateurs du ou des plans dans le développement pour les familiariser et les responsabiliser.
La planification est aussi importante que le plan!
ÉTAPE 6
Exercer la réponse de CO afin de :• valider les connaissances des rôles et des responsabilités
des intervenants (existants, nouveaux, substituts)• valider la connaissance des processus et des procédures• comprendre les interactions entre les intervenants• assurer le fonctionnement du matériel nécessaire à la CO• assurer la pérennité du PCO
Noter les améliorations à apporter au PCO et effectuer le suivi des modifications au plan (applicable également lors d’un incident).
Étape 6 (suite)
Sélectionner le type d’exercice approprié selon les objectifs à accomplir et la fréquence :
• manœuvre• formatif• de table• fonctionnel• complet
Étape 6 (suite)
Maintenir à jour l’information contenue dans le PCO (faire participer les intervenants dans la mise à jour) :
• suite à des changements auprès des ressources− coordonnées des intervenants (à ne pas négliger!)− nombre de ressources disponibles
• suite à des changements de ressources− départs / arrivées− mise en service de nouvelles technologies− changements physiques des lieux
EN RÉSUMÉ…La Continuité des opérations est un ensemble d’activités dont les objectifs sont :
• identifier les activités et les ressources critiques d’une organisation en fonction des impacts de la crise
• identifier les risques pouvant affecter les activités critiques et les conséquences potentielles de la manifestation des aléas
• définir le niveau d’activité minimal acceptable permettant la poursuite des opérations de l’organisation
• mettre en place des mesures de prévention, des stratégies, des structures de réponses et des plans appropriés
• répondre de façon sécuritaire et efficace à des incidents (mineurs comme majeurs)
• maintenir à jour les stratégies et les plans et les vérifier régulièrement pour en assurer la pertinence
À titre de comparaison :
Vous avez un PCOVous appuierez sur le
bouton « Alarme »
Chacun connaîtrason rôle
Vous interviendrezplus rapidement
Vous reviendrez plus facilement à la normale
Vous n’en avez pasVous appuierez sur le bouton « Panique »
Personne ne saura quoi faire
Vous perdrez du temps àvous en remettre
Vous risquerez de générerune crise (interne comme
externe)
Guide en gestion de la continuitédes opérations pour les entreprises
Selon le sondage du MDEIE
Une faible proportion des entreprises ayant répondu au sondage connaissent le guide, soit 7,8 % (47 sur 602 entreprises).
Pour les entreprises connaissant le guide, on constate que 31,8 % l’utilisent (le tiers).
Pour les entreprises qui ne connaissent pas le guide, on constate que la très grande majorité est intéressée à le connaître, soit 81,7 %(445 entreprises).
• Pour accéder au Guide :
– Allez sur le site du MDEIE à
www.mdeie.gouv.qc.ca/securitecivile
– Cliquez sur Guide en gestion de la continuité des opérations
Questions / échanges
• Pour toute question spécifique au MDEIE, [email protected]
• Pour toute question spécifique à RECO-Québec, [email protected]