Qu'est-ce que la résilience opérationnelle ?

La résilience opérationnelle est la capacité à prévenir les perturbations opérationnelles, à les détecter, à y réagir, à se remettre sur pied et à en tirer des enseignements. Pour les entreprises, la résilience opérationnelle garantit la continuité et la stabilité des activités, aussi bien aujourd'hui que demain. Les entreprises qui font preuve de résilience génèrent de meilleurs résultats, même en temps de récession économique.¹

Qu'est-ce que la résilience opérationnelle implique ? Une planification soigneuse et une stratégie en matière de personnes, de processus et de technologies (PPT). Une résilience opérationnelle efficace est une stratégie d'atténuation et de gestion des risques qui améliore les processus de réponse et de reprise après sinistre. Toute perturbation, quelle qu'elle soit, peut entraîner une perte de chiffre d'affaires, nuire à la confiance des clients et porter atteinte à la réputation de l'entreprise. La résilience opérationnelle limite l'impact des événements pouvant entraîner des perturbations pour une entreprise, ses partenaires et ses clients. En d'autres termes, elle s'assure que tout fonctionne dans tous les cas.

Les piliers de la résilience opérationnelle permettent de maintenir le fonctionnement continu de votre entreprise, même en cas de perturbation. Ces piliers sont les suivants :

Identification et évaluation des risques : pour pouvoir gérer les risques, il est primordial de les identifier et de les évaluer. C'est la base de toute stratégie en la matière. Or, qui dit scaling et croissance, dit risque ! Les failles de sécurité, les fluctuations économiques, les perturbations de la chaîne logistique, les transformations internes, etc. sont autant d'événements qui s'accompagnent de menaces potentielles.

Pour identifier et évaluer les risques, plusieurs méthodes s'offrent à vous : brainstorming, révision de la documentation, collecte d'informations, analyse SWOT (forces, faiblesses, opportunités et menaces), analyse de la cause première, analyse des hypothèses et registres des risques. La hiérarchisation des risques permet d'améliorer la capacité à réagir. Les équipes concernées peuvent agir sans interrompre (ou alors de façon moindre) les activités de l'entreprise.

Planification de la continuité des activités : pour qu'une entreprise continue à fonctionner "normalement" en cas de perturbation, vous devez établir un ordre dans lequel exécuter les opérations, ainsi qu'une liste des intervenants pour chaque scénario de perturbation. C'est ce qu'on appelle la planification de la continuité des activités. Cette planification se base sur les méthodologies d'identification et d'évaluation des risques pour proposer des solutions aux perturbations éventuelles. Pour déterminer les mesures à prendre en cas de perturbations afin de limiter leur impact, on met en place un comité de planification, constitué de membres du service informatique, de responsables de la sécurité et de hauts dirigeants.

Pour qu'un plan de continuité des activités soit efficace, il y a plusieurs étapes à respecter : collecte d'informations (évaluation des risques), élaboration et conception du plan, mise en œuvre, testing, puis maintenance et mise à jour continues. Gardez à l'esprit que les facteurs environnementaux peuvent changer. Il peut s'agir de facteurs externes, comme de nouvelles lois ou réglementations, ou de facteurs internes, comme une nouvelle technologie propriétaire. Il est donc crucial de réviser régulièrement votre plan de continuité des activités pour vous assurer de sa viabilité.

Selon la taille de votre organisation, il y a plusieurs éléments à prendre en compte et un panel plus ou moins large de risques à considérer. Un bon plan de continuité des activités est un plan simple. Il identifie les ressources, les personnes et les lieux essentiels à la continuité des opérations, ainsi que les coûts potentiels.

Réponse aux incidents et reprise après sinistre : les failles, les menaces ou les attaques de cybersécurité sont une problématique incontournable de l'ère du numérique, contre lesquelles les entreprises doivent lutter. Pour y parvenir, il leur faut des plans de réponse aux incidents et de reprise après sinistre. Il s'agit de processus formalisés et de technologies concrètes qui préviennent les cyberattaques ou en limitent l'impact si elles aboutissent. Parmi les incidents de sécurité courants, citons l'utilisation de ransomwares, le phishing, l'ingénierie sociale, les attaques par déni de service (DDoS), les attaques de la chaîne logistique, ou encore les délits d'initiés.

Les plans de réponse aux incidents et de reprise après sinistre sont généralement créés par une équipe dédiée chargée de la réponse aux incidents de sécurité informatique (CSIRT). Cette équipe est habituellement composée du directeur de la sécurité des systèmes d'information (CISO), du centre des opérations de sécurité (SOC), du personnel informatique, des membres de la direction, ainsi que des membres du service juridique, des RH, de la gestion des risques et de la conformité réglementaire. Les plans, quant à eux, détaillent les rôles et les responsabilités de chaque intervenant dans le cadre d'un incident spécifique. Ils définissent les protocoles à suivre pour restaurer les systèmes touchés par une panne, un ensemble d'étapes détaillées à appliquer en réponse à un incident, un protocole de communication pour informer toutes les parties concernées, ainsi que des méthodologies de collecte de données afin de pouvoir faire une analyse après incident et en tirer des enseignements.

Tout processus de réponse aux incidents et de reprise après sinistre doit également inclure des étapes pour la détection et l'analyse, des protocoles d'endiguement et des solutions pour éradiquer le problème. Dès lors qu'une menace est détectée et analysée par les équipes de cybersécurité, elle doit être endiguée pour en limiter les dommages. Les mesures d'endiguement à court terme s'attaquent directement à la menace pour la neutraliser, tandis que les mesures d'endiguement à long terme visent à renforcer les défenses des systèmes non touchés. Une fois la menace endiguée, les équipes peuvent remédier au problème en l'éradiquant totalement. Et c'est seulement après toutes ces étapes que les équipes peuvent restaurer les systèmes en y appliquant des patchs ou en rétablissant la mise en ligne.

Gestion des crises : la gestion des crises désigne la façon dont les organisations réagissent face à une crise, quelle que soit son importance. Imaginons qu'un événement perturbateur se produise. L'organisation réagit en appliquant son plan de continuité des activités. C'est ce qu'on appelle la "gestion des crises". Pour que cette opération soit réussie, il faut un leadership dynamique, des protocoles efficaces et une mobilisation rapide.

Gouvernance et culture adaptatives : pour être efficace, une gestion des crises nécessite de l'agilité et une certaine capacité d'adaptation de la part des entreprises. La rapidité de la réponse n'est qu'un élément parmi d'autres pour atteindre la résilience opérationnelle. En mettant en place une gouvernance et une culture adaptatives, les entreprises tirent des enseignements de leur environnement et des incidents, qui leur permettront de prendre des décisions avisées par la suite. Cela revient à faire preuve d'un état d'esprit axé sur la croissance à l'échelle de l'organisation.

La résilience opérationnelle est importante pour les résultats des entreprises, quelles qu'elles soient. Lorsque les services souffrent d'une latence, d'un dysfonctionnement ou d'un piratage, ce sont les clients et leur sécurité qui en pâtissent. Selon le secteur, les effets sont plus ou moins importants, pouvant aller d'un simple inconvénient jusqu'à un risque mortel, par exemple dans le domaine de la santé. Ils entament la confiance des clients et ont des répercussions au niveau juridique. Une fuite de données peut même constituer une infraction à la conformité réglementaire. À court terme, vous perdez du temps à résoudre les problèmes. Mais à long terme, c'est votre réputation qui en souffre.

La résilience opérationnelle permet aux équipes informatiques de minimiser l'indisponibilité, ce qui assure une reprise rapide, réduit les interruptions opérationnelles et maintient la productivité. En prévenant les pannes ou en les résolvant rapidement, vous gardez la confiance des clients et maintenez la réputation de votre entreprise. Ce qui évite aux organisations les pertes de revenus et l'instabilité financière qui s'ensuit.

Les termes "continuité des activités" et "résilience opérationnelle" sont parfois utilisés de manière interchangeable, cependant, leur portée et leur approche varient. La continuité des activités est un pilier de la résilience opérationnelle. Elle désigne un type formel et spécifique de planification ayant pour objectif d'assurer le fonctionnement fluide et efficace de l'entreprise en cas de perturbation.

La résilience opérationnelle, quant à elle, est une approche globale et proactive qui aide les entreprises à résister aux perturbations, à s'adapter et à prospérer, pendant et après un événement. Elle implique de procéder à des évaluations continues pour permettre des améliorations continues. Chaque aspect de l'organisation est réévalué, y compris les chaînes logistiques, les technologies, les communications et le personnel.

La résilience opérationnelle s'appuie sur une gouvernance adaptative et une amélioration continue pour venir compléter les procédures de reprise après sinistre. Pour qu'une entreprise fasse preuve de résilience, les méthodologies de planification de la continuité des opérations et de résilience opérationnelle sont toutes deux nécessaires.

La résilience opérationnelle est un objectif qui devient de plus en plus difficile à atteindre, vu le rythme auquel de nouvelles technologies font leur apparition. Les organisations ont à peine le temps de s'adapter aux itérations précédentes qu'elles doivent déjà revoir leurs plans. En parallèle, les cybermenaces sont de plus en plus sophistiquées. Les entreprises n'ont pas d'autre choix que de réaliser des investissements significatifs dans des professionnels et technologies de cybersécurité. Les chaînes logistiques, quant à elles, n'ont jamais été aussi complexes. Elles dépendent d'un réseau compliqué d'acteurs mondiaux, soumis à des exigences réglementaires différentes.

Pour les entreprises, c'est donc un véritable défi que de réussir à équilibrer les coûts tout en assurant la résilience. Malgré tout, la résilience opérationnelle a une incidence significative sur la productivité des entreprises, quelles qu'elles soient, ainsi que sur leur viabilité financière. Les entreprises doivent établir leurs priorités pour pouvoir déterminer comment allouer au mieux leurs fonds et leurs ressources afin de maintenir la stabilité et la croissance.

En ce qui concerne les cybermenaces et les violations de données, les entreprises ont besoin d'un plus grand nombre de ressources aujourd'hui pour pouvoir les atténuer. En effet, les acteurs malveillants sont mieux équipés, tandis que la surface d'attaque des entreprises, elle, ne fait que s'accroître, ce qui augmente le nombre de vulnérabilités. Un environnement numérique étendu offre, certes, plus de flexibilité et de rapidité dans le développement, mais il pose néanmoins un défi important en termes de résilience opérationnelle.

Pour renforcer la résilience opérationnelle, il faut tout d'abord élaborer un framework complet en la matière. Les entreprises doivent appliquer une approche structurée et intégrer les frameworks de résilience dans tous les aspects de leurs activités, depuis la planification stratégique jusqu'aux opérations quotidiennes.

Pour que la résilience soit efficace sur le plan de la cybersécurité, les entreprises doivent mettre en place des mesures robustes et réaliser régulièrement des tests et des explorations. Une approche proactive contribue de moitié à la résilience d'une organisation. Elle garantit aussi que des plans de réponse aux incidents et de reprise après sinistre rigoureux et pertinents ont été formalisés. La préparation est la clé.

Enfin, la résilience est une question de culture dans l'organisation. Pour renforcer la résilience opérationnelle, il faut des communications efficaces sur tous les canaux et un engagement concret de la direction en faveur de la formation continue.

Étant donné que les entreprises continuent à augmenter leurs dépenses dans l'IA et le Machine Learning, il ne serait pas étonnant qu'elles en utilisent une partie pour renforcer la résilience opérationnelle. Les modèles de résilience prédictive, qui s'appuient sur l'analyse des données et le Machine Learning, peuvent booster les initiatives de gestion des risques en apprenant à anticiper les perturbations potentielles plus rapidement et de manière plus détaillée que ce que pourraient accomplir les analystes seuls.

La collaboration et le partage d'informations au niveau mondial joueront également un rôle important en faveur de la résilience des entreprises. Étant donné que les chaînes logistiques traversent les frontières, que la plupart des entreprises ont des équipes dans différents fuseaux horaires et que les choses ne sont pas prêtes de changer, il est vital qu'il y ait une coopération internationale dans le domaine de la conformité réglementaire, des nouvelles menaces et des stratégies de sécurité pour assurer la résilience.

Pour prévoir l'imprévisible, les entreprises doivent réfléchir à des stratégies de résilience durable et à long terme. Face à la crise climatique qui s'accentue un peu plus chaque jour et qui provoque des événements pouvant entraîner des perturbations majeures, la résilience est aussi une affaire de choix durables. Elle ne se limite pas à prendre des mesures de protection. La résilience opérationnelle, la vraie, impliquer de se réinventer et d'innover.

• Achieve operational resilience with a flexible data store
• From vision to reality: Your guide to using generative AI to improve operational resilience
• Improve operational resilience with generative AI
• Generative AI for business observability: What IT leaders need to know
• Amélioration de la résilience opérationnelle en relevant vos défis insoupçonnés en matière de données
• DORA: A paradigm shift in cybersecurity and operational resilience
• GovLoop playbook: Strengthening operational resilience

McKinsey, Resilience for sustainable, inclusive growth. 2022.