Quelle place pour la continuité de service dans l’entreprise ? La Convergence de la sécurité est-elle la solution ?

Auteur : Marco Beozzi, Conseiller ANSSAIF, responsable du site et coordinateur des bureaux de Lugano et de Genève ; BCManager, Banque de la Suisse italienne (BSI).

Les normes nationales tout comme les standards internationaux mettent en avant la nécessité d’intégrer le processus BCM (Business Continuity Management, ou continuité de service) dans la gouvernance d’entreprise. Les activités BCM doivent avoir pour ligne de mire les stratégies et les objectifs métier, apporter un soutien direct à leur réalisation et faire partie intégrante des opérations courantes et de la gestion des risques.

Dans les institutions financières de stature mondiale, les activités BCM sont pour l’essentiel confiées à une entité indépendante selon des schémas organisationnels variant en fonction des objectifs ou des aspects de la continuité opérationnelle privilégiés par l'institution.

Dans un premier modèle organisationnel, qui se rencontre fréquemment, l’entité BCM se trouve au sein du département qui s’occupe de l’organisation. Ce schéma favorise l’analyse des processus et les aspects opérationnels de la gestion des situations d’urgence, en liaison étroite avec la sphère logistique.

Dans un second modèle organisationnel, le BCM vient s’insérer dans la sphère informatique. Cette approche traduit l’importance de la dimension technologique pour le BCM (avec les plans de reprise, ou Disaster Recovery), mais on tend de plus en plus à l’abandonner, dans la mesure où elle prend rarement en compte comme il se doit tous les aspects opérationnels.

Dans un troisième modèle, l’entité BCM est intégrée au service chargé de la Sécurité physique et/ou logique (protection des données et des informations), dans le cadre de la Convergence de la sécurité – qui sera au centre des débats lors de notre prochain congrès annuel à Rome. Cette approche prend tout son intérêt lorsque la Sécurité se range très haut dans l’organigramme de l’entreprise.

Dans un autre modèle encore, le BCM vient s’inscrire au sein de la Gestion des risques, privilégiant les aspects de l’analyse et de la réduction des risques étroitement corrélés aux Risques opérationnels. Cependant, la méthodologie d’analyse des risques est sensiblement différente, dans la mesure où, dans le cas des Risques opérationnels, elle s’appuie sur l’analyse des pertes opérationnelles – ce qui confère un caractère statistique – tandis que, dans le cadre du BCM, elle est essentiellement de caractère déterministe, c’est-à-dire axée sur les causes des interruptions, sur lesquelles on peut agir avec d’éventuelles solutions d’atténuation.

L’expérience de certaines banques étrangères montre l’importance de la collaboration entre le BCM et les Risques opérationnels, non seulement pour la mise en œuvre des évaluations de risques, mais aussi pour la détermination et la gestion des contrôles internes communs et pour le reporting intégré destiné aux instances de direction.

Quoi qu’il en soit, une nouvelle approche expérimentale pourrait bien remettre en question tous ces schémas organisationnels qui ont en commun de représenter les différents départements de la banque comme des structures verticales – en « silos ».

Certaines banques, dont la BSI, ont récemment créé de nouvelles structures organisationnelles transversales dans le but de fournir aux fonctions de front-office et à la clientèle un service intégré, en unifiant de bout en bout les processus de conception, de création et de mise en œuvre des produits et des services financiers. C’est ainsi que se trouvent réunis sous la même direction la division marketing et le développement des nouveaux produits financiers, les opérations, l’informatique, la sécurité, la logistique, etc.

C’est dans ce nouveau contexte que vient s’insérer le BCM, qui devrait ainsi être en mesure, une fois le cadre réglementaire et normatif de référence bien défini, de mieux soutenir les processus critiques de l’organisation et de s’intégrer plus étroitement et plus efficacement dans la gouvernance d’entreprise. leur permettront d’affronter les défis internationaux.