Réaliser n’importe quelle activité d’affaires, de la vente de limonade à la plaidoirie dans une cause en appel, exige une combinaison de gens, de renseignements, de technologie et d’espace de travail. Comme quiconque a vécu une évacuation de bureau ou une cyberattaque peut en témoigner, respecter ses obligations lorsque l’un de ces éléments fait défaut peut être difficile, voire impossible.

Toutes les organisations, peu importe leur taille ou leur secteur, sont vulnérables à une gamme de menaces. En gros, celles-ci comprennent les menaces technologiques, les menaces (accidentelles et intentionnelles) causées par des humains et les dangers naturels. Évaluer les menaces une à une ou tenter de préparer une défense contre chacune ne serait pas pratique. La gestion des risques d’entreprise peut être servir de défenses superposées pour repousser ou mitiger ces menaces. Imaginez qu’aujourd’hui, après votre lecture de cet article, les pompiers ordonnent d’évacuer l’immeuble de votre bureau pour réparer ses systèmes de suppression du feu. À combien des questions suivantes pouvez-vous répondre ?

Menaces naturelles

Menaces humaines

Menaces technologiques

Sécurité physique

Sécurité des systèmes et technologies de l’information

Procédures d’urgence

Plans de continuité et de rétablissement

Actifs

Couches d’atténuation

Courtoisie de DRI International

• Sur quels dossiers clients devez-vous travailler, et quels processus d’affaires critiques devez-vous continuer de réaliser de façon opportune durant cette interruption ? Si nécessaire, pourriez-vous les réaliser d’une façon modifiée ? Comment déterminez-vous les priorités des uns sur les autres ?

• Quelles personnes, quels renseignements, quelle technologie et quel espace de travail sont nécessaires pour réaliser ces tâches dans des conditions d’urgence ?

• Des ressources alternatives pourraient-elles être mises à disposition, comme un autre espace de bureau ou du personnel qui pourrait être détourné de tâches moins critiques ?

• Comment les rôles et responsabilités des employés et associés changent-ils durant un incident de continuité des activités ? Qui est responsable ? Qui a l’autorité de parler aux clients ? Aux employés ? Et aux médias ?

Les[HJ1]  couches externes : La sécurité physique et la sécurité des systèmes et technologies de l’information sont préventives. Elles empêchent les menaces d’atteindre les actifs. Lorsqu’un pirate informatique est repoussé par un chiffrement robuste ou qu’un voleur est bloqué par un garde de sécurité, ces couches ont atteint leur but. Si une menace réussit, les procédures d’urgence minimisent les dommages causés. Par exemple, on active un système de suppression des incendies pour limiter les dommages à l’immeuble ou on éteint un serveur pour mettre fin à une cyberattaque.

La continuité des activités (et leur rétablissement) est la couche finale et le sujet principal du présent texte. Elle entre en jeu quand, malgré les efforts de l’organisation, une menace a réussi à dépasser toutes les mesures d’atténuation et a perturbé la capacité de l’entreprise à réaliser ses processus critiques. Les activités de continuité permettent à une organisation de redémarrer ces processus critiques dans un délai prescrit et facilitent un rétablissement plus vaste de l’entreprise.

La continuité des activités se préoccupe d’assurer que les actifs critiques de l’organisation (gens, renseignements, technologie et espace de travail) puissent être rétablis ou remplacés assez rapidement pour que les fonctions de l’entreprise reprennent avant que leur interruption ne cause des dommages intolérables à l’organisation ou à d’autres intervenants. De tels dommages peuvent prendre la forme de revenus perdus ou d’une réputation ternie.

La première composante majeure d’un programme de continuité des activités (PCA) est une analyse des répercussions sur les activités (ARA). L’ARA cartographie les activités d’une organisation qui doivent être réalisées selon un horaire précis et la période pendant laquelle chacune peut demeurer non réalisée avant de causer des dommages intolérables. Elle énumère également les ressources minimales requises pour réaliser ces activités dans le contexte d’une urgence.

La deuxième composante d’un PCA est un plan de continuité. Il s’agit d’un document qui dresse les grandes lignes des priorités de rétablissement, des rôles et responsabilités des employés et de la manière dont les ressources requises peuvent être rendues accessibles dans un délai précis.

Une fois le plan rédigé, un programme de continuité des activités fonctionnel exigera du temps et des efforts de la part du personnel, et ce, sur une base continue. Malheureusement, de nombreux bureaux consacrent beaucoup de temps et d’argent à développer un plan de continuité, puis le laissent sur une tablette pendant des années sans s’en occuper. Les plans non testés et non entretenus procurent un sentiment de sécurité injustifié.

La gestion des risques augmente en importance pour les petits et grands bureaux en Ontario. Le Barreau du Haut-Canada fixe les obligations de vérification diligente pour ses membres. Cette obligation de protéger les intérêts des clients comprend la confidentialité et les conflits d’intérêts, mais s’étend aussi au respect des échéances. Si les documents d’un client doivent être déposés à un certain moment ou qu’une date d’audience doit être respectée, un client peut subir des dommages irréparables si son avocat est incapable de lui fournir ses services, même temporairement. La gestion des risques relatifs à la continuité des activités fait donc partie de la vérification diligente d’un avocat et de son obligation déontologique envers ses clients.

Toutes les organisations ont besoin d’une forme de programme de continuité des activités. Le degré de sophistication de celui-ci variera en fonction de la taille de l’organisation, de sa complexité et de la tolérance au risque de ses dirigeants. Les grands bureaux font mieux de travailler avec des consultants ou de maintenir une expertise à l’interne. Le Disaster Recovery Information Exchange est la principale association professionnelle pour la continuité des activités. Elle a des sections à Ottawa, à Toronto et dans le Sud-ouest ontarien. Les plus petits bureaux peuvent commencer en consultant les pratiques professionnelles de DRI.

Apropos de l'auteur

Stephen Mehta (ABCP, MIPIS, BBA) est consultant en continuité des activités au sein de Vanguard Emergency Management Consulting.

Grace Westcott (BA, LLB, LLM) a contribué à cet article.

 

The outer layers: physical security and information/IT security are preventative. They block threats from reaching assets. When a computer hacker is thwarted by strong encryption or a thief turned away by a security guard, these layers have been successful. Should a threat succeed, emergency procedures minimise the harm caused by the threat. For example, activating a fire suppression system to limit building damage or shutting down a server to terminate a cyber-attack.

Business continuity (and recovery) is the final layer and main topic of this article. It comes into play when, despite the organization’s best efforts, a threat has successfully overcome all mitigating layers and disrupted the firm’s ability to perform its critical processes. Business continuity activities enable an organization resume these critical processes within a prescribed amount of time and facilitate a broader organizational recovery.
 

Business continuity is concerned with ensuring that the organization’s critical assets – people, information, technology and workplaces – can be recovered or replaced quickly enough to resume business functions before their interruption causes intolerable harm to the organization or other stakeholders. Such harm might come in the form of lost revenue or damaged reputation.

The first major component of business continuity program (BCP) is a business impact analysis (BIA). The BIA maps the time-critical activities of an organization and how long each may go unperformed before intolerable harm occurs.  It also lists the minimum resources needed to perform them within an emergency context.

The second is a business continuity plan, a document which outlines recovery priorities, employee roles and responsibilities and how necessary resources can be made available within a specified period of time.

Once the first plan is written, a functional business continuity program then requires time and effort from employees on an ongoing basis. It is an unfortunate reality that many firms spend a lot of time and money developing a business continuity plan once, only for it to be left on a shelf unmaintained for years. Untested or unmaintained plans provide a false sense of security.

Risk management takes on added importance for big and small law firms in Ontario. The Law Society of Upper Canada sets due diligence obligations for members. This obligation to protect client interests includes privacy and conflict of interest, but also extends to meeting timelines. If a client’s paperwork must be submitted at a certain time or a trial date must be met, that client may be irreparably damaged if their legal counsel is unable to perform this service, even temporarily. It is therefore part of due diligence and a lawyer’s ethical obligation to their clients to manage business continuity risk as part of their overall risk management strategy. 

All organizations need some form business continuity program;the level of sophistication will vary based on organizational size, complexity and the risk tolerance of management. Large firms are best served by working with a consulting firm or maintaining in-house expertise. The Disaster Recovery Information Exchange is the foremost business continuity professional association in Ontario and has Ottawa, Toronto and Southwest Ontario chapters. Smaller practices could begin by referencing DRI Canada’s Professional Practices for context. 

---

About the Author

Stephen Mehta ABCP, MIPIS, BBA is a Continuity Consultant at Vanguard Emergency Management Consulting.

Contributions from Grace Westcott, BA, LLB, LLM.