Skip to main content
English
Devenez membre
Logo ABC
search
menu

3. Évaluation des risques

L’évaluation des risques ne doit pas nécessairement être complexe; une méthode trop complexe pourrait en fait nuire à la planification et à l’adoption. Optez pour la simplicité.

  1. Cernez les grands scénarios de risque que vous tentez d’atténuer.
  2. Effectuez une analyse des répercussions sur les renseignements confidentiels propres à ces scénarios.
  3. Effectuez une analyse des répercussions sur les activités de ces scénarios.
  4. Établissez les répercussions sur les services de chaque scénario.
  5. Tenez compte de vos objectifs de rétablissement pour chacun de ces services.

3.1 Scénarios de risque

Cernez les scénarios que vous prévoyez d’atténuer (et, par exclusion, ceux que vous ne prévoyez pas d’atténuer). Lorsque vous cernez les scénarios de risque, évitez de vous concentrer sur des événements très précis ou improbables (comme des scénarios détaillés de catastrophes naturelles). Veillez plutôt à comprendre l’impact opérationnel que les diverses perturbations pourraient avoir sur la capacité de fonctionnement du cabinet.

Par exemple, envisagez des scénarios comme la perte d’accès au bureau (quelle que soit la cause), la perte d’équipement ou de données essentiels ou l’indisponibilité de personnel clé. S’ils se concentrent sur ces répercussions opérationnelles plus générales, les cabinets peuvent élaborer des plans pratiques et souples qui répondent à un large éventail de menaces sans s’enliser dans des détails improbables.

Voici quelques exemples :

  • Perte d’accès au bureau en raison d’un incendie, d’une inondation, de conditions météorologiques violentes ou de tout élément rendant impossible l’entrée des membres du personnel dans les locaux.
  • Panne d’électricité prolongée qui désactive les ordinateurs, les systèmes téléphoniques et l’accès à des ressources numériques essentielles.
  • Cyberattaque comme un rançongiciel, qui crypte les fichiers et empêche l’accès aux données importantes des clients.
  • Indisponibilité soudaine de membres clés du personnel en raison d’une maladie, d’interruptions de voyage ou d’urgences personnelles.
  • Défaillance majeure de l’équipement, comme une panne de serveur ou une perte de connectivité Internet, interrompant les activités régulières.
  • Perte de renseignements confidentiels par suite d’un vol ou d’une suppression accidentelle, ce qui nuit à la capacité du cabinet de mener ses activités en toute sécurité.

3.2 Analyse des répercussions sur les renseignements confidentiels

Pour chacun des scénarios décrits à la section 3.1, déterminez quels renseignements confidentiels (c.-à-d. la confidentialité des clients et les RIP) pourraient être compromis et quelles mesures (et quelles politiques et procédures correspondantes) sont requises dans chaque scénario. Prenez en considération comme étant des normes minimales les lois applicables en matière de protection de la vie privée et les exigences de l’ordre professionnel.

Il convient de noter que le processus de planification de la continuité des activités et de la reprise après sinistre n’envisage pas tous les scénarios possibles qui pourraient avoir une incidence sur la confidentialité des clients ou exposer des RIP, et qu’il ne doit pas non plus préciser de plans d’action détaillés. Ceux-ci devraient être tenus séparément dans des politiques et procédures plus complètes axées sur les renseignements confidentiels. Le plan de continuité des activités et de reprise après sinistre invoque simplement ces politiques au besoin.

3.3 Analyse des répercussions sur les activités

L’analyse des répercussions sur les activités vise à prendre en compte la façon dont les activités du cabinet sont touchées dans chacun des scénarios de risque susmentionnés. Il s’agit d’une évaluation générale de la « probabilité » et de la « gravité de la situation si elle se produisait ».

Évaluation de la probabilité

Pour chaque scénario décrit à la section 3.1, examinez la probabilité que ce scénario se produise. Évaluez si l’impact est élevé, moyen ou faible. Quelques conseils :

  • Élevé : ce scénario se produit fréquemment chez des cabinets ou des entreprises comparables ou, pour quelque raison que ce soit, est très susceptible de se produire au sein de votre cabinet au cours des deux prochaines années.
  • Moyen : ce scénario se produit occasionnellement chez des cabinets ou des entreprises comparables ou, pour quelque raison que ce soit, est quelque peu susceptible de se produire au sein de votre cabinet au cours des trois à cinq prochaines années.
  • Faible : ce scénario se produit rarement chez des cabinets ou des entreprises comparables ou, pour quelque raison que ce soit, ne risque pas de se produire au sein de votre cabinet au cours des cinq à dix prochaines années.

Évaluation des répercussions

Pour chaque scénario décrit à la section 3.1, examinez les conséquences déontologiques, juridiques, financières et d’atteinte à la réputation des pannes de service prolongées. Évaluez si l’impact est élevé, moyen ou faible. Quelques conseils :

  • Élevé : vous ne pouvez pas servir vos clients; vous contrevenez à vos obligations statutaires ou réglementaires, p. ex. une cyberattaque a compromis ou chiffré toutes les données du cabinet et des clients.
  • Moyen : les répercussions sur le service à la clientèle sont évidentes pour le client, p. ex. l’accès aux renseignements clés est temporairement impossible; la clôture d’une transaction devra être reportée.
  • Faible : les répercussions sur le service à la clientèle ne sont pas évidentes pour le client, p. ex., les juristes pourraient devoir s’installer ailleurs et travailler à domicile; le travail doit être effectué manuellement ou d’une façon moins pratique.

Établissement des priorités

La priorité est le résultat de l’impact et de la probabilité selon la matrice suivante :

  Impact
E M F
Probabilité
 E 1 2 3
M 2 3 4
F 3 4 5

Établissez l’ordre de priorité de votre planification en conséquence. Les événements dont la priorité est la plus élevée doivent être planifiés en premier, et plus en détail.

3.4 Répercussions sur le service

Pour chaque scénario de risque que vous cernez, dressez une liste des services essentiels que vous croyez seraient temporairement inaccessibles ou perdus de façon permanente lorsque ce scénario se produit.

Voici quelques exemples :

  • Locaux à bureaux
  • Services infonuagiques
  • Communications avec les clients
  • Gestion du calendrier et du rôle
  • Capacités de dépôt électronique
  • Saisie des heures et facturation
  • Comptabilité en fidéicommis

Pensez à des services généraux et non à des technologies particulières. Par exemple, le courriel est le service qui compte, et non Outlook ou Microsoft 365. Pensez également aux données historiques par rapport aux capacités actuelles. Par exemple, le scénario a-t‑il des répercussions sur l’historique des courriels ou sur la capacité d’envoyer et de recevoir des courriels maintenant, ou les deux?

3.5 Objectifs de reprise

Pour chaque service que vous cernez, fixez pour le rétablissement des activités normales des objectifs qui tiennent compte des besoins des clients en matière de service et du budget.

  • Objectif de temps de reprise (OTR) : temps requis pour rétablir le service
  • Objectif de point de reprise (OPR) : quantité de données perdues, mesurée dans le temps

Par exemple, un OTR de 4 heures et un OPR de 12 heures signifieraient ce qui suit :

  • si un service est devenu indisponible le mercredi à 10 h,
  • l’objectif de rétablissement de ce service est le mercredi à 14 h;
  • les données seraient telles qu’elles étaient le mardi à 22 h.

Ces concepts doivent s’appliquer aux services numériques qui peuvent être rétablis à partir d’une sauvegarde, plutôt qu’à partir de scénarios de catastrophe physique. L’aspect pratique est nécessaire ici. Bien que la technologie moderne puisse offrir un OTR et un OPR très faibles, le coût de ce processus augmente de façon exponentielle à mesure que ces objectifs se rapprochent de zéro.