Règlement sur résilience opérationnelle : un état d’esprit

Régulation sur la résilience opérationnelle : travailleurs collaborant autour d'une table de conférence

La résilience opérationnelle suscite un intérêt croissant chez les clients de ServiceNow dans de nombreux secteurs. Le renforcement de la réglementation dans ce domaine est dû à des risques de plus en plus complexes, qui vont de la multiplication des cybermenaces aux interruptions de service dans les chaînes d’approvisionnement mondiales, en passant par les tensions géopolitiques.

L’ajout de réglementations et de cadres de résilience opérationnelle au cours de la dernière décennie vise à relever ces défis dans le monde entier.

Certaines de ces nouvelles réglementations, telles que la circulaire 2023/1 de la FINMA, le cadre de résilience opérationnelle du Royaume-Uni, la loi sur la résilience opérationnelle numérique (DORA) et les directives de gestion des risques technologiques de l’Autorité monétaire de Singapour, vont au-delà de la simple conformité : elles s’inscrivent dans une tendance plus large, visant à protéger les opérations critiques dans un monde de plus en plus interconnecté et, par conséquent, plus vulnérable.

Découvrons comment déceler des opportunités en adoptant une approche de la résilience opérationnelle qui changera véritablement la donne.

Le paysage réglementaire

Des réglementations sont entrées en vigueur pour poser le cadre des activités des entreprises à l’échelle nationale et internationale, via des orientations et des sanctions, le cas échéant. En vigueur depuis le 17 janvier 2025, le règlement DORA s’applique à toutes les entités financières et à tous les fournisseurs au sein de l’Union européenne. Il vise à assurer une meilleure protection des clients et une plus grande stabilité du marché financier.

De même, au niveau national, une nouvelle réglementation suisse pour les intermédiaires d’assurance est entrée en vigueur en janvier 2024. Elle a été conçue pour garantir des approches plus strictes de la gestion des risques et de la résilience. Elle exige que les sociétés inscrites soumettent des rapports à la FINMA, l’autorité indépendante de réglementation des marchés financiers du pays chargée de veiller à leur bon fonctionnement, afin de fournir des preuves de conformité.

D’autres réglementations entrent en vigueur cette année. Par exemple, les institutions financières britanniques ont jusqu’au 31 mars pour mettre en œuvre le cadre de résilience opérationnelle du Royaume-Uni. Pour ce faire, elles doivent faire preuve d’une résilience opérationnelle totale, depuis l’identification des risques jusqu’à la réponse aux incidents, en passant par la planification de la continuité d’activité.

Les entreprises doivent répondre à un certain nombre d’exigences, allant de mesures normatives comme le règlement DORA à des orientations reposant sur des principes et nécessitant un certain degré d’interprétation de la part des institutions (par exemple, la FCA et la PRA au Royaume-Uni). Il est toujours possible d’utiliser la conformité pour améliorer les performances dans les équipes.

Découvrir de nouvelles opportunités grâce à la résilience

Il est courant d’encadrer la génération de rapports pour garantir la conformité aux réglementations. Mais cela peut inciter à considérer la conformité comme une liste de cases à cocher. Il est alors facile de perdre de vue l’intention de l’initiative et de se concentrer seulement sur le respect des exigences d’un organisme de réglementation. Cela entraîne souvent des doublons au sein de l’entreprise, car plusieurs équipes sont créées pour s’occuper des réglementations en ayant un objectif commun.

Les entreprises qui sont prêtes à aller plus loin peuvent bénéficier d’avantages significatifs en termes de résilience et d’efficacité en répondant à des questions clés, telles que :

Comment limiter les répercussions sur vos clients ?
Comment s’assurer que le même niveau de service est toujours disponible ?
Comment créer une taxonomie commune pour gérer la résilience dans toute l’entreprise et réduire les doublons ?

En mettant l’accent non plus sur le fait de cocher des cases, mais sur la capacité de l’entreprise à résister à l’incertitude, tout en répondant plus efficacement aux besoins des clients, il est plus facile de tirer profit de la réglementation en matière de résilience opérationnelle.

Voici trois conseils pour adopter une logique qui va au-delà d’une liste d’obligations à respecter.

Recentrez votre approche sur les retombées

Revoir l’approche de la conformité et se concentrer sur les retombées des opérations résilientes peut créer de la croissance grâce à des opportunités telles que l’amélioration des processus et les gains d’efficience.

Si les clients se voient proposer un délai de traitement de deux jours pour une demande de prêt hypothécaire, par exemple, il est primordial de respecter ce délai pour la satisfaction client.

Commencez par évaluer votre produit ou service auprès des utilisateurs pour déterminer combien de temps ils peuvent raisonnablement s’en passer. La réponse fournira un délai acceptable à vos clients, qu’il s’agisse de maintenance planifiée ou de la lutte contre les pannes imprévues. Par exemple, la définition d’une tolérance à l’impact ne doit pas se faire uniquement en raison d’exigences réglementaires : elle doit être faite pour garantir un service client optimal, réduisant ainsi le risque d’insatisfaction et de perte de clients.

Créez une approche unifiée et transversale

Certaines entreprises confient la responsabilité de la conformité réglementaire à une personne ou à une équipe, par exemple un responsable de la réglementation ou un département DORA. D’autres confient ce rôle à leur équipe IT ou à leur directeur financier, en fonction ce que couvre la réglementation.

Cela peut rapidement devenir un exercice de collecte de données, où les responsables se contentent de rassembler et de normaliser les informations provenant du reste de l’entreprise avant de les transmettre au régulateur.

Si l’on considère la manière dont la résilience doit fonctionner au sein d’une entreprise, chaque département sachant comment et quand réagir, il est clair que tous les services doivent être responsables de la remédiation.

Qu’il s’agisse d’unifier les équipes ou de garantir l’implication des personnes concernées, la communication à tous les niveaux est fondamentale pour atteindre la résilience opérationnelle. Ce n’est pas la tâche d’une seule personne ou d’une seule équipe : il incombe à chaque employé de s’assurer que l’entreprise est résiliente.

Évaluez la structure de votre entreprise

La façon dont la structure organisationnelle influe sur la résilience est un élément essentiel pour garantir la pérennité des opérations.

Quels sont les workflows qui interagissent les uns avec les autres, et où ? Un processus pourrait-il être mis à jour pour permettre une remédiation plus efficace des problèmes en cas d’incident ? Les bons départements sont-ils connectés pour que les produits ou les services restent disponibles pour vos clients ? Avons-nous documenté et compris les investissements nécessaires pour accroître la résilience au sein de l’entreprise ?

S’il est loin d’être simple de modifier la structure d’une entreprise, il s’agit d’une étape essentielle pour améliorer la résilience opérationnelle. Et vous n’êtes pas obligé de faire cavalier seul. D’autres personnes peuvent vous aider à adopter un point de vue différent et vous conseiller sur les améliorations à apporter.

Découvrez comment ServiceNow peut aider votre entreprise à déceler des opportunités grâce à la résilience opérationnelle.