Hello Roxane ! Pour commencer, peux-tu nous résumer l’Operational Resilience Maturity Assessment Framework en une phrase ?
L’Operational Resilience Maturity Assessment Framework est un outil qui permet de mesurer la résilience opérationnelle d’une organisation.
Qu’est-ce que c’est la résilience opérationnelle ?
La résilience opérationnelle est une discipline encore jeune et de plus en plus inévitable pour les organisations, notamment pour le secteur financier. On peut citer le Royaume Uni qui est pionnier sur le sujet, avec l’entrée en vigueur d’un Operational Resilience Framework en mars 2022, imposé par la Bank of England, la Prudential Regulation Authority (PRA) et la Financial Conduct Authority (FCA) et l’Union Européenne, qui suit, avec la réglementation Digital Operational Resilience Act (DORA). Les autorités sont en effet parties du principe que de nombreux événements pouvaient perturber les activités des banques (et plus largement des organisations).
La résilience opérationnelle prend donc en compte différentes sources de menaces : menaces venant d’un tiers (un partenaire, un fournisseur ou un prestataire), pandémie, panne d’électricité, incendie pour ne citer qu’eux. D’un point de vue organisationnel, la résilience est très souvent un programme piloté par un Head of OpRes, la DSI ou la division risques, et moins souvent par un RSSI.
Pourquoi avoir créé l’Operational Resilience Maturity Assessment Framework accélérateur ? Quel problème cela résout chez les clients ?
Sous la pression des régulateurs, nos clients ont dû mesurer leur niveau de résilience. La compliance est un bon point de départ mais elle ne va pas assez loin ! L’idée de notre Operational Resilience Maturity Assessment Framework, c’est d’avoir un outil qui englobe à la fois ces nouvelles directives et aussi les meilleures pratiques observées sur le terrain. L’outil est utile car il :
- Permet de mesurer la maturité d’une organisation sur les méthodologies et processus en place pour appréhender la résilience opérationnelle
- Rend compte des capacités réelles de résilience à un instant T, en analysant les outils et les capacités en place
- Facilite la formalisation d’un plan de réduction des risques et de pilotage
- Intègre toute l’expérience terrain de Wavestone en matière de résilience de tous nos bureaux ! Outre-Manche notamment, plus avancé que les pays de l’Union européenne, on travaille sur des missions de résilience depuis plus de 3 ans.
Concrètement, l’Operational Resilience Maturity Assessment Framework centralise dans un Excel l’ensemble des dimensions à prendre en compte pour être résilient et monter en maturité. En tout, on a identifié 90 questions, classées en 12 grands sujets que couvrent la résilience. Le questionnaire peut être déroulé comme tel afin d’évaluer la résilience opérationnelle d’un client. Mais il peut aussi être utilisé comme trame pour construire son propre département de résilience et comme un vecteur d’identification de projets, sans pour autant procéder à une évaluation. Comme base pour une évaluation sur-mesure et conforme aux standards du client.
Aussi, à mesure que le paysage réglementaire se développe, les entreprises doivent pouvoir mettre en place ou renforcer leurs forces de veille pour rester en avance sur les régulateurs et la concurrence. Par conséquent, en complément de notre outil d’évaluation de la maturité de résilience, nous avons développé le « Radar réglementaire de la résilience opérationnelle » qui cartographie les réglementations à travers le monde selon les mêmes thèmes. Mis à jour tous les trimestres, il offre une vue d’ensemble des évolutions réglementaires sur la résilience opérationnelle et permet à l’utilisateur de les comparer par géographie et par sujet.
Peux-tu nous parler de la dernière fois que tu l’as utilisé (exemple concret) ?
En fait, l’élément déclencheur de la création de notre outil a été la réalisation d’une mission pour un grand acteur du secteur bancaire ! Pendant cette première mission, on a pu définir quatre niveaux de résilience : 1 : « insuffisant », 2 : « compliant », 3 : « bon niveau » et 4 : « leader ».
Récemment on a décroché une deuxième mission qui nous permet de peaufiner les questions, pour qu’elles soient plus précises et exhaustives. On a également retravaillé notre liste de preuves qui sert à justifier un positionnement sur tel ou tel niveau de maturité et on a ajouté un 5e niveau, « le pionner ».
Pour l’instant le benchmark de la maturité en matière de résilience se concentre sur les banques qui est un secteur plus mature compte tenu de leurs contraintes réglementaires et de la sensibilité des données qu’il traite. Pour une organisation d’un autre secteur, il faudra adapter les niveaux pour s’aligner sur la maturité globale du marché.
Un mot pour la fin ?
On pense qu’on pourra aller encore plus loin dans l’évaluation de la résilience dans quelques années. Plus on aura de retour du terrain, plus on pourra être précis dans les conditions requises pour atteindre un niveau. Par exemple, un acteur sera jugé mature s’il a la capacité de reconstruire son AD en 3h. Comme sur le CyberBenchmark. La prochaine étape serait donc de définir des indicateurs quantitatifs et/ou qualitatifs… Et la seule manière d’y arriver c’est de continuer à confronter le framework à la réalité !
Si tout est améliorable, on est super fières de cet outil qui a été co-construit avec nos clients et nos experts et qui a déjà fait ses preuves.