LE PLAN DE CONTINUITÉ ET DE REPRISE D’ACTIVITE
« Ce que les mots ont du mal à nous apprendre, l’expérience nous l’apporte »
Le management de la continuité d’activité est une discipline qui se développe depuis plusieurs années maintenant. Son objectif premier ? Préparer une structure (publique ou privée) à faire face aux crises qui pourraient paralyser ses activités.
Un management qui assure la résilience et dont les systèmes d’information se matérialisent à travers un Plan de Continuité d’Activité (PCA). Ce document qui donne une vision stratégique et pragmatique de la continuité d’activité souffre pourtant d’une méconnaissance de la part des acteurs privés et publics. Il n’est pourtant pas si différent des Plans Communaux de Sauvegarde (PCS), des Plans d’Opérations Internes (POI) ou encore des Plans Particuliers de mises en Sûreté (PPMS)ici. A ceci près que le PCA s’assure du bon fonctionnement de cette écosystème de plans opérationnels qui s’activent lors de situation de crise.
Par ailleurs, pour Gilbert (in GEM 2002), « les crises sont des situations où, en raison de la disproportion existante entre les problèmes apparaissant et les moyens de les traiter, les organisations en charge des activités à risque se trouvent de fait « dépossédées » de ces problèmes par de nombreux et divers acteurs intervenants et voient leur compétence et leur légitimité remises en question (du fait, notamment, de l’intervention de la justice, etc.) ». La crise est donc une situation d’urgence qui aurait dérapé par le manque de moyen, de préparation, d’organisation, etc. Une définition explicite qui doit être d’autant plus assimilée, car nous sommes sur des territoires où la fréquence, l’intensité des événements et le coût de ces crises évoluent constamment.
L’actualité nous apprend que ces événements ne se limitent pas aux catastrophes naturelles ou technologiques dont nous avons « l’habitude » d’entendre parler. Les épidémies telles que le Covid-19 perturbent encore plus fortement de nombreuses entreprises et collectivités avec des conséquences graves allant jusqu’à la cessation définitive d’activité.
« Les retours d’expériences des grandes crises récentes montrent que les organisations ayant entrepris une démarche préalable visant à garantir la continuité de leur activité sont les plus résiliantes face aux évènements déstabilisants. » (Secrétariat Général de la Défense et de la sécurité Nationale).
C’est par exemple le cas de la tempête KLAUS de 2009, d’une violence inouïe qui s’abattit sur le Sud-Ouest de la France en causant des dégâts matériels considérables. EDF pointait du doigt pour n’avoir su anticiper la perte d’électricité de 1,7 millions de foyers en période hivernale remobilisa ce retour d’expérience 10 ans plus tard lorsqu’une tempête de violence comparable frappa à nouveau la France. Cette fois-ci, le temps de rétablissement du réseau électrique fut divisé par deux.
Ainsi, le management de la continuité d’activité, aussi appelée Business Continuity Plan (BCP), permet de développer « l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise, puis la reprise planifiée des activités » (Journal Officiel Français 2004). Dans cette définition c’est bien la notion de continuité qui doit être bien prise en compte. Une continuité au sens large qui intervient aussi bien en amont qu’en aval de la crise et qui ne doit pas seulement se limiter à des chaînes de production où les serveurs et les réseaux informatiques continuent de fonctionner malgré les phénomènes pouvant les affecter (Bennasar, 2010).
Il s’agit de solutions (procédures documentées et concertées) permettant de maintenir les signes vitaux de la structure à un optimum vitale pour sa pérennité. Par ailleurs, si l’on prend en compte la pluralité des sources de dommages potentielles (crises d’image, économique, pandémie, CatNat, etc.), le PCA doit s’assurer d’une approche globale qui se construit dans le temps, par l’expérience et la concertation des acteurs qui gravitent autour. Il doit être à jour sans arrêt et régulièrement testé. Il doit également s’assurer de l’articulation des différents plans qui le compose tels des sous-ensembles du PCA ou comme des plans à part entière. Le PRA et/ ou le PSI (Plan de Reprise d’Activité ou Plan de Secours Informatique) garantissent la reprise des systèmes désignés comme critiques dans le temps fixé, mais également une reprise des données avec le minimum de pertes.
Pour cela, le management recense et identifie les risques d’une organisation et mesure l’impact des différents scenarii de risques sur ses activités. Il aborde ses « stratégies d’actions » avec une vision synoptique (aléas, acteurs, enjeux, vulnérabilités directes et indirectes, éléments connus et inconnus) et crée une boite à outils efficace pour une approche pratique des situations d’urgence. Une boite à outils qui comprend les aspects pratiques de la mise en œuvre de cette approche : démarche, acteurs, rôles, méthodologies, outils, astuces et conseils, points d’attention et erreurs fréquentes, terminologie, solutions techniques, schéma, cartographie et des exemples concrets illustrés. Cette connaissance fine de son territoire (macro à large) permet de définir les réseaux d’interdépendances fonctionnelles qui existent au sein des infrastructures critiques et de les abstraire afin d’estimer les dommages collatéraux et les effets dominos lors d’un événement dommageable.
L’objectif ? Comprendre et analyser les interruptions d’activités à l’instar d’un arbre de causes à effets afin d’en définir des stratégies de résilience pérennes.
Pourquoi le PCA s’impose-t-il de plus en plus à l’ensemble des structures publiques et privées ?
En France, de nombreux exemples démontrent la grande utilité de ce plan. Dernièrement, les gilets jaunes, les inondations dans le Var ou encore le Coronavirus orientent les discours sur : comment garantir la continuité des activités et des revenus qui en résultent ? Des solutions émergent et on parle de plus en plus de télétravail au sein des structures publiques et privées. Cette solution concrète apporte pourtant son lot de questions. Toutes les activités ne sont pas optimisées pour ce type de fonctionnement. En effet certains employés sont dépendants du matériel à disposition au sein de leur structure d’accueil. De plus, certaines structures proposent le télétravail à des employés ne disposant pas des bonnes conditions domestiques (pas de matériels informatiques, pas d’espaces appropriés, etc.).
Le télétravail iciest une vue comme pratique simple à mettre en place. Pourtant elle nécessite une certaine sensibilisation et organisation. De manière générale, toute structure qui décide de mettre en place cette solution doit définir dans son PCA une procédure « d’organisation et d’éducation du télétravail ».
Du point de vue normatif, il existe la norme ISO 22301 qui précise les exigences d’un système de management afin de protéger l’entreprise des incidents perturbateurs, réduire leur probabilité et garantir la récupération. Face aux événements contemporains, il est essentiel de garantir la résilience des entreprises et des territoires. RisCrises Global Solution cherche ainsi à optimiser ses plans et à fournir la meilleure résilience en faisant parler son expertise et votre expérience.
Nous pouvons vous accompagner :
09.86.18.06.02