Plan de continuité d’activité, l’essentiel
À la frontière de la gestion des risques et des crises, et face aux crises majeures qui se multiplient, la continuité d’activité est aujourd’hui au cœur des problématiques de la résilience des entreprises.
Définitions
La continuité d’activité se définit, selon la norme ISO 22300, comme « la capacité d’un organisme à poursuivre la livraison de produits ou la fourniture de services dans des délais acceptables durant une perturbation ».
Le plan de continuité d’activité (PCA) est l’organisation alternative que l’entreprise met en place en attendant de remédier à l’événement perturbateur à l’origine de l’arrêt de ses processus. Il ne s’agit pas de dupliquer l’organisation à l’identique mais d’analyser l’impact de la crise sur les métiers et processus et de les classer selon une durée d’interruption maximale admissible (Dima).
« Le PCA permet de minimiser les impacts sur l’activité de la survenue d’un sinistre en assurant un fonctionnement en mode dégradé et/ ou une reprise graduelle des activités, des plus critiques au moins critiques », explique Benoit Vraie, enseignant chercheur, spécialiste de la gestion des crises et des PCA et consultant senior en Business Resilience chez Airbus Protect.
Un document d’aide à la décision
Le PCA définit les rôles et responsabilités des équipes impliquées, les actions à conduire, associées à des procédures simples et les besoins en ressources. Il présente les modalités matérielles, techniques et organisationnelles permettant la reprise de l’activité et les dispositions de continuité d’activité communes à l’ensemble des services. « Comme les procédures d’activation des salles de repli, les plans de reroutage courrier ou téléphonique, le planning des besoins en ressources humaines…, illustre Benoit Vraie. Des fiches opérationnelles de continuité d’activité viennent compléter le PCA : une fiche par service, avec l’ordre de redémarrage des différents processus concernés. »
Les principales menaces
La cyberattaque est aujourd’hui perçue comme l’interruption majeure ayant la plus forte probabilité d’occurrence. Toutes les entreprises et organisations y sont vulnérables. La chaîne logistique est également au cœur des préoccupations, que ce soit à cause des risques liés au changement climatique (augmentation et intensification des catastrophes naturelles) ou des risques géopolitiques.
Les règles d’or du PCA
- Préparer la guerre en temps de paix
Le PCA n’est pas qu’un document, c’est surtout un état d’esprit, une philosophie qui permet de penser l’imprévisible. « Et de mettre en place à l’avance, à froid, l’ensemble des éléments rationnels sur lesquels on pourra s’appuyer à chaud, dès l’activation du PCA », souligne Benoit Vraie. Les solutions de secours et les modes opératoires associés doivent être souples et adaptables car il sera constamment nécessaire de s’adapter à la réalité de la crise.
- Raisonner en termes d’impact
Il ne faut pas réfléchir à la probabilité d’occurrence du risque mais à l’impact d’une rupture majeure sur les activités de l’entreprise. Le PCA concerne principalement des risques de forte gravité, dont la fréquence est moindre.
C’est aussi le résultat de l’analyse des impacts des interruptions des activités qui pourra permettre de convaincre une direction de la nécessité de développer des PCA, au-delà des actions de traitement et de réduction des risques.
- S’interroger sur les conséquences de l’indisponibilité des ressources, quelles que soient les causes et les origines du sinistre et sans considération de probabilité. Le guide de l’Amrae sur les plans de continuité d’activité cite les ressources :
- humaines ;
- matérielles ;
- informationnelles ;
- partenariales ;
- outils de production.
L’entreprise doit s’interroger sur sa réponse à l’indisponibilité de ces ressources, quelle que soit l’échelle géographique de la crise, du local au global.
- Définir l’entreprise minimale vitale
Il ne s’agit pas de protéger tout de tout, mais de protéger le coeur de l’activité. « Quand on s’attelle au PCA, on voudrait que tout puisse survivre. Il y a un effort particulier à fournir pour définir les ressources et processus clés à préserver. Quels sont les outils, les données, les personnes, les process indispensables pour assurer un minimum d’activités et donc de revenus. Quelle est l’entreprise minimale qui doit survivre ? C’est à cette question qu’il faut répondre, remarque Julien Touzeau, responsable de l’entité Cybersecurity Consulting chez Airbus Protect. Il faut ensuite envisager que cette entreprise minimale survive sans son système d’information initial, qui ne sera pas opérationnel ou auquel on ne pourra pas faire confiance. »
Article extrait du n° 596 de Face au Risque : « Plan de continuité d’activité : mode d’emploi » (octobre 2023).
Gaëlle Carcaly – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…