Plan de continuité d'activité

Le plan de continuité des affaires ou plan de continuité d’activité (PCA) est à la fois un concept, une procédure et le document qui la décrit. C'est l'un des éléments de la gestion de crise. Il permet à une entreprise de fonctionner a minima même en situation de désastre, en mode dégradé, ou en situation de crise majeure ou mineure (ex : inondation, incendie, tsunami, tremblement de terre, pandémie, catastrophe technologique, coupure d'électricité, d'eau, d'Internet, etc.).

Ce plan doit permettre à un groupe (gouvernement, collectivité, institution, entreprise, hôpital..) de fonctionner même en cas de désastre ; quitte à ce que ce soit en mode dégradé, ou en situation de crise majeure.

C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objectif est de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institution, d’un groupe…

Pour un gouvernement et les citoyens, il est essentiel que les secteurs fournissant des services vitaux tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont électricité), le transport en commun, les télécommunications, les banques, etc. soient capables de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services).

Il existe en France une norme AFNOR (norme ISO 22301 dite Système de management de la continuité d’activité, exceptionnellement mis à disposition gratuite de tous le pour répondre à la pandémie de COVID-19[1].

Contenu

Le Disaster Recovery Institute International (DRII) suggère dans ses bonnes pratiques quatre critères pour un PCA : “resume without notice”, “data stored off-site”, “within recovery time objective”, “without key personnel”. Créé et maintenu par Disaster Recovery Institute International, Les Pratiques Professionnelles pour la Gestion de la Continuité d’Activités est un ensemble de connaissances conçu pour aider à l'élaboration, à la mise en œuvre, et le maintien d’un programme de gestion de la continuité des activités. Il est également destiné à servir d’outil pour effectuer des évaluations des programmes existants[2]. Ce qui se résume en :

  1. Se projeter dans des événements non planifiés,
  2. Présumer que le site de l’exploitant est indisponible,
  3. Respecter un délai de reprise imposé par le métier,
  4. Appliquer des procédures rodées (testées et à jour).

Il varie selon les plans, mais il intègre généralement :

  • les démarches existantes de type « Assurance qualité », dont un état des lieux mis à jour sur les thèmes vitaux incluant la sécurisation des locaux, des ressources vitales (dont informatiques et télécommunication) ;
  • les plans de protection du personnel (y compris concernant le transport, l’hébergement, les soins qui sont le cas échéant étendu aux familles) ;
  • les plans d’alerte et de secours, les plans de crise et de reprise d’activité (Cf. résilience) en vigueur ;
  • ainsi que la gestion du risque juridique et assuranciel.

Cela se fait :

  • en identifiant les forces et faiblesses, les points critiques, par le biais d'une Analyse de Vulnérabilité.
  • en les coordonnant et dans la mesure du possible en les testant régulièrement par des exercices appuyés sur des scénarios de crise,
  • en communiquant et en associant le personnel aux organigrammes fonctionnels (fonctions et moyens prioritaires, remplaçants possibles, solutions alternatives..), aux calendriers d'exercices et bilans, à l’évaluation de la gestion des risques, au choix et au renseignement des indicateurs (reporting). Les plans de formation, plan de communication (interne, externe) peuvent être précédés et accompagnés d’enquête de perception et/ou compréhension des acteurs, de groupe de travail, en s’appuyant sur la formation continue des personnels et parfois des sous-traitants et fournisseurs, voire de la population périphérique à un site sensible (sensibilisation, information, formation, exercices, etc).
  • en s’appuyant sur une liste de ce qui est fait et reste à faire (check-list), sur des audits, études de risque, études d'impact,

Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie confidentiel, ce qui peut nuire à son appropriation par une partie du personnel :

  • en tenant compte du contexte. Les plans de continuité doivent être assez souples pour s’adapter à différents types de risques et dangers, en tenant compte du contexte local et global (ex ; le risque de tremblement de terre grave est a priori plus élevé en Indonésie qu’en Belgique, mais une entreprise belge ayant une agence importante à Java ou Bornéo doit s’y préparer).

Dans le secteur des services publics, il est supposé servir l’intérêt général (la question des coûts ne devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés.

Cadre réglementaire

Ces plans sont obligatoires dans certains secteurs (ex : pour le secteur bancaire en Europe, à la suite de la réglementation Bale 2, ou pour les sociétés cotées au NYSE, depuis la loi Sarbanes Oxley. Ils sont parfois imposés aux assureurs ou réassureurs, ou sont exigés par certains commanditaires chez leur fournisseurs ou sous-traitants ou parce que leur propre Plan le leur impose. Ils peuvent être imposés par des actionnaires soucieux de protéger leurs fonds.

Certaines primes d’assurance diminuent pour l’entreprise à risque si elle est dotée d’un tel plan (après qu'il a été jugé correct par un audit de l’assureur). Des outils normalisés (ISO notamment) peuvent aider à l’amélioration continue de ces plans, mais leur contenu précis, ni la méthode ne sont normés ou précisément définis ;
ni globalement, ni pour un socle commun.

Spécificités

Secteurs bancaire et de la Finance

Le Comité consultatif de la législation et de la réglementation financières (CRBF) a défini le Plan de continuité d’activité comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités »[3]..

Rappels
En , ces 3 organisations ont demandé au Joint Forum des orientations sur les meilleures pratiques en continuité des affaires qui, publié en février 2005 priorise la stabilité du système financier.

Secteur informatique

Pour plus de 40 % des organisations interviewées en 2008 par MARKESS International[4], la réduction et la minimisation des risques d’interruption de business, la volonté d’optimiser les ressources, les pressions internes des directions métier, la meilleure gestion des risques sécuritaires sont les catalyseurs qui les poussent à prendre des mesures précises afin de garantir la continuité de business pour leurs applications informatiques et les infrastructures sous-jacentes associées.

Cas de la grippe aviaire

Avec la mondialisation et les modifications globales de l’environnement, l’augmentation des problèmes nosocomiaux, c’est un risque qui grandit. Les progrès de la génétique rendent le risque de bioterrorisme également plus crédible et grave.

Après l’exemple du SRAS, dans le cadre du risque pandémique lié à la diffusion du virus H5N1, de nombreux plans nationaux demandent aux fournisseurs de services vitaux (alimentation, énergie, services de transport, de télécommunication, de santé, banques, etc. de préparer d’intégrer le risque pandémique dans leurs plans de continuité et de crise, de manière à pouvoir fournir un service minimum malgré un manque de personnel (mort, malade ou absent).

Le cas du risque sanitaire est particulier

Les plans de continuité (quand ils existent) doivent généralement être adaptés car ils ont été préparés pour des situations de catastrophe naturelle, de guerre, ou d'attentat. Ces risques sont liés à une brusque, mais locale pénurie d’infrastructure et de ressources. (Il suffit alors de déplacer le personnel dans une zone sûre ou sécurisée).

Au contraire, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira ni combien de vagues suivront, ni à quelle intensité.. 30 à 60 % du personnel pourrait localement manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les infrastructures de transport et de communication ne devraient pas être touchées, mais les déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les infrastructures pourraient localement et durant un certain temps faire défaut.

La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pensent que le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau dépend totalement de la fourniture en électricité et du maintien du fonctionnement des télécommunications. Enfin le télétravail demande une infrastructure informatique adaptée, et souvent plusieurs mois de préparation pour être opérationnel.

En France

Une norme AFNOR (norme ISO 22301 dite Système de management de la continuité d’activité traite de ce sujet. Elle a été « exceptionnellement » mis à disposition gratuite de tous le pour répondre à la pandémie de COVID-19[1].

Les 4 premiers thèmes traités en 2006 par le MEDEF étaient[5] :

  1. Points d’organisation à prendre en compte de façon préventive par les entreprises
  2. Les masques de protection
  3. Les mesures de protection
  4. Les mesures concernant les entreprises situées sur une zone proche d’un foyer viral

Le MEDEF (français) proposait en 2006 en téléchargement la seconde des 4 brochures ci-dessous produites (en anglais) par l’association Trust for America's health (États-Unis)

L'Agence nationale pour l'amélioration des conditions de travail propose un outil en ligne d'aide à l'élaboration d'un PCA.

En 2023, le secrétariat général de la défense et de la sécurité nationale (SGDSN) publie un guide de la continuité d'activité en ligne[6]. Outil numérique gratuit de sensibilisation et d’accompagnement, il vise à faire acquérir à un très large public (administrations, collectivités, entreprises…) les fondamentaux de la continuité d’activité et sa méthodologie.

Amélioration continue

Cycle d'amélioration du PCA (Business continuity lifecyle)

Par définition, un plan de continuité ne peut être définitif. Il doit être mis à jour en fonction du contexte et/ou des retours d'expériences et d'exercices (quand les exercices existent, ce qui est recommandé par les gestionnaires de crise). Une certaine standardisation des protocoles de secours se met en place qui semble utile, mais ne doit pas freiner l’innovation et une certaine souplesse nécessaire face à l’imprévu.

Documentation

  • Livre « Plan de Continuité d'Activité - Concepts et démarche pour passer du besoin à la mise en œuvre du PCA » de Bernard Carrez, Antonio Pessoa et Alexandre Planche, Ed. ENI, .
  • Le MEDEF a en France, en 2006, proposé 4 fiches(PDF) d’aide à la préparation des entreprises, qui restent très succinctes, dont l’un inspiré des documents type Cahier Des Charges.
  • Livre « Plan de continuité d’activité et système d’information, vers l’entreprise résiliente », de Matthieu Bennasar (consultant en sécurité et enseignant, MBCI et CISM) est consacré à la mise en place et la gestion d’un PCA. (Dunod 2010 - 2e édition, prix AFISI 2006)
  • Livre « Catastrophe et management - Plans d'urgence et continuité des systèmes d'information », de Daniel Guinier (enseignant en master, consultant en sécurité des SI, CISSP, ISSAP, ISSMP, MBCI), précurseur des PRA/PCA de divers secteurs (Masson 1995).
  • Livre "Management de la Continuité d'activité" d'Emmanuel Besluau (consultant en continuité, ECP) indique la marche à suivre, les choix à faire (informatiques ou non) ainsi que les concepts technologiques pour élaborer un Plan et le maintenir à jour (Eyrolles 2008).

L’outil informatique prend une importance croissante. Les consultants lui associent souvent un SIMCA (système d’information du management de la continuité), visant à mettre à jour en temps réel toutes les informations vitales de l’entreprise et éventuellement de son réseau de partenaires proches. L’ordinateur a également contribué à des modélisations et planifications plus complexes, au travail sur la complexité elle-même, ou encore à l’évaluation des dégâts et à la gestion et répartition des responsabilités et taches en situation de crise.

  • Livre "Pandémie grippale : quelles réponses des ressources humaines ?" Eric Pouliquen, Willway & associés, supplément no 1406 Semaine Sociale Lamy, . La mise en place de plans de continuité d'activité n'a pas pour seule finalité l'actuelle menace de pandémie grippale mais s'inscrit dans un cadre plus globale et doit « devenir un outil de gestion ordinaire pour les entreprises et les organisations ».

Notes et références

  1. a et b « Coronavirus : avez-vous votre plan de continuité d’activité ? », sur Groupe AFNOR, (consulté le ).
  2. « Professional Practices | DRI », sur drii.org (consulté le )
  3. Journal officiel de la République française du 26 février 2004
  4. Référentiel de pratiques : Hébergement à Valeur Ajoutée - Réponse aux Défis de la Continuité de Business 2008
  5. Thèmes traités par le MEDEF
  6. « Bienvenue | Guide de la continuité d’activité », sur guide-continuite-activite.sgdsn.gouv.fr (consulté le )

Voir aussi

Bibliographie

  • « PCA, PRA : comment les mettre en place » de Matthieu Bennasar, Revue Mag-Securs, No.18, Jan.-Mar. 2008, p. 54-55.
  • « Dispositif de gestion de continuité - PRA/PCA : une obligation légale pour certains et un impératif pour tous » de Daniel Guinier, Revue Expertises, no 308, Nov. 2006, p. 390-396.
  • « Pandémie grippale : un risque certain, à terme incertain (1re partie : anticiper le risque) » de Eric Pouliquen (Willway & associés), Les Cahiers du DRH, no 144, .
  • « Pandémie grippale : un risque certain, à terme incertain (2e partie : élaborer le Plan de continuité) » de Eric Pouliquen (Willway & associés), Les Cahiers du DRH No.145,
  • « Pandémie grippale : quelles réponses des ressources humaines ?» de Eric Pouliquen (Willway & associés), supplément no 1406 Semaine Sociale Lamy,
  • « Face à une pandémie annoncée et à la crise suivante… Réponses pour la continuité de l'activité des entreprises » de Daniel Guinier, Revue Expertises, no 340, Oct. 2009, p. 337-342.

Articles connexes

Liens externes