Plan de continuité d'activitéLe plan de continuité des affaires ou plan de continuité d’activité (PCA) est à la fois un concept, une procédure et le document qui la décrit. C'est l'un des éléments de la gestion de crise. Il permet à une entreprise de fonctionner a minima même en situation de désastre, en mode dégradé, ou en situation de crise majeure ou mineure (ex : inondation, incendie, tsunami, tremblement de terre, pandémie, catastrophe technologique, coupure d'électricité, d'eau, d'Internet, etc.). Ce plan doit permettre à un groupe (gouvernement, collectivité, institution, entreprise, hôpital..) de fonctionner même en cas de désastre ; quitte à ce que ce soit en mode dégradé, ou en situation de crise majeure. C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objectif est de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institution, d’un groupe… Pour un gouvernement et les citoyens, il est essentiel que les secteurs fournissant des services vitaux tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont électricité), le transport en commun, les télécommunications, les banques, etc. soient capables de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services). Il existe en France une norme AFNOR (norme ISO 22301 dite Système de management de la continuité d’activité, exceptionnellement mis à disposition gratuite de tous le pour répondre à la pandémie de COVID-19[1]. ContenuLe Disaster Recovery Institute International (DRII) suggère dans ses bonnes pratiques quatre critères pour un PCA : “resume without notice”, “data stored off-site”, “within recovery time objective”, “without key personnel”. Créé et maintenu par Disaster Recovery Institute International, Les Pratiques Professionnelles pour la Gestion de la Continuité d’Activités est un ensemble de connaissances conçu pour aider à l'élaboration, à la mise en œuvre, et le maintien d’un programme de gestion de la continuité des activités. Il est également destiné à servir d’outil pour effectuer des évaluations des programmes existants[2]. Ce qui se résume en :
Il varie selon les plans, mais il intègre généralement :
Cela se fait :
Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie confidentiel, ce qui peut nuire à son appropriation par une partie du personnel :
Dans le secteur des services publics, il est supposé servir l’intérêt général (la question des coûts ne devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés. Cadre réglementaireCes plans sont obligatoires dans certains secteurs (ex : pour le secteur bancaire en Europe, à la suite de la réglementation Bale 2, ou pour les sociétés cotées au NYSE, depuis la loi Sarbanes Oxley. Ils sont parfois imposés aux assureurs ou réassureurs, ou sont exigés par certains commanditaires chez leur fournisseurs ou sous-traitants ou parce que leur propre Plan le leur impose. Ils peuvent être imposés par des actionnaires soucieux de protéger leurs fonds. Certaines primes d’assurance diminuent pour l’entreprise à risque si elle est dotée d’un tel plan (après qu'il a été jugé correct par un audit de l’assureur).
Des outils normalisés (ISO notamment) peuvent aider à l’amélioration continue de ces plans, mais leur contenu précis, ni la méthode ne sont normés ou précisément définis ; SpécificitésSecteurs bancaire et de la FinanceLe Comité consultatif de la législation et de la réglementation financières (CRBF) a défini le Plan de continuité d’activité comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités »[3]..
Secteur informatiquePour plus de 40 % des organisations interviewées en 2008 par MARKESS International[4], la réduction et la minimisation des risques d’interruption de business, la volonté d’optimiser les ressources, les pressions internes des directions métier, la meilleure gestion des risques sécuritaires sont les catalyseurs qui les poussent à prendre des mesures précises afin de garantir la continuité de business pour leurs applications informatiques et les infrastructures sous-jacentes associées. Cas de la grippe aviaireAvec la mondialisation et les modifications globales de l’environnement, l’augmentation des problèmes nosocomiaux, c’est un risque qui grandit. Les progrès de la génétique rendent le risque de bioterrorisme également plus crédible et grave. Après l’exemple du SRAS, dans le cadre du risque pandémique lié à la diffusion du virus H5N1, de nombreux plans nationaux demandent aux fournisseurs de services vitaux (alimentation, énergie, services de transport, de télécommunication, de santé, banques, etc. de préparer d’intégrer le risque pandémique dans leurs plans de continuité et de crise, de manière à pouvoir fournir un service minimum malgré un manque de personnel (mort, malade ou absent).
Les plans de continuité (quand ils existent) doivent généralement être adaptés car ils ont été préparés pour des situations de catastrophe naturelle, de guerre, ou d'attentat. Ces risques sont liés à une brusque, mais locale pénurie d’infrastructure et de ressources. (Il suffit alors de déplacer le personnel dans une zone sûre ou sécurisée). Au contraire, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira ni combien de vagues suivront, ni à quelle intensité.. 30 à 60 % du personnel pourrait localement manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les infrastructures de transport et de communication ne devraient pas être touchées, mais les déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les infrastructures pourraient localement et durant un certain temps faire défaut. La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pensent que le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau dépend totalement de la fourniture en électricité et du maintien du fonctionnement des télécommunications. Enfin le télétravail demande une infrastructure informatique adaptée, et souvent plusieurs mois de préparation pour être opérationnel.
Une norme AFNOR (norme ISO 22301 dite Système de management de la continuité d’activité traite de ce sujet. Elle a été « exceptionnellement » mis à disposition gratuite de tous le pour répondre à la pandémie de COVID-19[1]. Les 4 premiers thèmes traités en 2006 par le MEDEF étaient[5] :
Le MEDEF (français) proposait en 2006 en téléchargement la seconde des 4 brochures ci-dessous produites (en anglais) par l’association Trust for America's health (États-Unis)
L'Agence nationale pour l'amélioration des conditions de travail propose un outil en ligne d'aide à l'élaboration d'un PCA. En 2023, le secrétariat général de la défense et de la sécurité nationale (SGDSN) publie un guide de la continuité d'activité en ligne[6]. Outil numérique gratuit de sensibilisation et d’accompagnement, il vise à faire acquérir à un très large public (administrations, collectivités, entreprises…) les fondamentaux de la continuité d’activité et sa méthodologie. Amélioration continuePar définition, un plan de continuité ne peut être définitif. Il doit être mis à jour en fonction du contexte et/ou des retours d'expériences et d'exercices (quand les exercices existent, ce qui est recommandé par les gestionnaires de crise). Une certaine standardisation des protocoles de secours se met en place qui semble utile, mais ne doit pas freiner l’innovation et une certaine souplesse nécessaire face à l’imprévu. Documentation
L’outil informatique prend une importance croissante. Les consultants lui associent souvent un SIMCA (système d’information du management de la continuité), visant à mettre à jour en temps réel toutes les informations vitales de l’entreprise et éventuellement de son réseau de partenaires proches. L’ordinateur a également contribué à des modélisations et planifications plus complexes, au travail sur la complexité elle-même, ou encore à l’évaluation des dégâts et à la gestion et répartition des responsabilités et taches en situation de crise.
Notes et références
Voir aussiBibliographie
Articles connexes
Liens externes
|