Aller à la navigation Aller au contenu
en savoir plus

Plan de continuité d’activité : comment être prêt le Jour J

Intervention AMRAE Cédric Lenoire – Continuité d’activité

Pour faire face à une crise majeure, la préparation est une question de survie pour les entreprises de toutes tailles. Un plan de continuité d’activité (PCA) est donc fondamental. Sur la base de son expérience et de méthodologies éprouvées, Cédric Lenoire, Senior Business Risk Consultant chez FM Global, a présenté de bonnes pratiques lors des Rencontres AMRAE. Résumé de son intervention à l’atelier « Continuité d’activité : comment être opérationnels le Jour J ? » aux côtés de François Michaud, directeur du management des risques et de la sécurité à la SNCF, Gérard Payen, chief risk officer du Groupe Renault et Vazrik Minassian, directeur associé d’Adenium spécialisé dans la mise en œuvre de PCA.

En 2011 la ville de Joplin dans le Missouri et l’hôpital Mercy ont subi une tornade de force maximale avec des vents à plus de 300km/heure. Devenu trop instable, le bâtiment a dû être évacué dans sa totalité dont les patients, le personnel hospitalier et les équipements. Si l’hôpital avait prévu un plan de continuité de l’activité, il portait sur l’afflux de patients en cas de catastrophe naturelle, mais pas sur l’interruption brutale des services. Personne n’avait imaginé la possibilité d’une tornade aussi violente qui pourrait anéantir l’hôpital. Pourtant, grâce au dispositif de gestion de crise, une continuité quasi-totale d’activité a été assurée pour les patients, via 6 structures alternatives successives sur plusieurs années.

Une préparation ciblée

Les enseignements sont multiples. S’il est essentiel de se préparer à une crise, il n’est pas possible d’en prévoir la sévérité. Il serait également illusoire de vouloir prévoir en amont tous les scénarios et conséquences possibles. Le bon choix est de se concentrer sur les actions qui permettront la continuité des activités les plus critiques et pas nécessairement sur les causes de la crise. Pour être viable et pertinent, un PCA devra bien évidemment être adapté au domaine qu’il concerne. D’un secteur à une autre, il traitera des incidences de quelques minutes ou heures, comme dans l’IT ou des impacts étalés sur des mois voire des années. Ce fut ainsi le cas pour l’hôpital du Missouri : entre la destruction du bâtiment et sa reconstruction, cinq ans ont passé.

Le PCA, une question de survie

Se préoccuper de la continuité d’activité afin de faire face aux conséquences d’une interruption est tout simplement vital pour les entreprises. Selon l’INRS (Institut National de Recherche et de Sécurité), 70 % des entreprises, particulièrement les petites structures, disparaissent après avoir subi un incendie. Ne pas prévoir ce type d’incident, ne pas s’y préparer, peut donc être considéré comme une faute professionnelle. Selon l’enquête annuelle du BCI (Business Continuity Institute), les professionnels du risque estiment qu’une interruption des activités a des conséquences lourdes. Elle oblige une réorientation des investissements stratégiques, remet en question les parts de marché, fait rater des opportunités de développement et a aussi un effet sur la capitalisation boursière… Par exemple, la panne informatique qui a touché British Airways dernièrement a entraîné une baisse de sa  capitalisation boursière de 170 millions de livres sterling en l’espace d’un week-end.

Pour autant, 26 % des personnes interrogées ne connaissent pas les impacts à long terme d’une crise sur leur entreprise. Le manque d’information et de connaissances perdure. Elles sont 51 % à estimer que le soutien du comité directeur et les ressources allouées au système de management de la continuité des activités (SMCA)* ne sont pas suffisants, preuve que la culture du risque n’est pas encore bien diffusée en interne.

Le système de management de la continuité des activités, un élément clé

Lorsqu’une crise survient, les ressources financières, humaines et matérielles sont limitées, et la contrainte de temps est majeure. Il faut réaliser des choix car tout ne peut être résolu simultanément et l’optimisation des moyens disponibles est essentielle. Pour anticiper et réagir au mieux, une bonne compréhension du modèle d’entreprise est impérative car c’est lui qui détermine quelles sont les missions fondamentales garantes de la continuité d’activité. C’est ce que permet le Bilan d’Impact sur les Activités (BIA), grâce au croisement des analyses des risques, du modèle d’entreprise et surtout des flux financiers générés. Il s’agit de la première étape de la mise en place d’un SMCA ciblé qui s’articule autour de quatre points clés.

  1. Comprendre l’organisation et identifier les activités critiques en réalisant un BIA, une cartographie des risques opérationnels et un inventaire des ressources clés.
  2. Définir une stratégie de continuité d’activité : elle doit tenir compte des contraintes opérationnelles, des objectifs métiers, ainsi que des priorités et des niveaux d’activité à recouvrer.
  3. Développer et implémenter des PCA qui se concentrent sur les missions essentielles de l’entreprise. Chaque PCA est spécifique au contexte et objectifs fixés. Ils peuvent contenir des plans de prévention, des transferts d’assurance, une reconsidération de l’outil opérationnel… ou toute solution en mesure de maintenir l’activité à un niveau acceptable
  4. Mettre à jour et former les équipes via des programmes de tests, des plans d’actions correctives, le développement de supports d’information et de formation.

La formation, en théorie et en pratique

Le SMCA et le PCA sont des outils qu’il faut faire vivre au rythme de l’entreprise. Sans formation des équipes, pas de maîtrise des solutions, ni d’implémentation efficace le jour J. Deux niveaux de formation sont à distinguer :

  • une sensibilisation des employés n’ayant pas un rôle direct dans le PCA afin qu’ils connaissent les consignes et les suivent ;
  • une formation plus approfondie, pour celles et ceux qui auront à jouer un rôle essentiel et qui devront être capables d’organiser les actions.

Bien sûr, la théorie ne suffit pas et il faut organiser des tests des stratégies mises en place de manière régulière : ils permettent de vérifier la bonne compréhension des procédures, de développer la coordination et de discerner les points d’amélioration. De même, il convient de mettre à jour les PCA, au moins une fois par an pour vérifier leur pertinence car les entreprises évoluent sans cesse, en termes de stratégie, de ressources humaines, de cadre réglementaire…


Lexique

Système de Management de la Continuité des Activités :

– identifie les impacts potentiels d’un incident sur l’entreprise,

– fournit le cadre nécessaire à l’amélioration de la résilience,

– développe la capacité de réaction face aux risques d’interruption des activités.

Plan de Continuité des Activités :

– ensemble documenté de procédures permettant à l’entreprise de maintenir ses activités critiques à un niveau prédéfini acceptable en cas d’incident.

Plan de Reprise des Activités :

– Document définissant les ressources, actions, tâches et données nécessaires à l’effort de reprise technologique. 

Bilan d’Impact sur les Activités :

Analyse des risques, du modèle et des flux financiers de l’entreprise, qui détermine les activités, processus et équipements critiques qui doivent absolument rentrer dans le cadre de la mise en place d’un plan de continuité de l’activité.

FM Global est le spécialiste mondial de la prévention, la gestion et l'assurance des risques industriels. Un seul but: garantir aux entreprises la continuité de leurs activités partout dans le monde.

Découvrir