Le Plan de Continuité d’Activité : enjeux et méthode de mise en place

Cet article consacré au Plan de Continuité d’Activité a été co-écrit il y a quelques mois avec Mélanie VIGNAUD, une ancienne camarade de promotion.

Le monde qui nous entoure est de plus en plus complexe, ce qui fragilise les entreprises. Elles sont exposées aux instabilités des marchés, à l’interdépendance des acteurs, à la mondialisation des échanges et à la diversification des risques (technologiques, géopolitiques, environnementaux, etc.).

À ceci s’ajoute les catastrophes ou sinistres de grande ampleur qui rendent plus vulnérables les entreprises, car les conséquences qui en découlent sont dévastatrices et souvent ces dernières ne s’en remettent pas. Il existe différents types de catastrophes :

Catastrophes naturelles : tsunami dans l’Océan Indien en 2004, Ouragan Katrina aux USA en 2005 ;

Accident ou terrorisme : Attentat de New-York en 2001, Explosion d’AZF en 2001 ;

Défaillances d’infrastructure : coupures massives d’électricité, en septembre 2003, en Amérique du Nord ;

Risques sanitaires : Grippe aviaire (virus H5N1) en 2006, épidémie de SRAS à Hong Kong en 2003, Grippe A.

Quels impacts sur les entreprises ? Ces incidents majeurs engendrent de multiples impacts sur l’entreprise :

Commerciaux (pertes de clients et de parts de marché) ;

Financiers (pertes de revenus, coûts de reprise d’activité) ;

Juridiques (sanctions disciplinaires, financières ou pénales pour non respect d’obligations réglementaires) ;

D’image (conséquences négatives sur l’image et la réputation de l’entreprise).

Pour se préserver de ces impacts, l’entreprise peut mettre en place un management de continuité d’activité. Le contexte réglementaire et normatif est favorable à la mise en place de cette stratégie.

Réglementaire :

Bâle II transposé par les Décrets CRBF en France ;

Décret CRBF 1997-02 : Plan de continuité informatique ;

Décret CRBF 2004-02 : Plans de continuité d’activité documenté, cohérent et testé, applicable depuis le 1^er juillet 2004 ;

Décret SAIV et DNS (Directives Nationales de Sécurité) ;

Solvency II.

Normes :

ISO 27001 ;

BS 25999-1 : 2006 aide à la mise en place d’un plan de continuité d’activité (PCA)

Définition, enjeux et objectifs

Avant de détailler les enjeux et les objectifs de cette stratégie, définissons ce qu’est un PCA. Il s’agit d’un ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé,

des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités (CRBF 2004-02).

Les enjeux de la mise en place d’un PCA sont de :

Garantir la survie de l’entreprise en minimisant les impacts financiers, juridiques et d’images d’un sinistre grave ;

Favoriser la conquête de marché en rassurant les clients sur la sécurité de leurs intérêts en cas de sinistre ;

Répondre aux obligations légales pour les facteurs financiers (Règlement CRBF 1997-02).

Les objectifs d’un PCA sont :

Anticiper et maîtriser les risques opérationnels de grande envergure ;

Analyser et réduire les impacts potentiels d’une interruption d’activité.

La mise en œuvre d’un PCA

On peut diviser la démarche de mise en œuvre d’un PCA en trois grandes phases :

L’identification des enjeux :

C’est l’étape indispensable à la réussite du projet, l’identification des enjeux doit être réalisée avec la Direction Générale. Elle doit permettre de déterminer les enjeux auxquels doit répondre le PCA (par exemple : garantir le Chiffre d’Affaires, garder la confiance des clients, conserver son image de marque, tenir ses engagements avec des tiers en cas de crise…)

L’analyse des risques :

Elle est réalisée par le Risk Manager de l’entreprise, elle va mettre en évidence, à l’aide de méthodes et outils (AMDEC, HAZOP, EBIOS, MEHARI…), les menaces et les scénarios que nous allons prendre en compte dans le PCA. Les scénarios les plus communs sont : destruction des bâtiments, perte du système d’informations, sabotage…

L’Analyse d’Impact des Activités économiques :

Elle sera menée en collaboration avec les directions de chaque métier de l’entreprise. Son but est d’identifier les processus critiques de l’entreprise et de déterminer les enjeux et les conséquences de l’arrêt de ces processus (évaluation des impacts financiers, clients, réglementaires, …)

Ces trois phases vont permettre de mettre la lumière sur les besoins de continuité de l’entreprise. C’est-à-dire d’identifier les processus critiques qui, en cas de crise, sont les plus critiques. Il faudra donc mettre en place des solutions de secours qui vont permettre de faire fonctionner ces processus en mode dégradé et de les faire redémarrer le plus rapidement possible.

La conception du PCA

4 grandes étapes jalonnent la mise en pratique d’un Plan de Continuité d’Activité opérationnel.

1) L’identification des besoins de continuité :

Deux facteurs rentrent généralement en compte pour déterminer ces besoins de continuité. On retrouve le Délai Maximal d’Interruption Admissible et la Perte Maximale de Données Tolérable. Les solutions de secours qui seront définies par la suite devront être en adéquation avec ces valeurs. Par exemple, si un processus critique de l’entreprise ne doit, en aucun cas, rester arrêté pendant plus de 4h, la solution de secours prévue doit permettre une reprise d’activité en moins de 4h. Quelques exemples de solutions de secours : local de repli, backup informatique, salle de gestion de crise…

2) La base documentaire :

C’est un pilier indispensable à tout PCA. Toutes les procédures de continuité doivent être formalisées (du plan d’alerte, au plan de gestion de crise en passant par le plan de secours informatique). Il doit être adapté au contexte, être à jour, testé et être disponible en cas de sinistre.

3) La validation :

Un PCA ne sera jamais opérationnel s’il n’est pas testé régulièrement. La validation va permettre, à travers un exercice, de déceler les incohérences et insuffisances du système établi, d’améliorer les

procédures et surtout d’entraîner et de s’assurer que les acteurs de la continuité d’activité sont formés et familiarisés avec leurs rôles et responsabilités respectives.

L’exercice se présentera sous la forme d’une simulation d’un scénario de sinistre et il donnera lieu à un plan d’action d’amélioration du PCA.

4) Le Maintien en Conditions Opérationnelles :

Le PCA doit vivre, au risque de finir, comme beaucoup de documents en entreprise, au fond d’un tiroir. La tendance est de passer de la notion de Plan de Continuité à un Management de la Continuité d’Activité qui viendra se greffer aux systèmes de management de la qualité, de la sécurité et de l’environnement.

Le PCA doit rester à jour par rapport aux processus de l’entreprise et à leurs évolutions (techniques, technologiques, économiques, réglementaires…) et ce maintien en conditions opérationnelles doit être planifié et formalisé. On retrouve dans cette dernière étape une analogie avec la notion d’amélioration continue.

Pour conclure, le PCA est une problématique qui s’inscrit, malheureusement, parfaitement dans le contexte actuel. Dans ces temps de crise financière et de multiplication des risques (fraudes, terrorisme, catastrophes naturelles…), les entreprises quelques soient leurs tailles devraient s’interroger plus sérieusement sur leurs besoins en continuité d’activité et sur leurs capacités à gérer efficacement des crises…

Quelques chiffres :

Lorsqu’elles n’y sont pas préparées, 43 % des entreprises ferment au moment d’un sinistre, et 29 % de celles qui survivent disparaissent dans les 2 ans qui suivent.

36% des entreprises qui ont un PCA le testent au moins une fois par an.

Source :