La crise induite par le covid-19 replace le Plan de Continuité d’Activité (PCA) au cœur de la stratégie des entreprises. L’anticipation des risques dits stratégiques – ceux pouvant entrainer une rupture des activités – permet aux entreprises d’assurer la continuité de leurs activités critiques suivant un mode dégradé. Cet article a vocation à présenter les avantages d’une politique de continuité d’activité et de proposer une méthodologie PCA.
La société Adenium, spécialiste dans le conseil en continuité d’activité a édité un baromètre résilience des entreprises 2020.
Les résultats de cette étude indiquent que :
- 86% des entreprises disposent d’une politique de gestion des risques
- 73% des entreprises disposent d’une organisation de crise
- 68% des entreprises ont mis en place un PCA
Les chiffres cités ci-dessus montrent que, de façon globale, les entreprises ont saisi l’importance d’entrer dans une politique de continuité d’activité. Il convient de rester prudent et de tester de façon régulière le dispositif pour capitaliser sur le retour d’expérience (RETEX).
Les avantages de la continuité d’activité pour les entreprises
La politique de continuité offre de multiples avantages pour les entreprises. Concernant le business, le PCA est un atout pour la pénétration de nouveaux marchés. Il permet aux clients de les rassurer en cas de crise puisque les activités critiques de l’entreprise seront assurées. Ainsi, les impacts, qu’ils soient économiques, financiers, sociaux ou sécuritaires, seront amoindris. Surtout, il sera plus aisé de reprendre les activités économiques. L’étude menée par Adenium a permis de montrer que pour 20% des entreprises, le coût d’arrêt d’une activité s’élève à plus de 10 millions d’euros. Cela aura forcément un impact positif sur la réduction des coûts.
Pour les secteurs stratégiques (notamment les OIV), le PCA est une obligation réglementaire et peut être contractuelle. Certains clients peuvent même demander que les fournisseurs critiques de l’entreprise soient associés dans la démarche de continuité d’activité. De fait, ce processus participe à la confiance des clients et au développement de l’image et de la réputation de l’entreprise.
Concernant l’entreprise en elle-même, la mise en place ou mise à jour du PCA est l’occasion de mieux comprendre les enjeux de l’activité. En identifiant les risques et les menaces, notamment ceux pouvant entrainer une rupture des activités économiques, de nouveaux enjeux peuvent être analysés. Le traitement de ces enjeux participe au développement d’opportunités, qui peut aboutir à la conquête de nouveaux marchés.
En ce qui concerne les collaborateurs de l’entreprise, la démarche PCA participe à la politique de sécurité des personnes. En effet, l’une des étapes des PCA est l’identification des aléas (menaces) et des enjeux (vulnérabilité), et par conséquent du risque. Cette démarche, qui s’inscrit dans la politique de sécurité des entreprises, participe à une amélioration du climat social et même au développement des relations syndicales et patronales. Ainsi, en cas de crise, les risques de tensions entre syndicat et entreprise – qui peuvent par ailleurs engendrer une crise dans la crise – sont atténués, laissant ainsi l’entreprise se concentrer sur la gestion opérationnelle de la crise.
Les étapes d’élaboration du PCA
Le Secrétariat à la Sécurité et à la Défense Nationale (SGDSN) ainsi que des cabinets de conseils en gestion de crise proposent des guides d’élaboration de PCA desquels il est possible de s’inspirer.
Il convient de noter toutefois que, quels que soient les documents réalisés, il est nécessaire de prendre du recul : chaque crise a sa propre spécificité et une gestion de crise pour l’une ne peut l’être pour une autre. Les documents de crise et de PCA doivent être un support et ne pas contraindre la gestion opérationnelle de la crise, l’imagination et l’innovation.
- Cartographie des processus : identifier les ressources critiques
La cartographie des processus permet d’identifier les activités critiques de l’entreprise, celles qui ne doivent pas être arrêtées au risque d’avoir des impacts irréversibles sur la santé de l’entreprise.
- Cartographie des risques : évaluer les évènements redoutés
Quantifier le risque, c’est analyser le croisement des aléas et des enjeux.
Le premier représente le danger, la menace. On le caractérise par sa probabilité d’occurrence, soit par des statistiques, soit en analysant et en croisant la motivation, le savoir-faire et les ressources d’une part et la vulnérabilité de la cible d’autre part.
L’enjeu représente ce qui doit être protégé : une personne, un bien, des données… On le caractérise par ses types d’impacts (humain, économique, environnemental…).
- BIA : se préparer et évaluer les impacts de la crise
Le Business Impact Analysis (BIA) est un document dans lequel on retrouve les activités critiques recensées, leur Durée Maximale d’Indisponibilité Admissible (DMIA) et potentiellement les périodes critiques (prestations sociales…).
Cette analyse se doit d’être opérationnelle car elle oriente la stratégie à adopter au moment de la crise. Ainsi, le BIA doit comprendre les ressources humaines, techniques et logistiques pour pouvoir fonctionner en mode dégradé.
Il est nécessaire de se poser les questions suivantes (liste non exhaustive) :
- De combien de personnes ai-je besoin par activité critique pour fonctionner en mode dégradé ? Ai-je prévu des suppléants ? Est-ce qu’une personne dispose de compétences uniques ?
- Ai-je des sites de replis à ma disposition ? Est-ce qu’ils sont équipés de manière à pouvoir travailler ? Cela nécessite une quantification des besoins informatiques (matériels, applications, RTO/RPO), quantification des besoins matériels spécifiques…
- Mes fournisseurs critiques pourront-ils continuer à me livrer ?
- Mitigation de plans
Lors de cette étape, il s’agit de mettre en place un plan d’action permettant de réduire les risques analysés. Les mesures doivent être autant de l’ordre de la prévention que de la protection. Il convient également de réévaluer les risques en incluant les mesures de plan d’action afin de déterminer le risque résiduel : est-il inacceptable ou acceptable ? Dans le premier cas, une veille des signaux faibles et forts ainsi qu’une surveillance accrue sont recommandées de sorte que le risque ne se transforme pas en crise.
- Plan d’alerte : gestion des incidents et remontée des informations
Ce plan vient en support de la mitigation. Il permet l’organisation de l’alerte : qui, quoi, où et quand. Il a vocation à prévenir les responsables concernés (métiers, sécurité, sûreté…) des incidents rencontrés et du degré de gravité de ces derniers. On y retrouve les coordonnées des personnes concernées et les schémas d’escalade (remontée des informations).
- Plan de gestion de crise
Ce plan est assez complexe et demande un travail sur du long terme. La norme ISO 22301 fait référence à une structure de réponse à un incident qui comprend « des procédures et une structure de management lui permettant de répondre à un incident perturbateur en faisant appel à un personnel ayant les responsabilités, l’autorité et les compétences nécessaires pour gérer l’incident ».
Il doit détailler l’organisation de la gestion de crise de l’entreprise : cellule de crise, salle de crise, outil de gestion de crise, communication de crise, RETEX… Ce plan peut être testé en réalisant des exercices de crise montrant ainsi les axes d’amélioration.
- Plan de Reprise d’Activité (PRA)
Le PRA doit s’inspirer des conclusions du BIA (Business Impact Analysis), l’objectif étant de pouvoir redémarrer les activités le plus vite possible pour un retour à la normale. Il fait partie intégrante du dispositif de gestion de crise de l’entreprise.
En période de crise, l’entreprise est forcée de fonctionner en mode dégradé, interrompant ou réduisant une partie de ses activités (non critiques). Dans le PRA, il sera question de s’interroger sur la reprise progressive des activités. Dès lors, une hiérarchisation des activités est à prévoir. Cela soulève tout une partie organisationnelle :
- Retour progressif des collaborateurs
- Aménagement progressif des horaires de travail
- Levée progressive des restrictions (déplacements…)
En revanche, il est nécessaire de continuer à monitorer et évaluer régulièrement la situation. Un rebond de crise pourrait survenir, replongeant l’entreprise en mode dégradé, l’obligeant à reprendre son dispositif de gestion de crise.
Résilience des entreprises
Dans un monde de plus en plus globalisé où les risques et les menaces peuvent anéantir une entreprise, la résilience est une arme de survie (défensive) et de combativité (offensive).
La politique de PCA est une première marche dans la résilience des entreprises. La capitalisation est indissociable de la mémoire des entreprises. La résilience est et restera avant tout un état d’esprit. Cette notion étant particulièrement intéressante et complexe, elle fera l’objet d’une prochaine analyse.
Nicolas Ragot et Benjamin Roman