Stratégie

La continuité d'activité au delà des scénarios trop limités

La continuité d'activité au delà des scénarios trop limités
Benoit Vraie et Sophie Huberson, auteurs du guide « Les plans de continuité d'activité » de l'AMRAE
Retrouvez cet article dans le CIO FOCUS n°105 !
La révolution numérique bouscule les entreprises

La révolution numérique bouscule les entreprises

La révolution numérique est devenue une antienne, un mantra, un leitmotiv, une rengaine... Il n'en demeure pas moins qu'elle est une réalité incontournable qui se décline autant sur des thématiques techniques, organisationnelles, stratégiques et humaines. En voici quelques exemples.Tout d'abord,...

Découvrir

L'AMRAE vient de publier un guide sur Les Plans de Continuité d'Activité. Benoît Vraie et Sophie Huberson y détaillent les nouveaux enjeux et les méthodes actuelles. Problèmes humains, incidents juridiques, impacts sur le capital image... La complexité du PCA s'est fortement accrue ces dernières années comme ils l'ont expliqué lors d'une présentation à la presse.

Publicité« Quand un sportif se blesse, il se demande si c'est grave et combien de temps il devra s'arrêter : c'est une bonne image de la problématique de la continuité d'activité » a illustré Benoît Vraie, président de la commission PCA et Gestion de crise de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise). Cette association vient de publier un guide sur Les Plans de Continuité d'Activité rédigé par Benoît Vraie et Sophie Huberson.
Si cette problématique de la continuité d'activité est très ancienne, l'approche qui en est faite a radicalement évolué depuis quelques années. Il était donc nécessaire de faire un point sur les bonnes pratiques en la matière en tenant compte des difficultés qui se développent ou qui se constatent aujourd'hui. C'est l'objet de cette publication.

Le PCA périmétrique a vécu

Sophie Huberson a insisté : « jadis, le PCA était périmétrique et scénarisé, avec, pour un problème, une solution. Aujourd'hui, les sujets sont nettement plus complexes et il faut tenir compte de l'indisponibilité de ressources. » Des catastrophes comme une pandémie ou une crue de la Seine entraînent trop d'incertitudes pour pouvoir être scénarisées. La bonne approche est donc de gérer des indisponibilités de x ressources techniques ou humaines en définissant sous quel délai et comment on peut réagir.
Le PCA devient donc un guide de réaction face à une indisponibilité ou un ensemble d'indisponibilités. Mais certains paramètres sont souvent négligés. « Une équipe réveillée à deux heures du matin sera en situation de stress et un éventuel déplacement significatif du lieu de travail (vers un site de secours) de certaines équipes devra être anticipé juridiquement dans les contrats de travail ou les conventions collectives » relève Benoît Vraie. Sophie Huberson ajoute : « si votre PCA prévoit le maintien sur site d'équipes mais que leurs familles ont les pieds dans l'eau ou que tout le monde évacue devant une catastrophe majeure, il faut prendre en compte l'hypothèse que vos équipes fuient avec leurs familles. Quelqu'un qui a peur est ingérable. » De même, avoir deux sites, à l'Est et à l'Ouest de Paris, quand tout le bassin parisien est désorganisé par une crise touchant les transports, ne sert pas à grand'chose.

Une pluralité d'approches complémentaires

A l'approche technique traditionnelle, même avec une dimension systémique (crue, crise des transports...), il faut donc aussi adjoindre une dimension humaine, organisationnelle voire familiale. Enfin, un troisième axe doit être pris en compte : celui du capital-image de l'entreprise. Celui-ci peut faire l'objet d'une atteinte aussi grave que le patrimoine matériel ou que les ressources humaines. L'arrestation du PDG, la présence de cheval dans des lasagnes ou le piratage des données clients sont autant d'atteintes graves au capital-image qui peuvent mettre en péril l'existence même de l'entreprise. Il faut avoir anticipé une réponse -plutôt en matière de communication de crise- pour reconstruire le capital-image en plus du capital technique.
Le risque humain lui-même doit être pris en compte. Ce risque est d'ailleurs l'objet d'une autre publication de l'AMRAE rédigé par Abdel Bencheikh, président de la Commission Risques et Ressources Humaines de l'AMRAE, et Nicolas Dufour, professeur affilié à la Paris School of Business et gestionnaire de risques. Un DSI a tendance à considérer le risque humain comme celui de la fraude ou du piratage via hameçonnage/cheval de Troie mais ces risques ne sont pas considérés comme majeurs dans la plupart des entreprises. Les Français envisagent surtout le risque psycho-social (stress, harcèlement, burn-out, troubles musculo-squelettiques...) alors que, dans d'autres pays ou dans certains secteurs, le risque de perte de talents au profit de concurrents plus généreux est majeur. Et la disparition brutale d'une compétence-clé peut être très préjudiciable dans une entreprise alors lors d'un départ négocié jugé comme un non-incident par les DRH. Pour Abdel Bencheikh, « certains risques humains sont sur-couverts pour des raisons réglementaires mais tous les risques ne sont pas pour autant traités. »

PublicitéUne logique qui doit être économique

L'organisation du PCA et son maintien en conditions opérationnelles par des audits réguliers doivent donc tenir compte des différents facteurs évoqués. Mais, très (trop) souvent vient l'argument du coût. Car établir et maintenir un PCA a un coût, de toute évidence.
La logique du PCA doit donc également être économique. C'est, bien sûr, traditionnellement le cas au travers de l'approche probabiliste : si une catastrophe coûterait un million d'euros et a une probabilité de 1%, le coût acceptable d'une prévention est inférieur à 10 000 euros. Mais cette approche est insuffisante. Il faut bien sûr estimer le coût total d'une catastrophe, ce coût pouvant inclure la fin de toute production. Mais, côté bénéfice financier, il faut aussi prendre ne compte l'important gain financier résultant d'une meilleure négociation des contrats d'assurance s'appuyant sur une gestion des risques complète.

Gratuit pour les adhérents

Le guide Les Plans de Continuité d'Activité commence par rappeler les principes généraux de la création du PCA. Il détaille ensuite les tâches préparatoire à froid puis les règles de mise en oeuvre à chaud. Enfin, la dernière partie est consacrée au domaine très particulier de l'image.
Comme d'habitude, ce guide est gratuit pour les adhérents de l'AMRAE. Il est également en vente auprès de l'association au prix de 18 euros.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis