Le plan de continuité d'activité

La résilience, c’est ce qui permet à une organisation de se maintenir en situation d’activité en période de crise et de retrouver un fonctionnement normal, le plan de continuité d’activité s’inscrit dans cette démarche responsable et nécessaire. Mais pour que le plan de continuité puisse produire ses effets, il doit avant tout emporter facilement l’adhésion des personnes concernées, s’adapter à la situation et être capable d’évoluer avec le temps et l’organisation.

1. Qu’est-ce qu’un PCA ?

Un plan de continuité d’activité (PCA) représente l’ensemble des mesures visant à assurer le maintien, y compris de façon temporaire et selon un mode dégradé, des tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités.

2. Pourquoi une organisation a-t-elle besoin d’un PCA ?

La nature, la fréquence et le coût des crises ont sensiblement évolués au cours des dernières années avec des conséquences allant jusqu’à la cessation définitive d’activité. S’il n’est pas possible de prévoir tous les risques, il est nécessaire pour le responsable d’une structure de prévoir des stratégies de protection. Le PCA est d’ailleurs obligatoire pour de nombreuses organisations comme les établissements de santé ou les opérateurs d’importances vitales.

3. Le contexte du PCA

Le plan de continuité d’activité s’inscrit dans un contexte géographique et fonctionnel de l’organisation, il convient de prendre compte tant le contexte externe (demande des actionnaires, de l’état, de l’environnement politique ou social, etc.) que le contexte interne (culture de l’organisation, politiques internes, stratégies et objectifs, etc.). Cette double analyse permettra d’identifier les activités essentielles de l’entreprise, et l’ensemble des flux« critiques »qui y sont nécessaires (logistique, informatique, etc.).

4. Identifier les besoins de l’organisation

Pour chaque activité essentielle et flux critiques, le PCA devra déterminer : le niveau de service minimum indispensableetladurée d’indisponibilité maximale acceptable. À noter qu’un fonctionnement en mode dégradé peut être envisagé, à condition de prévoir un niveau de service minimum et une durée d’indisponibilité maximale avant un retour à une reprise de l’activité normale.

5. Gérer les risques prioritaires

Les risques de toute nature doivent être identifiés (naturel, industriel, malveillance, etc.) et analysés (critère de fréquence et de gravité) dansle but d’être évalués en fonction du contexte et des besoins.

La gestion du risque doit demeurer rationnelle, il n’est pas envisageable de chercher à empêcher la survenance de tous les risques : il convient de quantifier la probabilité d’occurrences et les impacts des risques afin de proposer des solutions réalistes.

6. Identifier les solutions et choisir les scénarios

De manière idéale, le traitement du risque prioritaire identifié consiste à éliminer le risque (changement d’activité, de localisation). Si le risque ne peut pas être éliminé, alors des actions de prévention pour diminuer sa probabilité d’occurrence, ou des actions de protection, pour en limiter les effets directs, doivent être envisagées. Les actions de prévention ou de protection ne réduisent pas le risque à zéro, bien qu’avec une faible probabilité d’occurrence des scénarios tenant compte de ce risque doivent être envisagés et traité par le PCA.

7. Identifier les moyens nécessaires au scénario

Pour maintenir, ou rétablir, le fonctionnement des processus indispensables, il faut disposer de ressources « critiques » : ressources humaines, infrastructures, système d’information, ressources intellectuelles et fournisseurs externes (prestation et matières premières). Mais le PCA doit également envisager la perte des ressources critiques et proposer une solution avec d’autres ressources. La continuité de l’activité passe donc par la garantie d’un niveau de ressources minimum (ressources redondantes, externes, procédures de sauvegarde, etc.).

8. Définir la stratégie de continuité

Les moyens nécessaires à la continuité de l’activité identifiés, il est possible d’évaluer le coût du PCA. C’est un élément important puisqu’il doit être optimisé en prenant en compte la probabilité d’occurrence du scénario et l’appétence ou l’aversion pour le risque de l’organisation.

9. La gestion de crise

Une situation de crise nécessite une procédure et une communication réglées. Les fonctions clés d’une gestion de crise sont : la veille pour détecter les signaux précurseurs, une procédure d’escalade qui s’adapte à la réalité de la situation et une capacité à anticiper et analyser les scénarios pourrecommander le plan d’action optimal dans un contexte incertain.

10. PCA : rédaction, exécution, évolution

Le plan de continuité d’activité va décrire la démarche logique ayant conduit au choix de la stratégie de de continuité et de réponse aux différents scénariosde crise retenus. La documentation doit être facilement accessible, aisément comprise et aisément modifiable. La procédure de gestion de crise doit être parfaitement compatible aux procédures normales afin d’en faciliter l’activation. La mise en œuvre du PCA nécessite de s’assurer continuellement de la disponibilitédesressources critiques nécessaires à l’activation du plan. Enfin, le PCA doit être évolutif en fonction des risques et des évolutions de l’organisation, et doit, dans la mesure du possible, être vérifié par un tiers de confiance et faire l’objet de plusieurs exercices.

Cet article est un résumé partiel du guide « Pour réaliser un plan de continuité d’activité » rédigé par le SGDSN en 2013 et disponible librement au téléchargement, ce guide s’accompagne de nombreuses fiches pratiques détaillant chacune des étapes.

Actualités


Inf'ONSTS - Janvier 2021

  L'Observatoire vous présente...

Inf'ONSTS - Décembre 2020

  L'Observatoire vous présente...