Plan de continuité d'activité 11/09 |
Récemment remise au goût du jour par les Pouvoirs Publics dans la perspective de l’éventuelle pandémie grippale H1N1, la mise en œuvre de Plans de Continuité d’Activité (PCA) s’impose à toutes les organisations, dans l’hypothèse d’une rupture partielle ou totale, temporaire ou permanente d’une activité essentielle ou d’un processus critique. Mais identifier, définir, tester, mettre en œuvre et assurer l’efficacité d’un PCA (puis d’un Plan de Reprise d’Activité - PRA) ne s’improvise pas. Précisions.
L’entreprise peut être confrontée, un jour ou l’autre, à une crise. Nous en avons abordé les principaux contours lors d’une précédente lettre (Cf. Gestion de Crise). Mais toute crise peut être surmontée grâce à la mise en œuvre de véritables stratégies de continuité, permettant à l’organisation de préserver, éventuellement de manière dégradée, la poursuite de sa mission. Ce maintien de la continuité des activités critiques consolide la satisfaction des clients et limite in fine les impacts de la crise.
Afin d’organiser sa continuité en situation dégradée, l’entreprise doit identifier, définir, tester puis assurer l’efficacité de véritables Plans de Continuité d’Activité (ou PCA), dans l’hypothèse d’une rupture partielle ou totale, temporaire ou permanente, d’un processus critique.
Principaux axes de réflexion et d’actions dans la démarche d’élaboration et le déploiement d’un PCA :
- Identifier les processus critiques et les activités primordiales de l’entreprise : gestion et traitement des demandes Client, réalisation des processus opérationnels clés, modes de communication interne/externe, pérennité des infrastructures essentielles…
- Identifier les compétences clés de l’organisation (ressources humaines), associées aux activités primordiales de l’entreprise, dans une logique de Satisfaction Client (impact minimal de la « crise » pour le client).
- Sélectionner un nombre limité de processus critiques qui feront l’objet de PCA (documenter 500 PCA n’est pas forcément judicieux)
- Définir un format standard de PCA : structure, organisation, contenu, localisation, procédure de validation, de test, de diffusion, de communication, de réactualisation…
- Rédiger les PCA par ordre de criticité, par service, par département, par processus ; un PCA doit être pratique, opérationnel, simple, compréhensible et aisément utilisable en situation «de tension»
- Tester chaque PCA a minima une fois par an, afin d’en vérifier son acuité, sa cohérence et son efficacité réelle. Gérer la vie documentaire du PCA : réactualisation systématique en cas de changement organisationnel ou fonctionnel, constitution d’un PCA général reprenant l’intégralité des PCA existants
Exemples de PCA classiques à envisager :
- Pertes des systèmes d’information (plus de réseau, crash disque dur, pertes de données…)
- Perte ou arrêt d’une chaîne de production, de montage, d’un site de stockage, de distribution…
- Perte d’une activité critique essentielle pour le client (interruption de prestation)
- Rupture de prestations d’un tiers externalisé (faillite d’un prestataire essentiel)
- Inaccessibilité d’un site de production-stockage-distribution, du siège (grève, inondation, crise sanitaire, incendie, etc.)
- Perte d’énergie, de communication, rupture de matières premières, de marchandises
- Perte de connaissances, de compétences (décès d’un acteur clé, plan social, séquestration)
- Etc.
Solutions éventuelles à mettre en œuvre (mode dégradé) :
- Délocalisation ou relocalisation d’activités critiques (sous-traitance, déport de processus)
- Mise en œuvre de solutions de sauvegarde, de redondance
- Développement de la polyvalence et des compétences multi-sites, multi-fonctions
- Actions de communication préventive ou curative
- Réorganisation partielle ou totale, redéfinition des processus, altération volontaire de pratiques
Validé de manière collégiale (qui fait quoi, quand, comment, autorité et processus dégradé légitimés…) le PCA sera utilement complété d’un Plan de Reprise d’Activité (PRA). D’expérience, le retour d’une situation dégradée (suite à l’activation d’un PCA) à une situation normale peut être source de nouveaux risques ou de nouveaux dysfonctionnements, notamment si le séquençage des tâches permettant le retour à la normale n’est pas correctement réalisé (Ex : surcharge informatique lorsque tous les salariés se reconnectent au même moment suite à un bug informatique, engendrant un nouvel arrêt général du système).
La mise en place de PCA et de PRA renforce judicieusement la capacité des entreprises à faire face aux risques lorsqu’ils se présentent en situation de crise, relativement à ses processus critiques. Une démarche à ne pas négliger, particulièrement en situation potentielle de pandémie sanitaire. Comment l’entreprise fonctionnera-t-elle si 50% des équipes sont absentes ? En fait, rédiger un PCA revient à se poser la question essentielle suivante – et tenter d’y répondre- :
Que faisons-nous si… ?
Pour que votre entreprise devienne demain une entreprise durable, investissez dans votre pérennité.
Avec RISKEAL, ensemble, maîtrisons vos risques.
Jean-David DARSA |
