Plan de continuité d’activité, l’essentiel

La continuité d’activité se définit, selon la norme ISO 22300, comme « la capacité d’un organisme à poursuivre la livraison de produits ou la fourniture de services dans des délais acceptables durant une perturbation ».

Le plan de continuité d’activité (PCA) est l’organisation alternative que l’entreprise met en place en attendant de remédier à l’événement perturbateur à l’origine de l’arrêt de ses processus. Il ne s’agit pas de dupliquer l’organisation à l’identique mais d’analyser l’impact de la crise sur les métiers et processus et de les classer selon une durée d’interruption maximale admissible (Dima).

« Le PCA permet de minimiser les impacts sur l’activité de la survenue d’un sinistre en assurant un fonctionnement en mode dégradé et/ ou une reprise graduelle des activités, des plus critiques au moins critiques », explique Benoit Vraie, enseignant chercheur, spécialiste de la gestion des crises et des PCA et consultant senior en Business Resilience chez Airbus Protect.

Le PCA définit les rôles et responsabilités des équipes impliquées, les actions à conduire, associées à des procédures simples et les besoins en ressources. Il présente les modalités matérielles, techniques et organisationnelles permettant la reprise de l’activité et les dispositions de continuité d’activité communes à l’ensemble des services. « Comme les procédures d’activation des salles de repli, les plans de reroutage courrier ou téléphonique, le planning des besoins en ressources humaines…, illustre Benoit Vraie. Des fiches opérationnelles de continuité d’activité viennent compléter le PCA : une fiche par service, avec l’ordre de redémarrage des différents processus concernés. »

La cyberattaque est aujourd’hui perçue comme l’interruption majeure ayant la plus forte probabilité d’occurrence. Toutes les entreprises et organisations y sont vulnérables. La chaîne logistique est également au cœur des préoccupations, que ce soit à cause des risques liés au changement climatique (augmentation et intensification des catastrophes naturelles) ou des risques géopolitiques.

• Préparer la guerre en temps de paix
  Le PCA n’est pas qu’un document, c’est surtout un état d’esprit, une philosophie qui permet de penser l’imprévisible. « Et de mettre en place à l’avance, à froid, l’ensemble des éléments rationnels sur lesquels on pourra s’appuyer à chaud, dès l’activation du PCA », souligne Benoit Vraie. Les solutions de secours et les modes opératoires associés doivent être souples et adaptables car il sera constamment nécessaire de s’adapter à la réalité de la crise.

• Raisonner en termes d’impact
  Il ne faut pas réfléchir à la probabilité d’occurrence du risque mais à l’impact d’une rupture majeure sur les activités de l’entreprise. Le PCA concerne principalement des risques de forte gravité, dont la fréquence est moindre.
  C’est aussi le résultat de l’analyse des impacts des interruptions des activités qui pourra permettre de convaincre une direction de la nécessité de développer des PCA, au-delà des actions de traitement et de réduction des risques.

• S’interroger sur les conséquences de l’indisponibilité des ressources, quelles que soient les causes et les origines du sinistre et sans considération de probabilité. Le guide de l’Amrae sur les plans de continuité d’activité cite les ressources :
  • humaines ;
  • matérielles ;
  • informationnelles ;
  • partenariales ;
  • outils de production.

  L’entreprise doit s’interroger sur sa réponse à l’indisponibilité de ces ressources, quelle que soit l’échelle géographique de la crise, du local au global.

• Définir l’entreprise minimale vitale
  Il ne s’agit pas de protéger tout de tout, mais de protéger le coeur de l’activité. « Quand on s’attelle au PCA, on voudrait que tout puisse survivre. Il y a un effort particulier à fournir pour définir les ressources et processus clés à préserver. Quels sont les outils, les données, les personnes, les process indispensables pour assurer un minimum d’activités et donc de revenus. Quelle est l’entreprise minimale qui doit survivre ? C’est à cette question qu’il faut répondre, remarque Julien Touzeau, responsable de l’entité Cybersecurity Consulting chez Airbus Protect. Il faut ensuite envisager que cette entreprise minimale survive sans son système d’information initial, qui ne sera pas opérationnel ou auquel on ne pourra pas faire confiance. »

Article extrait du n° 596 de Face au Risque : « Plan de continuité d’activité : mode d’emploi » (octobre 2023).