Cartographier les risques
Identifier les risques qui pourraient bloquer l’activité de l’entreprise est la première démarche à mettre en œuvre lorsque l’on établit un PCA.
Le risque zéro n’existe pas. Même si toutes les précautions ont été prises, une entreprise peut être victime d’un incendie, d’une inondation, d’une cyber-attaque ou encore d’un bris de machine qui, brutalement, va interrompre son activité ou significativement la réduire. Alors plutôt que de se contenter d’espérer que le pire n’arrive jamais, mieux vaut s’y préparer en établissant un plan de continuité d’activité (PCA). Un document dans lequel seront décrits les risques majeurs qui pèsent sur l’entreprise et les actions à mettre en place pour en limiter les impacts en cas de survenue.
Une entreprise est une machinerie complexe qui, suite à un évènement indésirable, peut se gripper.
La première démarche qui préside à l’élaboration d’un PCA consiste donc à identifier les fonctions et les lignes métiers de l’entreprise (chaîne de production, service de maintenance, service comptable, système informatique…) dont l’arrêt brutal mettrait en péril, à très court terme, l’activité de l’entreprise.
Alors, comment faire ?
• Avant tout, il va falloir identifier les risques qui pèsent sur l’entreprise compte tenu de son activité, de sa localisation et de son organisation (multi-sites, par exemple…). Grâce à une matrice de criticité (mesurant la fréquence et la gravité des risques), il sera possible de les hiérarchiser et ainsi de ne prendre en considération que ceux qui sont majeurs.
• Ensuite, pour chaque ligne métier, devra être défini le « temps d’arrêt maximum supportable » (TAMS), soit la durée au-delà de laquelle son arrêt entraînerait des dommages sérieux pour l’entreprise.
• Enfin, devra être estimé le « temps d’arrêt probable » (TAP). Un délai qui, bien entendu, variera en fonction du sinistre envisagé.
Identifier les vulnérabilités
Désormais doté d’une liste de risques, il devient possible de mesurer l’impact de chaque sinistre sur les lignes métiers et ainsi de savoir si le temps d’arrêt probable provoqué par chacun d’eux est supérieur au temps d’arrêt maximum acceptable. Lorsque c’est le cas, des actions visant à réduire le TAP devront être envisagées.
Exemple : une entreprise située en bord de fleuve peut être victime d’une inondation. 10 jours sont nécessaires pour changer les moteurs électriques qui assurent le fonctionnement de la chaîne de production. Or, il n’y a que 5 jours de stock. Cette situation devra être prise en compte dans le PCA.
Important : élaborer un PCA est un travail qui demande un savoir-faire très spécifique et beaucoup d’expérience. Il ne peut être correctement réalisé qu’en se faisant accompagner par un consultant spécialisé.
Réagir de manière adaptée
Lorsque survient un sinistre, chacun doit savoir quel rôle jouer dans les actions qui permettront à l’entreprise de redémarrer son activité.
Identifier les risques majeurs qui pèsent sur l’entreprise n’est pas le seul objectif d’un PCA. Établir ce document va également permettre de définir l’ensemble des actions à mener suite à un sinistre pour en réduire les impacts et rendre possible un redémarrage de l’activité.
Le plan d’urgence
Pour garder le contrôle de la situation et agir de manière efficace au moment d’un sinistre, il faut être préparé. Raison pour laquelle une cellule de crise sera constituée lors de la réalisation du PCA. Outre un directeur, elle comprend les responsables des lignes métiers sensibles et une personne chargée de fournir les moyens nécessaires à la gestion de la crise.
Elle a pour mission d’organiser le déploiement du plan de continuité de l’activité. Autrement dit :
• d’analyser la situation (liste des dégâts, fonctionnement des services…) ;
• de mettre en œuvre les actions d’urgence (prévenir les pompiers, les forces de l’ordre, mettre en sûreté les personnes et les biens, contacter son assureur…) ;
• de communiquer sur le sinistre vers les équipes et l’extérieur ;
• de préparer les phases de gestion de crise et de redémarrage de l’activité (mobiliser les moyens humains et techniques, mobiliser des partenaires et des prestataires, trouver de nouveaux locaux…).
Et attention, les personnes en charge d’appliquer le PCA doivent parfaitement connaître leur rôle afin d’agir correctement et sans attendre dès la survenue du sinistre. Une préparation est donc nécessaire.
Précision : afin de limiter le risque d’apparition de rumeurs suite à un sinistre et de rétablir la confiance en interne et vers l’extérieur, il convient de mettre en place un plan de communication, définir les messages et charger un porte-parole de les diffuser.
La gestion de la crise
L’étape de cartographie a mis en évidence les principaux risques de voir un sinistre bloquer le fonctionnement d’un service clé de l’entreprise.
Une des missions du PCA consiste à définir les actions à mettre en œuvre pour traiter ces risques. Ainsi, en cas de sinistre, elles permettront d’atteindre, très rapidement, un niveau de fonctionnement minimum acceptable. Deux types d’actions pourront être lancés (elles seront définies en tenant compte de leur efficacité et de leur coût) :
• des solutions palliatives destinées à contourner les services interrompus (activation d’un accord de sous-traitance signé avec un autre industriel lors de l’élaboration du PCA permettant une production minimum, par exemple) ;
• des solutions de secours grâce auxquelles l’entreprise pourra retrouver un niveau de fonctionnement dégradé mais acceptable (emploi d’intérimaires pour étiqueter à la main des bouteilles de liqueur après l’incendie de la machine dédiée, par exemple).
À savoir : l’établissement d’un PCA a également l’avantage de réduire, en amont, la plausibilité du sinistre, comme par exemple en déménageant un entrepôt vers un site plus élevé pour limiter les risques d’inondation.
Le redémarrage de l’activité
Les solutions mises en œuvre dans le cadre de la gestion de crise sont par nature transitoires. Elles vont perdurer le temps que les conditions de redémarrage de l’activité soient réunies. Les actions permettant un redémarrage de l’entreprise seront également listées et présentées avec précision dans le PCA.
À noter : pour s’assurer que certaines solutions inscrites dans le PCA pourront être déployées avec efficacité en cas de sinistre (utilisation d’une machine de secours, remplacement d’un homme-clé défaillant…), il est important de les tester très en amont.
Mettre à jour le PCA
Un PCA n’a pas vocation à finir au fond d’un tiroir. Il doit être actualisé pour tenir compte de l’évolution des risques qui pèsent sur l’entreprise.
L’entreprise et les risques qu’elle encourt évoluent en permanence. Le PCA étant là pour y répondre, il doit également être mis à jour régulièrement pour prendre en compte :
• les nouveaux risques qu’engendre l’évolution de l’entreprise (changement d’organisation, d’activité…) ;
• l’évolution des priorités (développement de l’export, renforcement d’une activité jusque-là secondaire…) ;
• le changement du personnel (prendre en compte les nouveaux métiers, identifier les nouveaux hommes-clés…) ;
• l’évolution des ressources sur lesquelles l’entreprise peut compter en cas de crise (changement de local d’entreposage de certains matériels, changement de matériel et donc des conditions d’utilisation…) ;
• les enseignements tirés d’un récent sinistre (correction des procédures initialement envisagées…).
Généralement, un PCA est mis à jour tous les 2 à 3 ans.
Un PCA toujours disponible
En cas de sinistre, le PCA doit être accessible rapidement et facilement, à toutes les personnes (et à elles seules) qui sont missionnées pour le mettre en œuvre. Aussi, le PCA et ses annexes doivent être :
- stockés dans des endroits connus par ces personnes ;
- tenus à jour ;
- traduits dans d’autres langues, si besoin ;
- stockés dans un lieu à l’abri des sinistres.
© Les Echos Publishing - 2018