Plan de reprise d’activité : 10 étapes essentielles pour sa mise en place

La nature, la fréquence et le coût des crises ont sensiblement évolué au cours des vingt dernières années. On comprend sans doute mieux aujourd’hui à quel point sont étroitement imbriquées les différentes dimensions de ces événements qui perturbent très fortement le fonctionnement de nombreuses organisations, publiques et privées, avec des conséquences allant jusqu’à la cessation définitive d’activité. Les retours d’expérience des grandes crises récentes montrent que les organisations ayant entrepris une démarche préalable visant à garantir la continuité de leur activité sont les plus résilientes face aux événements déstabilisants.

Bien qu’il soit utopique de chercher à tout prévoir et maîtriser, le responsable d’une organisation – publique ou privée – se doit de concevoir et mettre en œuvre des stratégies de protection permettant d’éviter certains événements, ou tout du moins d’en limiter les effets directs sur les objectifs de l’organisation, et d’assurer la continuité d’activité malgré la perte de ressources critiques. Cet impératif conditionne la situation financière de l’organisation, son image dans la société et naturellement la responsabilité personnelle du dirigeant. Les établissements de crédit, les entreprises d’investissement, les établissements de santé, les opérateurs d’importance vitale doivent déjà répondre à l’obligation légale de plan de continuité d’activité.

La gestion de la continuité d’activité est définie comme un « processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeurs». Un plan de continuité d’activité (PCA) a par conséquent pour objet de décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image…) et de tenir ses objectifs

1- Définir le contexte et les objectifs de l’organisation

Cette première action est essentielle et conditionne l’efficacité d’ensemble de la démarche. Elle vise à préciser le périmètre géographique et fonctionnel de l’organisation qui doit être pris en compte, puis à identifier tout ce qui peut orienter les choix en rapport avec la spécificité de l’organisation. Notamment, il convient de prendre en compte aussi bien le contexte externe (demande des actionnaires, des autorités chargées de la réglementation et du contrôle, contrats existants et niveaux d’exigence associés, environnement politique, social, culturel, juridique, économique et financier, dépendances, etc.), que le contexte interne (histoire et culture de l’organisation, style de gouvernance et de pilotage, politique interne de gestion des ressources humaines, informatiques, matérielles et immatérielles, stratégie et objectifs internes, organisation, processus, système d’information, flux, etc.). Cette démarche analytique est nécessaire pour la suite, afin notamment de permettre d’apprécier le niveau de risque acceptable par l’organisation, et d’orienter en conséquence la stratégie de continuité, soit vers une approche privilégiant la continuité des activités principales, soit, au contraire, vers une approche acceptant plus facilement les pertes d’activité associées à la prise de risque.L’analyse du contexte permet également d’identifier les activités qui sont essentielles pour l’atteinte des objectifs de l’organisation et le respect de ses obligations. Ces activités supposent l’existence de processus et de flux (matières premières, interfaces avec les systèmes d’information) dont les plus critiques doivent être utilement cartographiés et décrits. De ce travail va découler une première analyse des ressources dites « critiques » pour le bon fonctionnement de l’organisation.

2- Identifier et formaliser les besoins de continuité

Cette étape est la suite logique de la précédente. Il s’agit de préciser, pour chaque activité essentielle et chaque processus ou flux critique, le niveau de service minimum indispensable ainsi que la durée d’indisponibilité maximale acceptable. Des modes dégradés peuvent parfois être envisagés, rendant ainsi plus tolérable une interruption de l’activité. Cependant, le mode dégradé obéit lui aussi à des objectifs de niveau de service minimum et de durée maximale avant une reprise de l’activité normale.Pour maintenir ou rétablir le fonctionnement des processus, il faut disposer de ressources dites « critiques » que l’on peut classer en cinq catégories : ressources humaines, infrastructures, système d’information, ressources intellectuelles, et fournisseurs externes (prestations et matières premières). Par conséquent, des objectifs relatifs au niveau des ressources critiques doivent être également définis. Pour simplifier le travail, l’analyse des besoins en ressources sera effectuée sur la base d’un nombre limité de scénarios ou situations de crise retenus comme prioritaires, à l’issue de la démarche de gestion de risque et compte tenu des besoins de continuité.À ce stade, il est déjà possible de quantifier les conséquences d’une interruption de l’activité en termes humain (personnes blessées ou décédées consécutivement à un arrêt de service vital), ou financier (pertes de ressources non assurées, application de pénalités contractuelles, conséquences juridiques, perte de matières suite à l’indisponibilité des systèmes d’information, ou perte de marchés suite à des fuites d’information), ainsi que les conséquences sur l’environnement, sur l’image4, sur le moral des salariés ou sur la responsabilité pénale du dirigeant.À la fi n de cette étape la direction de l’organisme devra valider la description et l’évaluation de chaque processus critique. La description du processus, sa criticité, ses objectifs de niveau de service et de délai maxi-mal d’interruption acceptable (DMIA ou DIMA), et les conséquences d’une interruption supérieure à ce délai maximal (exprimées autant que possible en coût financier) sont détaillées dans des fiches. Si l’interruption dépasse le délai maximal acceptable, le coût augmente fortement avec la durée de l’interruption. Sans dispositif de secours il est possible de mettre en péril l’organisation. L’impact financier ou la perte d’image peuvent alors dépasser ce que l’organisation peut assumer et conduire de facto à sa disparition.

3- Identifier et gérer les risques prioritaires

La démarche de gestion du risque est une démarche globale qui permet de quantifier la probabilité d’occurrence (ou plausibilité) et les impacts des risques et disposer ainsi des éléments permettant de décider des actions à entreprendre afin de limiter les effets de l’incertitude sur les objectifs et obligations de l’organisation. Elle nécessite de travailler étroitement avec les responsables des métiers et des processus de l’organisation. C’est la seule démarche qui permette d’éviter que l’émotion ou la peur ne dictent les choix car elle permet de fournir des éléments de quantification seuls à même de conduire à des décisions rationnelles. Concrètement, il s’agit d’identifier les risques de toutes natures (approche « tous risques »), puis de les analyser (selon les critères de fréquence et de gravité) en les regroupant par scénarios significatifs, et finalement d’évaluer ces risques en fonction du contexte et des enjeux pour l’organisation (activités stratégiques, chaîne de valeur, conjoncture, opportunités, concurrence, capacité financière, etc.).

  • L’identification des risques consiste à sérier les risques qui peuvent affecter l’atteinte des objectifs stratégiques (part de marché, nouveaux produits, équilibre financier…), opérationnels (respect des délais de fourniture, coût des prestations, qualité des produits…), de gouvernance (qualité de l’information de pilotage, cohérence des systèmes d’information décisionnels…) ou de conformité (responsabilité sociale et environnementale, respect des textes réglementaires…). Au sein de ces « rubriques », les risques peuvent être égale-ment classés selon leur origine (accidentelle, naturelle, sanitaire, technologique, ou action humaine délibérée).
  • L’analyse des risques peut se faire selon différentes méthodes, par exemple en caractérisant la source du risque (la menace), les vulnérabilités (grâce auxquelles la menace peut produire des effets) et les effets (ou impacts) eux-mêmes.
  • L’évaluation des risques consiste à les classer selon deux critères : la probabilité d’occurrence (ou plausibilité) et la gravité d’impact. Il résulte de ce classement une liste graduée des risques, les plus critiques étant ceux qui sont à la fois les plus fréquents et dont l’impact est le plus grave. Ces derniers peuvent faire l’objet d’une évaluation complémentaire pour prendre en compte le contexte spécifique de l’organisation avec ses valeurs. Il en résulte finalement une liste de risques classés par ordre d’importance décroissante, les premiers devant faire l’objet d’une action prioritaire : le «traitement».
  • Le traitement des risques prioritaires consiste à décider d’une action visant à éliminer le risque (par exemple en changeant l’activité ou sa localisation) ou à le limiter (par des actions de prévention et de protection physique), ou encore par une gestion financière (assurance, partage).

Quand le risque ne peut être éliminé, les actions de prévention ou de protection sont à privilégier car elles sont généralement moins coûteuses que la gestion des conséquences d’un sinistre. Les actions de prévention consistent par exemple à diminuer la probabilité d’occurrence (ou plausibilité) par des mesures de protection physiques ou logiques dissuasives, la sensibilisation des employés aux bons comportements, la détection rapide de signaux précurseurs pour arrêter la menace à temps, des actions de dissuasion face à des menaces de nature humaine ou encore des interventions préventives. Les actions de protection visent à limiter les effets directs d’un sinistre et à circonscrire le périmètre des dégâts, par exemple en protégeant les personnes et les biens, en rendant plus résistants les points névralgiques, en développant une défense en profondeur pour ralentir la progression et en assurant une détection rapide des incidents afin de permettre une intervention rapide.

4- Choisir les scénarios à prendre en compte

Les actions de prévention et de protection ont permis de réduire les risques, mais pas de les supprimer. Des risques résiduels demeurent, qui ont généralement une probabilité d’occurrence (ou plausibilité) faible, mais peuvent néanmoins conduire à une perte de ressources critiques susceptible d’entraîner une interruption d’activité au-delà du seuil acceptable ou une diminution du niveau de service en deçà du seuil minimum prédéfini. Ces risques sont par conséquent constitutifs de scénarios qui devront être traités dans le cadre du PCA. Le travail de gestion du risque a permis également de les caractériser en termes de vraisemblance et d’impact. Ces données vont permettre d’optimiser la stratégie du plan de continuité présentée plus loin

5- Formaliser les moyens et procédures

Afin d’assurer la continuité d’activité (notion prise au sens large de la normalisation, recouvrant le maintien du service au-dessus du seuil minimum, le fonctionnement dégradé temporaire et les mécanismes de reprise d’activité, partielle ou totale) il est nécessaire de pallier la perte de ressources critiques en utilisant d’autres ressources. Cela n’est généralement possible que si de telles ressources ont été prévues à l’avance. Il est donc nécessaire de limiter les pertes de façon à disposer après le sinistre d’un niveau de ressources minimum pour permettre la reprise. Par exemple il ne sera possible d’assurer la reprise d’un système d’information à un niveau acceptable que si un certain nombre de matériels et de réseaux sont disponibles après le sinistre et si les données critiques sauvegardées sont suffisamment récentes pour limiter la perte opérationnelle. C’est le concept de perte de données maximale admissible. Il résulte de ceci que la reprise d’activité doit se préparer :

  • En identifiant ou en créant des ressources redondantes non susceptibles d’être affectées par le sinistre.
  • En s’ouvrant la possibilité de faire appel, dans des délais adaptés, à des ressources externes.
  • En appliquant des procédures de sauvegarde des données adaptées à l’exigence en termes de perte de données maximale admissible.
  • En disposant d’une organisation, d’une architecture technique et de procédures qui vont permettre le fonctionnement du centre de secours dans les délais prescrits et pour les applications prioritaires.

Il est possible par exemple de disposer de différents dispositifs de secours informatique, les données essentielles étant dupliquées par un mécanisme de reproduction synchrone, assurant de ne pas perdre des données, tandis que des applications moins critiques pourront accepter une reprise « à froid » avec les données de la veille.

Le PCA requiert par conséquent des moyens et des procédures qui doivent être mis en place avant la survenue d’un sinistre. Après le sinistre, la cellule de crise pourra activer certaines dis-positions du PCA afin de permettre une reprise partielle puis totale de l’activité.

6- Définir la stratégie de continuité

Maintenant que, les moyens à mettre en œuvre pour assurer la continuité ou la reprise d’activité ont été identifiés. Leur coût peut donc être évalué. Ce coût est d’autant plus élevé que les objectifs de délais d’interruption sont courts. Il est par conséquent aisé (au moins en théorie) de déterminer le point d’optimisation, en prenant en compte la probabilité d’occurrence du scénario de crise et l’appétence ou aversion au risque de l’organisation, pour l’activité considérée. En pratique, ces calculs financiers peuvent être parfois trop complexes. Dans ce cas l’ordre de grandeur quantitatif et qualitatif des coûts justifiant la mise en place d’une stratégie de continuité peut toujours être estimé afin d’obtenir une validation en connaissance de cause par la direction.

7-Spécifier les procédures de gestion de crise et de communication

La gestion de crise, entendue au sens large, conduit à mettre en œuvre les dispositifs et procédures nécessaires pour détecter, qualifier, alerter, anticiper, conduire les actions utiles, et décider notamment de l’activation de certains dispositifs du PCA.

Dans cette perspective, les fonctions clés de la gestion de crise sont :

  • La veille, qui permet de détecter des signes précurseurs et donc de préparer les responsables concernés.
  • La procédure d’escalade, qui permet d’alerter les responsables du PCA et de la gestion de crise afin de qualifier l’événement assez tôt pour déclencher l’alerte de la hiérarchie, puis prendre au bon moment la décision d’activer la cellule de crise.
  • Les fonctions d’aide à la décision et notamment la capacité à anticiper, analyser les différents scénarios possibles et recommander un plan d’action optimal dans le contexte incertain inhérent aux situations de crise sortant d’un cadre prédéfini.

La cellule de crise joue un rôle clé dans l’activation des dispositifs du PCA qui sont les plus adaptés à la situation. A contrario, dans le cas de situations fréquentes, des PCA peuvent être activés en mode « réflexe », sans qu’il y ait nécessairement besoin de disposer d’une cellule de crise.

8- Rédiger le plan de continuité et la documentation associée

Au termes des étapes décrites précédemment, et après validation, il est possible de rédiger le plan de continuité d’activité qui va décrire la démarche logique ayant conduit au choix de la stratégie de continuité et de la réponse aux différents scénarios de crise retenus. Cette réponse consiste à préciser les moyens et à documenter les procédures qu’il convient de mettre en œuvre en fonction des dispositifs du PCA activés par la cellule de crise. Les responsables de ces moyens et procédures doivent être clairement identifiés ainsi que leur rôle et les actions attendues d’eux. La documentation doit être facilement accessible en cas de besoin, être aisément comprise même par des personnes récemment affectées et qui n’ont pas encore été formées. Elle doit être aussi aisément modifiable pour permettre au PCA d’évoluer. Par ailleurs, les procédures spécifiques au PCA doivent être parfaitement intégrées aux procédures normales afin d’être comprises et facilement activées en situation d’urgence.

9- Assurer la capacité de mise en œuvre du plan

Les responsables en charge des moyens doivent vérifier la disponibilité des ressources spécifiques conditionnant l’activation du plan de continuité. À défaut, de nouvelles ressources doivent être mobilisées pour assurer cette disponibilité dans les délais prescrits par le PCA. Les procédures de mise en œuvre du PCA doivent également être spécifiées, documentées et intégrées dans les processus existants. Il est nécessaire de vérifier que ces ressources sont bien disponibles, ou le seront à une date identifiée, et que les procédures sont connues, comprises et pourront être mises en œuvre dans les délais prescrits, et selon des modalités spécifiques aux scénarios retenus. Cette tâche est beaucoup plus difficile quand on s’adresse à des prestataires externes, qui ne sont pas sous le contrôle de l’organisation. Cependant, les mêmes principes doivent s’appliquer, avec, selon le cas, un contrôle direct, un contrôle documentaire, une certification par un tiers et/ou la participation à des tests ou exercices communs

10- Faire évoluer le plan : exercices et retours d’expérience

Une fois le PCA réalisé et sa capacité à être mis en œuvre garantie, il est nécessaire d’en vérifier l’efficacité. À cet effet, différentes approches complémentaires sont recommandées. Il s’agit d’abord de faire vérifier les documents, idéalement par un tiers de confiance, puis de tester la mise en œuvre des dispositifs (par exemple le basculement de certaines fonctions sur un site de secours), de vérifier enfin, par des exercices, que les dispositifs et procédures de continuité sont connus, compris et peuvent être mis en œuvre dans les délais prescrits.

Articles similaires

Please follow and like us:
décembre 21, 2018

Étiquettes : , , , , ,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *