22 mai 2018

Plan de continuité d’activité – PCA

Plan de continuité d’activité - PCA.

Continuité d’activité et Gestion de crise

L’approche

Le Plan de Continuité d’Activité est une approche globale et un ensemble de mesures visant à assurer et garantir, selon divers scénarios de crise, le maintien ou la reprise de façon temporaire et selon un mode dégradé, certains services essentielles à l’entreprise en vue d’une reprise rapide des activités.

Objectif

C’est donc de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité et donc la pérennité d’une entreprise. Ceci par exemple afin de garantir la survie de l’entreprise, rassurer les clients et actionnaires.

Les travaux sont généralement effectués en collaboration avec :

  • L’audit interne : Qui apportera son expertise sur la prévention et l’analyse des risques.
  • Le Responsable de la Sécurité des Systèmes d’Informations (RSSI) : Qui doit plus spécifiquement participer à la définition du Plan de Reprise d’Activité, centré sur les systèmes d’information, et devant s’insérer dans le PCA.
  • Un responsable de la sécurité ou de la gestion de crise dans le cas de l’existence d’un POI ou autres plans d’urgence de traitement.
  • Un expert indépendant et extérieur à l’entreprise pour apporter la méthodologie et un regard neutre et une approche pragmatique et concrète.

PDCA Engineering accompagne et partage son expérience et savoir-faire avec ses clients dans l’accomplissement de cette démarche préventive a la gestion de crise.

Les plans de gestion de crise ont par le passé été construits que sur une partie des risques (souvent informatiques) et non sur l’ensemble des risques. Dans ce contexte, la norme ISO 22301, Societal Security Business Continuity, adoptée le 15 mai 2012 et établie à partir du modèle du PDCA (Plan – Do – Check – Act), qui reprend la norme anglaise BSI 25999, a élargi les PCA à d’autres secteurs et donc à d’autres problématiques.

Ainsi, ces réflexions donnent un caractère très opérationnel à la gestion des crises et à la continuité d’activité qui ne doivent donc plus être considérées comme des activités connexes à l’entreprise.

L’erreur à ne pas commettre serait toutefois de déployer une organisation interne et isolée visant à répondre aux risques « majeurs ».

Elle sera toujours moins performante qu’un système complet de gestion et de pilotage quotidien des risques.

Comment se déroule la mise en place d'un PCA ?

Méthodologie

Une approche efficiente consisterait donc à scinder en deux la réflexion avec, d’une part, l’analyse du risque associant la réduction de son occurrence et de son impact et, d’autre part, les PCA basés sur les conséquences pour l’entreprise suite à la survenance d’un risque.

L’objectif premier est bien de pouvoir faire face à un sinistre de toute nature. Or, personne n’est capable d’intégrer toutes les hypothèses liées à un risque.

Pour preuve, qui était susceptible d’entrevoir la probabilité des attentats des tours jumelles de New-York, ou encore l’enchaînement des catastrophes à Fukushima ?

Les plans de continuité et de gestion de crise doivent prioritairement se baser sur les conséquences des sinistres, quels qu’ils soient, et ce, dans un souci d’efficacité et de pragmatisme. Travailler par scénario de risque (ou de crise) peut s’avérer plus simple et instinctif au départ, mais l’entreprise se trouve rapidement confrontée à une multitude d’options difficiles à traiter par la suite.

1 - Phase de cadrage

Le but de cette phase préalable est de cerner le contexte dans lequel le PCA sera mis en place, avec pour finalité l’identification des risques majeurs auxquels l’entreprise peut potentiellement être confrontée.

La description du contexte permet de lister les activités essentielles de l’entreprise, les processus clés nécessaires à leur fonctionnement, ainsi que les ressources critiques :

  • Infrastructures – bâtiments, locaux, moyens de transport…,
  • Systèmes d’information – systèmes informatiques, moyens de télécommunication…,
  • Ressources humaines – personnes clefs, qualifications, compétences…,
  • Ressources intellectuelles et immatérielles – données internes, informations stratégiques…,
  • Prestations externes – énergie, sous-traitants… – ou produits critiques – matières premières rares.

L’identification des risques donnera lieu à une priorisation de ces derniers (selon la probabilité de survenance et selon la gravité pour chaque risque), puis une analyse de leurs impacts sur les processus métiers et/ou techniques qui auront été définis en amont comme critiques pour l’entreprise.

Les conséquences de l’interruption des processus essentiels seront également mesurées en matières financières. Il s’agira alors pour la direction de fixer la Perte Maximale de Données Admissible (PMDA) ainsi que la Durée Maximale d’Interruption Admissible (DMIA), qui seront déclinées en termes de réponses techniques et organisationnelles lors de la phase suivante.

2 - Organisation, Gouvernance et Solutions techniques

L’objectif de cette phase est de décliner opérationnellement les orientations validées lors de la 1ère phase.

Tout d’abord en mettant en place l’organisation et la gouvernance propres au PCA. C’est lors de cette étape que sera formalisé le processus d’escalade d’alerte, pour déterminer quand et dans quelles conditions sera déclenché le PCA. Les participants et les missions des cellules de crise et autres instances seront formalisées, les rôles et responsabilités des ressources clés seront définis, et la liste des actions prioritaires à mener en cas de déclenchement du PCA sera établie.

Il s’agira également lors de cette phase de définir et de mettre en œuvre les solutions techniques pour secourir les réseaux, les équipements informatiques vitaux pour le fonctionnement minimal de l’entreprise aussi appelé Plan de Reprise d’Activité (PRA), mais aussi d’établir le plan de continuité métier (procédures en mode de fonctionnement dégradé, consignes métiers, ...), le plan de relocalisation, ....

Tous ces plans ayant pour objectif de répondre aux contraintes de PMDA et DMIA définies par l’entreprise.

3 - Maintenance en Conditions Opérationnelle et démarche d’Amélioration Continue

Cette phase vise, par le biais d’exercices de simulation réguliers, à rôder et mettre à l’épreuve les solutions mises en œuvre. A cette occasion, seront testés par exemple, l’activation du processus d’escalade d’alerte, l’activation des cellules de crises, la reprise de l’activité sur un site de secours ….

Conjointement à ces tests, il convient d’assurer la communication, la formation et l’implication de l’ensemble des ressources ainsi que la maintenance des équipements, de manière transverse et en collaboration avec l’entité chargée de la gestion des risques.

Par ailleurs, un PCA ne pouvant être considéré comme définitif, il conviendra de mettre en place une démarche d’amélioration continue autour de ce dernier. Ceci afin qu’il puisse être mis à jour en fonction des retours d’expérience et des innovations organisationnelles et/ou technologiques.

Pourquoi se préparer à gérer une crise et donc un PCA ?

La gestion de crise comporte cette dimension humaine et contextuelle indépendante de la perturbation elle-même qui nécessite donc une préparation spécifique.

L’étymologie même du mot crise porte cette notion en associant les deux dimensions de « décision » et de « jugement ». De fait, la gestion de crise se caractérise comme une prise de décision rapide en présence de plusieurs choix, dans un minimum de temps, avec un minimum d’informations.

Il est donc particulièrement difficile de définir cette notion si complexe qu’est une crise.

Comment se préparer efficacement à gérer une crise et mettre en œuvre d’un PCA ?

Les fondamentaux d’une cellule de crise doivent être déterminés dans les PCA et tenir compte de trois données essentielles à la crise :

  • Les parties prenantes,
  • La distorsion du temps,
  • La gestion du stress.

Un facteur mésestimé

Un facteur mésestimé qui est la distorsion du temps à la suite de la survenance d’un risque, à savoir la réception d’une information par la cellule de crise, bien après que les personnes sur le terrain ne l’aient. Si cette distorsion est rarement supprimée, elle peut être atténuée s’il existe déjà un cadre permettant de savoir quelles actions mettre en place.

Une distorsion du temps

Cette distorsion du temps entraîne la multiplication accélérée d’informations partielles, multiformes, parfois trompeuses, et issues de multiples sources, ne laissant qu’un temps réduit entre la récupération de cette information et son analyse. Ainsi, les pilotes de cellule de crise subissent le déferlement des questions faisant suite à l’irruption des médias, des organisations syndicales ou des familles, avant même de disposer des informations minimales pour leur répondre. Cette nécessité d’assurer une communication, à chaud, entraînera la diffusion de messages parfois inadaptés et génèrera alors très souvent de nouvelles perturbations dans le système.

Lors de la gestion de crise, les décideurs doivent garder à l’esprit cet effet de distorsion. La vigilance à porter à ce phénomène est d’autant plus importante que l’arrivée des nouveaux médias (en particulier les réseaux sociaux) tend à l’accélérer.

Le déni de la crise

Un autre phénomène peu abordé, mais pourtant critique, est le déni de la crise. Il peut survenir sur le terrain, par les équipes qui gèrent la partie opérationnelle, et par la cellule de crise qui ne parvient pas à admettre la réalité de la crise puisqu’elle ne l’a jamais vécue. Les équipes qui ne sont pas préparées n’intègrent pas a priori ces notions de stress, d’émotion pure et de contexte, ce qui peut pénaliser la gestion d’une crise même lorsque le PCA a été bien préparé.

Mais si les équipes sont préparées à gérer en situation de stress, il ne reste plus qu’à mettre en œuvre les PCA en fonction des conséquences identifiées ; il s’agit alors d’une boîte à outils précieuse pour une situation de crise le plus souvent inédite.

Au final, la gestion de la continuité d’activité et la gestion de crise sont devenues des éléments indispensables à la bonne marche des entreprises.

L’accompagnement proposé par PDCA Engineering varie selon le besoin et des attentes de nos clients. Soit une solution de supervision et de conseil est assurée, soit une prise en charge complète avec une mise en place « clé en main » est réalisée.

Vous souhaitez plus d'informations

sur le Plan de continuité d'activité - PCA

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Facebook
Facebook
Twitter
LinkedIn
Instagram