Chapitre IV
Impact financier, impact indirecte et
proposition d'implémentation d'un plan
de
continuité d'activité
119
Impact financier, impact indirecte et proposition
d'implémentation d'un plan de continuité
d'activité
III.2 Impact financier :
Cout de l'occurrence de la séquence domino : En termes
d'installations
Type d'installation en cause
|
Couts des dégâts
|
Destruction bac d'oxygène liquide
|
945.000.000 DA
|
Destruction bac d'azote liquide
|
630.000.000 DA
|
Endommagement de l'ASU
|
1.155.000.000 DA
|
Endommagement du bloc administratif
|
13.000.000 DA
|
Autres couts divers liées aux effets
|
210.000.000 DA
|
En termes de produit :
Quantité stockés en moyenne sur site :
Oxygène : 1.000.000 litres
Azote : 500.000 litres
Oxyde d'éthylène : 6* 700 kg
Produit
|
Couts
|
Oxygène
|
25.000.000 DA
|
Azote
|
7.500.000 DA
|
Oxyde d'éthylène
|
480.000 DA
|
En termes de jour d'arrêt de production Capacité de
production :
Oxygène : 4275 L/h marchant 24h/24 Azote 1695 L/h marchant
24h/24 Argon 70 L/h marchant 24h/24
Durée d'arrêt \ produits
|
Oxygène
|
Azote
|
Argon
|
1 journée
|
2.565.000 DA
|
610.200 DA
|
554.400 DA
|
1 semaine
|
17.955.000 DA
|
4.271.400 DA
|
3.880.800 DA
|
2 semaines
|
38.475.000 DA
|
9.153.000 DA
|
8.316.000 DA
|
1 mois
|
76.950.000 DA
|
18.306.000 DA
|
16.632.000 DA
|
3 mois
|
230.850.000 DA
|
54.918.000 DA
|
49.896.000 DA
|
120
III.3 Impact indirecte
Dans la majorité des cas nous nous intéressons
uniquement à l'impact direct de la catastrophe. Or ces accidents majeurs
peuvent avoir de lourdes conséquences sur d'autres industries et
secteurs. C'est le cas pour LGA car comme nous l'avons montré
l'entreprise est mitoyenne de AIR LIQUID et ce sont les deux seuls fournisseurs
des produits de gaz de l'air pour la région d'Alger et ses environs. Un
événement domino qui toucherait les deux entreprises et
engendrerai un arrêt de production serrait très dangereux pour
plusieurs secteurs qui eux-mêmes pourrait engendrer une séquence
domino sur d'autres secteurs. Pour mieux voir l'effet sur les industries voici
la liste de certains clients que LGA fournit en produit :
Tableau 0-1 Client LGA par produit
Oxygène
|
Azote
|
C02
|
Algesco
|
Algesco
|
Baticim
|
BATICIC
|
Cdta Centre Developpement Des Technologies
|
EMB BAG
|
Cdta Centre Developpement Des Technologies
|
Comena Crna Centre De Recherche Nucleaire D.alger
|
Eurl Algad
|
Cosider Travaux Public Utps Rouiba
|
Enap Upl Lakhdaria
|
SIMAF
|
Ecm Sidi Moussa
|
Eniem
|
Snc Lavalin Intern Hadjret Ennous
|
Engtp Reghaia
|
Hcr Udts
|
Snvi Cir
|
Eniem
|
Mdn Base Aerienne Ain Oussera
|
Snvi Cvi Complexe De Vehicule Industriel
|
Epe Electro Industrie
|
Mdn Ctsa
|
Snvi Epe Spa For
|
Mdn Base Aerienne Ain Oussera
|
Sarl Stic
|
SPA EMB BAG
|
Mdn Bcl Beni Mered
|
Snvi Cvi Complexe De Vehicule Industriel
|
Spa Fruital Il
|
Sarl Groupe Mokabli Pour Les Grands Travaux
|
Sonatrach Activite Aval
|
ABC PEPSI
|
Snvi Cir
|
Spa El Sewedy Cables
|
Hamoud Boualem
|
Snvi Cvi Complexe De Vehicule Industriel
|
Spa Emb Fbf
|
Sarl MGB Royal
|
Snvi Epe Spa For
|
Spa Mediterranean Float Glass Mfg
|
SPA TENES LILMIYAH
|
Somabe Filaile Enmtp
|
|
UTE DESSALADORA TENES CONSTRUCTION
|
Spa Alieco
|
|
Tala Boghni
|
Spa Alrim
|
|
Taiba Food
|
Spa Erc Ex (erwa Urd)
|
|
Eurl Boisson Bouchra
|
|
|
Liberta
|
La liste des hôpitaux que LGA fournit sont dans le
tableau 0-2 Tableau 0-3 Liste des hôpitaux clients de
LGA
EPE/SPA Saidal Medea
EPH Aflou
EPH Ain Defla
EPH BIRTRARIA
EPH BORDJ MENAEL
EPH BOUFARIK
EPH DJELFA
EPH EL ATTAF
EPH HASSI BAH BAH
EPH HASSI BAH BAH
EPH Kouba
EPH LAGHOUAT
EPH LAGHOUAT
EPH LAGHOUAT
EPH MEFTAH
EPH MESSAD
EPH MILIANA
EPH ROUIBA
EPH ROUIBA
EPH Sidi Ghiles
EPH THENIA
EPH THENIA
EPH ZERALDA
HUMC Salim Zemirli
HUMC Salim Zemirli
Institut du Rein Blida
121
HOPITAUX
|
Centre National de toxicologie
|
Centre Piere Marie Curie
|
CHU Bab El Oued
|
CHU Béni Messous
|
CHU Douera
|
CHU Hopital Mustapha
|
CHU Nafissa Hamoud, Parnet
|
CHU Nedir Mohamed
|
Clinique Chahrazad
|
CMCI Bousmail
|
CNIAAG
|
EHS Ben Aknoune
|
EHS CAC Blida
|
EHS Dr Maouche Mohand Amokrane
|
EHS Draa Ben Khedda
|
EHS Kettar
|
EHS Laghouat
|
EHS Laghouat
|
EHS Mohamed Abderrahmani
|
Ehs Mere et enfant de Djelfa
|
EHS Sbihi Tassadit
|
EPE/SPA Saidal Medea
|
|
|
|
|
122
Comme nous pouvons le voir par les tableaux 0-1 et 0-4
les secteurs touchés sont diverses : bâtiment,
construction et travaux publics, chimie, automobile, compagnies
pétrolières, agroalimentaire et surtout santé. Un
arrêt de production pourrait donc avoir de très grosses
conséquences.
C'est pour ceci qu'il est primordial de mettre en place un plan
de continuité d'activité.
123
III.4 Plan de continuité d'activité
(PCA)
La nature, la fréquence et le coût des crises ont
sensiblement évolué au cours des vingt dernières
années. On comprend sans doute mieux aujourd'hui à quel point
sont étroitement imbriquées les différentes dimensions de
ces événements qui perturbent très fortement le
fonctionnement de nombreuses organisations, publiques et privées, avec
des conséquences allant jusqu'à la cessation définitive
d'activité. Les retours d'expérience des grandes crises
récentes montrent que les organisations ayant entrepris une
démarche préalable visant à garantir la continuité
de leur activité sont les plus résilientes face aux
événements déstabilisants.
Bien qu'il soit utopique de chercher à tout
prévoir et maîtriser, le responsable d'une organisation - publique
ou privée - se doit de concevoir et mettre en oeuvre des
stratégies de protection permettant d'éviter certains
événements, ou tout du moins d'en limiter les effets directs sur
les objectifs de l'organisation, et d'assurer la continuité de
l'activité malgré la perte de ressources critiques. C'est dans ce
sillage que nous proposons la mise en place d'un PCA au sein de LGA.
Les contraintes économiques imposent de devoir
justifier les dépenses, y compris celles qui concernent les actions
à entreprendre dans le domaine de la sécurité, et de
pouvoir prioriser ces dépenses dans le cadre d'une stratégie
globale. Il faut par conséquent disposer d'outils méthodologiques
permettant d'optimiser l'efficience de ces actions, en cohérence avec
les objectifs de l'organisation. Des outils existent déjà pour
couvrir séparément plusieurs domaines indissociables : la gestion
de risque, la gestion de crise, l'intervention, le maintien et la reprise
d'activité. La démarche de continuité de l'activité
est le moyen d'associer de manière globale et cohérente tous ces
domaines
L'ISO 22301:2012 spécifie les exigences pour planifier,
établir, mettre en place et en oeuvre, contrôler, réviser,
maintenir et améliorer de manière continue un système de
management documenté afin de se protéger des incidents
perturbateurs, réduire leur probabilité de survenance, s'y
préparer, y répondre et de s'en rétablir lorsqu'ils
surviennent.
124
Les exigences spécifiées dans l'ISO 22301:2012
sont génériques et prévues pour être applicables
à toutes les organisations, ou parties de celles-ci,
indépendamment du type, de la taille et de la nature de l'organisation.
Le champ d'application de ces exigences dépend de l'environnement et de
la complexité de fonctionnement de l'organisation.
Cette norme appartient à une catégorie bien
particulière : les "management systems" ou "systèmes de
management". Cela signifie qu'elle se concentre sur la manière de se
rapprocher volontairement d'un état cible décidé.
Autrement dit, elle présente des dispositifs à mettre en place
pour permettre d'améliorer la situation en matière de
continuité de l'activité. Ce type de norme s'appesantit beaucoup
plus sur le fait de se rapprocher d'une cible de bonnes pratiques que sur les
bonnes pratiques elles même. Ceux qui y recherchent des "recettes" en
auront pour leurs frais.
Pour montrer l'avantage financier que peut présenter le
PCA nous proposons la figure 0-1 ( la notion de durée maximale
d'interruption de service acceptable (DMIA) serra définis dans le point
0.3.6 )
Figure 0-2 Comparaison des couts du PCA et des
conséquences d'une catastrophe
125
III.4.1 Compréhension de l'organisation et de son
contexte
Avant de commencer un projet PCA il est indispensable de
comprendre l'organisation : son activité, ses objectifs, ses valeurs, sa
stratégie, son environnement interne et externe.
Cette première action est essentielle et
conditionne l'efficacité d'ensemble de la démarche. Elle
vise à préciser le périmètre géographique et
fonctionnel de l'organisation qui doit être pris en compte, puis à
identifier tout ce qui peut orienter les choix en rapport avec la
spécificité de l'organisation. Notamment, il convient de prendre
en compte aussi bien le contexte externe (demande des actionnaires, des
autorités chargées de la réglementation et du
contrôle, contrats existants et niveaux d'exigence associés,
environnement politique, social, culturel, juridique, économique et
financier, dépendances, etc.), que le contexte interne (histoire et
culture de l'organisation, style de gouvernance et de pilotage, politique
interne de gestion des ressources humaines, informatiques, matérielles
et immatérielles, stratégie et objectifs internes, organisation,
processus, système d'information, flux, etc).
Cette première étape doit permettre :
- de définir un PCA cohérent avec la
stratégie de l'organisation,
- d'identifier les relations avec les parties prenantes
(clients, fournisseurs, autorités administratives...),
- de lister les besoins et attentes de ces parties prenantes,
- de lister les exigences légales,
réglementaires et contractuelles ayant un lien avec la continuité
d'activités,
- de définir les facteurs internes et externes qui peuvent
influencer le PCA.
III.4.2 Définition d'un
périmètre
Définir le périmètre est un
préalable indispensable à la mise en oeuvre d'un SMCA (
systéme de management de continuité d'activité. Avec un
périmètre organisationnel, fonctionnel et physique clair il est
plus facile d'obtenir l'appui de la Direction et de commencer à
mobiliser les parties concernées.
Toutes exclusions du périmètre doit être
justifiée.
Le périmètre organisationnel représente les
directions, services, filiales pris en compte.
Le périmètre fonctionnel concerne les produits
et/ou services concernés (souvent liés au périmètre
organisationnel).
126
Le périmètre physique regroupe tous les
emplacements physiques, à la fois internes et externes, qui sont inclus
dans le SMCA.
Une fois le périmètre identifié et
clairement délimité il convient de le communiquer dans
l'organisation.
III.4.3 Obtenir l'implication et l'engagement de la
Direction
Toute réussite d'un projet SMCA est assujettie à
une forte implication de la Direction.
L'engagement de la Direction peut s'obtenir de différentes
façon (liste non exhaustive) :
- participation de la Direction au Comité de Pilotage
SMCA,
- signature de la politique SMCA par le top management,
- allocation des ressources pour le projet,
- le PCA est directement rattaché à la Direction
Générale,
- le « sponsor » du projet SMCA est un membre de la
Direction.
III.4.4 Politique et objectifs du PCA
La Direction de l'organisation doit établir et
démontrer son adhésion à la politique de
continuité des activités.
Cette politique doit inclure ou faire référence
:
- aux objectifs de continuité des activités de
l'organisation,
- au périmètre du plan de continuité des
activités, en précisant les exclusions.
En plus de recevoir l'adhésion de la Direction de
l'organisation, cette politique de continuité
des activités doit :
- être communiquée à toute personne
travaillant pour, ou en lien étroit avec l'organisation,
- être révisée à intervalles
réguliers ou lorsqu'un changement significatif intervient dans
l'organisation.
La définition du périmètre et des objectifs
doit intégrer les points suivants :
- exigences pour la continuité des activités,
- objectifs organisationnels et obligations,
- niveaux de risques acceptables,
- devoirs statutaires, réglementaires et contractuels,
- intérêts des parties prenantes.
127
III.4.5 Mise à disposition des
ressources
L'organisation doit déterminer et mettre à
disposition les ressources nécessaires pour établir, mettre en
oeuvre et maintenir le SMCA.
L'organisation des acteurs du PCA et leur rôle au sein du
plan doivent être définis et documentés.
La Direction de l'organisation doit désigner un
responsable en charge de la politique PCA et de sa diffusion. D'autres
personnes doivent être désignées pour gérer le suivi
et la maintenance du SMCA.
III.4.6 Compétences
L'organisation doit s'assurer que l'ensemble des acteurs
désignés du PCA dispose des
compétences nécessaires pour assumer le rôle
qui leur est assigné.
Cela implique de :
- déterminer les compétences de ces personnels,
- assurer leur formation spécifique au PCA,
- s'assurer des résultats de ces formations,
- d'assurer des mises à jour régulières des
niveaux de compétences dans le cadre du PCA.
7. Contrôle et gestion documentaire
Concernant la documentation, des contrôles doivent
être établis pour s'assurer : - qu'elle reste lisible,
aisément identifiable et traçable,
- qu'elle est stockée, protégée et
disponible.
Ces contrôles doivent également permettre de
s'assurer que :
- les documents ont été approuvés et
validés,
- les documents ont été révisés, mis
à jour et revalidés,
- les mises à jour et modifications apportées sont
identifiables,
- les documents d'origine externe sont identifiés et leur
diffusion contrôlée,
- les documents devenus obsolètes sont retirés ou
clairement identifiés par rapport aux
documents maintenus.
Pour maintenir l'activité au niveau exigé par les
objectifs et obligations identifiés, les
processus doivent répondre à des objectifs de
sécurité, que l'on appelle « attentes » ou «
besoins » et qui doivent être identifiés.
128
À partir des discussions avec les responsables des
métiers, il est possible de dégager des attentes, qui peuvent
être sériées par critères, sous la forme D.I.C.T.E.S
:
Disponibilité, continuité de
service, régularité, résistance aux dysfonctionnements et
aux ruptures, robustesse. Ceci doit pouvoir être mesurable, par exemple
en termes de fiabilité des prestations.
Intégrité, c'est-à-dire
que le service/produit livré est bien celui attendu, dans l'état
prescrit. Si ce n'est pas le cas, le service n'est pas rendu, conduisant
à un arrêt (plus ou moins long) du service.
Confidentialité, protection des
informations sensibles. Une perte de confidentialité peut conduire
à l'arrêt de certaines activités très sensibles,
voire à la faillite de certaines organisations (cf. les cas
présentés en annexe).
Traçabilité, visibilité,
connaissance des événements. La traçabilité peut
être indispensable pour permettre d'assurer des prestations (par exemple
le transport de matières dangereuses).
Évolutivité, capacité à s'adapter
aux changements et à l'environnement et donc à assurer la
robustesse. L'absence d'évolutivité peut conduire à
l'arrêt dans des contextes changeants. Sûreté,
capacité à limiter les effets d'actes malveillants.
Lors de cette étape, il est souhaitable de
quantifier le niveau du besoin de continuité, en utilisant trois
indicateurs :
1. Le niveau de service minimum (une perte
de service qui maintient le fonctionnement au-dessus de ce seuil affecte peu le
service final. A contrario une perte de niveau de service en dessous de ce
seuil est considérée comme une indisponibilité). Ce seuil
peut être défini comme un pourcentage de conformité minimum
ou un pourcentage de produits/services commandés livrés à
la date/heure convenue. Durant la phase de reprise d'activité
après un sinistre, il est possible de définir des seuils plus
faibles, en mode dégradé.
2. Le niveau d'indisponibilité minimum.
Tout arrêt de durée inférieure à ce niveau
est tolérable. Pour des indisponibilités de courtes durées
et relativement fréquentes l'exigence est exprimée en
durée maximale d'interruption et en fréquence maximale, ce qui se
combine en pourcentage de temps d'indisponibilité pendant une
durée significative. Pour ce qui concerne un sinistre, rare par
définition, la mesure se fait par la durée maximale
d'interruption de service acceptable (DMIA).
129
3. Les ressources qui restent indispensables
pour permettre la reprise de l'activité. Elles peuvent
s'exprimer en quantité de stock à préserver, de locaux de
repli, ou de niveau de mise à jour des données
sauvegardées (ce qui revient à définir la perte de
données maximale admissible, depuis la dernière sauvegarde).
Pour illustrer la notion de DMIA, on peut citer l'exemple du
processus de livraison ou de fourniture de certains produits ou services
sensibles qui ne peut accepter un délai de retard (DMIA)
supérieur à 12 heures (ce peut être le cas d'une livraison
de médicaments), ou supérieur à 30 minutes (une
intervention de service d'urgence par exemple). Dans un autre domaine, on peut
citer l'exemple d'un processus de paye qui ne peut pas accepter un retard
(DMIA) supérieur à trois jours, en mode dégradé
(avec un versement de provisions sur salaires). Cette possibilité de
pouvoir fonctionner en mode dégradé permet une interruption
maximale (DMIA) du fonctionnement normal de plusieurs mois. Une autre
formulation consiste à dire que la durée maximale de
fonctionnement en mode dégradé est de plusieurs mois.
Le mode dégradé est souvent
présenté comme un palliatif sans qu'il y ait une analyse
précise de son contenu. Cependant, pour tout mode dégradé
il convient de :
- Définir les circonstances de sa mise en place.
Intégrer les aspects réglementaires spécifiques au mode
dégradé, et notamment les modifications envisageables des textes
réglementaires dans des circonstances exceptionnelles.
- Définir des procédures spécifiques et
des mesures d'ordre juridique. Pouvoir transférer le personnel sur des
postes nouveaux.
- Faire éventuellement appel à l'intérim.
- Respecter les textes réglementaires
spécifiques (comme dans le domaine du transport de voyageurs ferroviaire
ou aérien, avec des dispositifs permettant d'adapter les moyens de
transport aux ressources humaines disponibles, dans le cadre d'un dialogue
social).
- Disposer de solutions de dernier secours, connues et rapidement
mises en oeuvre
III.5 Business Impact Analysis (BIA)
Cette phase de la mise en oeuvre du SMCA doit permettre
d'identifier les activités critiques de l'organisation et les ressources
minima nécessaires pour fonctionner en mode dégradé, de
comprendre les menaces qui pèsent sur ses activités et de
déterminer des actions appropriées pour minimiser voire annuler
les risques identifiés.
a)
130
Les objectifs d'un BIA
Le BIA doit permettre :
- d'obtenir une compréhension des produits et services
clés de l'organisation ainsi que des
processus dont ils dépendent,
- de déterminer les activités prioritaires pour
l'organisation et leur délai maximum
d'interruption,
- d'identifier les ressources clés nécessaires
à la continuité et à la relève des
activités,
- d'identifier les dépendances (internes et
externes).
b) Les étapes du BIA
Les principales étapes pour réaliser une
étude d'impact sur les activités sont les suivantes :
- identifier les activités et processus critiques de
l'organisation,
- analyser les impacts qui résulteraient d'un
arrêt de ces activités et processus critiques (sur
une échelle de 1 à 4) et déterminer
comment ces impacts évolueraient dans le temps en cas
d'arrêt prolongé,
- établir le temps d'arrêt ou
d'indisponibilité maximum supportable (Tams/Tims) - Maximum
tolerable period of disruption - des processus et
activités critiques,
- identifier et considérer toute autre activité
critique dépendant des fournisseurs et autres
parties prenantes,
- estimer le délai cible de rétablissement (RTO
: Return Time Objective) des activités après
un sinistre (délai toujours inférieur à
la période maximum tolérable d'arrêt),
Réalisation d'un BIA pour LGA :
Tableau 0-5 BIA LGA
1 journée
|
1 à 3
jours
|
3 à 7
jours
|
1 à 2
semaines
|
1 mois
|
3 mois
|
Produits
|
1
|
2
|
2
|
2
|
3
|
4
|
Oxygène
|
1
|
1
|
2
|
2
|
3
|
3
|
Azote
|
1
|
1
|
2
|
2
|
3
|
|
Argon
|
1
|
1
|
1
|
2
|
3
|
3
|
Oxyde éthylène
|
1
|
1
|
1
|
1
|
3
|
3
|
CO2
|
131
Démarche de réalisation
Figure 0-3 Déroulement du PCA après
l'événement domino au sein de LGA
132
133
|