II. Le Plan de Continuité d'Activité
A. Le PCA - Origine
1. Les premières normes
« Le hasard ne favorise que les esprits
préparés » - Louis Pasteur
La multiplication de situations de crise telle qu'on a pu le
constater précédemment nécessite la mise en place d'outils
permettant d'assurer la continuité de l'activité des entreprises,
et ceci tout en préservant la santé de leur personnel. En 1988 la
création du DRI (Disaster Recovery Institute) apporte une
première vision de la continuité d'activité. Cet institut
apporte des conseils et du soutien à de nombreuses entreprises dans le
monde et fournit notamment des formations, accréditation et leadership
éclairé sur la thématique de continuité
d'activité. C'est donc pour faire face à l'apparition de
catastrophe qu'apparaissent les Plans de Secours Informatiques (PSI), les Plans
de Reprise d'Activité (PRA) et les Plans de Continuité
d'Activité (PCA). Le Comité de la Réglementation Bancaire
et Financière en date du 21 février 1997 modifié le 8
janvier 2004, définit le PCA dans son article 4 comme « l'ensemble
des mesures visant à assurer, selon divers scénarios de crises, y
compris face à des chocs extrêmes, le
30
maintien, le cas échéant de façon
temporaire selon un mode dégradé, des prestations de services
essentielles de l'entreprise puis la reprise planifiée des
activités ». Ces plans s'attachent à répondre
à une situation d'incertitude et à prévoir
l'imprévisible afin de limiter les pertes et préserver la
santé des salariés en période de crise. Il s'agit donc,
pour une entreprise, de pallier les conséquences de l'arrêt de son
activité, voire de contribuer à l'éviter en identifiant
différents types de scénarios qui pourraient survenir. C'est
ainsi que le Plan de Continuité d'Activités doit répondre
à deux objectifs. Le premier est d'identifier les principaux
événements qui pourraient frapper et rendre indisponible pour une
durée significative une organisation ou un site. Cela peut provenir des
catastrophes naturelles, d'actes terroristes, de malveillance, de
pandémie, etc. Le second objectif correspond à la conception d'un
plan de continuité d'activité optimisant les processus pour une
reprise normale d'activité de l'organisation ou du site. Par ailleurs,
un PCA permet de limiter les conséquences d'un sinistre à court
et à long terme. A court terme tout d'abord il limite les pertes de
chiffre d'affaires, de marge, de pénalités de retard, etc. A long
terme ensuite, il limite les pertes de clients, de l'image de marque, des
impacts juridiques, voire des problèmes sociaux.
L'instauration du PCA s'appuie sur deux sources :
· La norme British Standard Institute BS 25
999 : cette norme de Management de la Continuité
d'Activité (MCA) apparu en 2006 comprend deux parties. La
première partie pose les bases de bonnes pratiques quant à
l'établissement des processus, des principes et des terminologies du
MCA. La seconde partie est davantage axée sur les exigences de la mise
en place, l'exploitation et l'amélioration du MCA.
· La norme ISO 22 301 : Mise
à jour en 2019, cette récente norme a pour vocation de fournir un
cadre de référence pour planifier, établir, mettre en
oeuvre, exécuter et améliorer le Système de Management de
Continuité d'Activité. Prévue pour être applicable
à toutes les organisations, la présente norme vise à faire
de la continuité d'activité un processus majeur de
l'organisation.
Il convient également de préciser que
l'élaboration d'un PCA équivaut à l'établissement
de procédures documentées servant de guide à toutes les
organisations visant à faire face à une situation de catastrophe
pour laquelle quatre scénarii peuvent apparaitre :
l'indisponibilité des
31
ressources humaines, l'inaccessibilité et
l'indisponibilité des bâtiments, l'interruption du système
d'information et de la téléphonie ainsi que la défaillance
de prestataire et sous-traitants stratégiques. La prise en compte de ces
différents éléments via un PCA donne de fait un avantage
concurrentiel aux organisations puisqu'il démontre un signe de
maturité de l'organisme et rassure les parties prenantes.
De plus, l'apparition de la notion de continuité
d'activité via l'existence des normes a permis de légitimer la
fonction de Responsable Plan de la Continuité des Activités
(RPCA). Dans le cadre de l'élaboration et de la gestion d'un PCA, le
RPCA a la charge de sa formalisation de manière efficiente, son
évaluation ou encore la mise à jour d'outils permettant la bonne
réalisation des missions de contrôle. Parmi ses nombreuses
missions, le RPCA se doit d'assurer la vision d'ensemble de la
Continuité d'activité dans le cadre de son système de
management, il doit mettre à jour le Plan de Reprise d'Activité
et le Plan de Continuité d'activité de manière
régulière afin que ces documents soient en constante
adéquation avec la réalité du marché et doit avoir
une vision à long terme de la démarche au-delà des moyens
alloués.
2. Aspect réglementaire
Afin d'apprécier l'importance et le poids qu'a pris la
notion de Système de Management de la Continuité
d'Activité (SMCA), il convient de préciser le cadre
réglementaire qui a permis l'évolution de cette notion.
Il apparait que l'élaboration d'un PCA est obligatoire
dans certains secteurs. Le comité de Bâle, créé en
1974 regroupe les représentants des banques centrales et autres
organismes de surveillance bancaire. Il est la principale instance
d'établissements des normes et recommandations des activités
bancaires. C'est ainsi qu'en 2004, les Accords de Bâle II rendent
obligatoire l'élaboration d'une PCA dans les banques. Il s'agit
d'intégrer une culture du risque et de préparer les banques
à d'éventuelles catastrophes pouvant conduire à la mise en
place d'une stratégie de continuité d'activité afin de
maintenir l'équilibre financier mondial. Plus largement, les accords de
Bâle II s'appuient sur trois piliers. Le premier est axé sur
l'exigence de fonds propres des banques qui doivent représenter au moins
8% des crédits qu'elles ont accordés. Il s'agit de
prévenir les risques des crédits via un calcul plus
sophistiqué afin d'assurer une liquidité des banques en
période de crise. Le deuxième pilier repose sur la
procédure de surveillance de la gestion des fonds propres qui consistent
en une évaluation de l'adéquation du
32
niveau de ces fonds propres en lien avec les risques auxquels
ils peuvent être confrontés. Enfin, le troisième pilier
promeut la transparence et la discipline du marché. Les banques ont une
obligation accrue de communiquer leur état financier ainsi que le
montant effectif de leurs fonds propres.
La seconde obligation d'élaboration d'un PCA concerne
les sociétés cotées au NYSE. C'est la loi Sarbanes-Oxley
du 30 juillet 2002 qui impose donc aux entreprises cotées au New York
Stock Exchange qui constitue la plus grande bourse mondiale d'assurer un
contrôle interne. Cela passe notamment par la mise en oeuvre de
procédures cadrées en matière de contrôle interne.
Il convient de relever que l'objectif premier de cette loi est de «
fournir des contrôles protégeant l'information contre toute
utilisation, divulgation ou modification non autorisée et contre tous
dommages ou pertes à l'aide de contrôle ». Il s'avère
en effet, que le PCA est un outil permettant de limiter les pertes
financières, et en cela il répond à la présente
loi. Toutefois, la loi ne concerne pas uniquement les entreprises
américaines. Les entreprises européennes ayant des
intérêts avec les entreprises américaines que ce soit par
l'existence de filiales ou diverses autres relations commerciales peuvent
également être soumises à cette loi. Néanmoins, la
loi Sarbanes-Oxley, ou loi SOX, trouve son influence en France avec la Loi de
Sécurité Financière en 2003. De fait, ladite loi repose
sur trois axes majeurs que sont la responsabilité accrue des dirigeants,
un renforcement du contrôle interne ainsi qu'une réduction des
sources de conflits d'intérêt.
Enfin, Solvabilité II provenant de la Directive du
Parlement Européen et du Conseil en 2009 rend obligatoire
l'élaboration d'un plan de continuité dans les secteurs de
l'assurance. En effet, l'alinéa de l'article 41 sur les Exigences
générales en matière de gouvernance stipule que « les
entreprises d'assurance et de réassurance prennent des mesures
raisonnables afin de veiller à la continuité et à la
régularité dans l'accomplissement de leurs activités, y
compris par l'élaboration de plans d'urgence. A cette fin, elles
utilisent des systèmes, des ressources et des procédures
appropriés et proportionnés »1. Il s'agit une
fois encore d'instaurer des procédures qui permettent d'élaborer
et de documenter des plans d'urgence afin de s'assurer que l'activité
peut être maintenue, en dégradé, en période de
crise.
1 Directive 2009/138/CE du Parlement Européen
et du Conseil
33
Toutefois, hormis les cas spécifiques décrits
précédemment, l'élaboration du PCA n'est pas une
obligation dans une organisation. De même, aucune loi n'impose à
un organisme de maintenir son activité en période de crise.
Ainsi, bien qu'il soit fortement recommandé de mettre en place un PCA
afin d'assurer la pérennité de l'entreprise, l'employeur n'est
pas tenu de maintenir son activité lorsqu'un évènement
affecte le fonctionnement normal de l'entreprise.
B. Norme ISO 22 301
1. Origine de la norme ISO 22 301
La norme ISO 22 301 correspond à une norme relative au
Système de Management pour la gestion de la Continuité des
Activités (SMCA) dans le domaine de Sécurité et
Résilience. Comme nous avons pu le constater précédemment,
la présente norme remplace la BS 25 999 du British Standards Institute.
L'Organisation Internationale de Normalisation (ISO) qui introduit les normes
dans les domaines industriels et commerciaux a ainsi instauré en 2012 le
SMCA. Le SMCA est un processus de gestion globale qui veille aux menaces
potentielles pesant sur l'organisation et les impacts de celles-ci sur
l'activité. Il s'agit donc de préserver les intérêts
vis-à-vis des principales parties prenantes, sa réputation, sa
marque ainsi que les valeurs qu'elle promeut. De plus, puisque la norme ISO 22
301 s'inscrit dans le cadre du système de management d'une organisation,
elle évolue dans un cycle d'amélioration continue. Cela signifie
que le processus doit assurer un effort continu afin d'améliorer les
produits, les services et les processus. Pour s'assurer de cette
procédure, la norme ISO 22 301 se découpe en quatre parties
issues de la roue de Deming :
Ø Plan : Il s'agit de la
planification de la continuité. Cette phase passe par l'implication de
la direction dans la mise en oeuvre et l'application de cette norme. Elle
comprend de fait l'élaboration d'une politique de continuité en
respectant les exigences légales. C'est lors de cette phase que le
responsable du SMCA analyse les risques pouvant affecter la bonne conduite de
l'activité afin d'en faire ressortir les solutions de continuité
possible et les ressources à allouer pour les réaliser.
Ø Do : A ce stade, il faut
mettre en oeuvre les processus en charge de la continuité
d'activité. Cela correspond donc à des dispositifs de gestion de
crise, un protocole de
34
veille et d'alerte mais aussi l'élaboration du Plan de
Reprise d'Activité. Ce document établit les procédures qui
permettent la reprise des activités en adoptant des mesures temporaires
pour répondre aux exigences habituelles à la suite d'un incident.
C'est lors de cette phase que le Plan de communication est également
instauré dans le but que chacun des collaborateurs soient
concernés et impliqués dans la procédure de
continuité d'activité.
Ø Check : Cette phase
consiste à surveiller, mesurer et parfois auditer les procédures
relevant de la norme ISO 22 301. L'établissement d'exercices et de tests
permet de s'assurer de la fiabilité des procédures en
réponse à une crise. Cela passe notamment par la pertinence des
scénarii de risques et l'évaluation des mesures de
réductions des impacts en cas de survenance d'un risque majeur. Il
s'agira de prendre des mesures de correction si des écarts apparaissent
entre les attentes des procédures et leur réalisation
effective.
Ø Act : Cette dernière
étape s'axe véritablement sur la thématique de
l'amélioration continue. Le retour d'expériences des tests et
exercices faits lors de la phase précédente permet de comprendre
la nature et l'amplitude des écarts entre le cadre méthodologique
tel qu'il a pu être énoncé et la réalité des
pratiques mises en oeuvre.
Par ailleurs, le SMCA a également pour vocation
d'améliorer la résilience de toute entreprise. La notion de crise
est fortement corrélée à la notion de changement. En effet
l'apparition d'une crise peut faciliter le changement organisationnel. On parle
alors de changement radical pouvant être définit comme « un
changement majeur, global et rapide qui survient en situation de crise
réelle ou appréhendée »1. Il convient de
préciser qu'en réponse à une crise, le changement peut
être volontaire et délibéré2. Mais le
changement peut aussi être subi, ce qui engendre des répercussions
négatives pour l'organisation. C'est dans ce contexte que la notion de
résilience prend tout son sens. La résilience peut s'apparenter
à la valeur caractérisant la résistance à un
traumatisme où l'intérêt réside dans sa
capacité à évoluer et à grandir. L. Bout
définit en 2005 la résilience organisationnelle comme « un
principe qui réside dans la capacité à sortir plus fort
d'un traumatisme et qui permet de mettre en évidence la capacité
intrinsèque
1 Soparnot, R, 2005 :33
2 Demers, C, 1999
35
des organisations à retrouver leur état
d'équilibre, soit leur état initial, soit un nouvel
équilibre, pour fonctionner après un désastre ».
Cette notion fait écho à la continuité d'activité
car la résilience permet également de relever la capacité
d'une organisation à faire face à une crise en y résistant
dans un premier temps, mais aussi en changeant et en grandissant. Ce constat
s'apparente fortement à l'amélioration continue dans lequel
évolue le SMCA issue de la norme ISO 22 301.
2. Méthodologie de la norme ISO 22 301
Nous avons pu voir précédemment que le SMCA
s'inscrit dans une démarche qualité à travers le PDCA en
tant que système de management. De ce fait, le Plan de Continuité
d'Activité est assimilé à la culture de l'organisation. La
norme ISO 22 301 décrit en ce sens la méthodologie à
adopter pour assurer de manière efficience l'intégration du SMCA
au sein d'une entreprise.
Les prérequis à la mise en oeuvre d'un
SMCA
L'objectif d'un SMCA est de déterminer les processus
où il est nécessaire de minimiser voire supprimer les risques
potentiels pouvant bousculer le fonctionnement normal de l'activité et
pouvant entacher la santé des salariés. Pour cela, il est
primordial d'identifier en amont les objectifs de l'organisation et les
obligations vis-à-vis des parties prenantes ainsi que les processus
métiers et les différentes activités. Cela permettra de
déterminer les activités critiques de l'organisation, qui sont
indispensables à sa pérennité. Il est également
nécessaire de recenser les besoins des acteurs essentiels à la
continuité d'activité en mode dégradé suite
à la survenance d'un évènement majeur. Un fonctionnement
en mode dégradé consiste en la fourniture de produit ou de
service jugé indispensable malgré le manque de ressources
financières, matérielles et humaines notamment dans le cadre
d'une situation de crise. C'est la raison pour laquelle l'estimation des
ressources minimales nécessaire pour la reprise des activités
doit être faite également au plus tôt. Le SMCA permettra
également d'estimer deux indicateurs primordiaux dans la gestion de
crise. Le premier est le Délai Cible de Rétablissement (Recovery
Time Objective/RTO) qui est la durée maximale d'interruption
après un sinistre. Cet indicateur est mis en lien avec le Recovery Point
Objective (RPO) qui correspond au niveau d'informations nécessaire
à une activité afin qu'elle puisse être
opérationnelle lors de sa reprise.
36
Cette première étape de mise en place d'un SMCA
permet d'établir des objectifs qui s'apparent bien souvent à la
préservation des intérêts du personnel et des autres
parties prenantes, la conformité aux engagements légaux et
réglementaires, le maintien du niveau de performance financière
mais aussi l'avantage concurrentiel que l'adoption de cette norme peut apporter
par rapport aux entreprises concurrentes n'ayant pas réalisé
cette démarche. L'atteinte de ces objectifs passe par la
définition d'un périmètre qui détermine ce qui est
inclus dans le SMCA et ce qui en est exclu. La définition du
périmètre est un facteur à ne pas négliger car s'il
n'est pas clairement défini le SMCA ne répondra pas aux attentes
lors d'une crise ce qui peut fragiliser l'organisation au lieu de la renforcer.
Il existe trois frontières du périmètre :
Ø Les limites organisationnelles : il s'agit
ici de prendre en compte les unités organisationnelles qui seront inclus
dans le SMCA, leurs structures ainsi que les responsabilités de chacun.
Ce premier périmètre est généralement public et
peut être consulté sur le site Web de l'entreprise ou sur leur
intranet.
Ø Les limites des lignes d'activité :
Plus précisément, on détermine à ce stade les
produits et/ou services qui seront inclus dans le SMCA.
Ø Les limites physiques : il s'agit du lieu
géographique qui sera inclus dans le périmètre, ainsi que
les besoins nécessaires pour assurer son bon fonctionnement, notamment
en mode dégradé.
La mise en oeuvre d'un SMCA
En prenant en compte les divers éléments
détaillés plus haut, la mise en oeuvre d'un SMCA consiste
à rendre opérationnel la stratégie de continuité
d'activité. En effet, la stratégie doit être en
cohérence avec les ressources disponibles en cas de situation de crise.
Pour cela, il est pertinent de mettre à dispositions des collaborateurs
des outils facilitant la communication tels que des lignes
téléphoniques d'urgence, des salles de réunions
équipées ou encore des VPN (Virtual Private Network),
c'est-à-dire un système qui permet de créer un lien direct
entre des ordinateurs distants tout en les isolant du reste du trafic. Pour
rappel, l'apparition d'une crise peut conduire à différents
scénarii d'indisponibilité (par site, par activité, par
pays, ...) auxquels les stratégies de continuité
d'activité se devront de répondre. C'est au caractère
singulier et unique d'une crise et aux conséquences spécifiques
qu'elle engendre que le SMCA se doit de répondre.
37
Afin de s'assurer que les stratégies de
continuité d'activité soient cohérentes, deux indicateurs
doivent être établis. Le premier est la Durée Maximale
d'Indisponibilité Admissible (DMIA). Selon l'ISO 22 301, il permet de
définir le « temps nécessaire pour que les impacts
défavorables pouvant résulter de la non-fourniture d'un
produit/service ou de la non-réalisation d'une activité,
deviennent acceptables ». Il correspond au RTO dont nous avons fait
état précédemment. Le second indicateur est le Business
Impact Analysis (BIA). Toujours selon la norme ISO 22 301 il est défini
comme le « processus d'analyse des activités et de l'effet qu'une
perturbation de l'activité peut avoir sur elles ». Autrement dit,
le BIA est chargé d'identifier les activités et les processus
critiques de l'organisation pour en analyser les impacts et les
conséquences en cas d'arrêt des activités. Pour assurer
cela, le BIA contient un descriptif de l'ensemble des activités, et
notamment les activités jugées critiques, et l'évolution
des impacts sur celles-ci. Une méthode d'évaluation des risques
permet leur identification et leur évaluation dans l'objectif de les
hiérarchiser. Pour cela, deux facteurs doivent être prise en
compte : la gravité du risque et sa fréquence. La gravité
du risque correspond au niveau de perte qu'implique la survenance d'un
sinistre. La fréquence du risque équivaut au nombre de fois
où le sinistre se réalise. Chacun de ces deux indicateurs est
évalué par ordre croissant (généralement de 1
à 4). Cela signifie que le niveau de risque correspond au produit de ces
deux indicateurs (un risque côté à 1 sur sa gravité
et sa fréquence sera un risque faible/ un risque côté 4
sera élevé). L'ensemble des risques et leur cotation sera
représenté dans une cartographie des risques. Ce document permet
de faire ressortir les risques pour lesquels l'impact est le plus
élevé. La finalité de cette méthode consiste
à réaliser des plans de prévention pour faire diminuer
l'impact de ces risques, c'est-à-dire transformer un risque brut
élevé en un risque résiduel comportant un impact moindre.
Il existe trois grands types de mesures :
Ø La mesure préventive
: cette mesure située en amont d'un potentiel sinistre veille à
s'assurer que les impacts de l'apparition de celui-ci ne touchent pas ou
très peu l'organisation.
Ø La mesure de détection
: déclenchée lors de l'incident, cette mesure
à court terme donne rapidement des informations sur la situation afin
d'agir au plus vite. On peut prendre pour exemples les alarmes incendies, les
caméras de sécurités, les systèmes de
détection d'intrusion...
Ø
38
La mesure corrective : Située
à posteriori d'un sinistre, la mesure corrective consiste à
atténuer les conséquences de celui-ci. Ces mesures doivent
être prises en compte dans l'amélioration continue que promeut la
norme ISO 22 301.
Outre l'importance primordial que nécessite
l'évaluation des risques, la mise en oeuvre du SMCA se doit
également d'établir des mesures à prendre en cas de crise.
Pour cela, la stratégie de continuité doit faire figurer les
différentes solutions de repli oeuvrant à préserver la
santé du personnel. Par ailleurs, une cellule de crise doit être
constituée. Elle peut être composée des membres du
personnel dont :
Ø Le responsable de la cellule de
crise : Il a la responsabilité de l'organisation. De fait,
il est la personne qui prendra les décisions stratégiques,
désigne le pilote de la cellule de crise et valide avec lui la
composition de la cellule. Il est également chargé d'anticiper
les conséquences à moyen et long terme.
Ø Le responsable
opérationnel : Généralement élu pilote
de la cellule de crise, il est chargé d'évaluer la situation, de
mettre en place des solutions pour assurer sereinement la reprise des
activités et coordonne les ressources techniques et logistiques.
Ø La fonction communication :
elle définit et met en oeuvre les politiques de communication en interne
auprès du personnel pour lui communiquer la conduite à tenir.
Elle communique également les informations à l'externe, notamment
pour les médias, les clients, les fournisseurs, ...
Ø La fonction logistique :
elle a la charge d'allouer les ressources pour assurer la reprise des
activités, et gère le site lors de la crise. La fonction
logistique est également tenue d'assurer le retour à la normale
sur le site principal après une période
d'indisponibilité.
A travers les membres qui composent la cellule de crise, on
constate qu'elle est une entité essentielle en période de crise.
En effet, elle est responsable des décisions conduisant à la
bonne continuité des activités et à la préservation
de la santé de son personnel. Ainsi pour faciliter l'organisation et la
bonne communication entre ses membres, il est important de
prédéfinir les salles de gestion de crise et de les
équiper d'outils essentiels tels que des téléphones, une
imprimante et un fax, des prises réseaux et autres fournitures de
bureau.
39
Pour faciliter l'organisation en gestion de crise et garder
une traçabilité des décisions, de nombreuses fiches sont
renseignées. Parmi elles, existe :
· Les fiches « aide à la
décision » : elles permettent dès l'apparition
de la crise de faciliter la prise de décision en envisageant les
solutions les plus adaptées à la situation ;
· La fiche « point de situation
» : elle permet la remontée d'information en temps
réel auprès des acteurs concernés dans l'objectif de
déterminer les actions à mener et les responsables qui en auront
la charge ;
· La fiche « bilan de crise
» : remplie à la fin de la crise cette fiche permet
de faire un bilan sur la situation finale avec notamment le recensement des
impacts et la rédaction d'un compte rendu complet ;
· La fiche « retour d'expérience
» : dans un souci d'amélioration continue, cette
fiche permet de recenser les points forts et les points faibles qui ont pu
être relevés lors des différentes phases de la crise.
Contrôler, mesurer et améliorer le
SMCA
Afin d'assurer l'amélioration continue du SMCA, il est
essentiel de réaliser des tests qui permettent de relever les points
faibles et les points forts de celui-ci. La mise en place d'exercices va
également familiariser les acteurs du PCA avec les procédures ce
qui assure une meilleure anticipation des incidences et des crises. Tous ces
éléments veillent à la mise à jour de
manière régulière du SMCA et vérifie que les
acteurs du PCA soient toujours compétents. La phase de tests a donc une
grande importance du fait qu'ils permettent de relever la capacité de
l'organisation à mettre en oeuvre le PCA et à assurer sa bonne
utilisation. L'ensemble des tests aboutit à un Retour
d'Expérience (REX). Autrement dit, le retour de ces tests permet de
tirer des enseignements afin de mettre à jour et corriger le PCA. En
cela, la norme ISO 22 301 déclare que « cumulés au fil du
temps, les exercices et tests valident l'ensemble des dispositions en
matière de continuité d'activité, en impliquant les
parties concernées ».
Il existe différents types de tests :
Ø Test « sur table » :
il s'agit de mobiliser la cellule de crise afin de vérifier sa
capacité de réaction, d'adaptation et de réalisation des
procédures.
Ø Test « sélectif »
: il cible une ou plusieurs activités critiques pour évaluer
la mise en oeuvre de la gestion de la continuité en cas de crise.
Ø
40
Test PCA global : centré sur
l'ensemble de l'organisation en conditions réelles, il s'agit du type de
test le plus complet qui permet d'évaluer la totalité des
processus et l'ensemble des acteurs clés.
Il convient de préciser que pour les différents
types de tests, le personnel peut soit être informé de la date de
réalisation et son envergure, soit ne pas l'être pour assurer une
réelle mise en situation.
Outre la réalisation de tests et d'exercice, il est
pertinent de mesurer la performance du SMCA. La performance d'un système
peut être perçue comme l'évaluation de l'effort
consacré à l'atteinte d'un objectif particulier. Pour cela un
indicateur de performance doit permettre à un décideur de
conduire une action particulière ou lui permettre d'en évaluer le
résultat. Pour être pertinent, l'indicateur doit être
associé à un objectif stratégique mais il doit
également permettre de comprendre les facteurs de réussite ou
d'échec. De plus, il est possible de distinguer les indicateurs
quantitatifs qui portent sur des éléments chiffrés, des
indicateurs qualitatifs qui décrivent la qualité d'un
résultat. Dans le cadre de l'évaluation d'un SMCA, il est
possible d'évaluer la performance du système via des indicateurs
tels que le coût moyen d'un incident, le nombre d'heures de formation par
employés, le nombre d'exercices réalisés en un an, etc.
Pour finir, l'audit interne est également un moyen
incontournable pour évaluer son système de management. Selon
l'Institut des Auditeurs Internes, l'audit interne peut être
défini comme « une activité indépendante et objective
qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur
ajoutée ». L'objectif de l'audit interne pour une organisation
consiste à l'aider dans l'atteinte de ses objectifs en évaluant
ses processus, son contrôle et sa gouvernance. En matière de SMCA,
l'auditeur sera amené à examiner l'état des lieux,
c'est-à-dire si ses activités critiques ont été
correctement analysée et si la stratégie est en cohérence
avec ses besoins. Il évaluera également la conduite du projet du
PCA avec l'adéquation des ressources mobilisées, son
intégration dans la culture de l'entreprise et la qualité des
processus supports. Ainsi, en plus de vérifier la pertinence du
système de management, l'audit interne va également
vérifier sa conformité par rapport au référentiel
de la norme ISO 22 301.
41
C. Le Plan de Continuité d'Activité en
réponse à la crise sanitaire
1. Le PCA : un outil qui se veut préventif
Il semble intéressant de se pencher sur l'application
d'un Plan de Continuité d'Activité en réponse à une
crise sanitaire pour plusieurs raisons. Comme nous avons pu le constater, une
crise peut être de plusieurs natures et peut également être
amenée à évoluer. Au niveau national, il est fait
état de cinq risques majeurs pouvant conduire à une situation de
crise : la menace terroriste, les risques naturels, les risques technologiques,
les risques sanitaires et les risques cyber. Ainsi, une crise d'origine
technologique (ou industrielle) peut conduire à une crise sanitaire en
cas de libération dans l'air, l'eau ou le sol de produits chimiques.
Nous avons pu nous rendre compte que la crise peut être
évaluée différemment selon la perception des acteurs
concernés, toutefois il s'avère que le concept de crise est
fortement corrélé avec la notion d'incertitude. En France, le
Plan National de Prévention de de Lutte « Pandémie Grippale
» annonce que « le propre de la crise tient à l'incertitude.
S'il est possible de la réduire, on ne peut jamais l'éliminer
totalement ». Bien que cette notion d'incertitude soit inhérente
à chaque crise, elle prend une place prépondérante en
situation de crise sanitaire. En ce sens, le chercheur C. Roux-Dufort
résume la crise en une « somme d'accumulation de
déséquilibres et d'ignorance managériale
»1. Il apparait en effet que l'incertitude est d'autant
plus forte lors de crises sanitaires anxiogènes en raison du
caractère indéfini de celles-ci. Dans un entretien avec le Centre
National de la Recherche Scientifique (CNRS) en avril 2004, Edgar Morin
explique qu'initialement les citoyens étaient rassurés de voir le
président Emmanuel Macron s'entourer d'un conseil scientifique. Mais
devant les avis et points de vue contradictoires des scientifiques entre eux,
il est apparu que la science ne peut pas toujours fournir de réponse en
matière de crise sanitaire telle que celle de la COVID-19. Le philosophe
déclare alors « nous essayons de nous entourer d'un maximum de
certitudes, mais vivre, c'est naviguer dans une mer d'incertitudes, à
travers des îlots et des archipels de certitudes sur lesquels on se
ravitaille ». Une organisation ressent la même chose au cours
de son évolution en souhaitant acquérir de nouvelles parts de
marché, en se développant en interne, par le partenariat de
nouveaux partenaires, etc. Cela est d'autant plus vrai en période de
crise ou de nombreux repères deviennent caduques et ne permettent plus
d'assurer le bon suivi de l'activité et l'évolution de
l'environnement. En cela, la planification apparait comme un dispositif
permettant d'encadrer
1 C. Roux- Dufort, « Gérer et
décider en situation de crise », Dunod 2002.
42
l'activité en période de crise, mais elle doit
également comporter une part de flexibilité et d'agilité,
notamment en période de crise sanitaire. Nous avons pu voir que la mise
en place d'un PCA permettait de répondre à une
indisponibilité de ressources d'ordre humain, matériel ou du
système informatique. Néanmoins il apparait que lors d'une crise
sanitaire apparaissent de nombreuses indisponibilités
simultanément. Bien souvent les PCA sont adaptés pour
répondre à des situations brusques liés à des
pénuries de ressources et d'infrastructures locales. A contrario, une
crise sanitaire provenant d'une pandémie n'engendre, a priori, aucun
dégât matériel mais peut conduire à des impacts
extrêmes sur l'état de santé d'une vaste population. Une
partie du personnel peut être affecté par le virus, les
déplacements peuvent être réduits afin de limiter la
contagion, et la présence dans les infrastructures pourrait être
réduite durant un certain temps. De plus, les conséquences
induites au niveau mondial par une pandémie rendent la définition
du périmètre des indisponibilités plus difficile. Suite
à la pandémie de la COVID-19, Edgar Morin explique qu'il est
très difficile d'en cerner les dimensions en raison du fait que l'on ne
connait pas l'origine même du virus, les différentes formes qu'il
peut prendre et sa potentielle évolution ainsi que les personnes
auxquelles il s'attaque. De plus, les conséquences initialement
sanitaires peuvent conduire à l'apparition de crises ultérieures
ou concomitantes d'ordre social et économique.
2. Le PCA face à la complexité et la virulence des
récentes crises sanitaires
En matière de Plan de Continuité
d'Activité il est évident qu'il est nécessaire de
prévoir des mesures de prévention pour la protection des
salariés tout en maintenant l'activité en sécurisant les
postes essentiels. En cela, il est important d'anticiper des scénarii de
risques afin de préparer en amont des plans d'actions réalisables
lors d'une situation de crise. Toutefois, il n'est pas possible de tout
anticiper en raison du caractère incertain d'une crise. En effet, les
accidents industriels de Tchernobyl en 1986 et de Fukushima et 2011 ont
impacté de nombreuses organisations sur des zones très
étendues. Ces deux catastrophes nucléaires ont eu des
conséquences telles que nul ne pouvait les prédire. Ainsi, outre
l'impossibilité de se rendre dans les locaux situés dans la zone
d'exclusion nucléaire, les risques sanitaires sont également
omniprésents. La radioactivité induite par l'explosion peut quant
à elle perdurer dans l'air, l'eau et les sols pour de nombreuses
années. Suite à l'accident nucléaire de Fukushima, le
Ministre de la Science du pays a indiqué que 30 000km2 du sol
japonais restaient contaminés au césium.
43
A ce titre, une zone de 1 800 km2 est
classée comme durablement inhabitable. Ces paramètres ne sont que
peu imaginés dans la conscience du gestionnaire en charge de
l'élaboration du PCA. Toutefois, concernant les organisations se situant
à proximité de sites Seveso, et tout particulièrement des
centrales nucléaires, il est pertinent de rapporter les risques encourus
dans le PCA car bien qu'ils ne paraissent que peu réalisables,
l'Histoire nous a démontré que le pire peut se produire. A ce
titre il est également possible de prendre pour exemple l'explosion de
l'usine AZF en 2001 située en plein coeur de la ville de Toulouse. Tout
comme l'accident survenu à Beyrouth le 4 août dernier, c'est la
réaction chimique de nitrates d'ammonium qui a été
à l'origine de l'explosion. Bien que les dégâts en pertes
humaines et matériels soient considérables, il est possible de
constater les effets à plus long terme. En effet, suite à
l'accident de l'usine AZF, une étude a permis de répertorier les
conséquences sanitaires de l'évènement. Il est apparu que
sur un échantillon de 2500 individus, 30% d'entre eux ont
été victimes d'acouphènes dans les années qui
suivirent. Par ailleurs, 15% des hommes et 22% des femmes ont souffert de
stress posttraumatique. Ces éléments viennent démontrer
qu'un accident à l'origine industriel peut engendrer de
sévères conséquences sur l'état de santé
d'une population. A travers le Business Impact Analysis (BIA) présent au
sein du PCA, il est possible d'imaginer les scénarios dont nous avons pu
faire état afin de protéger au mieux la santé des
employés de l'organisation tout en veillant à assurer la
continuité de l'activité. En cela, il apparait primordial de
définir de manière pertinente le périmètre du PCA
par une analyse complète du contexte géographique et
organisationnel. Par ailleurs, l'élaboration du PCA permettra de
définir la stratégie de continuité selon le
scénario de crise. En effet, la gestion de crise sous-entend une mise en
oeuvre de dispositifs et procédures nécessaires pour conduire les
activités critiques de l'organisation.
En matière de pandémie grippale, le PCA
s'avère également très utile. Une pandémie peut
avoir des conséquences sur l'état de santé d'une
population et pour cela, il est important d'instaurer des moyens de
prévention pour limiter sa propagation. En ce sens, l'objectif d'un PCA
Pandémie est à la fois de protéger les salariés en
limitant la propagation de la pandémie tout en maintenant un certain
niveau d'activité. Le mode de contamination d'un agent pathogène
peut se faire sous plusieurs formes : contamination par contact, contamination
par microgouttelettes ou microparticules aéroportées,
contamination par vecteur (moustique, aliments, ...). Les conséquences
d'une pandémie sur une organisation peuvent relever d'une diminution des
effectifs dont une indisponibilité simultanée de plusieurs
dirigeants, des annulations de commandes ou l'impossibilité de les
satisfaire, ou encore d'une interruption forcée d'activité.
44
Il apparait également que les gouvernements peuvent
prendre des dispositions particulières pour protéger la
santé de leurs citoyens et contenir la propagation du virus. C'est ce
que nous avons pu constater en France le 17 mars 2020 avec les mesures de
confinement prisent pour limiter la propagation du virus SARS-COV-2, plus connu
sous le nom de COVID-19. Il est toutefois difficile pour le gestionnaire
d'imaginer une pandémie d'une telle envergure. A ce titre, et pour
fournir un cadre d'analyse, l'OMS recommande plusieurs scénarii se
caractérisant notamment par une vague pandémique allant de 8
à 12 semaines avec un taux d'absentéisme de 25% tout au long de
la pandémie, pouvant aller à 40% sur les deux semaines de pointe.
Par ailleurs, il est défini plusieurs niveaux d'alerte pandémique
pour une entreprise passant d'une période de vigilance à une
période d'alerte pandémique pouvant aller jusqu'à une
période pandémique maximale. A chacune de ces niveaux
correspondent des mesures adaptées retranscrites dans le PCA. Pour faire
face à une pandémie grippale, il est essentiel de sensibiliser le
personnel sur les mesures de protection à adopter. Parmi les principales
mesures de précaution il y a se laver les mains de manière
régulière, éviter les personnes malades, porter des
masques de protection. De fait, ces éléments seront
indiqués dans le PCA Pandémie à travers les
matériels nécessaires en cas de pandémie et les consignes
d'hygiène et de sécurité en cas de contamination.
Pour résumer, le PCA est un outil reprenant de
nombreuses thématiques permettant d'assurer une continuité
d'activité en préservant la santé des salariés.
Cela passe notamment par l'établissement de procédures de
précaution pour se prémunir de la situation sanitaire en
protégeant la santé du personnel et du public.
| 
