< Retour

26/05/2016

41% des organisations reconnaissent ne pas avoir testé leur plan de continuité d’activité

(Source : Extrait du Livre Blanc Crowe Horwath & IFACI Trophées de la Maîtrise des Risques 2016)

LAGILITÉ, CONDITION DE LA PÉRENNITÉ DES ORGANISATIONS

La maîtrise des risques a pour objectif d’assurer la résilience de l’organisation face aux crises potentielles et son développement pérenne. Mais la pérennité est aussi un enjeu pour la maîtrise des risques. Dans un monde économique dont les changements sont fréquents, rapides et majeurs, une des clés réside l’agilité.

RÉSILIENCE ET PÉRENNITÉ

Le risque catastrophique

Si les univers des risques des organisations françaises ont toujours inclus les risques d’évènements catastrophiques, ils leur  donnent  aujourd’hui  plus de poids. Les raisons à cela sont nombreuses. Tout d’abord, l’augmentation de la probabilité de ces risques est devenue un fait. Le contexte géopolitique mondial instable amène le risque d’interruption des opérations dans  des  zones  géographiques  qui  semblaient stables, comme ont pu le prouver les évènements de novembre 2015 à Paris.

De plus, les impacts de certains risques catastrophiques commencent à être mieux mesurés, ce qui, par voie de conséquence, amène les organisations à planifier leur survenance potentielle de manière plus structurée. Le réchauffement planétaire, la surpopulation, les flux migratoires ou la raréfaction de certaines ressources minérales font l’objet de plans de transition qui ne sont plus regardés comme des scénarios de science-fiction mais comme des business plans.

Le plan de continuité dactivité (PCA)

La construction et le maintien d’un plan de continuité, structuré mais agile, est un des éléments pour rassurer l’entreprise sur ses capacités à faire face à une interruption majeure et soudaine d’activité.

Les plans de continuité d’activité (PCA) ne sont pas une chose  nouvelle  mais  le  contexte  économique et général actuel fait de cet élément du dispositif de maîtrise de risques une obligation.

FIG 15. CAPACITÉ À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE

Si les répondants font preuve d’une forte confiance envers leur capacité à faire face à une interruption d’activité majeure et soudaine (59% l’estiment acceptable et 29% bonne), 41% des organisations reconnaissent ne pas l’avoir testée ni lors de cas réels ni lors de simulations (cf. Figures 15 et 16).

FIG 16. AVEZ-VOUS TESTÉ LA CAPACITÉ DE VOTRE ORGANISATION À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE ?

Utiliser le plan de continuité d’activité pour développer la pérennité de l’entreprise signifie être en mesure de hiérarchiser les scenarios de risques les plus probables et coûteux. Parmi ces évènements rares, certains sont plus improbables. Leur rareté a priori n’est pas une raison pour tous les traiter, bien au contraire. En se fondant sur l’expérience des concurrents, de la filière, ou du tissu économique local, il est préférable de concentrer ses ressources sur les incidents les plus probables, plutôt que sur ceux qui pourraient avoir le plus d’impact. En effet, mieux vaut se donner l’opportunité de tester en réel un plan achevé plutôt que s’engager dans les planifications incomplètes de tous les incidents possibles – et n’avoir au final pas de plan de réponse complet quand l’évènement survient. Faire preuve d’agilité dans l’action nécessite un travail rigoureux et soutenu de préparation. Et d’accepter la survenance d’un incident et la perte de contrôle conséquente, en admettant de fonctionner en mode dégradé le temps que les opérations reprennent de manière satisfaisante.

FIG17.SI OUI, COMMENT AVEZ-VOUS TESTÉ LA CAPACITÉ DE VOTRE ORGANISATION À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE ?

Enfin, avoir un PCA structuré mais pragmatique, c’est aussi le reprendre et le faire évoluer en fonction des transformations internes de l’organisation. Aussi, lorsque la stratégie oriente l’organisation vers une décentralisation de ses opérations, elle doit s’assurer, en cas d’incidents, d’une meilleure réactivité et connaissance  des  environnements  locaux.

FOCUS

LES 5 FACTEURS CLÉS DE SUCCÈS D’UN PCA

Pour être efficace et performant, un dispositif de Plan Continuité d‘Activité (PCA) doit répondre aux 5 objectifs suivants :

  1. Avoir le soutien de la Direction Générale – obtenir son appui garantit l’implication de l’ensemble des directions opérationnelles et ainsi la prise en compte exhaustive des risques de l’entreprise.
  2. Être pragmatique – adapter le périmètre du dispositif et le niveau de formalisation à la culture et aux spécificités de l’entreprise est clé pour concentrer les efforts et les ressources sur les enjeux prioritaires.
  3. Intégrer l’existant – recenser les initiatives menées, comme par exemple les Plans de Reprise d’Activité ou les Plans d’Urgence et les intégrer à la démarche évite les redondances et favorise des réponses coordonnées.
  4. Êtretesté – éprouver le dispositif sur des simulations de grande ampleur impliquant des parties prenantes multiples est essentiel pour vérifier leur capacité à réagir de façon collective et garantir la viabilité technique des dispositifs de secours.
  5. S’adapter – faire preuve d’agilité dans la recherche d’alternatives appropriées est capital pour maintenir un dispositif à jour des nouveaux risques de l’entreprise

INÉVITABLES TESTS

Développer la pertinence et l’agilité de son dispositif de maîtrise des risques passe aussi par la mise en pratique des scénarios de continuité. Tester un scénario de reprise d’activité permet de le roder, tout en appréhendant ce que le plan a pu oublier et en préparant tous les acteurs de l’organisation impliqués dans ces situations de crise. Et de mesurer la capacité de ses managers à faire face à une situation de stress.

L’exercice a tout autant de valeur pour la gestion de crise. Cette dernière est souvent différenciée d’un exercice de continuité d’activité par sa durée, le cour terme, et par son impact, la sphère publique.

Parmi les 59% des répondants à avoir effectué ces tests, 78% l’ont fait au cours d’exercices de simulation et 56% lors de cas réels (cf. Figure 17). Cette réponse fait écho à une réalité de terrain : si la plupart des entreprises ont un plan de continuité d’activité, c’est l’épreuve des cas réels qui les amène à approfondir et développer un PCA.

Si la simulation « en réel » d’un scénario d’incident autorise à revoir et à compléter un PCA, les entreprises doivent se garder de vouloir le parfaire : trop de formalisme est inutile car chaque incident est différent. L’expérience réelle de ce type d’évènement force à accepter la dose d’imprévisible et d’inconnu qui ne sera jamais dans le plan parfait.

Cette importance des hommes lors d’évènements graves, lors de cas réels ou lors d’exercices, a aussi été l’occasion de reconnaître l’impact majeur de la culture d’entreprise et en particulier de la fidélité des ressources à leur organisation. Ainsi, une organisation n’ayant pas développé de lien social et pour laquelle les salariés ont une très faible fidélité, ne sera pas en mesure de mobiliser ses ressources dans ces temps difficiles, et échouera de manières répétées. Lorsque la réussite de l’organisation et celle des salariés sont décorrélées, les interruptions d’activité majeures et soudaines cristallisent cette séparation. Et les salariés envisagent l’interruption de l’entreprise avec détachement.