Continuité d'activité
Voyons le contexte. Dans un monde instable, de nouveaux types de crises apparaissent, plus fortes en intensité, moins prévisibles et plus difficiles à appréhender. Les modèles prédictifs s’épuisent et les prévisions erronées n’aident vraiment pas. Au contraire, elles détournent l’attention. Elles alimentent les phénomènes et les renforcent.
La crise est de moins en moins un événement auquel il faut réagir dans l’instant. Elle est au contraire et de plus en plus un processus improbable, inattendu, à fort impact, qu’il faut instantanément prendre en compte et auquel il faut s’adapter en urgence mais dans une perspective de long terme. Il s’agit donc essentiellement d’un problème de management, la Covid-19 en étant l’absolue démonstration.
Aussi faut-il savoir intégrer la crise —quelle que soit la forme qu’elle peut prendre et sa manière d’advenir— dans le système qualité et la performance de l’organisation au travers de processus opérationnels de prévention et d’anticipation.
Une abondante littérature existe sur ce sujet. Mentionnons en particulier la théorie du cygne noir popularisée par Nassim Nicholas Taleb, Le cygne noir – La Puissance de l’imprévisible (2007), à propos d’événements imprévus et inenvisageables dont les grandes conséquences modifient durablement et profondément le contexte.
Le PCA, outil de vigilance et de sauvegarde
Sans aller jusqu’à prétendre que la classique gestion de crise, qui se conçoit avant tout en réaction à un choc serait complètement dépassée, on peut néanmoins affirmer sans se tromper que la prise en compte de la crise a profondément évolué et que la meilleure manière de l’aborder n’est plus trop de la prévoir. Désormais, la crise se prévient et s’anticipe en disposant d’options variées pour tenir compte des surprises et des aléas.
Là est toute la logique d’un PCA (Plan de Continuité d’Activité) :
- Savoir se protéger des menaces
- S’adapter rapidement à l’imprévisible
- Réduire l’impact de la perturbation sur l’activité
- Tirer parti des opportunités
La continuité d’activité se définit donc comme la capacité de l'organisation à poursuivre la fourniture de ses produits, services et solutions à un niveau acceptable préalablement défini, quoique dégradé, après un incident perturbateur quel qu’il soit.
Du PCA au SMCA : évolution de contexte
Directement relié à la performance opérationnelle dans un contexte de crise majeure, le PCA prend la forme d’un BCMS (Business Continuity Management System), en français SMCA (Système de Management de la Continuité de l’Activité).
Dans l’article du blog de Squalinoo Soyez agile : mettez en place votre SMCA ! nous avons déjà présenté les bénéfices de la démarche dans le cadre de la norme ISO 22301:2019 « Sécurité et résilience – Systèmes de Management de la continuité de l’activité ». Cette norme HLS, structurée autour du PDCA, complète et enrichit les normes SMI (Système de Management Intégré), notamment ISO 9001:2015 « Systèmes de management de la qualité ». Elle permet à l’organisation de franchir un seuil de compétence, pour être toujours prête, agile et proactive.
Résilience organisationnelle
La norme ISO 22316:2017, Sécurité et résilience – Résilience organisationnelle – Principes et attributs, fournit pour sa part le cadre général destiné à préserver l’avenir de l’activité. On pourrait la définir comme un sur-ensemble de la norme précédente à propos de la continuité des activités.
Si la protection contre les chocs soudains et imprévus est nécessaire (SMCA), elle ne semble pas suffisante pour assurer le développement à long terme de l’organisation. En effet, les menaces ne sont pas seulement des événements majeurs inattendus. Elles peuvent aussi émerger lentement en étant à peine perceptibles (signaux faibles et ”Early Warnings”). Si elles n’étaient pas contrôlées, ces menaces incrémentales pourraient nuire gravement à l'organisation. Par exemple, l’émergence d’une technologie ou d’un produit de substitution peut ne présenter aucun risque apparent, bien que constituer un grave danger pour l’avenir de l’entreprise à horizon plus lointain.
L’organisation doit par conséquent avoir une vision claire des facteurs susceptibles de la fragiliser. Elle se dotera d’une culture de la résilience, en particulier pour tout ce qui touche à ses infrastructures, à l’information sensible qu’elle détient et à son système d’information. Elle devra avoir les idées claires sur tout ce qui serait susceptible d'affecter ses fonctions vitales et sur les procédures qui permettront le retour à un niveau normal de performance après un délai raisonnable.
Antifragilité
Pour aller encore un cran plus loin, évoquons l’antifragilité. Suivant la définition qu’en donne Nassim Nicholas Taleb, « L'antifragilité est au-delà de la résilience et de la robustesse. Le résilient résiste aux chocs et reste le même ; l'antifragile s'améliore. » Pour prendre une image, l’antifragile est à l’aise avec le mauvais temps. Il a été conçu pour ça et tire parti des mauvaises conditions météorologiques pour exprimer son potentiel et se perfectionner. Plus la tempête est forte, mieux le système antifragile peut s’affirmer et donner sa pleine mesure.
L’antifragilité est une manière différente de concevoir et d’envisager un système. Elle s’inspire d’un modèle biologique. Elle emprunte au vivant et fait la distinction entre l’individu qui reste fragile et le groupe qui apprend et prospère avec la crise en devenant antifragile au contact des germes et des périls de son écosystème.
Ajoutons pour conclure que la simplification (ou plutôt la « simplexification ») est un facteur essentiel d’antifragilité dans la mesure où elle favorise la compréhension et la correction de l’erreur dans un système complexe.
Pour en apprendre plus, consultez la page suivante de notre site : https://squalean.fr/crise-plan-de-continuite-et-efqm/ et Contactez-nous !