Plan de continuité d’Activité – Synthèse

Selon Wikipédia, le plan de continuité d’activité a « pour but de garantir la survie de l'entreprise après un sinistre important touchant le système informatique. Il s'agit de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Ce plan est un des points essentiels de la politique de sécurité informatique d'une entreprise. »

Si, ce qui deviens une discipline aujourd’hui, tire ces origines de l’Informatique, il faut reconnaitre aujourd’hui que son champ d’action est devenu beaucoup plus large.

Importance du PCA(1)

En plus des difficultés économiques, de nombreuses menaces pèsent sur l’entreprise. Les managers en sont bien conscients, mais pris dans la gestion quotidienne, ils trouvent difficilement le temps de s’en occuper et ainsi de maitriser cette vulnérabilité. Pourtant il est connu que les entreprises ayant subi un sinistre majeur finissent presque toujours par disparaitre, faute d’anticipation.

Un sinistre mal géré a des conséquences désastreuses sur le plan économique mais aussi en terme d’image, même si l’entreprise possède une très bonne assurance. La perte de confiance des clients et/ou de bénéfice d’autorisations particulières d’exploitations profitent directement aux concurrents.

C’est pourquoi il est important pour les PME/PMI d’étudier la mise en œuvre d’un PCA. Surtout dans le contexte de tensions permanentes et de dégradation rapide de l’environnement social (prise politique, terrorisme…) en Afrique.

Coût/avantage d’un PCA

Il est important de bien dégager les priorités car le mise en œuvre d’un PCA engendre nécessairement des coûts directs et indirects qui impacteront les résultats de l’entreprise. Même si un retour sur investissement ROI (return On investment) est attendu.

Avec le PCA, l’entreprise a de quoi faire face aux évènements majeures. Cela est un atout non négligeable sur le plan commercial. En plus d’être très apprécié par les assurances qui le font sentir dans les primes et clauses

Indirectement, un bon PCA permet d’avoir une bonne connaissance des procédures de l’entreprise qui peuvent être optimisé. Or qui parle d’optimisation parle d’efficacité, parle d’économie potentielle.

Contenu d’un PCA 

Le PCA peut être décomposé́ en un Plan de Continuité́ de Service (PCS), un Plan de Continuité́ Métiers (PCM) et un Plan de Reprise d’Activité́ (PRA), qui se focalisent respectivement sur : 

·     La disponibilité́ des ressources : informatique, logistique, énergie, eau, bâtiments accès, etc., sans oublier les ressources humaines (personnes clefs) ; 

·     Les actions à conduire par les métiers pour la poursuite de leurs activités prioritaires ; 

·     Les procédures et moyens permettant de redémarrer en cas de sinistre majeur. 

Au-delà̀ des vulnérabilités liées à des risques physiques classiques (incendie, malveillance, évènements naturels, etc.), il sera utile d’élargir l’analyse des vulnérabilités aux risques liés à l’environnement socio-politique et ceux dits émergents (gouvernance/management, législation/réglementation, malveillance/terrorisme, calamités climatiques, obsolescence technique, etc.). 

Conseils de réalisation d’un PCA

L’étude du PCA doit être intégrée aux réflexions stratégiques de l’entreprise concernant aussi bien les forces et opportunités permettant son développement que les points faibles et menaces qui vont contrecarrer l’atteinte de ses objectifs. 

Il est essentiel de bien connaitre l’entreprise et son organisation. Il faut réaliser une véritable cartographie des processus de l’amont (fournisseurs) jusqu’à l’aval (clients), en passant par les intermédiaires et sous-traitants. Puis il faut étudier la vulnérabilité́ de l’entreprise, face à différents scenarii de risques, suite à des évènements internes ou externes, afin de cibler les éléments qui devront être au cœur de la réflexion du PCA. 

Il faut définir clairement les objectifs que doit remplir le PCA : produits essentiels à maintenir sur le marché́, délai limite de reprise d’activité́, contraintes règlementaires/contractuelles à respecter, etc. 

Il n’est pas obligatoire d’imaginer toutes les situations possibles. Le PCA peut être limité à quelques scenarii majeurs/essentiels. 

Un PCA non testé n’a aucune valeur. Pour le valider, il est donc essentiel de réaliser des tests/exercices pour lesquels il est proposé́ quatre règles à suivre : 

·     Impliquer la Direction Générale ; 

·     Ne pas mettre en danger l’entreprise ; 

·     Opter pour des validations progressives ;

·     Noter régulièrement les améliorations nécessaires, souhaitables et possibles. 

(1) PCA = Plan de Continuité d'Activité

Source : IESF (Société des Ingénieurs et Scientifiques de France)