Céline MEUNIER
Gérer une crise avec un plan de continuité d'activité - PCA
Zoom sur
Vous souhaitez aller plus loin ?
- L’AFNOR a élaboré une norme internationale : NF EN ISO 22301 « Sécurité et résilience - Systèmes de management de la continuité d'activité – Exigences »
Les plans de continuité d'activité (PCA) permettent aux entreprises, quelles que soient leur secteur d'activité, taille ou organisation d’assurer la continuité de leur activité, en cas d’événement perturbateur lors d’une crise majeure d’origine naturelle, accidentelle ou malveillante.
Face à des événements redoutés occasionnés par une crise majeure, quelles sont les questions à se poser ?
1. Interrogations préalables
- l’entreprise est-elle vulnérable ?
- faut-il choisir entre se mettre à l’abri et continuer son activité ?
- à quels types de situation faire face ?
- à quel moment faire appel à un soutien externe ?
2. Comment procéder en urgence ?
- S’organiser
- comment l’entreprise est-elle informée ?
- peut-elle réunir une cellule de crise et assurer sa communication ?
- dispose-t-elle de relais pour faciliter son action ?
- Agir
- comment protéger le personnel et l'outil de travail ?
- passer en mode dégradé pour maintenir tout ou partie de son activité ?
- recourir à un dispositif de repli si le site de l’entreprise est inutilisable ?
- rétablir une activité normale dans les meilleurs délais ?
3. Gérer de multiples aspects
La gestion d’une crise majeure présente de multiples composantes (production, RH, informatique, relations avec les clients et fournisseurs, communication…) pour construire une réponse efficace. Une réponse élaborée en urgence a nécessairement des limites, qu’une préparation en amont permet de dépasser, avec le Plan de Continuité d’Activités (PCA).
Interrogations préalables
Quels impacts sur l'activité de l'entreprise ?
Outre les dommages possibles, l’activité de l’entreprise peut être impactée de différentes manières :
- directement : le personnel, l’outil de travail sont touchés ou affectés,
- indirectement : des fournisseurs, des clients, les transports, des services publics essentiels sont touchés ; par ailleurs, les mesures prises par les pouvoirs publics peuvent générer des contraintes (confinement, évacuation massive, définition de priorités …).
NB : Selon les cas, c’est la capacité de l’entreprise à produire ou délivrer le produit ou celle de la clientèle à l’absorber qui sont atteintes.
Quelle attitude générale adopter ?
En cas d’impact négatif ou de menace sur l’entreprise, il y a deux attitudes à adopter, plus complémentaires que contradictoires :
- se « mettre à l’abri » pour éviter ou limiter les dégâts, quitte à suspendre son activité, voire à fermer temporairement l’entreprise si c’est nécessaire : il s’agit de préserver ses actifs et ceux des tiers en prenant des mesures conservatoires ou de repli, en évitant l’aggravation de la situation et le sur-accident ;
- dans la mesure du possible, maintenir ou reprendre une activité minimale afin de garder sa place sur le marché, quitte à passer en mode dégradé avec des moyens réduits ; en toute hypothèse, rétablir son activité le plus tôt possible, avec les moyens disponibles.
Le cas particulier des entreprises "contributives" ?
Certaines entreprises peuvent être appelées à fournir des prestations supplémentaires en cas de crise, qu’elles y soient tenues - contractuellement (ex : prestataire informatique) ou réglementairement (réquisition) - ou sollicitées par leurs clients (pour compenser la défaillance d’un autre fournisseur) ou encore par les pouvoirs publics.
Les entreprises juridiquement engagées doivent avoir pris les dispositions nécessaires (pratiques et/ou juridiques, décrites de préférence dans un PCA formalisé, voire certifié). Pour celles sollicitées à titre facultatif, ce peut être une opportunité.
Trois situations types
Pour apprécier la situation concrète et préparer la réponse, on distingue 3 grands types de situations, qui appellent des modes de réponse adaptés :
- 1. un épisode bref et brutal (ex : tempête, neige et verglas, inondation).
Il convient de se mettre à l’abri, pour protéger son personnel et ses installations, quitte à suspendre l’activité en attendant la fin de l’épisode.
- 2. un épisode prolongé (ex : pandémie, collaborateurs touchés, dégradation de la situation d’un pays, attaque informatique majeure).
Outre les mesures 1, il est souhaitable de maintenir ou reprendre les activités prioritaires dans un délai rapide.
- 3. un épisode prolongé avec site de l’entreprise inutilisable (indisponible ou inaccessible) (ex : inondation longue, séisme, incendie majeur).
Outre les mesures 1 et 2, il s’agit de mettre en œuvre, de surcroit, un dispositif de repli pour la partie de l’entreprise « repliable ».
Comment procéder en urgence (règles de base) ?
Les situations vécues varient considérablement selon les circonstances, mais il y a des règles de base pour la conduite à tenir en cas d’événement avéré.
S'organiser
1) Se tenir informé de la situation
- recevoir les alertes
- récupérer les consignes et informations données par les autorités publiques
Principaux moyens :
- radio (toujours) et :
- dispositifs d’alerte publics : le système d'alerte et d'information des populations (SAIP)
- sites dédiés :
- sites permanents dédiés à un risque
- sites temporaires dédiés à une crise (sites Internet dédiés par les administrations en charge de la gestion de crise, avec accès plus ou moins ouvert aux entreprises intéressées).
2) Se mettre en mode « crise »
- évaluer la gravité et la cinétique de la crise
- constituer une cellule de crise
- communiquer :
- en interne (personnel) sur la situation de l’entreprise et les mesures prises
- en externe (clients, fournisseurs, partenaires, médias) pour échanger des informations, se coordonner, défendre son image.
Principaux moyens : téléphone portable et Internet, salle de réunion organisée en cellule de crise.
3) Identifier des organismes
- Relais officiels :
- Préfectures : directions de la sécurité publique
- Site Internet de la DGE pour l’orientation et la fourniture de liens
- Services territoriaux de l’Etat (en fonction du secteur économique)
- Collectivités territoriales
- Relais institutionnels :
- Chambres consulaires
- Organisations patronales interprofessionnelles
- Organisations professionnelles
- Comités territoriaux
- Prestataires et partenaires :
- Organismes de conseil, plateformes de veille et de formation
- Organismes d’assurance, organismes d’assistance
- Groupements d’entreprises (GIE, association …).
Note : les modes de relations avec ces organismes peuvent varier considérablement suivant les lieux et les circonstances.
Agir
1) Se protéger
L’objectif est d’éviter des dommages inutiles et permettre une reprise rapide.
- Protéger son personnel et l’outil de travail (lieu de travail, équipements, système d’information, données et dossiers) :
- Ressources Humaines :
- ajuster l’organisation et les modalités de travail (horaires …)
- recourir au travail à distance (en mode «crise»)
- prendre des mesures d’hygiène
- distribuer des équipements de protection individuelle
- mettre en place les mesures Vigipirate (pour les ERP)
- apporter si possible un soutien au personnel victime…
- Système d’information :
- sauvegarder les données (back-up par le prestataire informatique, utilisation du « cloud »)
- assurer le traitement informatique en cas de cyber-menace
- Installations :
- assurer la protection physique des sites et des matériels
- assurer l’arrêt de l’outil « en sécurité »
- assurer le gardiennage des sites fermés
- Ressources Humaines :
- Suspendre tout ou partie de l’activité si nécessaire.
2) Maintenir une activité minimale en passant en mode dégradé
L’objectif est de s’assurer d’un flux d’activité minimal.
- Identifier les activités prioritaires et vérifier les moyens mobilisables :
- identifier les activités prioritaires en fonction des besoins des clients essentiels (délais…) et définir ses priorités en conséquence
- vérifier l’état des fonctions vitales de l’entreprise nécessaires à ces activités (processus métiers et supports : ex : production, délivrance des produits, relations fournisseurs, comptabilité…)
- vérifier la disponibilité des ressources minimales pour fonctionner (effectifs « prioritaires », système d’information, locaux, fournisseurs)
- Fonctionner en mode dégradé :
- choisir entre abaissement général du service et tri des bénéficiaires
- activer toutes solutions palliatives utiles
- assurer un traitement métier pendant une indisponibilité informatique (ex : passage en mode manuel)
- demander, s’il y a lieu, un accès prioritaire aux "réseaux" (énergie, eau, communications électroniques)
3) Se délocaliser en cas de site inutilisable (indisponible ou inaccessible)
Trois volets :
- le transfert des données et des applications sur un dispositif de secours lui-même sécurisé (back-up, cloud…) (structure amie ou prestataire de confiance)
- le transfert physique – de ce qui peut être transféré - sur un site de repli sécurisé (implantation « soeur », structure amie, prestataire privé, site public d’accueil temporaire) :
- savoir où aller
- transférer ce qui est transférable
- protéger ce qui doit rester sur place
- le télétravail
De façon générale, il est nécessaire de privilégier les moyens nomades (micro portables, clés USB, téléphones portables …).
4) Rétablir l’activité le plus tôt possible
C’est généralement un impératif vital pour l’entreprise.
- Assurer le retour à la normale :
- organiser la montée en puissance du retour à la normale (priorités, étapes), si celui-ci ne peut être immédiat après la phase d’urgence
- réaliser diagnostics et travaux sur les installations touchées (électricité …)
- développer sans attendre des solutions pragmatiques provisoires pour une reprise d’activité progressive
- Engager le moment venu des demandes d’indemnisation s’il y a lieu :
- chômage technique
- assurance dommages ou pertes d’exploitation
- responsabilité civile de l’auteur de l’accident
- fonds d’indemnisation le cas échéant
Pistes pour se préparer en amont
La réactivité et le pragmatisme sont nécessaires pour faire face à une crise en urgence, mais il est préférable de se préparer également en amont.
Se préparer à l’avance permet, en vue de mieux absorber les impacts d’une crise majeure :
- de disposer de mesures plus efficaces et de listes prédéfinies
Certaines mesures ne sont efficaces pour se protéger que si elles sont prises en amont : les « check-lists » d’actions à réaliser permettent d’éviter les omissions qui se produisent fréquemment dans l’urgence (en particulier en termes de communication).
- de mieux identifier les cibles à protéger, les activités à maintenir, les délais disponibles, les relais à utiliser le cas échéant
Il est fondamental d’identifier son patrimoine essentiel (patrimoine propre et données détenues concernant des tiers), ses activités prioritaires en fonction notamment des besoins de ses clients critiques, les délais acceptables en cas d’interruption d’activité, les relais sur lesquels s’appuyer si nécessaire. Pour bien faire, l’identification devrait se faire plutôt en amont et non pendant l’émergence d’une crise.
- d’améliorer la perception de l’entreprise par les parties intéressées
Un minimum de préparation est de nature à accroître la confiance de ses partenaires économiques (donneurs d’ordre, clients …) dans sa capacité à maintenir son activité, à répondre à leurs besoins essentiels et à renforcer sa résilience. Une gestion défectueuse en période d’urgence peut au contraire détériorer l’image de l’entreprise.
Contenu d'un Plan de Continuité d'Activités (PCA)
Le PCA est un dispositif qui prend racine dans une démarche amont de management du risque. Il offre la possibilité de gérer des incertitudes et aléas, associés à des événements indésirables identifiés a priori. Le PCA a pour vocation de « repousser » le moment où on bascule dans une situation de crise. Il sert à mieux anticiper et gérer une situation de crise majeure.
- Mettre en place une démarche de management du risque formalisée par un PCA
- Identifier le patrimoine essentiel (humain, matériel, immatériel) et les activités prioritaires à préserver ou protéger
- Identifier les scénarios d’événements indésirables à prendre en compte a priori dans le dispositif de management du isque et de gestion de crise
- Définir les mesures de prévention et de protection prédéterminées à mettre en place en cas d’occurrence de ces scénarios
- Définir le processus de gestion de crise, définir les rôles et interfaces
- Formaliser tous ces éléments dans un PCA comportant en particulier :
- un volet continuité informatique,
- un volet dispositif de repli des utilisateurs et
- un volet gestion de crise.
- Se préparer à la gestion des évènements en cas d'occurence
- Sensibiliser les personnels
- Procéder à des exercices de crise pour tester le dispositif et les mesures (exercices spécifiques à l’entreprise ou collectifs).