Plan de continuité

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Le plan de continuité ou plan de continuité d’activité (PCA) est à la fois le nom d’un concept, d’une procédure et du document qui la décrit.

Ce plan doit permettre à un groupe (gouvernement, collectivité, institution, entreprise, hôpital..) de fonctionner même en cas de désastre ; quitte à ce que ce soit en mode dégradé, ou en situation de crise majeure.

C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objectif est de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institution, d’un groupe…

Ces plans se sont répandus depuis les attentats du 11 septembre 2001, les attentats de Londres (juillet 2005) ou de Karachi. Les leçons tirées de la catastrophe de Tchernobyl ont également contribué à une profonde révision de certains plans.

Pour un gouvernement, il est essentiel que les secteurs fournissant des services vitaux tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont électricité), le transport en commun, les télécommunications, les banques, etc. soient capables de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services).

Contenu[modifier | modifier le code]

Le Disaster Recovery Institue International (DRII) suggère dans ses bonnes pratiques quatre critères pour un PCA : “resume without notice”, “data stored off-site”, “within recovery time objective”, “without key personnel”. Ce qui se résume en :

  1. Se projeter dans des événements non planifiés,
  2. Présumer que le site de l’exploitant est indisponible,
  3. Respecter un délai de reprise imposé par le métier,
  4. Appliquer des procédures rodées (testées et à jour).

Il varie selon les plans, mais il intègre généralement :

  • les démarches existantes de type « Assurance qualité », dont un état des lieux mis à jour sur les thèmes vitaux incluant la sécurisation des locaux, des ressources vitales (dont informatiques et télécommunication) ;
  • les plans de protection du personnel (y compris concernant le transport, l’hébergement, les soins qui sont le cas échéant étendu aux familles) ;
  • les plans d’alerte et de secours, les plans de crise et de reprise d’activité (Cf. résilience) en vigueur ;
  • ainsi que la gestion du risque juridique et assuranciel.

Cela se fait :

  • en identifiant les forces et faiblesses, les points critiques
  • en les coordonnant et dans la mesure du possible en les testant régulièrement par des exercices appuyés sur des scenarii de crise,
  • en communiquant et en associant le personnel aux organigrammes fonctionnels (fonctions et moyens prioritaires, remplaçants possibles, solutions alternatives..), aux calendriers d'exercices et bilans, à l’évaluation de la gestion des risques, au choix et au renseignement des indicateurs (reporting). Les plans de formation, plan de communication (interne, externe) peuvent être précédés et accompagnés d’enquête de perception et/ou compréhension des acteurs, de groupe de travail, en s’appuyant sur la formation continue des personnels et parfois des sous-traitants et fournisseurs, voire de la population périphérique à un site sensible (sensibilisation, information, formation, exercices, etc).
  • en s’appuyant sur une liste de ce qui est fait et reste à faire (check-list), sur des audits, études de risque, études d'impact,

Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie confidentiel, ce qui peut nuire à son appropriation par une partie du personnel :

  • en tenant compte du contexte. Les plans de continuité doivent être assez souples pour s’adapter à différents types de risques et dangers, en tenant compte du contexte local et global (ex ; le risque de tremblement de terre grave est a priori plus élevé en Indonésie qu’en Belgique, mais une entreprise belge ayant une agence importante à Java ou Bornéo doit s’y préparer).

Dans le secteur des services publics, il est censé viser l’intérêt général (la question des coûts ne devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés.

Cadre réglementaire[modifier | modifier le code]

Ces plans sont obligatoires dans certains secteurs (ex : pour le secteur bancaire en Europe, à la suite de la réglementation Bale 2, ou pour les sociétés cotées au NYSE, depuis la loi Sarbanes Oxley. Ils sont parfois imposés aux assureurs ou réassureurs, ou sont exigés par certains commanditaires chez leur fournisseurs ou sous-traitants ou parce que leur propre Plan le leur impose. Ils peuvent être imposés par des actionnaires soucieux de protéger leurs fonds.

Certaines primes d’assurance diminuent pour l’entreprise à risque si elle est dotée d’un tel plan, jugé correct par un audit de l’assureur. Des outils normalisés (ISO notamment) peuvent aider à l’amélioration continue de ces plans, mais leur contenu précis, ni la méthode ne sont normés ou précisément définis ;
ni globalement, ni pour un socle commun.

Spécificités[modifier | modifier le code]

Secteurs bancaire et de la Finance[modifier | modifier le code]

Le Comité de la Réglementation Bancaire et Financière (CRBF) a défini le Plan de continuité d’activité comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités »[1]..

Rappels
En novembre 2004, ces 3 organisations ont demandé au Joint Forum des orientations sur les meilleures pratiques en continuité des affaires qui, publié en février 2005 priorise la stabilité du système financier.

Secteur informatique[modifier | modifier le code]

Pour plus de 40 % des organisations interviewées en 2008 par MARKESS International[2], la réduction et la minimisation des risques d’interruption de business, la volonté d’optimiser les ressources, les pressions internes des directions métier, la meilleure gestion des risques sécuritaires sont les catalyseurs qui les poussent à prendre des mesures précises afin de garantir la continuité de business pour leurs applications informatiques et les infrastructures sous-jacentes associées.

Cas de la grippe aviaire[modifier | modifier le code]

Avec la mondialisation et les modifications globales de l’environnement, l’augmentation des problèmes nosocomiaux, c’est un risque qui grandit. Les progrès de la génétique rendent le risque de bioterrorisme également plus crédible et grave.

Après l’exemple du SRAS, dans le cadre du risque pandémique lié à la diffusion du virus H5N1, de nombreux plans nationaux demandent aux fournisseurs de services vitaux (alimentation, énergie, services de transport, de télécommunication, de santé, banques, etc. de préparer d’intégrer le risque pandémique dans leurs plans de continuité et de crise, de manière à pouvoir fournir un service minimum malgré un manque de personnel (mort, malade ou absent).

Le cas du risque sanitaire est particulier

Les plans de continuité (quand ils existent) doivent généralement être adaptés car ils ont été préparés pour des situations de catastrophe naturelle, de guerre, ou d'attentat. Ces risques sont liés à une brusque, mais locale pénurie d’infrastructure et de ressources. (Il suffit alors de déplacer le personnel dans une zone sûre ou sécurisée).

Au contraire, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira ni combien de vagues suivront, ni à quelle intensité.. 30 à 60 % du personnel pourrait localement manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les infrastructures de transport et de communication ne devraient pas être touchées, mais les déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les infrastructures pourraient localement et durant un certain temps faire défaut.

La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pensent que le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau dépend totalement de la fourniture en électricité et du maintien du fonctionnement des télécommunications. Enfin le télétravail demande une infrastructure informatique adaptée, et souvent plusieurs mois de préparation pour être opérationnel.

En France

Les 4 premiers thèmes traités en 2006 par le MEDEF étaient[3] :

  1. Points d’organisation à prendre en compte de façon préventive par les entreprises
  2. Les masques de protection
  3. Les mesures de protection
  4. Les mesures concernant les entreprises situées sur une zone proche d’un foyer viral


Le site du MEDEF (français) propose en 2006 en téléchargement la seconde des 4 brochures ci dessous produites (en anglais) par l’association Trust for America's health (États-Unis)

L'Agence nationale pour l'amélioration des conditions de travail propose un outil en ligne d'aide à l'élaboration d'un PCA ainsi que des les vidéos d'une simulation de continuité d'activité dans un supermarché dans un contexte de pandémie grippale.

Amélioration continue[modifier | modifier le code]

Par définition, un plan de continuité ne peut être définitif. Il doit être mis à jour en fonction du contexte et/ou des retours d'expériences et d'exercices (quand les exercices existent, ce qui est recommandé par les gestionnaires de crise). Une certaine standardisations des protocoles de secours se met en place qui semble utile, mais ne doit pas freiner l’innovation et une certaine souplesse nécessaire face à l’imprévu.

Documentation[modifier | modifier le code]

  • Livre « Plan de Continuité d'Activité - Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA » de Bernard Carrez, Antonio Pessoa et Alexandre Planche, Ed. ENI, Mars 2013.
  • Le MEDEF a en France, en 2006, proposé 4 fiches(PDF) d’aide à la préparation des entreprises, qui restent très succinctes, dont l’un inspiré des documents type Cahier Des Charges.
  • Livre « Plan de continuité d’activité et système d’information, vers l’entreprise résiliente », de Matthieu Bennasar (consultant en sécurité et enseignant, MBCI et CISM) est consacré à la mise en place et la gestion d’un PCA. (Dunod 2010 - 2e édition, prix AFISI 2006)
  • Livre « Catastrophe et management - Plans d'urgence et continuité des systèmes d'information », de Daniel Guinier (enseignant en master, consultant en sécurité des SI, CISSP, ISSAP, ISSMP, MBCI), précurseur des PRA/PCA de divers secteurs (Masson 1995).
  • Livre "Management de la Continuité d'activité" d'Emmanuel Besluau (consultant en continuité, ECP) indique la marche à suivre, les choix à faire (informatiques ou non) ainsi que les concepts technologiques pour élaborer un Plan et le maintenir à jour (Eyrolles 2008).

L’outil informatique prend une importance croissante. Les consultants lui associent souvent un SIMCA (système d’information du management de la continuité), visant à mettre à jour en temps réel toutes les informations vitales de l’entreprise et éventuellement de son réseau de partenaires proches. L’ordinateur a également contribué à des modélisations et planifications plus complexes, au travail sur la complexité elle-même, ou encore à l’évaluation des dégâts et à la gestion et répartition des responsabilités et taches en situation de crise.

  • Livre "Pandémie grippale : quelles réponses des ressources humaines ?" Eric Pouliquen, Willway & associés, supplément no 1406 Semaine Sociale Lamy, 29 juin 2009. La mise en place de plans de continuité d'activité n'a pas pour seule finalité l'actuelle menace de pandémie grippale mais s'inscrit dans un cadre plus globale et doit « devenir un outil de gestion ordinaire pour les entreprises et les organisations ».

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

  • « PCA, PRA : comment les mettre en place » de Matthieu Bennasar, Revue Mag-Securs, No.18, Jan.-Mar. 2008, p. 54-55.
  • « Dispositif de gestion de continuité - PRA/PCA : une obligation légale pour certains et un impératif pour tous » de Daniel Guinier, Revue Expertises, no 308, Nov. 2006, p. 390-396.
  • « Pandémie grippale : un risque certain, à terme incertain (1re partie : anticiper le risque) » de Eric Pouliquen (Willway & associés), Les Cahiers du DRH, no 144, juin 2008.
  • « Pandémie grippale : un risque certain, à terme incertain (2e partie : élaborer le Plan de continuité) » de Eric Pouliquen (Willway & associés), Les Cahiers du DRH No.145, juillet 2008
  • « Pandémie grippale : quelles réponses des ressources humaines ?» de Eric Pouliquen (Willway & associés), supplément no 1406 Semaine Sociale Lamy, 29 juin 2009
  • « Face à une pandémie annoncée et à la crise suivante… Réponses pour la continuité de l'activité des entreprises » de Daniel Guinier, Revue Expertises, no 340, Oct. 2009, p. 337-342.

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]