Les plans de continuité d'activité, ligne de vie des entreprises

En quelques années, à l'aune d'une économie toujours plus digitalisée, globalisée et désormais habituée à une certaine instantanéité, la résilience opérationnelle est devenue un sujet stratégique dans la plupart des organisations. Et ce d'autant plus que les crises, et les risques associés, s'enchaînent en continu : crises financières, terrorisme, tensions géopolitiques, risques climatiques, et bien sûr la crise sanitaire, qui a fait office d'électrochoc pour l'économie, et finalement de test « grandeur nature » de la résilience des organisations.

Globalisation : des risques multidimensionnels et interconnectés

Dans ce contexte, il est tout à fait remarquable de constater que les entreprises qui s'en sont le mieux sorti sont celles qui disposaient a minima d'un plan de gestion des risques ou, encore mieux, d'un plan de continuité d'activité (PCA). Les plus agiles d'entre elles ont même non seulement poursuivi leurs activités de façon tout à fait normale, mais ont aussi réussi à s'arroger de nouvelles parts de marché, voire à s'installer sur de nouveaux marchés.

Naturellement, la gestion des risques et la résilience sont des aspects inhérents à toute entreprise. Mais la difficulté majeure réside désormais dans les interconnexions opérationnelles et dans les effets « cascade » des risques que cela implique. Par exemple, la crise Covid et les confinements successifs ont imposé le télétravail, qui a généré des risques cyber mais également des risques sociaux. Il y a aussi eu un impact sur les chaînes d'approvisionnement, qui ont entraîné des difficultés de production, etc.

En d'autres termes, dans un environnement économique et réglementaire globalisé et interconnecté, les risques deviennent eux-mêmes globalisés et interconnectés, et leurs effets dominos doivent être anticipés.

PCA : engager un plan de bataille offensif

Par définition, les risques et leurs effets sont propres à chaque entreprise, en fonction de ses activités et métiers, de ses implantations et zones de chalandise, de sa taille, etc. D'autant que ces risques sont potentiellement très nombreux : risques sur les processus, risques opérationnels, aspects humains, risques fournisseurs et approvisionnement, risques IT et digitaux, ou encore risques quant à l'image de marque. Face à ces menaces, la pratique de gestion des risques apporte un cadre méthodologique pour la phase d'identification, d'analyse et de prévention des risques, ainsi que pour la conception d'un plan de continuité d'activité associé, qui doit être adapté à chaque contexte et activité.

Bien sûr, il n'est pas question d'élaborer un PCA exhaustif qui porterait sur absolument tous les processus exposés aux risques : la démarche serait trop complexe, sans doute impossible, et, dans tous les cas, trop onéreuse.

Parmi les risques potentiels, il s'agit d'identifier les plus critiques sur les aspects les plus stratégiques, leurs ramifications et leurs éventuelles conséquences en cas de crise. C'est l'un des objets de la cartographie des risques qui permet de visualiser les risques les plus critiques et d'identifier les processus impactés. La cartographie aide à concevoir et affiner le plan de continuité d'activité afin d'apporter de la résilience aux processus métiers et aux actifs IT qui les soutiennent.

À cette fin, il est essentiel de combiner une vue processus avec une vue ressources (ressources IT, sites physiques, logistique, matières premières, ressources humaines), à coordonner d'amont en aval via une vision holistique.

Autrement dit, la cartographie a pour fonction de définir les risques auxquels l'entreprise est confrontée et d'apposer les moyens de maîtrise adéquats, en fonction de l'appétence de l'entreprise au risque. Dans tous les cas, l'objectif est d'offrir les capacités d'anticipation nécessaires à l'organisation pour une prise de décision en toute conscience.

Continuité : anticiper, prévenir et guérir

Comme son nom l'indique, un plan de continuité d'activité nécessite d'organiser la résilience de l'organisation autour de plusieurs actions en amont, mais également pour remédier à une crise qui s'est matérialisée. À commencer par l'identification des processus et la hiérarchisation de leur criticité. Les processus critiques sont évidemment ceux sans lesquels l'entreprise ne peut pas fonctionner : ils sont donc généralement coeur de métier, et à traiter en priorité. Les autres processus sont à hiérarchiser en fonction des impacts potentiels de leur arrêt ou détérioration.

Ensuite, il s'agit d'imaginer les méthodes de contournement possibles en cas de dysfonctionnement avéré : outils à utiliser, procédures dites dégradées (mais utiles) à mettre en place immédiatement, etc. Des méthodes capables d'assurer la continuité d'activité qu'il est important de tester régulièrement, pour garantir leur succès en situation réelle. Enfin, le plan de remédiation est également à concevoir en amont selon un scénario précis, afin de réduire au strict minimum le temps d'un retour à la situation nominale.

S'il est vrai qu'on ne peut se préparer et assurer la continuité d'activité que si les risques sont identifiés, ce n'est pas suffisant : une approche holistique est nécessaire. Elle permet d'analyser, anticiper et coordonner, en disposant d'une vue à la fois très fine et globale de l'organisation et de ses vulnérabilités - et donc de la mécanique à mettre en place pour sauvegarder l'entreprise et ses activités.

Pour en savoir plus

Cyril Amblard-Ladurantie est responsable marketing des produits GRC (Gouvernance, Risque & Conformité) chez MEGA International avec plus de 15 ans d'expérience dans le domaine. Avant de rejoindre MEGA, il était manager au sein d'un grand cabinet de conseil (EY), où il accompagnait les entreprises dans leur parcours d'acquisition de solution GRC digitale, depuis l'expression de besoins jusqu'à la conduite de changement.