Le plan de continuité d’activité (PCA)
La crise du coronavirus a contraint TOUTES les entreprises à adopter des organisations dégradées, typiques de périodes de crise.
Les plus organisées ont alors mis en œuvre leur Plan de Continuité d’Activité. De quoi s’agit-il ?
*********
Le PCA ne doit pas être confondu avec le «plan de continuation d’activité » (qui est du ressort du traitement légal de résolution des difficultés des entreprises), même si l’un peut malheureusement appeler l’autre…
Selon le SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale), un plan de continuité d’activité (PCA) a pour objet de « décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal ».
1 Contenu du PCA :
Un PCA est nécessairement un plan évolutif car les priorités de l’organisation évoluent avec les modifications d’objectifs, d’obligations contractuelles ou réglementaires, de relations avec des partenaires externes (fournisseurs ou clients) et d’appréciation du risque. Il doit être revu régulièrement pour tenir compte de l’évolution de ces paramètres.
Toute personne en charge d’une action relevant d’un PCA doit connaître précisément
son rôle et ce qu’elle doit faire concrètement en cas de sinistre. Elle doit également comprendre la finalité recherchée, afin d’inscrire son action dans la cohérence globale de l’organisation. Cet impératif est un gage de flexibilité et d’efficacité.
La direction doit s’engager très fortement dans l’élaboration du PCA. Le plan ne se délègue pas.
Le plan doit contenir :
Le contexte :
les objectifs et obligations de l’organisation, dont la description se prolonge logiquement par la liste des activités essentielles pour l’atteinte des objectifs et la tenue des obligations, ainsi que par la liste des processus clés, nécessaires au fonctionnement des activités essentielles.
Les risques :
Les risques retenus comme les plus graves pour la continuité d’activité doivent être clairement explicités au moyen de scénarios. Comme on le verra plus loin, il est fortement recommandé de conduire une analyse complète des risques, de façon à disposer d’une grille d’évaluation et de critères objectifs pour décider des priorités. Néanmoins, en l’absence d’une démarche de gestion des risques, une approche par scénarios (par exemple une crue, une pandémie grippale, la destruction d’un site), focalisée sur les conséquences sans décrire les causes, peut suffire à élaborer une première version de PCA simplifié.
La stratégie :
La stratégie de continuité d’activité, établie et décrite en précisant, pour chaque activité essentielle, les niveaux de service retenus et les durées d’interruption maximales admissibles pour ces différents niveaux de service, ainsi que les ressources et procédures permettant d’atteindre les objectifs, en tenant compte des ressources critiques qui peuvent avoir été perdues, jusqu’à la reprise de la situation normale.
Le rôle des différents responsables :
les procédures de mise en œuvre du PCA et les moyens nécessaires doivent être explicités. Les dispositifs préconisés, une fois intégrés dans les moyens et procédures de l’organisation, doivent être précisés et documentés.
Le dispositif de gestion de crise :
Ce dispositif permet de conduire la mise en œuvre du PCA en assurant le pilotage des actions de réponse et de gestion de l’incertitude, à travers les procédures de détection d’incident, de qualification, d’escalade, d’alerte, de mobilisation, d’activation de la cellule de crise, d’anticipation, d’intervention, de déclenchement des dispositions du PCA (solution palliative, mode secours avec fonctionnement dégradé, plan de reprise de l’activité normale) et de communication.
La maintenance opérationnelle du plan.
Cette action essentielle consiste en premier lieu à établir des indicateurs permettant de vérifier et mesurer :
La bonne mise en œuvre des dispositifs préconisés dans le plan.
En amont : l’efficacité du plan au regard des objectifs de continuité.
En aval (durant une crise): les niveaux de service constatés sur les activités essentielles, le fonctionnement des processus spécifiques au PCA et la disponibilité des ressources de secours.
La maintenance opérationnelle consiste ensuite à mettre en place les dispositifs de mesure relatifs à des tests périodiques, à des exercices ou à un sinistre vécu. Elle se traduit enfin par l’identification des axes de progrès et le suivi des améliorations apportées au plan.
2 Méthodologie :
9 étapes doivent être suivies :
1 Bien préciser le contexte et le périmètre du PCA (filiales, sites, activités,..).
2 Identifier les objectifs et obligations de l’organisation dans le périmètre retenu.
3 Formuler des besoins de continuité destinés à faciliter l’atteinte des objectifs et le respect des obligations.
4 Identifier, grâce à l’étude des risques, les scénarios de crise qui justifient une démarche de continuité et définir parmi eux un ordre de priorité.
5 Confronter les besoins de continuité aux scénarios retenus.
6 Concevoir et formaliser une stratégie de continuité (et de reprise de la situation normale) visant à répondre aux scénarios retenus.
Cette stratégie doit résulter de l’optimisation entre d’une part les exigences opérationnelles et leur coût pour respecter les objectifs de continuité, et d’autre part le coût et l’acceptabilité de l’interruption de l’activité (appréciés en fonction de la probabilité de survenue des scénarios).
7 Définir, dans le cadre de la stratégie, les priorités en termes de ressources et de procédures .
8 Définir les rôles des différents responsables pour mettre en œuvre, dans les délais prescrits, les ressources et procédures.
9 Concevoir et décliner les dispositifs de vérification, de contrôle et d’évolutions régulières du plan.
Un plan qui n’est pas testé au préalable « à froid » est sans valeur.
3 Et les assureurs ?
La plupart des documents existants traitent rarement des relations avec les assureurs dans le cas d’étude et de mise en œuvre d’un PCA. Pourtant, les assureurs ou leurs intermédiaires proposent de plus en plus des prestations de conseil.
Conseils en amont
Les assureurs sont des prescripteurs de solutions à mettre en œuvre pour réduire les risques auxquels les entreprises assurées sont exposées. Le PCA fait donc de plus en plus l’objet d’une attention particulière de la part des assureurs car ils y ont un intérêt évident. En effet, une entreprise qui a étudié un PCA est mieux préparée à un événement majeur pouvant impacter gravement son activité. Elle va mettre en œuvre les solutions de maîtrise de la situation, appropriées et dans un délai suffisamment court pour réduire l’impact de l’événement.
Les assureurs vont donc inciter leurs assurés à préparer ce PCA en leur fournissant, éventuellement, les conseils afin de mener cette démarche. L’incitation d’un assureur auprès de son assuré peut aller jusqu’à moduler la tarification qu’il va appliquer à l’entreprise et donc le niveau de cotisation d’assurance.
Les conseils peuvent être donnés par l’ingénieur-prévention de la compagnie d’assurance, lors des visites de risques régulières. L’ingénieur s’attachera, en partenariat avec l’assuré, à identifier et hiérarchiser les vulnérabilités de l’entreprise pour ensuite imaginer des scénarios de sinistre et des réponses possibles à ces situations de crise. Ces conseils peuvent aussi se faire par l’intermédiaire d’une prestation spécifique, éventuellement rémunérée, exécutée par un ingénieur-prévention de la compagnie d’assurance, ou par un expert sollicité par l’assureur pour le compte de l’assuré.
Assistance et intervention en aval
Lorsque l’évènement redouté survient et nécessite d’activer les procédures du PCA, l’assureur va mettre à la disposition de l’entreprise sinistrée différents moyens d’assistance, qui peuvent comprendre :
la participation à la cellule de crise ;
la mise à disposition d’une plateforme téléphonique pour prendre en charge tous les appels extérieurs ;
le conseil pour le choix des entreprises spécialisées dans le nettoyage, la décontamination, le sauvetage des bâtiments et des outils de production ;
le conseil pour le choix de loueurs d’équipements de remplacement ;
l’assistance technique pour définir le programme de reconstitution de l’outil de travail ;
le financement éventuel des moyens spécifiques liés au PCA à condition de valider en amont les solutions mises en œuvre car en principe, ce financement n’entre pas dans le cadre des contrats d’assurance habituels ;
Conclusion : La démarche simplifiée
La démarche simplifiée consiste, partant des effets possibles sur le fonctionnement de l’organisation et en ne s’intéressant qu’aux actions qui permettent de résister au choc, à maintenir les activités essentielles puis à assurer une reprise normale de l’activité.
L’entreprise peut donc commencer très simplement avec un plan tenant sur 2 pages:
-une liste des responsables avec leur téléphone d’urgence
-une vérification effective des moyens d’accès à distance de ses sites
-un inventaire limité de partenaires sur qui s’appuyer
-des messages pré-rédigés
-une sélection de machines, d’opérateurs à privilégier
4 règles à suivre :
Impliquer la Direction Générale ;
Ne pas mettre en danger l’entreprise ;
Opter pour des validations progressives ;
Noter régulièrement les améliorations nécessaires, souhaitables et possibles.
Comment s’organiser ?
Par « temps calme », vous pouvez préparer un PCA avec vos équipes ; un tel plan est source de renforcement de la cohésion et de la productivité.
N’hésitez pas également à mobiliser votre courtier en assurances sur ces sujets qui le concernent au plus haut point.