- Plan de continuité d'activité
-
Plan de continuité
Le Plan de continuité ou « plan de continuité d’activité » (PCA) est à la fois le nom d’un concept, d’une procédure et du document qui la décrit.
Ce plan doit permettre à un groupe (gouvernement, collectivité, institution, entreprise, hôpital..) de fonctionner en mode dégradé, ou en situation de crise majeure.
C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objet est de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une entreprise, d’un gouvernement, d’une institution, d’un groupe…
Ces plans se sont répandus depuis l’attentat du 11 septembre, les attentats de Londres (juillet 2005) ou de Karachi. Les leçons tirées de la catastrophe de Tchernobyl ont également contribué à une profonde révision de certains plans.
Pour un gouvernement, il est essentiel que les secteurs fournissant des services vitaux tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont électricité), le transport en commun, les télécommunications, les banques, etc. soient capables de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services).
Sommaire
Contenu
Il varie selon les plans, mais il intègre généralement ; Les démarches existantes de type « Assurance qualité », dont un état des lieux mis à jour sur les thèmes vitaux incluant la sécurisation des locaux, des ressources vitales (dont informatiques et télécommunication), les plans de protection du personnel (y compris concernant le transport, l’hébergement, les soins qui sont le cas échéant étendu aux familles), les plans d’alerte et de secours, les plans de crise et de reprise d’activité (Cf. résilience) en vigueur, ainsi que la gestion du risque juridique et assuranciel,
- en identifiant les forces et faiblesses, les points critiques
- en les coordonnant et dans la mesure du possible en les testant régulièrement par des exercices appuyés sur des scenarii de crise,
- en communiquant et en associant le personnel aux organigramme fonctionnel (fonctions et moyens prioritaires, remplaçants possibles, solutions alternatives..), aux calendriers d'exercices et bilans, à l’évaluation de la gestion des risques, au choix et au renseignement des indicateurs (reporting). Les plans de formation, plan de communication (interne, externe) peuvent être précédés et accompagnés d’enquête de perception et/ou compréhension des acteurs, de groupe de travail, en s’appuyant sur la formation continue des personnels et parfois des sous-traitants et fournisseurs, voire de la population périphérique à un site sensible (sensibilisation, information, formation, exercices, etc).
- en s’appuyant sur une liste de ce qui est fait et reste à faire (check-list), sur des audits, études de risque, études d'impact,
Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie confidentiel, ce qui peut nuire à son appropriation par une partie du personnel.
- en tenant compte du contexte. Les plans de continuité doivent être assez souples pour s’adapter à différents types de risques et dangers, en tenant compte du contexte local et global (ex ; le risque de tremblement de terre grave est a priori plus élevé en Indonésie qu’en Belgique, mais une entreprise belge ayant une agence importante à Java ou Bornéo doit s’y préparer).
Dans le secteur des services public, il est censé viser l’intérêt général (la question des coûts ne devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés.
Cadre réglementaire
Ces plans sont obligatoires dans certains secteurs (ex : pour le secteur bancaire en Europe, suite à la Réglementation Bale 2, ou pour les sociétés cotées au NYSE, depuis la loi Sarbanes Oxley. Ils sont parfois imposés aux assureurs ou réassureurs, ou sont exigés par certains commanditaires chez leur fournisseurs ou sous-traitants ou parce que leur propre Plan le leur impose. Ils peuvent être imposés par des actionnaires soucieux de protéger leurs fonds.
Certaines primes d’assurance diminuent pour l’entreprise à risque si elle est dotée d’un tel plan, jugé correct par un audit de l’assureur. Des outils normalisés (ISO notamment) peuvent aider à l’amélioration continue de ces plans, mais leur contenu précis, ni la méthode ne sont normés ou précisément définis ;
ni globalement, ni pour un socle commun.Spécificités
Secteurs bancaire et de la Finance
Le Comité de la Réglementation Bancaire et Financière (CRBF) a défini le Plan de continuité d’activité comme un « ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités » .
- Rappels
- Les directives du FMI (28 février 2006) demandaient des plans de continuité basés sur une estimation de l’impact d’une pandémie grippale sur l’Economie et la Finance.
- Le Joint Forum du Comité de Bâle a aussi encouragé les acteurs financiers à se préparer. L’avis du Joint Forum, qui a été créé en 1996 en groupant les organisations internationales se chargeant de produire des standards pour le secteur financier :
-
- le Comité de Bâle sur le contrôle bancaire (BCBS),
- l’Organisation internationale des commissions de valeurs (OICV) et
- l’Association internationale des contrôleurs d’assurance (IAIS).
- En novembre 2004, ces 3 organisations ont demandé au Joint Forum des orientations sur les meilleures pratiques en continuité des affaires qui, publié en février 2005 priorise la stabilité du système financier.
- Au Canada, voir aussi le Guide de planification de la continuité pour les entreprises canadiennes, publié par les Manufacturiers et exportateurs du Canada (MEC) en mars 2006.
Secteur informatique
Article détaillé : Plan de continuité d'activité (informatique).Cas de la grippe aviaire
Avec la mondialisation et les modifications globales de l’environnement, l’augmentation des problèmes nosocomiaux, c’est un risque qui grandit. Les progrès de la génétique rendent le risque de bioterrorisme également plus crédible et grave.
Après l’exemple du SRAS, dans le cadre du risque pandémique lié à la diffusion du virus H5N1, de nombreux plans nationaux demandent aux fournisseurs de services vitaux (alimentation, énergie, services de transport, de télécommunication, de santé, banques, etc. de préparer d’intégrer le risque pandémique dans leurs plans de continuité et de crise, de manière à pouvoir fournir un service minimum malgré un manque de personnel (mort, malade ou absent).
- Le cas du risque sanitaire est particulier
Les plans de continuité (quand ils existent) doivent généralement être adaptés car ils ont été préparés pour des situations de catastrophe naturelle, de guerre, ou d'attentat. Ces risques sont liés à une brusque, mais locale pénurie d’infrastructure et de ressources. (Il suffit alors de déplacer le personnel dans une zone sûre ou sécurisée).
Au contraire, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira ni combien de vagues suivront, ni à quelle intensité.. 30 à 60 % du personnel pourrait localement manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les infrastructures de transport et de communication ne devraient pas être touchées, mais les déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les infrastructures pourraient localement et durant un certain temps faire défaut.
La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pensent que le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau dépend totalement de la fourniture en électricité et du maintien du fonctionnement des télécommunications. Enfin le télétravail demande une infrastructure informatique adaptée, et souvent plusieurs mois de préparation pour être opérationnel.
- En France
Les 4 premiers thèmes traités en 2006 par le MEDEF étaient ;
- Points d’organisation à prendre en compte de façon préventive par les entreprises
- Les masques de protection
- Les mesures de protection
- Les mesures concernant les entreprises situées sur une zone proche d’un foyer viral
Le site du MEDEF (français) propose en 2006 en téléchargement la seconde des 4 brochures ci dessous produites (en anglais) par l’association Trust for America's health (USA)
- Brochure (4p) pour professionnels de la santé (USA)
- Brochure (4p) pour la préparation des entreprises
- Brochure (4p) pour la préparation des communautés religieuses
- Brochure (4p) pour la préparation des individus et familles
L'Agence nationale pour l'amélioration des conditions de travail propose un support de formation pour élaborer son PCA ainsi que des vidéos pédagogiques basée sur une simulation grandeur réelle de travail dans un supermarché dans un contexte de pandémie grippale.
Amélioration continue
Par définition, un plan de continuité ne peut être définitif. Il doit être mis à jour en fonction du contexte et/ou des retours d'expériences et d'exercices (quand les exercices existent, ce qui est recommandé par les gestionnaires de crise). Une certaine standardisations des protocoles de secours se met en place qui semble utile, mais ne doit pas freiner l’innovation et une certaine souplesse nécessaire face à l’imprévu.
Documentation
- Les documents d’aide à la préparation sont surtout anglosaxons.
- Le MEDEF a en France, en 2006, proposé 4 fiches(PDF) d’aide à la préparation des entreprises, qui restent très succinctes, dont l’un inspiré des documents des CDC.
- Livre « Plan de continuité d’activité et système d’information, vers l’entreprise résiliente », de Matthieu Bennasar (consultant en sécurité et enseignant, MBCI et CISM) est consacré à la mise en place et la gestion d’un PCA. (Dunod 2006, prix AFISI 2006)
- Livre « Catastrophe et management - Plans d'urgence et continuité des systèmes d'information », de Daniel Guinier (enseignant en master, consultant en sécurité des SI, CISSP, ISSAP, ISSMP, MBCI), précurseur des PRA/PCA de divers secteurs (Masson 1995).
- Livre "Management de la Continuité d'activité" d'Emmanuel Besluau (consultant en continuité, ECP) indique la marche à suivre, les choix à faire (informatiques ou non) ainsi que les concepts technologiques pour élaborer un Plan et le maintenir à jour (Eyrolles 2008).
L’outil informatique prend une importance croissante. Les consultants lui associent souvent un SIMCA (système d’information du management de la continuité), visant à mettre à jour en temps réel toutes les informations vitales de l’entreprise et éventuellement de son réseau de partenaires proches. L’ordinateur a également contribué à des modélisations et planifications plus complexes, au travail sur la complexité elle-même, ou encore à l’évaluation des dégâts et à la gestion et répartition des responsabilités et taches en situation de crise.
- Livre "Pandémie grippale : quelles réponses des ressources humaines ?" Eric Pouliquen, Willway & associés, supplément n°1406 Semaine Sociale Lamy, 29 juin 2009. La mise en place de plans de continuité d'activité n'a pas pour seule finalité l'actuelle menace de pandémie grippale mais s'inscrit dans un cadre plus globale et doit « devenir un outil de gestion ordinaire pour les entreprises et les organisations ».
Annexes
Notes et références
- ↑ Pour les télécharger, cliquer ici
Articles connexes
- « PCA, PRA : comment les mettre en place » de Matthieu Bennasar, Revue Mag-Securs, No.18, Jan.-Mar. 2008, pp.54-55.
- « Dispositif de gestion de continuité - PRA/PCA : une obligation légale pour certains et un impératif pour tous » de Daniel Guinier, Revue Expertises, No.308, Nov. 2006, pp.390-396.
- « Pandémie grippale : un risque certain, à terme incertain (1ère partie : anticiper le risque) » de Eric Pouliquen (Willway & associés) , Les Cahiers du DRH, n°144, juin 2008.
- « Pandémie grippale : un risque certain, à terme incertain (2ème partie : élaborer le Plan de continuité) » de Eric Pouliquen (Willway & associés), Les Cahiers du DRH No.145, juillet 2008
- « Pandémie grippale : quelles réponses des ressources humaines ?» de Eric Pouliquen (Willway & associés), supplément n°1406 Semaine Sociale Lamy, 29 juin 2009
Liens internes
Liens externes
- Organisation mondiale de la santé (OMS). Grippe aviaire: évaluation du risque de pandémie. Janvier 2005
- Organisation mondiale de la santé (OMS). Plan mondial OMS de préparation à une pandémie de grippe. 2005
- Fonds monétaire international. The Global Economic and Financial Impact of an Avian Flu Pandemic and The Role of The IMF. 28 février 2006
- Ministère de la Santé du Québec. Plan québécois de lutte à une pandémie d’influenza. Mars 2006.
- Banque mondiale. Global Development Finance 2006 : The Development Potential of Surging Capital Flows-Review, Analysis, and Outlook. Pages 36-39.
- Portail de l’économie
Catégories : Management | Cindynique
Wikimedia Foundation. 2010.