Fichier 287

Publications

La continuité d’activité en situation de crise grave

La continuité d’activité en situation de crise grave

Par Mamadou M. Diop, Senior consultant – Business Continuity and Crisis Manager - le 29 avril 2020

Conduite%20activit%c3%a9 resized

Par beau temps, l’esprit humain peine à envisager la possibilité d’un cataclysme. Si certaines grandes organisations disposent d’un système de management intégrant la Gestion des Risques et éventuellement la Gestion de la Continuité d’Activité, beaucoup de structures restent démunies. La pandémie mondiale liée au Covid 19 renforce ce constat. Cette crise sanitaire non envisagée ou estimée peu probable dans l’analyse des scénarios de risques, a mis en difficulté presque toutes les entreprises. Elle démontre déjà l’importance d’une approche plus globale dans la mise en œuvre de la continuité d’activité.

Une difficile prise de conscience

Pour de nombreuses structures, la continuité d’activité n’est pas un sujet. Pourtant, dans une situation dégradée où leurs activités se trouveraient partiellement ou totalement interrompues, un Plan de Continuité d’Activité (PCA) les aiderait à activer rapidement des réponses organisationnelles, techniques et opérationnelles leur permettant de continuer à produire des biens et services tout en assurant la protection de leurs collaborateurs et de leurs actifs.

D’autres entreprises ne font pas de la continuité d’activité un enjeu aussi stratégique que le management de la qualité ou des risques. Dans la mesure où elles peinent à évaluer le ROI d’un investissement dans un Système de Management de la Continuité d’Activité (SMCA), elles considèrent la démarche comme un luxe. De fait, seule la confrontation à une crise grave apporte la preuve que les pertes subies sont souvent plus élevées que le coût d’investissement dans la sécurisation de l’activité.

Les PCA sont élaborés et formalisés dans le cadre de la mise en œuvre d’un Système de Management de la Continuité d’Activité (SMCA) dont les exigences sont décrites par la norme internationale ISO 22301 Sécurité et résilience. Ils sont spécifiques à chaque entreprise, tenant compte de leurs priorités et des exigences de leurs métiers et activités.

Des PCA très focalisés sur les réponses technique

Quant aux entreprises dotées de PCA, elles réalisent, à travers l’expérience de la pandémie actuelle, que leur plan n’anticipait pas suffisamment deux des impacts majeurs de cette crise sanitaire :

  • L’impossibilité physique pour de nombreux collaborateurs de continuer à produire, soit parce qu’ils n’ont plus accès à leur lieu de travail du fait des mesures gouvernementales de confinement, soit parce qu’ils doivent s’arrêter de travailler pour garder leurs enfants, soit parce qu’ils sont touchés par la maladie.
  • La rupture d’approvisionnement de fournitures critiques pour la continuité de l’activité, du fait de la mise à l’arrêt de la production d’un partenaire stratégique localisé à l’autre bout du monde.

Il apparait que les PCA se focalisent souvent sur des solutions de continuité de production purement techniques : mise en place d’infrastructures et de systèmes redondants, de sites de repli... Les PCA négligent deux facteurs tout aussi critiques que les actifs matériels dans une crise majeure : l’humain et les partenariats stratégiques.

Intégrer la gestion de crise et la continuité d’activité dans le système de management global de l’entreprise

Une crise est une situation exceptionnelle. Aussi est-il impossible de tout prévoir. Mais la meilleure arme pour résister en temps de guerre et mieux rebondir en sortie de crise, c’est de se préparer en temps de paix. Comment ? En intégrant la gestion de crise et la continuité d’activité dans le système de management global, en tenant compte des menaces les plus probables pour le business de chaque organisation.

La mise en place et la gestion d’un SMCA relèvent d’une décision de direction générale.

Elles requièrent la nomination d’un pilote : un Responsable Continuité d’Activité disposant des compétences et de la capacité décisionnelle requises.

La méthodologie du SMCA s’inscrit dans la Roue de Deming PDCA (Plan, Do, Check, Act). Il s’agit de :

  • Planifier : définir les objectifs, l’organisation et la politique globale du SMCA.
  • Mettre en œuvre : identifier et prioriser, dans le cadre de l’élaboration d’un BIA (Business Impact Analysis), les éléments jouant un rôle critique dans la chaine de production de biens et services ; évaluer les risques auxquels ils sont exposés et leurs impacts sur l’activité ; définir la stratégie de réponse à chaque scénario de crise ; développer des plans de continuité détaillant les procédures (Qui fait quoi ? Quand ? Comment ?).
  • Vérifier les résultats : organiser des exercices réguliers avec les collaborateurs pour tester l’efficacité et le bon fonctionnement des procédures.
  • Améliorer : optimiser le PCA en fonction du REX des exercices.

 
La crise sanitaire majeure que traverse le monde invite à une approche plus globale de la continuité d’activité dans la phase « mise en œuvre ». Par ailleurs, elle met un coup de projecteur sur une solution de continuité de production qui avait déjà démontré son intérêt lors de la crise sociale de décembre en France : le télétravail.

Anticiper le travail à distance comme solution de repli lorsque cela est possible

Certaines entreprises avaient adopté et organisé le télétravail dans le cadre d’un accord collectif ou d’une Charte avant la pandémie du Covid 19. Beaucoup d’autres, partout dans le monde, l’ont inauguré dans l’urgence avec plus ou moins de difficultés. En effet, le déploiement du télétravail nécessite plusieurs prérequis et des investissements qui, au fil des crises et au regard des défis environnementaux, apparaissent comme de moins en moins perdants :

  • La fourniture d’un ordinateur portable aux salariés concernés,
  • La mise en œuvre d’une solution sécurisée d’accès à distance au système d’information de l’entreprise (VPN sur internet par exemple) ayant une capacité suffisante pour supporter l’ensemble des demandes de connexion,
  • L’existence d’une connectivité internet performante au domicile de tous les salariés concernés,
  • La formation à l’utilisation de la solution mise en place, la fourniture d’un guide d’utilisation et d’un support technique en cas de problème.
  • Préparer la reprise

La reprise des activités ne sera pas du « business as usual », c’est-à-dire un retour au fonctionnement d’avant crise sans changement de méthode. Cette approche parait irréaliste au vu des nombreux impacts de cette crise. Par conséquent beaucoup d’entreprises devront réfléchir à un nouveau modèle de fonctionnement et au plan de transformation associé permettant de l’atteindre progressivement.

Ce nouveau modèle devra s’intéresser à davantage d’éléments critiques pour le business :

  1. La sécurité des personnes : comment assurer la protection des collaborateurs conformément aux obligations de toute entreprise ? Quelles mesures spécifiques d’hygiène, santé, sécurité mettre en place ? Quelles organisations et dispositif de communication prévoir pour diffuser en masse les consignes de prévention et gestes barrière ?
  2. La sécurité de l’environnement de travail : comment protéger les sites stratégiques (siège, datacenter, sites de production, points de vente…) qui hébergent les activités et équipements indispensables à la continuité de l’activité.
  3. La sécurité des partenaires stratégiques et des sous-traitants: comment assurer la continuité de leurs prestations ? Comment limiter la dépendance à un seul fournisseur délocalisé ?

Conclusion

Peu d’organisations avaient, dans leur évaluation des risques, anticipé la crise sanitaire majeure que nous traversons. Cependant « ce qui ne nous tue pas nous rend a priori plus fort » dès lors que nous tirons les bonnes leçons et que nous exploitons les éventuelles opportunités d’amélioration.

Parmi les nombreux retours d’expérience que nous pourrons faire de cette crise à terme, trois enseignements émergent déjà :

  1. Traiter la pandémie comme un événement possible ou même probable dans l’évaluation des risques.
  2. Gérer la continuité de façon plus globale en prenant en compte non seulement les risques liés à la sécurité des actifs (équipements, sites…), la sécurité de l’information mais aussi à la sécurité et sûreté des personnes, ainsi qu’à la perte de partenaires stratégiques.
  3. Prendre en compte les effets pervers de la mondialisation et le risque d’arrêt brutal de l’économie d’un pays hébergeur d’un fournisseur.