Le Plan de Continuité d’Activité : Comment mieux se préparer en vue d’une situation de crise ?

La nécessité pour une organisation de maintenir ses capacités, a minima celles dites “essentielles“, a été mise en exergue par la crise résultant de la pandémie Covid.  C’est précisément l’objet du plan de continuité d’activité (“PCA”). Être prêt, c’est notamment maintenir ses aptitudes à la résilience et ne pas baisser la garde en période d’accalmie. 

Les organisations peuvent régulièrement être confrontées à des situations de crise. Leurs natures et leurs origines sont diverses et semblent d’ailleurs se cumuler actuellement : pandémie, conflits armés, climat, catastrophes naturelles ou industrielles… Ces événements ont pour conséquence une perturbation grave et soudaine du fonctionnement des entités concernées.

Afin de caractériser ces troubles, le terme “ VUCA “ est apparu dans les années 90, dérivé du vocabulaire militaire de l’US Army, et transposé aux contraintes pesant sur toute organisation. L’acronyme signifie : Volatility, Uncertainty, Complexity, Ambiguity (volatilité, incertitude, complexité et ambiguïté).

En termes d’exemple d’analyse prévisionnelle, le rapport annuel du World Economic Forum, traitant des risques mondiaux, met en exergue la prédominance des risques environnementaux. En effet, en matière de classement des risques en fonction de leur gravité, on retrouve dans le TOP 3 : 

• “Climate action failure” (l’échec de l’action climatique) ;
• “Extreme weather” (les conditions météorologiques extrêmes) ;
• “Biodiversity loss” (la perte de la biodiversité). 

A noter : la moitié des risques cités dans le TOP 10 est elle-même de nature environnementale !

Plus que jamais, il est donc impératif d’anticiper des formes plus fréquentes d’instabilité, en faisant preuve de rigueur et de méthodologie. Le PCA constitue un élément de réponse à cette exigence.

Quels sont les objectifs d’un PCA ?

Le PCA peut être mis en place dans tous types d’établissements : ces derniers peuvent aujourd’hui faire le choix de développer cette stratégie de gestion des risques pour assurer et garantir au mieux la continuité de leurs activités. 

Les objectifs visés par cette stratégie consistent essentiellement à :

• Contribuer à la poursuite des objectifs stratégiques de l’organisation ;
• Réduire les risques juridiques et financiers induits ;
• Participer à la protection de l’écosystème avec des parties prenantes en interaction ;
• Renforcer la robustesse des processus internes et la confiance des acteurs.

Pour cela, les entreprises doivent idéalement :

• Connaître parfaitement leur raison d’être et leur fonctionnement ;
• Être conscient des menaces pouvant perturber les activités ;
• Concevoir  un mode de fonctionnement dégradé en s’appuyant, le cas échéant, sur des référentiels ;
• Définir et valider une stratégie par écrit et la tester ;
• Allouer des moyens ;
• Se tenir prêt à une mise en œuvre ;
• Être capable d’évaluer la performance du dispositif ;
• Savoir s'adapter et corriger, si besoin, ses prévisions et ses actions.

Quelles sont les principales étapes de la démarche PCA ?

Première étape : l’Analyse

Être réactif, c’est bien, mais être proactif, c’est mieux ! 

Un temps préalable d’analyse pourra s’inspirer utilement des lignes directrices du processus de management du risque, recommandées par la norme ISO 31 000 :

• Établir le contexte
• Apprécier le risque :l’identifier ; l’analyser ; l’évaluer. 
• Traiter le risque en faisant des choix 

Il sera nécessaire de maîtriser son mode de fonctionnement habituel et de cartographier ses processus. Une réflexion collective sera idéale pour cela, associant les acteurs concernés :

• En imaginant les défaillances potentielles.
• En triant et en priorisant les activités réputées essentielles pour son activité.
• En prévoyant la mobilisation de moyens nécessaires pour assurer la continuité au vu d’objectifs déterminés.
• En intégrant une phase transitoire de retour à la normale.

Il y aura donc une déclinaison entre les objectifs habituels de l’organisation et ceux établis pour une période de crise. Cependant, les valeurs et la raison d’être de l'entreprise ou du service ne seront pas perdues de vue, même en mode dégradé. Les actions décidées devront rester alignées avec ces notions. Ainsi, des écarts pourront être jugés inacceptables, même durant une perturbation. A contrario, une forme de renoncement sera susceptible de concerner certaines activités.

Enfin, et comme pour toute démarche d’amélioration continue, la direction devra fortement s’engager et appuyer la démarche. Les ressources nécessaires en phase d’étude et en phase de déploiement devront être prévues et allouées.

Deuxième étape : la Planification

“Les plans ne sont rien; c'est la planification qui compte.” 

Dwight David Eisenhower

Pour se donner la capacité de résister à une crise, de quelque nature que ce soit, il faut donc se préparer. Les crises majeures récentes (climat, pandémies, conflits armés) peuvent inciter à revoir d’ailleurs les grilles de criticité et leurs facteurs de fréquence, de gravité et de détection.

Les services publics d’urgence, par exemple, sont rompus à ce type d’approche. Elle a même évolué au fil du temps. Ainsi l’acronyme inchangé du fameux plan “ ORSEC “ a vu sa signification modifiée pour refléter ce changement. L’ORganisation des SECours est devenue Organisation de la Réponse de SEcurité Civile. D’un recensement de moyens, on a basculé ainsi vers une véritable doctrine d’emploi.

Il convient donc de planifier, c'est-à-dire d’organiser la protection de son organisation en situation de crise. Cela s’opère en définissant un plan prévoyant des actions ordonnées pour atteindre un but. De cette atteinte dépendra une performance maintenue et préservée de la structure.

Un pilote, chef de projet légitime, sera désigné, tant en phase de projet qu’en phase de mise en œuvre. Dans cette phase ultime, une cellule de crise sera prévue en intégrant d’éventuelles causes d’absentéisme de ses acteurs.

Que l’on soit autonome pour planifier ou bien que l’on se fasse accompagner par une ressource externe, il faut savoir que des outils existent pour organiser la démarche.

Les deux principaux sont :

• La norme volontaire EN ISO 22301 de novembre 2019 “ Sécurité et résilience-Systèmes de management de la continuité d'activité-Exigences “.
• Le guide pour réaliser un PCA du Secrétariat général de la défense et de la sécurité nationale (2013).

Cela ne troublera pas les responsables gestionnaires de risques, bien au contraire : on parlera donc, plutôt que de PCA, de “ SMCA” = “Système de Management de la Continuité d’Activité”.

La norme ISO 22 301 annonce des objectifs clairs dès son intitulé : « Sécurité et résilience » .

Elle définit la continuité d’activité comme “ la capacité d’un organisme à poursuivre la livraison de produits et la fourniture de services dans des délais acceptables à une capacité prédéfinie durant une perturbation. “

La norme couvre méthodologiquement tous les aspects devant être passés en revue pour atteindre l'objectif de continuité. Ses chapitres rappellent ainsi de manière exhaustive les références essentielles, puis les différents points à traiter. Pour cela, le texte s‘appuie sur le cycle « PDCA » de la roue de Deming, appliqué au SMCA. Celui-ci constitue une garantie classique d’une gestion efficace à tous les stades de la démarche.

On notera que le plan blanc des hôpitaux peut s’apparenter à un SMCA, sans nécessairement couvrir la globalité de ses items. Il fait bien face à une situation de crise, à un événement considéré comme exceptionnel, en prévoyant des moyens pour faire face autant que faire se peut.Un SMCA accentue la gestion de crise face à une pénurie de ressources ou à une défection de parties prenantes. 

Troisième étape : le Test

“Un bon plan qu'on peut mettre en œuvre maintenant vaudra toujours mieux qu'un plan parfait qu'on pourra mettre en œuvre la semaine prochaine.”

George S. Patton

La capacité d’adaptation aux situations prévues, mais aussi imprévues, sera un atout prépondérant. Cela passera par un entraînement régulier des équipes concernées et par une capitalisation des retours d’expérience.

Une révision périodique des prévisions sera utile hors temps de crise afin de demeurer opérationnel. Le temps de préparation devra être compatible avec le délai inhérent à la probabilité de survenue d’une crise. Un plan simplifié peut être conçu dans un premier temps, puis être ensuite affiné et complété.

“ Pour réussir, il ne suffit pas de prévoir. Il faut aussi savoir improviser.”
Isaac ASIMOV 

En période de crise, les écarts entre prévisions et réalité seront scrutés pour apporter, si besoin, les corrections nécessaires.

Cependant, le volume de données internes et externes alimentant la réflexion peut vite s’avérer démesuré. Le recours aux solutions de digitalisation et à l’intelligence artificielle sera d’une aide précieuse pour concrétiser un support structuré et fiable d’aide aux décisions.

Ainsi, on parle aujourd’hui davantage de SMCA que de PCA au sein des organisations. La conception d’un SMCA devra absolument privilégier son appropriation et sa maîtrise par toutes les parties prenantes. Rendre un SMCA pleinement opérationnel, c’est donc l’élaborer, le tester et le réviser périodiquement. Les efforts nécessaires et perpétuels d’adaptation illustreront parfaitement cette évolution actuelle d’une notion d’amélioration continue vers une notion, désormais, de “transformation continue “.

En savoir plus:

> Pour aller plus loin dans votre démarche de gestion des risques et d’amélioration continue, découvrez l’application “Cartographie des Risques” disponible sur la BlueMarket.