Présentation
EnglishRÉSUMÉ
Cet article vise à présenter les enjeux liés à l’organisation et à la mise en pratique des plans de continuité d’activité. Il détaille les éléments clés constituant le plan de continuité d’activité (PCA) ainsi que sa déclinaison en contexte de crise en lien avec la norme ISO 22301 – Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences. Sont également exposés les moyens, mais aussi les limites de ce type de dispositif. Enfin, l’article précise via des études de cas issues de situations réelles différents contextes de mise en pratique d’un PCA. Une conclusion évoque enfin les éléments de réflexion prospectif relatifs au PCA.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en sciences de gestion, - Professeur des universités associé, CNAM LIRSA, - Risk manager secteur assurance, ANTONY France
INTRODUCTION
La continuité d’activité est un enjeux majeur de gestion des organisations. Dans les secteurs réglementés (banque, assurance, pharmacie, par exemple), ce sujet est même une obligation en termes de maîtrise des risques. Dans les autres secteurs, ce sujet devient un enjeu essentiel pour plusieurs raisons : les entreprises confrontées à des interruptions d’activité subissent plusieurs catégories d’impacts. La perte d’exploitation, conséquence financière de l’interruption d’activité, est souvent l’un des enjeux clés d’un plan de continuité d’activité (PCA) nécessitant de prévoir la continuité des processus les plus critiques, mais aussi une reprise d’activité le plus rapidement possible quand la continuité n’est pas garantie. Ce sujet est d’une telle importance qu’en pratique, la notion de résilience est de plus en plus associée au PCA (voir [G 9 068], ). Les autres enjeux clés de la continuité d’activité sont également la maîtrise du risque de réputation et la qualité de service.
Dans certains secteurs, maintenir cette continuité d’activité est aussi une obligation réglementaire pouvant s’apparenter à une défaillance de contrôle des risques en cas de manquement.
Ce sujet n’est pas nouveau en soi ; dès les années 1950, des travaux et réflexions mettaient en avant l’importance de la continuité d’activité au regard des enjeux financiers d’une part et sécuritaires d’autre part, comme l’illustre le cas de l’accident des 24 h du Mans en 1955, se traduisant par une volonté de garantir la poursuite de l’activité après un accident grave . De nombreux autres exemples médiatiques d’organisations et d’entreprises illustrent depuis l’importance du PCA, non seulement pour prévenir et limiter l’impact des cas des crises, mais aussi pour se poser les bonnes questions en matière d’organisation. La continuité d’activité est un processus, soit un ensemble d’activités coordonnées faisant intervenir différentes fonctions de l’organisation avec des objectifs (garantir la continuité d’activité, gérer l’urgence, permettre la reprise d’activité) et des données d’entrée transformées en données de sortie (en général des moyens et actions dédiées à la continuité d’activité telles que l’organisation de plans de secours et de tests réguliers de ces derniers).
Comme tout processus, la continuité d’activité s’organise, se planifie, se teste, s’audite, s’analyse et suppose un suivi via des indicateurs dédiés.
Comme l’évoque ce directeur général adjoint d’une compagnie d’assurance (interviewé en 2018 par l’auteur) : « Bien sûr, s’il y a des crises, nous saurons faire face car nous n’avons pas le choix, mais ce que j’attends du PCA, c’est qu’on soit le plus dans une capacité de faire face, qu’on ne se pose pas toutes les questions le jour d’une crise grave, car il y aura certainement de nombreuses questions à traiter, alors on gagnera du temps. Le PCA, c’est aussi traiter un ensemble de plus courts incidents qui dégradent notre continuité d’activité, comme la panne informatique qu’on doit restreindre en fréquence et en temps d’interruption. N’attendons pas tout du PCA, mais ne croyons pas que l’on peut faire sans au XXIe siècle. » .
Face à ces enjeux, l’objet de cet article est d’envisager la définition et les contours du PCA, ses principes clés, ses moyens, son fonctionnement, mais aussi ses limites et des cas d’usage rendant concret l’enjeu de déploiement d’un PCA.
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Génie industriel > Métier : responsable qualité > Management de la sécurité > Gestion de la continuité d’activité - Structuration et mise en pratique > Enseignements des différents cas d’usage
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
6. Enseignements des différents cas d’usage
Cette section détaille via un ensemble de cas ayant connu des situations de crises majeures l’apport d’un plan de continuité d’activité. Ces situations ou ces exemples de dispositifs, bien qu’anonymisés, retranscrivent dans des contextes de crise très différents une part des situations vécues dans les organisations, les difficultés rencontrées ou encore les éléments de formalisation utiles dans ces cas.
6.1 Cas d’un centre de services partagés comptables
L’entreprise A, centre de services partagés de 100 collaborateurs, agit comme sous-traitant pour un ensemble d’entreprises sur leurs activités comptables (comptabilité au quotidien, trésorerie par exemple). Les entreprises clientes ont sous-traité à ce centre de services partagés leur comptabilité pour des raisons de compétence et de coût, ainsi que pour faciliter la tenue de leurs activités réputées critiques.
Les activités sont les suivantes : enregistrement des pièces comptables, établissement des comptes annuels, établissement de la liasse fiscale annuelle et des déclarations de résultat correspondantes, établissement des déclarations fiscales, clôtures des comptes trimestriels, émission des règlements (contrôle du bon à payer, mise en paiement, production des prévisions de trésorerie).
Plus généralement, les processus critiques confiés sont les processus d’encaissement et de décaissement, de facturation fournisseurs, de comptabilisation, de gestion de la paie, de fiscalité et de contrôle (comme les rapprochements bancaires).
Sur ces processus considérés comme critiques pour les clients (les conventions avec les clients impliquent une continuité d’activité sur ces actions avec un engagement de reprise sous 24 h en cas d’interruption), l’entreprise A a défini un ensemble de scénarios jugés majeurs avec des mesures de continuité associées définies. Ce point est illustré dans le tableau 12.
HAUT DE PAGE6.2 Cas du déclenchement d’un PCA pandémie – Exemple de crise longue
L’entreprise B est une mutuelle en santé et prévoyance, entreprise de taille intermédiaire de plus de 700 000 clients et de...
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Enseignements des différents cas d’usage
BIBLIOGRAPHIE
-
(1) - TENEAU (G.), DUFOUR (N.) - Apport de la résilience comme levier face aux crises complexes. Étude de cas au travers d’une crise complexe dans une mutuelle. - Vie & Sciences de l’Entreprise, n° 208, p. 115-134 (2019).
-
(2) - DARSA (J.-D.), DUFOUR (N.) - Le coût du risque, enjeu majeur pour l’entreprise. - Éditions Gereso (2014).
-
(3) - DUFOUR (N.) - Cellule de crise : Comment concilier communication externe et interne lors d'une cellule de crise ? - Face au risque, n° 545, p. 24-27 (2018).
-
(4) - DUFOUR (N.) - La gestion des risques cyber : de l’assurance à la gestion globale des risques. - Revue Banque & Stratégie, p. 5-7 (2021).
-
(5) - CROS (S.), LOMBARDOT (É.), VRAIE (B.) - Manager sous stress aigu en situation de crise. - Revue française de gestion, n° 282, p. 37-56 (2019).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Sécurité et résilience – Systèmes de management de la continuité d'activité – Exigences - ISO 22301:2019 - 2019
ANNEXES
Arrêté du 3 novembre 2014 portant réglementation bancaire imposant la mise en place d’un plan d’urgence et de poursuite d’activité.
Directive Solvabilité 2 du 25 novembre 2009 – Article 44 portant réglementation assurantielle imposant la mise en place d’un dispositif de continuité d’activité.
HAUT DE PAGECet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive