Présentation
EnglishRÉSUMÉ
Cet article vise à présenter les enjeux liés à l’organisation et à la mise en pratique des plans de continuité d’activité. Il détaille les éléments clés constituant le plan de continuité d’activité (PCA) ainsi que sa déclinaison en contexte de crise en lien avec la norme ISO 22301 – Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences. Sont également exposés les moyens, mais aussi les limites de ce type de dispositif. Enfin, l’article précise via des études de cas issues de situations réelles différents contextes de mise en pratique d’un PCA. Une conclusion évoque enfin les éléments de réflexion prospectif relatifs au PCA.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en sciences de gestion, - Professeur des universités associé, CNAM LIRSA, - Risk manager secteur assurance, ANTONY France
INTRODUCTION
La continuité d’activité est un enjeux majeur de gestion des organisations. Dans les secteurs réglementés (banque, assurance, pharmacie, par exemple), ce sujet est même une obligation en termes de maîtrise des risques. Dans les autres secteurs, ce sujet devient un enjeu essentiel pour plusieurs raisons : les entreprises confrontées à des interruptions d’activité subissent plusieurs catégories d’impacts. La perte d’exploitation, conséquence financière de l’interruption d’activité, est souvent l’un des enjeux clés d’un plan de continuité d’activité (PCA) nécessitant de prévoir la continuité des processus les plus critiques, mais aussi une reprise d’activité le plus rapidement possible quand la continuité n’est pas garantie. Ce sujet est d’une telle importance qu’en pratique, la notion de résilience est de plus en plus associée au PCA (voir [G 9 068], ). Les autres enjeux clés de la continuité d’activité sont également la maîtrise du risque de réputation et la qualité de service.
Dans certains secteurs, maintenir cette continuité d’activité est aussi une obligation réglementaire pouvant s’apparenter à une défaillance de contrôle des risques en cas de manquement.
Ce sujet n’est pas nouveau en soi ; dès les années 1950, des travaux et réflexions mettaient en avant l’importance de la continuité d’activité au regard des enjeux financiers d’une part et sécuritaires d’autre part, comme l’illustre le cas de l’accident des 24 h du Mans en 1955, se traduisant par une volonté de garantir la poursuite de l’activité après un accident grave . De nombreux autres exemples médiatiques d’organisations et d’entreprises illustrent depuis l’importance du PCA, non seulement pour prévenir et limiter l’impact des cas des crises, mais aussi pour se poser les bonnes questions en matière d’organisation. La continuité d’activité est un processus, soit un ensemble d’activités coordonnées faisant intervenir différentes fonctions de l’organisation avec des objectifs (garantir la continuité d’activité, gérer l’urgence, permettre la reprise d’activité) et des données d’entrée transformées en données de sortie (en général des moyens et actions dédiées à la continuité d’activité telles que l’organisation de plans de secours et de tests réguliers de ces derniers).
Comme tout processus, la continuité d’activité s’organise, se planifie, se teste, s’audite, s’analyse et suppose un suivi via des indicateurs dédiés.
Comme l’évoque ce directeur général adjoint d’une compagnie d’assurance (interviewé en 2018 par l’auteur) : « Bien sûr, s’il y a des crises, nous saurons faire face car nous n’avons pas le choix, mais ce que j’attends du PCA, c’est qu’on soit le plus dans une capacité de faire face, qu’on ne se pose pas toutes les questions le jour d’une crise grave, car il y aura certainement de nombreuses questions à traiter, alors on gagnera du temps. Le PCA, c’est aussi traiter un ensemble de plus courts incidents qui dégradent notre continuité d’activité, comme la panne informatique qu’on doit restreindre en fréquence et en temps d’interruption. N’attendons pas tout du PCA, mais ne croyons pas que l’on peut faire sans au XXIe siècle. » .
Face à ces enjeux, l’objet de cet article est d’envisager la définition et les contours du PCA, ses principes clés, ses moyens, son fonctionnement, mais aussi ses limites et des cas d’usage rendant concret l’enjeu de déploiement d’un PCA.
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Génie industriel > Métier : responsable qualité > Management de la sécurité > Gestion de la continuité d’activité - Structuration et mise en pratique > Fonctionnement et gouvernance d’un PCA
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
4. Fonctionnement et gouvernance d’un PCA
Cette section détaille les enjeux de gouvernance de la continuité d’activité et se réfère notamment aux enjeux de responsabilité dans la prise de décision ; sont également abordées les politiques et comités dédiés.
4.1 Politique de continuité d’activité
La politique de continuité d’activité a pour objectif de définir l’organisation et les grandes orientations de l’entreprise en matière de continuité d’activité. Elle s’appuie souvent en pratique sur la définition de plusieurs rôles tels que :
-
le rôle de la gouvernance d’entreprise (direction générale, conseil d’administration) dans la validation des mesures de continuité d’activité et de gestion de crise ;
-
le rôle des directions métiers de l’entreprise dans la définition des mesures opérationnelles à mettre en œuvre et à adapter en cas de crise ;
-
le rôle du responsable de la continuité d’activité, comme coordinateur et garant du dispositif de continuité d’activité, en appui des directions métiers de l’entreprise ;
-
le rôle du comité en charge de la continuité d’activité (comité d’audit, comité des risques, comité dédié à ce sujet selon les organisations).
Exemple issu d’une politique de continuité d’activité d’une entreprise de taille intermédiaire détaillant les orientations prises par cette entité dans sa politique
Le comité exécutif assurance est informé chaque année du résultat du test annuel du PCA et du PRI. Les directions métiers et le comité exécutif assurance sont pleinement informés et parties prenantes des cellules de crise ouvertes au sein de la mutuelle.
Un comité de fonctions clés permet un échange entre chaque fonction clé et la direction générale sur l’effectivité du PCA et les thématiques de continuité d’activité.
Un suivi des risques de continuité d’activité est établi dans le cadre de l’appétence aux risques, conformément à la politique de gestion des risques.
-
Rôle du comité des risques : il est informé de toute alerte relative à la continuité...
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Fonctionnement et gouvernance d’un PCA
BIBLIOGRAPHIE
-
(1) - TENEAU (G.), DUFOUR (N.) - Apport de la résilience comme levier face aux crises complexes. Étude de cas au travers d’une crise complexe dans une mutuelle. - Vie & Sciences de l’Entreprise, n° 208, p. 115-134 (2019).
-
(2) - DARSA (J.-D.), DUFOUR (N.) - Le coût du risque, enjeu majeur pour l’entreprise. - Éditions Gereso (2014).
-
(3) - DUFOUR (N.) - Cellule de crise : Comment concilier communication externe et interne lors d'une cellule de crise ? - Face au risque, n° 545, p. 24-27 (2018).
-
(4) - DUFOUR (N.) - La gestion des risques cyber : de l’assurance à la gestion globale des risques. - Revue Banque & Stratégie, p. 5-7 (2021).
-
(5) - CROS (S.), LOMBARDOT (É.), VRAIE (B.) - Manager sous stress aigu en situation de crise. - Revue française de gestion, n° 282, p. 37-56 (2019).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Sécurité et résilience – Systèmes de management de la continuité d'activité – Exigences - ISO 22301:2019 - 2019
ANNEXES
Arrêté du 3 novembre 2014 portant réglementation bancaire imposant la mise en place d’un plan d’urgence et de poursuite d’activité.
Directive Solvabilité 2 du 25 novembre 2009 – Article 44 portant réglementation assurantielle imposant la mise en place d’un dispositif de continuité d’activité.
HAUT DE PAGECet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive