Présentation
EnglishRÉSUMÉ
Cet article vise à présenter les enjeux liés à l’organisation et à la mise en pratique des plans de continuité d’activité. Il détaille les éléments clés constituant le plan de continuité d’activité (PCA) ainsi que sa déclinaison en contexte de crise en lien avec la norme ISO 22301 – Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences. Sont également exposés les moyens, mais aussi les limites de ce type de dispositif. Enfin, l’article précise via des études de cas issues de situations réelles différents contextes de mise en pratique d’un PCA. Une conclusion évoque enfin les éléments de réflexion prospectif relatifs au PCA.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Nicolas DUFOUR : Docteur en sciences de gestion, - Professeur des universités associé, CNAM LIRSA, - Risk manager secteur assurance, ANTONY France
INTRODUCTION
La continuité d’activité est un enjeux majeur de gestion des organisations. Dans les secteurs réglementés (banque, assurance, pharmacie, par exemple), ce sujet est même une obligation en termes de maîtrise des risques. Dans les autres secteurs, ce sujet devient un enjeu essentiel pour plusieurs raisons : les entreprises confrontées à des interruptions d’activité subissent plusieurs catégories d’impacts. La perte d’exploitation, conséquence financière de l’interruption d’activité, est souvent l’un des enjeux clés d’un plan de continuité d’activité (PCA) nécessitant de prévoir la continuité des processus les plus critiques, mais aussi une reprise d’activité le plus rapidement possible quand la continuité n’est pas garantie. Ce sujet est d’une telle importance qu’en pratique, la notion de résilience est de plus en plus associée au PCA (voir [G 9 068], ). Les autres enjeux clés de la continuité d’activité sont également la maîtrise du risque de réputation et la qualité de service.
Dans certains secteurs, maintenir cette continuité d’activité est aussi une obligation réglementaire pouvant s’apparenter à une défaillance de contrôle des risques en cas de manquement.
Ce sujet n’est pas nouveau en soi ; dès les années 1950, des travaux et réflexions mettaient en avant l’importance de la continuité d’activité au regard des enjeux financiers d’une part et sécuritaires d’autre part, comme l’illustre le cas de l’accident des 24 h du Mans en 1955, se traduisant par une volonté de garantir la poursuite de l’activité après un accident grave . De nombreux autres exemples médiatiques d’organisations et d’entreprises illustrent depuis l’importance du PCA, non seulement pour prévenir et limiter l’impact des cas des crises, mais aussi pour se poser les bonnes questions en matière d’organisation. La continuité d’activité est un processus, soit un ensemble d’activités coordonnées faisant intervenir différentes fonctions de l’organisation avec des objectifs (garantir la continuité d’activité, gérer l’urgence, permettre la reprise d’activité) et des données d’entrée transformées en données de sortie (en général des moyens et actions dédiées à la continuité d’activité telles que l’organisation de plans de secours et de tests réguliers de ces derniers).
Comme tout processus, la continuité d’activité s’organise, se planifie, se teste, s’audite, s’analyse et suppose un suivi via des indicateurs dédiés.
Comme l’évoque ce directeur général adjoint d’une compagnie d’assurance (interviewé en 2018 par l’auteur) : « Bien sûr, s’il y a des crises, nous saurons faire face car nous n’avons pas le choix, mais ce que j’attends du PCA, c’est qu’on soit le plus dans une capacité de faire face, qu’on ne se pose pas toutes les questions le jour d’une crise grave, car il y aura certainement de nombreuses questions à traiter, alors on gagnera du temps. Le PCA, c’est aussi traiter un ensemble de plus courts incidents qui dégradent notre continuité d’activité, comme la panne informatique qu’on doit restreindre en fréquence et en temps d’interruption. N’attendons pas tout du PCA, mais ne croyons pas que l’on peut faire sans au XXIe siècle. » .
Face à ces enjeux, l’objet de cet article est d’envisager la définition et les contours du PCA, ses principes clés, ses moyens, son fonctionnement, mais aussi ses limites et des cas d’usage rendant concret l’enjeu de déploiement d’un PCA.
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Génie industriel > Métier : responsable qualité > Management de la sécurité > Gestion de la continuité d’activité - Structuration et mise en pratique > Limites d’un PCA
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
5. Limites d’un PCA
Cette section expose les limites d’un plan de continuité d’activité ainsi que les manières de faire face à ces limites.
5.1 Limites humaines et organisationnelles
Avant tout, le dispositif de continuité d’activité présente des limites humaines et organisationnelles.
-
Limite humaine
Elle s’entend à la fois au titre du facteur humain et au titre des moyens humains mis en œuvre. Le volet peut être notamment lié au fait qu’en cas de crise, les moyens humains alloués ne sont pas suffisants à la fois en nombre d’équivalent temps plein pour remédier à la situation et revenir à un retour à la normale (limite temporelle faisant que l’entreprise ne peut pas mobiliser les moyens humains suffisamment rapidement ou dispose d’un temps minimum nécessaire pour partager les informations et la prise de décisions aux équipes). Il peut aussi s’agir d’un manque de compétences suffisantes pour permettre cette continuité d’activité ou ce retour à la normale (défaut de compétence lié au contexte du scénario de crise, défaut de compétence lié à l’indisponibilité des ressources). Il peut enfin s’agir de problématiques de prise de décision (décisions incohérentes, absence de décision).
Ce point est illustré par le témoignage de ce responsable PCA d’une ETI lors de la pandémie 2020 : « Notre enjeu n’est pas tellement de disposer de plus d’experts ou de plus de compétences, on est suffisant dans les cellules de crise et sur le sujet, mais notre limite est la gestion du temps et le fait que l’on ne peut pas aller plus vite que cela lors des cellules de crise. Il y a un nombre de décisions à prendre en temps limité et cela relève d’un délai incompressible. »
-
Limite organisationnelle
Elle est aussi un facteur à prendre en compte dans la préparation d’un plan de continuité d’activité. Il faut prendre en compte le fait qu’en temps normal, l’entreprise n’est pas un environnement figé. Il y a de nombreux projets et processus évolutifs. Les projets se traduisent par de nouvelles filiales, de nouveaux sites de production, de nouveaux outils, des équipes s’agrandissant, des départs de collaborateurs. Aussi, il y a un véritable enjeu de maintenir le plan de continuité...
Cet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Limites d’un PCA
BIBLIOGRAPHIE
-
(1) - TENEAU (G.), DUFOUR (N.) - Apport de la résilience comme levier face aux crises complexes. Étude de cas au travers d’une crise complexe dans une mutuelle. - Vie & Sciences de l’Entreprise, n° 208, p. 115-134 (2019).
-
(2) - DARSA (J.-D.), DUFOUR (N.) - Le coût du risque, enjeu majeur pour l’entreprise. - Éditions Gereso (2014).
-
(3) - DUFOUR (N.) - Cellule de crise : Comment concilier communication externe et interne lors d'une cellule de crise ? - Face au risque, n° 545, p. 24-27 (2018).
-
(4) - DUFOUR (N.) - La gestion des risques cyber : de l’assurance à la gestion globale des risques. - Revue Banque & Stratégie, p. 5-7 (2021).
-
(5) - CROS (S.), LOMBARDOT (É.), VRAIE (B.) - Manager sous stress aigu en situation de crise. - Revue française de gestion, n° 282, p. 37-56 (2019).
-
...
DANS NOS BASES DOCUMENTAIRES
NORMES
-
Sécurité et résilience – Systèmes de management de la continuité d'activité – Exigences - ISO 22301:2019 - 2019
ANNEXES
Arrêté du 3 novembre 2014 portant réglementation bancaire imposant la mise en place d’un plan d’urgence et de poursuite d’activité.
Directive Solvabilité 2 du 25 novembre 2009 – Article 44 portant réglementation assurantielle imposant la mise en place d’un dispositif de continuité d’activité.
HAUT DE PAGECet article fait partie de l’offre
Sécurité et gestion des risques
(477 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive