top of page

La sensibilité vis-à-vis de la continuité d'activité s'est essentiellement développée au cours de ces toutes dernières décennies, mais demeure encore à ce jour abordée parfois de façon marginale, voire comme un besoin non prioritaire.

Pourtant, la succession des crises parfois avec un rythme ininterrompu au cours de cette dernière décennie, et notamment les impacts de la pandémie de Covid-19, ont fait progressivement prendre conscience dans les diverses organisations de la nécessité de garantir sa continuité d'activité. A la fois considérée comme l'assurance de la pérennité des entreprises, mais aussi dans une mesure pouvant être comparable pour les collectivités comme le gage de la poursuite du service public, la prise en compte des attentes clients ou des citoyens peut incarner au fil du temps une dimension stratégique qui revêt de plus en plus d'importance.

Si au prime abord le sujet peut sembler complexe et les efforts consentis difficiles à appréhender, voire conséquents, la conception d'un système de management de la continuité d'activité n'est en vérité pas si difficile que cela, dès lors que l'on aborde les choses dans leur globalité avec méthode et en suivant un processus spécifique.

Approche holistique de la continuité d'activité

Selon le secrétariat général de la défense et de la sécurité nationale (SGDSN), auteur d'un guide spécifique sur le sujet de la continuité d'activité, les réflexions dans ce domaine ont commencé à apparaître au cours de la seconde partie du 20ème siècle aux États-Unis. Tout d'abord limité à certains secteurs stratégiques, puis industriels et plus tard du tertiaire, le concept a progressivement pris de l'importance pour s'étendre désormais à la notion de résilience des organisations.

Initialement focalisée sur la préservation des outils technologiques de gestion en donnant par exemple naissance à la notion de plan de secours informatique, la thématique s'est plus largement répandue pour s'orienter dorénavant de manière plus globale vers la conception du plan de continuité d'activité, où "l'activité" est dès lors considérée dans sa plénitude, quelle que soient les produits et services qui sont développés.

Cadre règlementaire

Face à la succession des crises et en raison de l'évolution de certains risques mis en évidence après notamment les attentats du 11 septembre 2001 aux États-Unis, un cadre règlementaire a progressivement été élaboré.

C'est tout particulièrement le cas en France pour certaines administrations et entreprises publiques ou privées ayant des activités dont le fonctionnement a été identifié par l'État comme étant indispensable à la vie de la Nation. Cette notion a été introduite dans le droit par la loi de programmation militaire en 2013, donnant lieu à la prise en compte des opérateurs d'importance vitale (OIV).

Près de 250 OIV sont recensés et exercent dans une douzaine de secteurs comme :

  • ceux liés à l'humain (alimentation, gestion de l'eau, santé) ;

  • les activités civiles, militaires et judiciaires de l'État ;

  • les secteurs économiques de l'énergie, de la finance et des transports ;

  • ou encore de la technologie concernant les télécommunications, l'audiovisuel, l'industrie, l'espace et la recherche.

 

Dans cette dynamique, un besoin de normalisation s'est également imposé au plan international. Il a pris forme au travers de la norme ISO-22301 dont la première version est parue en 2012, puis a fait l'objet d'une seconde édition mise à jour en 2019.

Selon les termes de cette norme, la continuité d'activité se caractérise comme "la capacité d'un organisme à poursuivre la livraison de produits et la fourniture de services dans des délais acceptables, à une capacité prédéfinie, durant une perturbation". Le plan de continuité d'activité se définit quant à lui comme des "informations documentées servant de guide à un organisme pour répondre à une perturbation et reprendre, rétablir et restaurer la livraison de produits et la fourniture de services en cohérence avec ses objectifs de continuité d’activité".

Association de la continuité d'activité aux concepts de résilience et de gestion de crise

La résilience dans ce contexte peut se définir comme la capacité d'une organisation à faire face et à se rétablir après une perturbation. On comprend alors aisément le lien qui permet de définir la continuité d'activité dans une démarche holistique qui a pour finalité de construire et de renforcer la résilience de l'organisation concernée.

Selon le SGDSN, il convient de ne pas limiter la poursuite de la livraison de produits et la fourniture de services au seul plan de continuité d'activité. En cas de crise, l'entreprise ou la collectivité s'appuiera en effet sur sa capacité à avoir pu planifier la conduite des opérations, grâce notamment aux actions de prévention et à la préparation qu'elle aura pu développer auparavant. La réponse qu'elle pourra apporter dans le cadre de sa gestion de la crise sera ainsi de nature à contrebalancer les effets de la perturbation, voire de l'interruption de son activité. En s'appuyant sur les procédures préalablement établies, elle pourra alors se focaliser sur les activités identifiées comme étant prioritaires et indispensables à sa pérennité.

Cela reprend pleinement la dimension du concept de résilience qui se caractérise comme la faculté pour l'organisation, grâce à la mise en œuvre de son PCA, d'assurer sa durabilité en situation de crise.

Par ce dispositif qui s'inscrit dans son système global de continuité d'activité, l'organisation pourra engager une conduite des opérations qui devra nécessairement s'appuyer sur deux composantes importantes :

  • L'anticipation qui permet de lutter contre les phénomènes perturbateurs qui sont le temps et l'effet de sidération. Les délais de reprise d'activité peuvent être déterminants et mettre en péril la raison d'être de l'entreprise ou de la collectivité. La dimension psychologique face à un évènement majeur peut sérieusement nuire à la capacité de réponse et à la faculté de prendre des décisions. Le format de la préparation engagée au sein de l'organisation, au travers de sa planification, mais aussi de la formation qui aura été associée, sera de nature à limiter les effets sur le facteur humain.

  • L'agilité qui s'avère indispensable dans l'activation et la mise en œuvre du PCA, afin de conserver tout le caractère indispensable de pouvoir décider dans l'incertitude et en situation de rupture dans la structure.

 

Partant de ces constats, le PCA doit alors être conçu comme un outil d'aide à la décision qui donnera toute sa place à la faculté d'adaptation, allant bien au-delà d'une seule application des procédures figées et peut-être inadaptées ou insuffisantes.

Concevoir son système de management en continuité d'activité

Comme cela a pu être démontré auparavant, la continuité d'activité ne doit pas se résoudre à une simple application d'un plan qui, s'il ne prend pas en considération les paramètres actualisés inhérents à l'évènement, sera irrémédiablement superfétatoire face aux besoins pour la gestion de la crise. Ainsi, il est indispensable d'élaborer et de mettre en place un système de management spécifique en continuité d'activité.

Pour rendre le management en continuité d'activité efficient, certains fondamentaux doivent être pris en considération, comme :

  • Identifier les produits et les services, les activités et les ressources de l'organisation ;

  • Déterminer les besoins de continuité de l'organisation, ainsi que les délais de reprise lors d'une perturbation ;

  • Comprendre le risque et l'impact d'une perturbation ;

  • Déterminer les modalités de traitement du risque d'interruption ;

  • S'assurer que les mesures prévues sont régulièrement mises à jour, afin de demeurer efficaces dans le temps.

 

Partant de ces considérations, plusieurs grandes étapes sont nécessaires à la conception du système de management de la continuité d'activité.

En premier lieu, pour que le dispositif atteigne sa pleine efficacité, la démarche doit être clairement portée par le gouvernance et partagée avec l'ensemble des acteurs de l'établissement. L'élaboration et la mise en œuvre du dispositif rentrent pleinement dans la dimension donnée à la stratégie d'entreprise, avec une adhésion des responsables et une information du personnel. Selon la structure concernée, sa configuration et ses ressources, le chef d'établissement prendra soin de désigner l'équipe de continuité d'activité et parfois même si nécessaire de nommer un responsable PCA.

Le processus global de conception du système de management en continuité d'activité permettra de prendre en considération les fondamentaux présentés ci-dessus. Bien qu'il ne soit pas tous développés dans cette description, il peut être utile de s'arrêter sur certains aspects.

Détermination des besoins de continuité

Il s'agit d'une étape incontournable qui aura fait l'objet au préalable d'une identification des produits et services, des activités et des ressources de l'entreprise ou de la collectivité.

C'est sur cette base que reposera l'analyse qui conduira à identifier les impacts, à les évaluer et à mettre en évidence les besoins de continuité. Le principal outil d'analyse employé à ce stade est le "Business Impact Analysis" (BIA) qui peut aussi se traduire en bilan d'impact sur l'activité. Cela revient à examiner les conséquences d'une perturbation sur l'organisation, en faisant abstraction de ses causes.

L'usage d'un référentiel commun devient alors utile, afin d'harmoniser la démarche d'analyse à l'échelle de l'organisation. Ainsi, les principaux retentissements communément pris en considération portent sur :

  • L'impact financier qui engendre par exemple un manque à gagner, des pénalités de retard, des amendes, des pertes de trésorerie ;

  • L'impact juridique qui pourrait déboucher notamment sur des contentieux, une mise en cause de la responsabilité pénale, un retrait de licence ;

  • L'impact sur l'image en portant atteinte à la réputation de l'organisation, en suscitant une perte de confiance ;

  • L'impact opérationnel qui pourrait se traduire en désorganisation durable ;

  • L'impact sur les clients ou les citoyens en cas de rupture d'approvisionnement ou de fourniture de services.

 

Ces effets ne sont pas exhaustifs et leur détermination doit être définie au sein de l'organisation dans son ensemble. Selon les besoins ou en raison de la sensibilité, d'autres impacts pourront être mis en évidence (ex. : humains, emplois, relations internes). Toutefois, afin de rendre l'analyse pertinente et adaptée, il est nécessaire de se focaliser sur les principales conséquences, sans se perdre dans une étude trop large.

La déclinaison de cet inventaire est de définir le niveau des impacts en utilisant une échelle de gravité. Celle-ci est communément graduée sur une échelle composée de quatre ou cinq crans en allant d'un niveau faible à celui de catastrophique. Cette évaluation vient dès lors alimenter la matrice du BIA. Cette évaluation et l'analyse qui en découle sont réalisées au sein de l'organisation en impliquant les acteurs concernés représentants les différentes fonctions métiers.

En complément, un indicateur incontournable doit être évalué : il s'agit du Délai Maximal d'Interruption Acceptable (DMIA). Ce DMIA est défini en tenant compte du temps au-delà duquel la perturbation engendre des conséquences inacceptables au sein de l'entreprise ou de la collectivité, voire mettent en péril sa pérennité. Ce DMIA vient à son tour compléter la matrice du BIA. Le DMIA peut être évalué en heures ou en jours, selon les cas. Il n'y a pas de contrainte particulière, il est avant tout nécessaire de formuler le DMIA afin qu'il demeure cohérent avec la configuration de l'établissement.

Dans certains cas, il peut être nécessaire de remplacer le DMIA par un indicateur de Perte Maximale de Données Tolérable (PMDT). Cet indicateur est utile en cas de menaces pouvant provoquer des pertes de données informatiques. Dans ce cas, on prend en considération le délai écoulé entre la survenue de la perturbation et le moment de la dernière sauvegarde informatique permettant une restauration des données antérieures.

PCA - Matrice du BIA

L'élaboration de la matrice BIA qui prend en compte la détermination du DMIA et du PMDT le cas échéant pour l'ensemble des produits et des services, permet ensuite de définir les besoins de continuité. En définitive, la gravité des impacts est déterminée en prenant comme référence l'instant où le DMIA ou le PMDT est franchit. C'est cette démarche qui permet d'identifier les produits et les services qui sont prioritaires. Les arbitrages quant au choix des seuils d'impacts inacceptables doivent être réalisés par la direction de l'établissement. Dans la suite de cette analyse, la dernière opération consiste à déterminer pour chacun des produits et des services, les activités propres qui sont prioritaires. On pourra ensuite décliner cela en ordre chronologique de reprise d'activité.

PCA - Activités prioritaires

Evaluation des risques

Dans la continuité de la démarche précédente, il s'agit de réaliser l'évaluation des risques après les avoir identifiés, puis analysés :

  • Risques naturels (ex. : inondations, tempêtes, sécheresse, feux de forêts) ;

  • Risques technologiques (ex. : incendies ou explosions sur son propre site, sinistre sur un site proche ayant des répercussions aux alentours) ;

  • Risque sanitaire (ex. : épidémie, pandémie) ;

  • Risques d'origine humaine (ex. : cyberattaques, actions violentes, malveillances, conflits sociaux) ;

  • Risques liés à la chaîne d'approvisionnement (ex. : indisponibilité des matières premières, ruptures de stockes, retards) ;

  • Risques lié au personnel (ex. : indisponibilité des dirigeants, compétences spécifiques, recrutements).

 

Ces choix font également l'objet d'un arbitrage de la direction. Il peut être pertinent par exemple de mettre l'accent uniquement sur certains risques majorants, étant convenu qu'en règle générale une part restreinte d'entre eux peut en réalité déboucher sur la plus forte proportion des conséquences. Cela permet de traduire la règle dite de "Pareto" qui convient que 20% des risques génèrent 80% de la criticité au sein de l'entreprise ou de la collectivité.

Pour réaliser l'analyse des risques, il est commun de prendre en considération des scénarios qui représentent l'enchaînement probable des évènements et leurs effets sur les ressources comme les infrastructures, le personnel, les systèmes d'information et de gestion, les fournisseurs, etc. A ce niveau de l'étude, il ne s'agit pas de chercher à être exhaustif, mais plutôt de déceler les scénarios types qui peuvent s'appuyer sur les cas les plus probables et/ou les plus majorants.

La criticité du risques sera ensuite déterminée en prenant en considération une vraisemblance de survenue et une gravité potentielle. Cette méthode qualitative est privilégiée à une estimation statistique et chiffrée du risques qui implique d'avoir un recul sur la survenue d'évènements passés et de disposer de données chiffrées les concernant. L'évaluation des risques est là aussi réalisée à partir d'une matrice qui permettant de faire ressortir un niveau d'importance et ainsi d'opérer des choix de hiérarchisation.

Pour conclure cette partie relative à la conception de son système de management en continuité d'activité, on peut retenir que le BIA concerne les conséquences des perturbations, en faisant abstraction de leurs causes. Il permet également de déterminer les priorités de reprise d'activité. L'appréciation du risque, quant à elle, concerne les causes des perturbations pouvant nuire à l'organisation afin de les traiter pour réduire les vulnérabilités. Ces deux approches sont pleinement complémentaires et liées.

Organiser la continuité d'activité

L'organisation de la continuité d'activité repose sur deux approches complémentaires et souvent indissociables :

  • Traiter la survenue d'un risque par la prévention ;

  • Traiter les conséquences d'un risque pour assurer la continuité d'activité.

 

D'une part, ayant identifié les risques auxquels l'organisation peut être confrontée, il s'agit de traiter ceux qui peuvent être réduits en amont. En effet, la part donnée à la prévention sera déterminante afin de limiter l'occurrence d'un sinistre ou tout au moins d'en limiter les conséquences par des mesures adaptées.

D'autre part, lorsqu'un risque survient et qu'il entraîne des perturbations pour l'établissement, les mesures conçues dans le cadre du PCA sont de nature à en limiter les effets et à faciliter la repise d'activité.

En définitive, pour mettre en œuvre pleinement ces postures, plusieurs stratégies peuvent être adoptées :

  • Stratégie d'élimination complète d'un risque en ne maintenant pas ou en ne commençant pas une activité par exemple, en faisant évoluer l'organisation du travail ou du mode de production, voire en délocalisant l'activité ou en changeant de locaux afin d'être moins exposé.

  • Stratégie de transfert d'un risque vers un autre secteur plus à même de le maîtriser (ex. : sous-traitance, faire supporter les conséquences à une tierce partie comme en contractant une assurance).

  • Stratégie d'acceptation d'un risque, notamment si son niveau de criticité est faible ou qu'il n'existe aucune solution de contournement.

  • Stratégie de diminution, généralement la plus courante et souvent adaptée à une grande proportions de risques.

 

Par déclinaison de ces choix stratégiques, l'établissement s'orientera vers des solutions préventives visant à s'opposer à la survenue d'un risque et/ou à diminuer ses occurrences par des actions sur les infrastructures, sur les systèmes d'information, sur les approvisionnements et les fournisseurs, de même que sur les ressources humaines.

Lorsque le risque s'accomplit, des solutions curatives s'imposeront afin de limiter son ampleur et les effets qui en résulte. Dans ce cas, les priorités déterminées dans le PCA serviront d'aide à la décision dans la conduite de la crise.

Préparation à la continuité d'activité

D'une manière générale, la préparation à toute gestion de situation de crise repose sur la préparation et sur la mise en œuvre des plans conçus à cet effet. L'élaboration d'un plan de continuité d'activité n'échappe pas à cette règle. Face à une situation d'urgence, l'activation des mesures d'aide à la décision du PCA facilitera les choix de déploiement des moyens nécessaires à la résolution de la crise.

Dès lors que le PCA aura été élaboré, une nécessaire démarche d'information et de sensibilisation auprès du personnel s'impose. Celle-ci devra être complétée par des actions de formation, notamment à destination des acteurs et de l'équipe PCA, de manière à ce qu'ils ne se trouvent pas pris au dépourvu en cas de nécessité. Ces actions de formation reposent sur une appropriations des composantes du PCA, comme sur des mises en situation régulières permettant d'exercer le dispositif et de faire émerger les besoins d'ajustement nécessaires.

Inscrit dans une démarche d'amélioration continue, le système de management en continuité d'activité repose dans sa globalité sur les principes suivants :

  1. Planifier en réalisant l'analyse et l'évaluation des risques, en définissant les activité prioritaires et les conditions de reprise d'activité ;

  2. Développer le dispositif en réalisant les actions indispensables à la réalisation des objectifs stratégiques issus du PCA et en déployant les actions de formation ;

  3. Contrôler l'efficacité du dispositif, notamment au travers des exercices d'activation du PCA et des revues internes d'inspection ;

  4. Ajuster, sur la base des retours d'expérience (RETEX), en adaptant ou en modifiant les mesures inadaptées ou insuffisantes.

bottom of page