Vous avez compris, en étudiant le chapitre précédent, l’importance d’assurer la continuité d’activité de votre entreprise face aux risques qui peuvent l’impacter.
Rentrons maintenant en détail dans le monde de la continuité d’activité. Comment se rattache-t-elle à la résilience de votre entreprise et comment se différencie-t-elle de la gestion de crise ? Quelle est la différence entre urgence et crise ? Qu’est-ce qu’un plan de continuité d’activité PCA ? Quelle est la différence entre la reprise d’activité et la continuité d’activité ?
Découvrons tout cela ensemble !
Identifiez ce qui relève de la continuité d’activité
Elle vous donne les outils pour réagir, en conformité avec les réglementations et les normes, aux événements qui peuvent frapper votre entreprise, des plus courants : panne électrique, incendie, problèmes de transport, cyberattaques… aux plus improbables et dévastateurs : tornades, inondations, pandémies…
La norme apporte deux notions importantes :
La notion de gravité qui dépend du type d’événement perturbateur.
La notion de mode de fonctionnement dégradé.
Euh... vous pouvez m'en dire plus ?
La gravité
En analysant le type d'événement qui vient perturber votre fonctionnement, vous allez pouvoir qualifier sa gravité.
Un événement perturbateur courant et non majeur, par exemple un bug informatique ou une élévation de température dans une salle informatique, sera traité dans le cadre du fonctionnement quotidien et non dans le cadre de la continuité d’activité.
Si l’événement perturbateur ne peut pas être maîtrisé ou maîtrisable dans un délai relativement court et risque d’avoir de lourdes conséquences, il rentre alors dans le domaine de la continuité d’activité.
Le mode de fonctionnement dégradé
La reprise d’activité n’est pas instantanée. Elle implique l’activation de solutions et de moyens de secours. Les activités redémarrent progressivement en commençant par les plus prioritaires, avec un nombre réduit de positions de travail et de moyens palliatifs. Il s’ensuit un fonctionnement dégradé des activités prioritaires, qui engendre généralement une réduction de la productivité (nombre d’opérations traitées).
Vous allez découvrir dans le schéma suivant les différentes étapes, à la suite de la survenance d’un événement perturbateur, pour revenir à une situation normale.
Les activités de l’entreprise sont suspendues pendant le temps nécessaire à l'activation des solutions et moyens de secours. Ceux-ci étant opérationnels, l’entreprise fonctionne de manière dégradée.
Découvrez le plan de continuité d’activité, ou PCA
Le PCA est le bras armé de la continuité d’activité. Dans un contexte d'urgence, il importe de faire en sorte que les conséquences des perturbations qui peuvent toucher votre entreprise ne lui soient pas fatales. Le PCA pose donc la question : que faut-il avoir prévu « avant » pour continuer tout ou partie de l’activité « après » la survenance de l’événement ?
Voici sa définition officielle :
Différenciez gestion de crise et PCA
Pour pouvoir différencier gestion de crise et plan de continuité d'activité, je vous propose d'abord de vous attarder sur une autre comparaison : la crise vs l'urgence.
Distinguez l'urgence de la crise
Pour éclaircir ces deux concepts, prenons l’exemple de l’accident aérien du vol 154 de l’US Airways le 15 janvier 2009 au-dessus de New York. L'Airbus A320 après le décollage percute un groupe d’oiseaux. Cela provoque la perte de puissance des réacteurs et oblige le pilote à réagir rapidement.
À ce moment-là, il y a urgence mais il n’y a pas de crise, car un plan/une procédure existe. Il faut atterrir d’urgence. Tout est prévu par la tour de contrôle pour faire atterrir l’avion.
Mais le pilote constate que l’avion vole à une altitude trop basse. Il va s’écraser dans les tours de Manhattan. Le pilote n’a que trois minutes pour réagir. Il décide d'abandonner le plan/la procédure. Il y a crise à présent. N'ayant pas de solution prévue, le pilote conçoit un nouveau plan : l’amerrissage d'urgence sur le fleuve Hudson, face à Manhattan. Le vol a duré cinq minutes huit secondes après son décollage. L'accident n'a fait aucune victime.
Alors, vous voyez mieux la différence entre l'urgence et la crise ?
Lors d'une crise :
le degré d'incertitude de l'événement peut être élevé ;
l'événement peut dépasser les moyens ou la capacité de réponse de l'organisme ;
il n'existe aucun plan adéquat ou approprié pour traiter l'événement, de sorte qu'une approche flexible et dynamique est nécessaire.
La continuité d’activité a pour vocation de réduire les situations de crise en situation d’urgence. Elle anticipe la survenance d’un événement perturbateur en prévoyant et mettant en place un plan de continuité d’activité.
Comment ça se passe, concrètement ?
Suite à la survenance de l’événement perturbateur, la remontée d’alerte et l’analyse de l’événement sont déclenchées.
Prenons l’exemple d’une coupure de l’alimentation électrique d’un data center où aucun plan de continuité n'aurait été prévu. Les groupes électrogènes n’ont pas démarré. Il y a incertitude quant à la reprise de l’alimentation électrique. S'il y a certitude de coupure de l’alimentation électrique supérieure à deux heures, par exemple, ou si après une demi-heure ouvrée d’analyse/intervention, il n’est pas certain de redémarrer en deux heures, vous êtes en crise. Il vous faut établir un plan de continuité d’activité pour pouvoir passer de la crise à l'urgence (et vous perdez donc du temps, car vous n'aviez pas prévu de PCA).
Voici un schéma qui récapitule la différence entre crise et urgence (donc PCA) :
Découvrez des exemples de gestion d'incidents
Un incendie dans des locaux amiantés
Une PME est située dans un immeuble de quatre étages dans le centre de Paris. Des travaux de nuit sur l’alimentation électrique de l’immeuble dans les parkings en sous-sol ont provoqué un incendie vite circonscrit par les pompiers. Malheureusement, la présence d’amiante a été constatée. La préfecture de police a interdit l’accès de l’immeuble et ordonné le désamiantage. Les locaux sont restés inaccessibles pendant six mois.
Quels sont les impacts ?
Un gros impact sur l’image de la marque.
Un retard des travaux.
Du chômage technique.
Un incendie dans une salle hébergeant des batteries dans un data center
Ce grand data center possède deux blocs totalement isolés. Chaque bloc héberge des centaines de salles informatiques. Le data center est très bien géré et possède plusieurs certifications. Un court-circuit s’est produit à la suite d’une erreur humaine dans un local de batteries. Il s’en est suivi un incendie dans la salle. Le court-circuit électrique s’est propagé dans une salle informatique de l’autre bloc, provoquant un autre incendie. Les experts pensent que le courant électrique s’est propagé par le sol, à l’instar de la foudre.
Comme vous pouvez le voir, pour des sinistres ayant la même cause (incendie), ce qui différencie la situation d'urgence à celle de crise, c'est bien ce qui avait été prévu en amont. Et on voit bien qu'avec un plan efficace, on peut rapidement réduire les risques des sinistres.
Différenciez la continuité d’activité de la reprise d’activité
Vous avez probablement déjà entendu ces deux expressions, souvent utilisées l'une pour l'autre ! Alors qu'en est-il ?
Voici deux exemples d'actions liées à la reprise d'activité :
Pour le secours de l’informatique, cela peut consister à reprendre l’activité sur un site dédié. En fonction des délais de reprise d’activité, cela peut correspondre à équiper ce site de secours en matériel, à installer les logiciels, à restaurer les données et à basculer le réseau.
Pour le secours des positions de travail sur un site de repli du personnel, la reprise d’activité consiste à équiper ces locaux de postes de travail, de les mettre à niveau et de se connecter sur le réseau d’entreprise.
En résumé
La continuité d’activité a pour vocation de réduire une situation de crise en situation d'urgence.
Elle ne s’intéresse qu’aux événements perturbateurs non maîtrisables dans un délai défini comme grave.
Le plan de continuité d'activité est l'ensemble des mesures qui permettent de sortir d'une situation d'urgence pour rétablir l'activité au plus vite, souvent en mode dégradé.
Dans le chapitre suivant, je vous propose de découvrir en détail la norme ISO 22301, qui va vous aider à organiser la mise en place de votre PCA !
