• 6 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 12/06/2023

Appréciez les risques qui menacent la continuité de votre activité

Dans le chapitre précédent, vous avez défini vos besoins en continuité d’activité. La Direction générale a validé les activités critiques, et les ressources nécessaires pour qu’elles puissent fonctionner. Voyons maintenant une autre étape essentielle de la démarche : l’appréciation des risques qui pourraient impacter votre entreprise, et en particulier les ressources nécessaires aux activités prioritaires.

À quels risques d’interruption mon entreprise est-elle exposée ?

Vous devez identifier et apprécier les risques d’interruption possibles de vos activités pour y faire face. Leur connaissance permet d’identifier et de documenter les actions possibles pour réduire les risques et connaître vos scénarios de menace les plus impactants face auxquels vous devrez prévoir une réponse.

Appréciez les risques qui menacent votre entreprise  

L’appréciation du risque implique les processus :

  • d’identification des menaces et des vulnérabilités internes et externes ;

  • d’identification de la vraisemblance et de l’impact d’un événement découlant de ces menaces, lié à vos vulnérabilités.

Le processus d’appréciation des risques comporte quatre étapes – en vous focalisant sur les risques qui pourraient interrompre vos activités :

  1. Identification des risques.

  2. Analyse.

  3. Évaluation.

  4. Identification des traitements.

Étape 1 : Identification des risques : constituez un portefeuille de risques d’interruption de vos activités

Le portefeuille de risques peut être totalement spécifique à l’entreprise, mais il paraît en général préférable (plus simple, plus facile à partager…) de recourir à un portefeuille générique, classique, comme par exemple le portefeuille suivant :

  • types de ressources exposées à risques : bâtiment et infrastructure, informatique, RH, outils et flux de production industrielle et de pilotage (ex. : centre de commande), réseaux (transports, énergie, télécoms, eau, électricité), prestataires et fournisseurs critiques (logistique, supply chain), IoT Internet des Objets… ;

  •  Types de risques « majeurs » : naturels (inondation, séisme, aléa climatique), pandémie, accident industriel proche (sites SEVESO, transport de matière dangereuse, installation nucléaire…), cybermenace, mouvements sociaux, terrorisme.

Étape 2 - Analyse : élaborez des « scénarios » de risques

En tenant compte de votre contexte, vous devez décrire concrètement le déroulement des événements et la série des effets conduisant à l’interruption d’activité.

Cette analyse permet de trier effectivement ce qui peut se produire, et donc déterminer les scénarios de risque ayant les conséquences les plus indésirables sur vos activités et les moyens utilisés. 

Par exemple, vous pouvez identifier les scénarios de risques suivants :

  • R1 : Bâtiment impraticable ;

  • R2 : Site informatique indisponible ;

  • R3 : Cyberattaque ;

  • R4 : Fournisseur défaillant ;

  • R5 : Inondation fluviale ;

  • R6 : Indisponibilité massive de ressources humaines ;

  • R7 : Mouvement social ;

  • R8 : Coupure alimentation électrique ;

  • R9 : Coupure physique de fibre ;

  • R10 : Interdiction préfectorale d’accès dans les locaux ;

  • etc.

Étape 3 - Évaluation : déterminez le niveau de criticité des risques

Tout risque présente des conséquences nocives portant notamment sur des moyens qui sont nécessaires à vos activités. Par ailleurs, l’événement perturbateur est plus ou moins vraisemblable : il possède une probabilité de se produire.

Vous devez positionner dans une matrice de risques les scénarios analysés à l’étape 2, avec des jeux de couleurs et de typographie matérialisant des niveaux de criticité ainsi obtenus (par exemple du rouge gras = le plus grave au vert normal = le moins grave).

sur un tableau à deux entrées : risque en ordonnées (faible, modéré, fort, élevé) et probabilité d'occurence en abscisses (faible, modérée, forte, élevée). Chaque risque est placé sur la matrice. Matrice complète disponible en téléchargeme
Matrice des risques

Le document est téléchargeable en version accessible, dans ce document OpenDocument (ODT) dédié.

Vous pourrez ainsi choisir, parmi les risques recensés et cotés, ceux qu'il convient de traiter en priorité, en fonction de leur criticité :

  • à traiter immédiatement (rouge, gras) ;

  • à traiter à court/moyen terme (orange, italique) ;

  • acceptable en l’état (vert, normal).

Vous pourrez ainsi identifier les risques qui nécessitent un traitement urgent. L’objectif premier est de sortir ceux de la zone rouge dès que possible, et de réduire ceux de la zone orange.

Étape 4 – Identification des traitements : Choisissez les mesures de traitement des risques

Vous devez prévoir des actions pour mettre sous contrôle les risques ayant un caractère de criticité élevé. En continuité d’activité, le traitement du risque se distingue par :

  • les actions ou mesures préventives, en amont, pour empêcher la survenance d’un risque. Vous allez limiter les causes de survenance du risque. Les causes pouvant être naturelles, accidentelles ou malveillantes.

Par exemple : vous allez installer les lieux de stockage hors de la zone inondable, acquérir un générateur d’alimentation électrique et son alimentation périodique, redonder les serveurs informatiques, redonder des compétences RH clés… ;

  • Les actions ou mesures réactives, en aval, à prendre en cas de survenance de l’événement perturbateur en limitant les conséquences. 

Par exemple : vous allez prévoir d’activer un secours informatique distant, activer un site de repli pour avoir des positions de travail à distance, mobiliser des moyens palliatifs, etc. ; mais vous devrez vous y préparer dès maintenant pour pouvoir le faire quand le risque se réalisera.

Dans le chapitre suivant, vous allez développer ces traitements et décider d’une stratégie de continuité en confrontant les risques aux exigences des métiers déterminées et validées dans le chapitre précédent.

Pour aller plus vite 

Si vous n'avez que peu de temps pour analyser vos risques, vous devez au minimum être conscient de quelques risques principaux qui pèsent sur votre entreprise, et des actions pratiques susceptibles d’être prises pour pouvoir les mettre sous contrôle.

Il est intéressant de prendre connaissance des données et enseignements disponibles, de la pratique des entreprises proches (confrères, voisins, concurrents …), ainsi que des données disponibles sur les risques auprès des institutionnels (organismes publics, professionnels).

Les dossiers qui peuvent vous aider :

  • le dossier départemental sur les risques majeurs (DDRM) : informations essentielles sur les risques naturels et technologiques majeurs du département ; consultable gratuitement sur le site de la préfecture ; 

  • le dossier d’information communal sur les risques majeurs (DICRIM) : informations sur les risques et les mesures/actions ; consultable en mairie ; 

  • le plan communal de sauvegarde (PCS) pour une commune soumise à un risque ; 

  • les plans de prévention de risques majeurs (PPRM) ;

  • les plans de prévention des risques naturels (PPRN) qui réglementent dans les zones concernées l'utilisation des sols, en fonction des risques naturels existants.

En résumé 

  • L'analyse de risques vous permet d'avoir une vision globale et structurée de vos risques d’interruption, assortie d’un diagnostic partageable.

  • La liste des traitements possibles de ces risques avec des indications de priorités vous permettra de gagner en temps et en efficacité. 

Une fois l'analyse des risques effectuée, vous allez pouvoir déterminer votre stratégie de continuité d'activité. C'est parti ! 

Exemple de certificat de réussite
Exemple de certificat de réussite