De tout temps, notre société a dû affronter des crises. Cependant, depuis une vingtaine d’années, la nature et la fréquence de ces crises ont évolué, et leur coût n’a cessé d’augmenter. Qu’elles soient financières, environnementales, climatiques, les crises se succèdent, souvent
s’imbriquent. Elles perturbent parfois fortement le fonctionnement des organisations publiques comme des entreprises privées. S’il est impossible de prévoir et de maîtriser toutes les situations pouvant se présenter, il est impératif de concevoir des stratégies et de mettre en place des mécanismes de prévention et de protection. L’objectif est de limiter l’impact que pourront avoir certains événements sur une organisation. Le plan de continuité d’activité a été créé pour répondre à ces besoins.
Sommaire
Qu’est-ce qu’un plan de continuité d’activité ?
Un plan de continuité d’activité ou PCA d’une entreprise ou d’une organisation va permettre de répertorier l’ensemble des événements pouvant menacer son activité. Il va également permettre de définir les mesures et les processus de prévention et de protection à mettre en place pour éliminer ces menaces ou tout au moins réduire leur impact.
Les menaces potentielles vont être identifiées. Il peut s’agir d’une panne d’électricité, d’un incendie, d’une catastrophe naturelle, d’une cyberattaque ou encore d’une pandémie. Leurs impacts sur l’activité de l’entreprise si elles se concrétisaient vont être estimés. À partir de ces informations, une stratégie va être mise en place pour chaque menace. L’objectif est de fournir des réponses précises et efficaces pour éviter ou gérer un sinistre. L’organisation doit pouvoir répondre à ses obligations et continuer de fournir ses services quoi qu’il arrive. Dans le cas contraire, l’entreprise peut aller jusqu’à jouer sa survie.
Pourquoi mettre en place un plan de continuité d’activité ?
La plupart des crises ou des incidents graves surviennent sans prévenir. Il n’est donc pas toujours possible de les anticiper.
En préparant votre organisation ou votre entreprise grâce au PCA, vous réduisez les risques face à la menace :
- Risque financier : charges supplémentaires, réduction de production, perte de revenus…
- Risque commercial : perte de clients, de partenaires, de fournisseurs…
- Risque social : perte de confiance de vos clients, fournisseurs, partenaires… et même de vos salariés.
- Risque juridique : sanctions administratives, financières ou pénales en lien avec l’interruption de service.
Comment élaborer un plan de continuité d’activité ?
Les risques vont être identifiés et hiérarchisés en fonction de la gravité de leurs effets et des chances qu’un incident majeur survienne. Les stratégies à mettre en œuvre vont être décrites précisément. Les processus décrits auront trois objectifs :
- Surmonter l’incident.
- Assurer la reprise de l’activité.
- Revenir à une situation normale.
Pour y parvenir, la conception du PCA va passer par différentes phases.
1- Définition du contexte
Cette première phase a pour objectif de décrire les objectifs et les obligations de l’organisation ou de l’entreprise. En découleront naturellement une liste des activités essentielles et des processus indispensables à protéger.
2- Identification des risques les plus graves
Chaque risque ayant un impact fort va être décrit. Chacun fera l’objet d’un ou plusieurs scénarios et leurs conséquences seront détaillées.
À ce stade, vous disposez d’un PCA simplifié.
3- Mise au point de la stratégie de continuité d’activité
À chaque activité essentielle va correspondre une stratégie permettant d’éviter ou de réduire au minimum les interruptions de service. Les ressources, procédures et processus vont être décrits afin d’atteindre les objectifs fixés, jusqu’à la reprise normale de l’activité.
4- Définition des rôles des différents responsables
La façon dont les procédures décrites dans le PCA vont être mises en œuvre et les responsables de ces dispositifs vont être clairement identifiés.
5- Définition du dispositif de gestion de crise
La mise en œuvre du PCA nécessite un pilotage efficace. Les procédures d’anticipation et de détection des incidents, d’alerte, d’activation d’une cellule de crise, de déclenchement des interventions et de communication sont explicitées.
6- Mise en place de la maintenance opérationnelle du PCA
Un plan de continuité d’activité n’a de valeur que si l’organisation ou l’entreprise qui le met en place dispose d’outils de mesure et d’indicateurs. Ils permettent de vérifier que les dispositifs décrits dans le PCA sont correctement mis en œuvre et que toutes les ressources nécessaires à la gestion d’une crise sont disponibles.
Des mesures et des tests périodiques doivent être mis en place. Ils permettent de régulièrement faire évoluer le PCA, de l’adapter à de nouvelles données ou situations, de l’améliorer. Le plan de continuité d’activité reste donc en phase avec les objectifs fixés.
Un exemple de plan de continuité d’activité
Prenons par exemple une entreprise qui produit des pièces mécaniques pour le secteur automobile et essayons de déterminer ce qu’il pourrait y avoir dans son PCA. Naturellement, il ne s’agira pas ici d’un PCA complet ou exhaustif, mais nous essaierons de choisir des exemples suffisamment parlants.
Contexte lié à l’entreprise
L’entreprise fabrique des pièces mécaniques destinées à la construction de moteurs pour le secteur automobile et assure également l’intégration de composants électroniques au sein de dispositifs mécaniques (capteurs de vitesse, de pression, de position…). Beaucoup d’opérations sont réalisées par des robots, desservis en pièces par des tapis roulants et par des opérateurs humains. L’ensemble des opérations, depuis la gestion des stocks et des commandes jusqu’au pilotage des tapis roulant et des robots ou du contrôle de la conformité des pièces fabriquées sont pilotées depuis des serveurs informatiques.
Les activités de l’entreprise sont concentrées sur un site unique mais réparties sur plusieurs pôles :
- Pôle « fabrication » : accueille l’atelier et l’ensemble de la chaîne d’approvisionnement et de fabrication des pièces mécaniques. Les employés humains côtoient robots et outils divers.
- Pôle « administration » : regroupe les bureaux de la direction et de toutes les activités administratives et de gestion, y compris le service informatique et les serveurs. Le pôle « administration » est mitoyen au pôle « fabrication ». Il est possible d’aller de l’un à l’autre sans sortir des locaux.
- Pôle « Approvisionnement » : l’entrepôt destiné au stockage des outils, éléments et matières nécessaires à la fabrication des pièces est situé à proximité du pôle « fabrication ». Il peut ainsi fournir rapidement toutes les ressources nécessaires à l’activité des chaînes de fabrication. Cette zone permet également de stocker tout le matériel nécessaire à la maintenance et à la réparation des machines.
- Pôle « stockage » : l’entrepôt destiné au stockage des pièces fabriquées est situé à proximité du pôle « fabrication » de façon à limiter les transports de pièces.
- Pôle « matières dangereuses » : zone de stockage à accès limité, située à l’écart des autres pôles. Elle accueille tous les produits potentiellement dangereux utilisés dans la fabrication des pièces ou dans la maintenance et le nettoyage des locaux.
- Pôle « secours » : ces locaux regroupent les moyens humains et matériels de secours. Ils sont à proximité afin de faciliter l’accès aux autres pôles. Ils hébergent également les groupes électrogènes.
Les activités nécessaires au bon fonctionnement de l’entreprise sont regroupées au niveau des pôles « fabrication », « approvisionnement » et « stockage ». À cela, on peut ajouter la salle abritant les serveurs informatiques permettant de faire fonctionner et de coordonner l’ensemble des activités.
Liste des risques auxquels l’entreprise est exposée
Les principaux risques identifiés sont les suivants :
- Incendie : les activités liées au pôle « fabrication » nécessitent l’utilisation de produits inflammables ainsi que des outils alimentés par une puissance électrique élevée.
- Panne de courant prolongée : l’activité de l’entreprise ne peut être assurée en cas de coupure de courant.
- Cyberattaque sur les systèmes informatiques : une grande partie de l’activité étant pilotée par les systèmes informatiques, toute paralysie du système entraînerait l’arrêt de la fabrication.
Stratégies de continuité d’activité
Il ne sera bien entendu pas possible ici de traiter tous les cas pour tous les risques comme pour un véritable PCA. Nous allons donc examiner la stratégie de continuité d’activité qui pourrait être mise en place pour l’activité de fabrication avec le risque incendie.
Examinons tout d’abord les procédures d’alerte. L’ensemble des bâtiments est équipé de détecteurs de fumée. Chaque poste de travail est ensuite équipé de capteurs de surveillance des systèmes électriques ainsi que des systèmes de refroidissement des machines. En cas de détection d’une situation anormale, des signaux sonores et lumineux sont déclenchés automatiquement et une alerte est envoyée au PC sécurité.
Des moyens de protection des salariés et du matériel sont ensuite prévus en cas d’alerte incendie. Lorsqu’une alarme se déclenche, l’alimentation électrique principale est coupée et seule l’alimentation de secours prend le relais afin notamment de fournir la signalisation permettant l’évacuation des lieux ainsi que le signal sonore permettant de prévenir le personnel présent.
Des systèmes fixes et mobiles de lutte contre les incendies sont positionnés près des postes de travail et un système automatique d’extinction peut également être déclenché, tout comme le système d’évacuation des fumées. Des portes coupe-feu ferment automatiquement les accès à tous les bâtiments, sauf pour les sorties de secours bien entendu, afin de contenir un éventuel incendie.
Une fois les mesures de prévention et de protection mises en place, il faut prévoir un plan permettant le retour progressif à une activité normale.
Lorsque le retour sur site est possible, une procédure d’état des lieux est déclenchée. Les postes sont nettoyés et remis en état en fonction de leur niveau de priorité sur la chaîne de fabrication. Pour cela, il est important de s’assurer que les stocks contiennent en permanence tout le nécessaire pour la remise en état des équipements. Les postes de fabrication jugés plus importants sont traités prioritairement de façon à reprendre la production au plus vite. Il est possible à cet effet de déplacer certaines chaînes de fabrication sur d’autres moins prioritaires et qui ne reprendront que plus tard. Une fois l’installation électrique inspectée et validée, les machines prêtes peuvent être remises sous tension. La production prioritaire peut ainsi reprendre petit à petit.
Parallèlement, les travaux de réparation, nettoyage et remise en état des équipements moins prioritaires continuent. À l’issue de la procédure, l’activité de l’entreprise peut reprendre dans des conditions normales.
Rôles des responsables pour la gestion de crise
En cas de crise, il est important que chacun sache ce qu’il a à faire.
Le directeur du site va chapeauter l’ensemble des opérations. Le responsable du PC sécurité va coordonner les secours et s’assurer que le dispositif anti-incendie se déclenche. Au sein des différentes équipes, des évacuateurs, généralement des salariés formés, vont s’assurer que l’ensemble du personnel est évacué et regroupé à un ou plusieurs endroits déterminés à l’avance.
Chacun doit pointer sa liste afin de s’assurer que personne n’est resté l’intérieur.
Une fois le sinistre terminé, le responsable de la sécurité, après s’être assuré que tout danger était écarté, va organiser le retour dans les locaux lorsque c’est possible. Chaque équipe aura ensuite la responsabilité de réaliser un état des lieux des postes de travail afin de planifier les interventions nécessaires à une remise en état du site.
Dispositif de gestion de crise
Dans notre exemple, le dispositif de gestion de crise peut avoir les composantes suivantes :
- Veille et détection : les différents capteurs de chaleur ou de surtension électrique permettent de détecter les signes d’un incident à venir. Les remontées d’alertes en provenance de ces équipements vont permettre aux responsables de se préparer.
- Escalade : la procédure va permettre, en fonction des informations remontées, de qualifier le plus tôt possible l’alerte et ainsi déclencher la cellule de crise. Les opérateurs sur place peuvent remonter des informations, le responsable sécurité va les qualifier avant d’alerter sa hiérarchie.
- Aide à la décision : en fonction des informations remontées, il pourra être décidé d’activer une procédure d’urgence différente : utilisation des moyens sur place de lutte contre l’incendie, évacuation des locaux…
La cellule de crise sera composée de membres de la direction, du responsable de la sécurité et de responsables des chaînes de fabrication car ce sont eux qui en connaissent le mieux les forces et les faiblesses.
Maintenance opérationnelle du PCA
Un point très régulier doit être fait afin que toutes les ressources nécessaires à la mise en œuvre du PCA soient disponibles en permanence :
- Pièces et outils nécessaires à la remise en état rapide d’une chaîne de fabrication mais également à son approvisionnement.
- Outils et produits nécessaires au nettoyage.
- …
Des exercices seront réalisés régulièrement afin de s’assurer que le PCA est opérationnel. Il fera également l’objet de mises à jour régulières, notamment si un process interne évolue ou qu’une nouvelle chaîne de fabrication est créée.
Pour conclure sur le plan de continuité d’activité
La question n’est plus de savoir si l’organisation ou l’entreprise devra faire face à une crise, mais quand. S’il n’est pas possible de prévoir et d’éviter toutes les situations de crise, le plan de continuité d’activité doit permettre d’en limiter l’impact. Le fait d’identifier les risques et de mettre en place des procédures précises permet de faciliter les prises de décision et d’améliorer l’efficacité des équipes devant intervenir.
Un plan de continuité d’activité clair, précis et à jour est donc sans aucun doute la meilleure protection de l’entreprise contre les crises qu’elle pourra traverser à l’avenir.