Quotidien Corporate & Crypto Finance - Daily News


              



Le PCA… pour quoi faire ?


Aucune entreprise n’est à l’abri d’un sinistre, ou d’une interruption de ses services. Se préoccuper de la préservation de ses actifs matériels et immatériels devient un enjeu stratégique pour toute entreprise : il est essentiel de garantir la continuité des activités et les revenus qui en résultent coûte que coûte.
Pour cela, des mesures sont à prévoir en cas de graves crises ou catastrophes (tout cas de force majeure) pour maintenir la continuité des activités essentielles dans un premier temps puis pour un retour à une situation nominale par la suite.



Serge Masanovic
Serge Masanovic
Le plan de continuité d’activité (PCA) est une nécessité pour une entreprise pour pouvoir fonctionner même en cas de "désastre", quitte à ce que ce soit en mode dégradé, ou en situation de crise majeure.
Le PCA constitue alors un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction à une catastrophe ou à un sinistre grave. Son objet est, par conséquent, de minimiser les impacts d’une crise ou d’une catastrophe naturelle, technologique ou sociale sur l’activité et donc sur la pérennité de l’entreprise.

En assurant la continuité des activités grâce à la formalisation du PCA, toute entreprise répond d’une part aux exigences légales et réglementaires (conformité) et d’autre part, aux exigences métier et de marché.
Le PCA est à la fois une démarche et un ensemble de procédures (formalisées dans un document qui les décrit) qui doit permettre à une entreprise de :
- Fonctionner en mode dégradé ou en situation de crise majeure et,
- Satisfaire sa "promesse client", surtout en cas de réalisation des risques auxquels elle aura choisi de se préparer.

Les incidents majeurs (catastrophes naturelles, accidents / terrorismes, défaillances d’infrastructures, risques sanitaires…) engendrent de multiples impacts sur l’entreprise :
- Commerciaux (pertes de clients, de parts de marché, de partenaires/fournisseurs…),
- Financiers (pertes de revenus, coûts directs et indirects de la reprise d’activité…),
- Juridiques (sanctions disciplinaires, financières ou pénales pour non-respect d’obligations réglementaires),
- D’image (conséquences négatives sur l’image et la réputation de l’entreprise).

Définition, enjeux et objectifs :

Les enjeux de la mise en place d’un PCA sont de :
- Garantir la survie de l’entreprise en minimisant les impacts financiers, juridiques et d’images d’un sinistre grave,
- Favoriser la conquête de marché en rassurant les clients sur la sécurité de leurs intérêts en cas de sinistre,
- Répondre aux obligations légales pour les facteurs financiers (règlement CRBF 1997-02).

Les objectifs d’un PCA sont de :
- Anticiper et maîtriser les risques opérationnels de grande envergure,
- Analyser et réduire les impacts potentiels d’une interruption d’activité.

Mise en œuvre d’une démarche PCA :

On peut diviser la démarche de mise en œuvre d’un PCA en trois grandes phases :
- Identifier les enjeux : phase préliminaire et indispensable qui doit être réalisée avec la Direction Générale. Elle doit permettre de déterminer les enjeux auxquels doit répondre le PCA (par exemple : garantir le Chiffre d’Affaires, garder la confiance des clients, conserver son image de marque, tenir ses engagements avec des tiers en cas de crise…),
- Répertorier les risques : phase réalisée avec le Risk Manager de l’entreprise qui identifie, grâce à aux méthodes et outils appropriées (Ebios, Mehari…), les menaces et les scénarios qui seront pris en compte dans le PCA. Les scénarios les plus communs envisagent une destruction des bâtiments, une perte du système d’informations, des sabotages, des épidémies…,
- Analyser les impacts sur les activités : phase conduite en collaboration avec le management de chaque métier de l’entreprise. Son but est d’identifier les processus sensibles de l’entreprise et de déterminer les enjeux et les conséquences de l’arrêt de ces processus en termes d’impacts : financiers, clients, réglementaires…. L’identification des besoins de continuité au niveau de chaque Direction vise à identifier un délai maximal d’interruption admissible (RTO – Recovery Time Objective) et une perte maximale de données tolérable (RPO – Recovery Point Objective). Les solutions de secours qui seront définies par la suite devront être en adéquation avec ces valeurs. Par exemple, si un processus critique de l’entreprise ne doit, en aucun cas, rester arrêté pendant plus de 4h, la solution de secours prévue doit permettre une reprise d’activité en moins de 4h.
Ces trois phases vont mettre en lumière les besoins de continuité de l’entreprise en identifiant les processus critiques qui, en cas de crise, sont les plus sensibles.
Cette démarche permet d’imaginer et de mettre en œuvre des solutions de secours qui vont garantir le fonctionnement de ces processus en mode dégradé et assurer le plus rapidement possible, dans un ordre planifié et maîtrisé, un retour à un mode de fonctionnement nominal.
Cependant, certains points méthodologiques ne doivent pas être négligés :
- La base documentaire constitue un pilier indispensable à tout PCA : toutes les procédures de continuité seront formalisées (du plan d’alerte, au plan de gestion de crise en passant par le plan de secours informatique). Cette base sera mise à jour régulièrement, adaptée au contexte, testée et disponible en cas de sinistre auprès de l’ensemble des interlocuteurs concernés par le PCA.
- Le PCA, pour être opérationnel, doit être testé régulièrement. Sa validation va permettre, à travers un exercice, de déceler les incohérences et insuffisances du système défini, d’améliorer les procédures et surtout, d’entraîner et de s’assurer que les acteurs de la continuité d’activité sont formés et familiarisés avec leurs rôles et responsabilités respectives. L’exercice sera réalisé à partir de l’élaboration d’un scénario de sinistre et donnera lieu à un plan d’action d’amélioration du PCA.
- Le PCA doit vivre et être maintenu en conditions opérationnelles, au risque de finir au "fond d’un tiroir". La tendance est d’associer le management de la continuité d’activité aux systèmes de management de la qualité, de la sécurité et de l’environnement. Le PCA doit rester à jour par rapport aux processus de l’entreprise et à leurs évolutions (techniques, technologiques, économiques, réglementaires…). Ce maintien en conditions opérationnelles doit être planifié et formalisé selon les règles de l’amélioration continue.
Pour conclure, le PCA est une problématique qui s’inscrit, malheureusement, parfaitement dans le contexte actuel. Dans ces temps de crise financière et de multiplication des risques (fraudes, terrorisme, catastrophes naturelles…), les entreprises quelques soient leurs tailles s’interrogent sérieusement sur leurs besoins en continuité d’activité et sur leurs capacités à gérer efficacement des crises.

Serge MASANOVIC (VCM Conseil – www.vcm-conseil.fr)
Serge MASANOVIC, Associé fondateur de VCM Conseil, est un expert en économie des SI. Il intervient pour anticiper les gains et les bénéfices attendus des projets SI, pour identifier les gisements d’économie et enfin pour mesurer et piloter la performance du SI au quotidien.

Jeudi 15 Décembre 2011
Notez


Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Finyear: latest news, derniers articles

Free Daily Newsletter / Newsletter quotidienne gratuite


Cryptocurrencies




Finyear - Daily News