De Enrico Pistone
Le Plan de Continuité d’Activité, ou Business Continuity Plan (BCP en anglais), est le plan de sécurité alternatif qu’une entreprise doit avoir pour pouvoir continuer ses opérations en cas d’événements catastrophiques, qu’ils soient d’origine naturelle ou provoqués par l’homme, et qui pourraient compromettre l’intégrité de l’entreprise. Il s’agit donc d’événements inattendus d’origine externe que l’on doit anticiper en établissant un plan de continuité d’activité.
Le Business Continuity Plan (BCP) est le plan de survie global, qui est ensuite complété par le plan de reprise après sinistre (Disaster Recovery) pour chaque unité opérationnelle au sein de l’entreprise, parmi lesquelles les technologies de l’information (IT) jouent un rôle clé.
Le BCP doit être précédé d’une évaluation minutieuse des risques, basée sur une matrice de risque conçue sur mesure en fonction des caractéristiques spécifiques de chaque entreprise. Cette évaluation se réfère à la détermination quantitative et qualitative du risque associé à une situation définie au préalable, en la comparant à une menace potentielle connue sous le nom de danger.
Il doit être élaboré “sur papier” avant que l’événement ne survienne, permettant ainsi de réfléchir, de planifier et de construire un plan efficace avec suffisamment de temps pour penser aux procédures et aux actions à entreprendre afin de permettre à l’entreprise d’absorber l’événement, de reprendre et de restaurer un niveau d’activité suite à une interruption.
En pratique, il est nécessaire de poursuivre le cycle de vie de l’entreprise en anticipant les conséquences directes et indirectes et en mettant en place des processus opérationnels de soutien et de continuité.
Si la gestion des risques a été réalisée de manière honnête et réfléchie, comme c’est le cas pour les principales certifications volontaires ISO, il est possible de définir la meilleure stratégie de défense du patrimoine et de l’image de l’entreprise, tout en optimisant l’efficacité opérationnelle du rétablissement.
Parmi les principaux risques à prendre en compte, nous pouvons citer :
- Incendie ;
- Phénomènes météorologiques et catastrophes environnementales ;
- Risques sociaux et actes de vandalisme ;
- Perte de bénéfices ;
- Risques liés à des estimations d’exposition.
L’efficacité du système d’évaluation des risques sur lequel repose un BCP ne peut pas être copiée d’une autre entreprise ; chaque entreprise doit partir de la connaissance et de la prise de conscience de ses propres spécificités et besoins opérationnels. C’est sur cette base qu’il est possible de mettre en œuvre des actions pour réduire les risques et faciliter la reprise des opérations commerciales.
En substance, il s’agit d’une approche programmatique intégrée entre le BCP et le plan de reprise après sinistre (Disaster Recovery), avec pour objectif la continuité des activités commerciales. Elle repose sur une stratégie de prévention cohérente capable d’atteindre cet objectif, même dans des conditions d’urgence.
Les types de plans doivent évidemment être influencés par la nature, la taille et la complexité de l’entreprise, en tenant compte de ses fonctions et de ses processus clés. Il est évident que le plan sera complètement différent s’il est conçu pour une grande multinationale ou pour une petite entreprise.
La conception, la mise en œuvre et la validation sont des phases indispensables de ce type de processus. En outre, une bonne préparation ne peut pas faire l’impasse sur des tests simulant des conditions critiques pour vérifier l’efficacité du système BCP. Ces tests doivent être documentés et analysés pour identifier tout risque résiduel non pris en compte, c’est-à-dire le risque qui demeure après l’adoption de toutes les mesures de sécurité prévues.
Sur le plan stratégique, il est nécessaire d’assurer une gestion correcte des événements critiques. Sur le plan tactique, il faut coordonner les activités et les efforts des différentes fonctions de l’entreprise pour garantir la continuité opérationnelle. Et sur le plan opérationnel, il est essentiel de définir les étapes clés pour planifier les urgences, préserver la croissance, la valeur et la réputation de l’entreprise en toutes circonstances, faire preuve de diligence et de durabilité dans chaque action, et améliorer, si possible, en réduisant au minimum les temps d’arrêt des processus.
La planification des urgences passe également par la formation des employés et des responsables du BCP.
Pour la gestion des urgences, il est essentiel d’établir une hiérarchie des tâches et des comportements à adopter afin que chacun puisse contribuer de manière efficace et rapide. Cela commence par le Responsable du BCP, qui est généralement le dirigeant ou le directeur général, et qui doit transmettre les informations au Continuity Manager. Ce dernier doit se coordonner avec le Coordinateur de l’urgence (généralement le Responsable IT) pour activer le plan d’urgence, jusqu’aux différents responsables qui seront chargés d’activer le plan de reprise (Recovery Plan).
Dans ces moments, une sauvegarde efficace des données, planifiée par le service informatique, et la fiabilité assurée par le plan sont des conditions essentielles pour éviter la sortie du marché et la faillite de l’entreprise.
La priorité de survie de l’entreprise doit être donnée aux systèmes informatiques, afin de permettre la poursuite des activités même dans un lieu différent du siège principal.
