Connexion client

« Il nous faut un PCA ! » Du PCA à la résilience

Depuis sa création il y a un peu plus de 15 ans, Arengi est régulièrement -et de manière croissante depuis 2020 et la crise Covid- sollicitée sur la thématique des « PCA », ou Plans de Continuité d’Activité. Ces parcours clients suivent peu ou prou une séquence similaire qui illustre le cheminement des organisations d’une vision procédurale et documentaire (le fameux PCA dont il faut se doter) à une approche plus managériale et systématique (gestion de la continuité & résilience).

La demande est généralement formulée comme suit : “nous sommes une société de x personnes dans tel secteur et souhaitons mettre en place un PCA”. Le motif avancé a généralement trait :

  • à la demande d’un donneur d’ordre,
  • à une obligation découlant du caractère systémique ou d’importance vitale de l’opérateur concerné,
    au besoin d’améliorer la qualité du risque dommages / pertes d’exploitation vis-à-vis du marché de l’assurance,
  • à l’expérience d’une crise ayant fait ressortir un défaut d’équipement en matière de continuité d’activité,
    ou encore à un événement majeur touchant une ou plusieurs autres entreprises – préférablement du même secteur.

S’ensuit un échange sur la nature concrète de la demande. Une entreprise dans sa globalité ne saurait faire l’objet d’un PCA – quel périmètre doit-on dès lors viser ? Assez rapidement, la discussion s’élargit ; partant d’une démarche procédurale, i.e. la rédaction d’un document décrivant un mode opératoire pour rétablir et maintenir une activité en mode dégradé puis la faire revenir à un niveau nominal (le ou plutôt les PCA), la question se pose désormais de déterminer les parties de l’organisation devant être couvertes (processus et / ou moyens), selon quels démarche ou critères, et par qui. De PCA, le sujet de l’échange s’élargit à la « GCA » – Gestion de Continuité des Activités, acronyme nettement moins connu, ou BCM (Business Continuity Management) soit -précisément- une démarche de management.

A ressources et temps contraints se pose invariablement la question du choix des activités ou processus devant faire l’objet de dispositions visant à les rétablir et/ou maintenir. Ce choix, que l’on voit difficilement positionné ailleurs qu’au niveau exécutif, est informé à titre principal par un ensemble d’études généralement regroupées sous le terme « d‘analyse d’impact des interruptions d’activités », ou « BIA » (Business Impact Analysis), dont la définition peut varier. On retiendra quelle que soit la forme de l’exercice six étapes principales :

  1. Identifier précisément et évaluer la criticité des activités ou processus de l’organisation ;
  2. Définir pour chacun(e) de ces activités ou processus des objectifs de continuité (notamment un délai d’interruption maximal supportable ou acceptable exprimé en heures ou jours, éventuellement complété d’un niveau de service minimal requis, le tout prenant compte le cas échéant des facteurs saisonniers dans une logique de ‘worst case’) ;
  3. Identifier les moyens ou ressources sur lesquels chaque activité repose (recoupant globalement ce que certain(e)s connaissent comme les 5M du la méthode d’Ishikawa : Matière(s), Matériel, Méthodes, Milieu, Main d’œuvre), et évaluer l’impact de leur indisponibilité (quelle qu’en soit la cause) sur le processus concerné ;
  4. Évaluer le niveau de sécurisation (au sens de backups, modes de contournement, possibilités de rétablissement, etc.) de chaque moyen ou ressource – et partant, si cet éventuel existant permet ou non de satisfaire aux objectifs de continuité assignés au(x) processus concerné(s). Dans la négative, il s’agira d’exprimer les « besoins de continuité »
  5. Conduire une analyse de risque, permettant d’identifier les modalités d’indisponibilité des différents moyens ou ressources (il pourra s’agir notamment de faire ressortir les cas d’indisponibilités simultanées)
  6. Recenser sur la base d’informations ainsi constituées les scenarii d’interruption, correspondant à l’indisponibilité d’une ou plusieurs ressources, impactant un ou plusieurs activités / processus.

Une fois l’étude produite, les enjeux de continuité doivent être globalement connus et articulés :

  • quels sont les activités ou processus clés ?
  • quels sont leur objectifs & besoins de continuité ?
  • quels sont les scenarii les plus critiques à considérer ?

Il devient possible de choisir ses batailles parmi les scenarii remontés, dont quelques-uns feront l’objet d’un traitement.

La question se pose désormais quant à la nature de ce traitement. Le chemin parcouru lors de l’analyse d’impact aura permis de faire réaliser que tout n’est pas « sécurisable » au sens défini plus avant. Tout ne se réglera pas non plus par un PCA qui par définition n’intervient qu’une fois l’événement interruptif survenu. Certains cas s’envisageront surtout en prévention : faire en sorte que le moyen ou la ressource (et le ou les processus en dépendant) résiste au choc et ne « tombe » pas. A ce titre, il n’est pas rare de remettre en question des organisations ou modes opérationnels considérés comme non robustes.

C’est à partir de ce stade que la démarche de « PCA », devenue « GCA », s’étend de nouveau pour toucher la résilience, soit la capacité d’une organisation à « encaisser » un choc, s’adapter et rebondir. A un certain stade de ce cheminement pourront ainsi survenir des réflexions d’ordre plus structurel. La recherche d’efficience, impérative pour des organisations évoluant sous contrainte de ressources et dans un environnement compétitif, peut conduire à créer sinon des points de défaillance unique, du moins des vulnérabilités (des illustrations sont assez faciles à trouver, par exemple en informatique, logistique, achats pour ne citer que ces cas…). Un raisonnement en résilience pourra amener à considérer un rééquilibrage entre efficience et résilience, impliquant de (très sélectivement) désoptimiser pour gagner en robustesse. Dans certaines industries, cette réflexion a d’ores et déjà débuté, quoique plutôt déclenchée par des contraintes croissantes d’ordre géopolitique liées notamment aux « guerres commerciales » opposant Etats-Unis et Chine.

Au-delà ces cas, la volatilité et l’imprévisibilité croissante de l’environnement naturel, politique, réglementaire et économique dans lequel évoluent les entreprises va probablement rendre ce type de raisonnement de moins en moins théorique. Et les PCA ne constitueront qu’une (toute) petite partie de la réponse.


Benoît Bougnoux
Associé, co-fondateur