Une entreprise sans plan de continuité d’activité (PCA), c’est comme un chirurgien opérant sans examen préalable : l’on a beau connaître son opération par cœur, si l’on avance à l’aveuglette, les conséquences peuvent être fatales. Un plan de continuité d’activité est un peu le carnet de santé d’une entreprise : il aide à connaître et comprendre sa structure en détail, et à anticiper les traitements futurs si un mal survenait.
Lors d’une enquête GetApp* menée auprès de 335 décisionnaires fin mars 2020, il est ressorti que 37 % ne disposaient pas de PCA et que 13 % ignoraient si un tel plan existait au sein de leur entreprise. La crise a rendu la mise en place d’un tel plan d’autant plus pertinente que de nombreuses incertitudes planent sur le long terme.
À chaque entreprise correspond un PCA qui lui est propre. Pour établir le vôtre, il vous faudra disséquer votre organisation afin d’identifier les organes essentiels (ceux qui maintiennent votre activité en vie) et ceux dont le rôle est secondaire.
Qu’est-ce qu’un plan de continuité d’activité ?
Un plan de continuité d’activité est un manuel de survie compilant les risques pouvant affecter une entreprise et les stratégies pour en apaiser les effets au plus vite. L’objectif est de permettre la poursuite de l’activité dans les meilleures conditions possibles et d’accélérer la reprise. Une entreprise disposant d’un tel plan sera plus à même de se remettre rapidement et de limiter les pertes.
Un PCA ne se résume cependant pas à une brochure théorique condamnée à prendre la poussière dans un tiroir : il s’agit d’un support permettant de préparer tous les collaborateurs à l’action en cas d’incident. En détaillant les étapes et actions concrètes des départements impliqués, cet ensemble de documents se veut un plan d’action détaillé laissant peu de place à l’improvisation.
Le PCA vise les objectifs suivants :
- Avoir une vision claire des risques
- Prendre des mesures préventives
- Déterminer des solutions de secours
- Informer et former les collaborateurs
- Maintenir l’activité, accélérer la reprise
La crise a provoqué une recrudescence des attaques informatiques. Vol de données afin de les exploiter ou de les revendre, blocage du système avec demande de rançon, saturation de serveurs ou encore phishing : telles sont les diverses attaques prisées des hackers à l’heure où opérer en ligne est gage de survie.
Les données constituent une cible de choix pour les pirates qui s’intéressent à ces précieuses informations stockées par les entreprises, qu’elles concernent l’entreprise elle-même ou les clients. Un vol de données peut entacher durablement une réputation, voire sonner le glas pour une entreprise.
Si le risque informatique fait partie des incidents majeurs pour une PME, d’autres événements peuvent survenir : une panne téléphonique mettra au chômage technique une équipe de service client ou de vente, une inondation rendra des bureaux inaccessibles, une erreur humaine exposera des données confidentielles, la faillite d’un client affectera la santé financière… Le quotidien ne manque pas de mauvaises surprises et celles-ci n’arrivent pas “qu’aux autres”. Les dommages sont réels, en particulier pour les PME qui ne disposent pas d’une organisation rodée comme beaucoup de grands groupes.
Un PCA est efficace lorsque l’ensemble des mesures fonctionnent en symbiose. Sa mise en place n’est cependant pas aussi complexe qu’une opération à cœur ouvert et consiste en quelques étapes. Mais comment établit-on et organise-t-on un PCA ? Quels sont les logiciels qui facilitent sa préparation et sa mise en œuvre ? Gartner a d’autre part rédigé un modèle de plan de continuité d’activité, disponible pour les clients Gartner (document en anglais).
Prévenir et guérir à la fois : anatomie d’un plan de continuité efficace
Comment rédiger un plan de continuité d’activité ? La rédaction d’un PCA peut être découpée en 7 grandes étapes. Celles-ci sont d’ordre général et s’adaptent à la plupart des secteurs d’activité. À chaque entreprise de créer le contenu correspondant à ses besoins spécifiques.
1. Examen : listez les risques pouvant affecter votre activité
Quels sont les risques les plus à même de survenir et d’affecter votre organisation ? Listez tous les cas de figure et identifiez-en l’impact potentiel sur votre entreprise. Vous pouvez les classer par ordre de probabilité ou de force d’impact.
2. Bilan de santé : identifiez les processus critiques
Posez-vous les questions suivantes :
- Sur quoi repose principalement le fonctionnement de votre activité ?
- Quel est l’outil ou le processus sans lequel votre monde s’effondre ?
- Quel est l’organe le plus fragile de votre entreprise ?
- Pendant combien de temps votre entreprise peut-elle survivre sans cet organe ?
- Quels sont ceux qui peuvent être mis en pause et réactivés ultérieurement ?
En somme, demandez-vous si vous disposez d’un plan B pour effectuer à peu de choses près le même travail. Si vous y répondez par la négative, il est temps d’envisager des solutions préventives et curatives.
3. Collège d’experts : réunissez des chefs d’équipe
E-mail, Internet, intranet, serveurs, matériel informatique… Rares sont les PME qui se passent aujourd’hui de ces outils au quotidien. Votre meilleur allié sera le département informatique ou, à défaut de disposer d’une telle structure, un prestataire externe. Ces experts sauront vous conseiller en matière de mesures préventives et sont les plus à même d’assurer la maintenance et la réparation des divers incidents.
Nommez également un porte-parole ou manager de chaque département : ceux-ci sauront identifier les points critiques de leur domaine, anticiper les risques hypothétiques et proposer une solution pour y remédier ou les contourner.
Par exemple, le responsable RH saura identifier les compétences nécessaires en cas de crise et organiser les formations ; le responsable des ventes rassurera la clientèle ; le spécialiste en marketing pourra créer une campagne de communication ; l’expert-comptable connaîtra tout des données les plus sensibles.
4. Diagnostic : discutez ensemble des meilleures stratégies
Une fois l’équipe d’experts constituée, réunissez-les afin de mettre noir sur blanc la marche à suivre et les remèdes possibles. Ensuite, ceux-ci rapporteront à leur équipe les actions envisagées et répartiront les rôles. Il est important d’impliquer l’ensemble des collaborateurs : ils sont les rouages de la grande machine qu’est votre entreprise.
5. Prophylaxie : réduisez les risques et menaces
Pour chaque risque, une solution de secours existe. En voici quelques exemples :
- Annulation d’événement pour raisons sanitaires : un logiciel d’événement virtuel en permettra la tenue de manière dématérialisée.
- Bureaux ou matériel hors d’usage : un backup régulier des données et l’adoption d’ outils de télétravail assurent un accès distant et permanent aux documents.
- Piratage : un système de surveillance du réseau ou de monitoring réseau et serveur prévient toute intrusion et émet des alertes.
La formation des collaborateurs constitue une mesure préventive. Des cours de cybersécurité ou de classification de données permettent d’enseigner les bons gestes à adopter et de réduire ainsi les erreurs humaines en interne. Certains outils peuvent d’ailleurs accompagner au quotidien ces bonnes pratiques, comme les gestionnaires de mot de passe.
Dans tous les cas, une communication à l’échelle de l’entreprise est cruciale pour le bon déroulement des opérations d’un PCA.
6. Traitement : soyez attentif aux symptômes
Les besoins d’une entreprise peuvent évoluer et les risques peuvent réserver des surprises qu’il était difficile de prévoir. On a beau avoir pensé “à tout”, la flexibilité reste de mise.
Il est recommandé de tester son PCA une à deux fois par an afin d’en vérifier la pertinence et l’efficacité. Votre modèle a peut-être évolué depuis la création du PCA et certaines sections méritent éventuellement d’être mises à jour.
Un exercice de type “alerte incendie” appliqué à votre secteur peut être un bon moyen de d’évaluer l’efficacité de votre plan de continuité. Cela peut prendre la forme d’un test partiel (un département) ou complet (l’ensemble de l’entreprise). Rédigez un rapport à la suite de l’exercice et actualisez le PCA si besoin. N’oubliez pas de communiquer les changements, le cas échéant.
Quant aux imprévus, gardez en tête que le PCA n’est pas gravé dans le marbre et que certaines solutions ne seront peut-être pas à la hauteur des dommages le jour J. Néanmoins, vous serez autrement mieux préparé et bénéficierez d’une solide base de connaissances pour les affronter et poursuivre vos activités.
7. Guérison : pansez les plaies et avancez
Armé de votre PCA, vous serez prêt à affronter la plupart des situations. Sans cette documentation, vous risquez de perdre du temps à chercher des solutions qui peuvent s’avérer contre-productives.
Une fois la tempête passée, faites-en le bilan : ces informations vous aideront à consolider votre modèle, voire à le transformer.
La crise de COVID-19 a chamboulé le modèle traditionnel du travail présentiel et a poussé les entreprises à une certaine digitalisation pour faciliter le télétravail. Au moment où le confinement général s’est imposé, 44 % des PME françaises** n’étaient pas prêtes à opérer pleinement en télétravail. Celui-ci s’est pourtant imposé en devenant une nouvelle normalité.
La résilience comme nouvelle normalité
La crise de COVID-19 est une mine d’enseignements en ce qui concerne la transformation numérique des entreprises. N’a-t-on pas, pour donner un exemple, observé l’explosion des commandes en ligne avec le confinement ? Cette adaptation n’a pas été aisée pour tout le monde et beaucoup n’y étaient pas préparés. L’onde de choc provoquée par le COVID-19 continue de métamorphoser les modèles de travail. Aux entreprises, en particulier les petites, d’apprendre à s’adapter pour leur survie et d’adopter une attitude salutaire d’anticipation des risques.
*Méthodologie de l’enquête : pour collecter les données de ce rapport, nous avons mené une enquête en ligne entre le 15 et 19 mai 2020 auprès de 397 employés de PME françaises effectuant du télétravail en raison de la crise de COVID-19. Les 335 répondants aux questions présentées dans ce rapport ont été sélectionnés selon leur rôle dans l’entreprise : ceux-ci sont issus de divers secteurs d’activité et sont tous preneurs de décision (confirmé/manager, manager sénior, membre de la direction ou haute direction).
**Méthodologie de l’enquête : pour collecter les données de ce rapport, nous avons mené une enquête en ligne entre le 20 et 24 mars 2020. Les réponses proviennent d’un échantillon du marché cible français. Parmi les 639 personnes ayant été sollicitées, 311 répondants correspondant à ces critères ont été sélectionnés pour répondre à nos questions. Les participants sont issus de divers secteurs d’activité et travaillent dans une PME.