Plan de continuité : prévoir pour minimiser les pertes

La rareté des scénarios de catastrophes fait qu’il est facile de négliger la préparation aux situations d’urgence. C’est un constat partagé aussi bien par les multinationales que pour les ménages individuels.

Mais en affaires, une mauvaise planification peut coûter plus cher qu’une salle de séjour devenu sombre en raison d’une longue coupure d’électricité. Avec la complexité du fonctionnement des affaires à l’échelle internationale et des chaînes d’approvisionnement mondialisées, nous sommes exposés à des risques nouveaux et différents.

La GRE et le rôle de la continuité des activités

La gestion des risques d’entreprise (GRE) traite des risques liés aux objectifs d’une organisation. Bien que les modèles de GRE puissent varier d’une organisation à l’autre, un modèle simple consiste à regrouper ces risques en trois catégories.

  1. Risques externes : il s’agit des risques découlant d’événements extérieurs à l’organisation (par exemple, des changements dans le marché au sens large, une épidémie, une catastrophe naturelle, etc.)
  2. Risques évitables : il s’agit des risques découlant d’événements internes à l’organisation. Il s’agit par exemple de manquements à l’éthique ou à la conformité.
  3. Risques stratégiques : il s’agit des risques inhérents à l’objectif même de l’organisation. L’objectif stratégique d’une jeune entreprise peut être de doubler son chiffre d’affaires en 2018. Les risques sont atténués par l’évaluation et la suppression des obstacles aux objectifs.

En répartissant les risques dans un schéma en trois silos, les responsables de la GRE peuvent plus facilement mettre en œuvre des contrôles et des mesures de prévention.

Tout d’abord, parce qu’ils proviennent de l’intérieur d’une organisation, les risques évitables sont traités par la direction, la culture, le recrutement et la conformité – et l’objectif devrait être l’élimination des risques.

Parallèlement, les risques externes et les risques stratégiques sont généralement traités par la planification de scénarios, des ateliers avec les parties prenantes et les « business wargame » – plus largement, le dialogue et la planification de groupe. Ces risques sont abordés par le biais d’une série de questions prioritaires telles que « que se passe-t-il si un tremblement de terre détruit notre centre de données ? (un risque externe) ou « qu’est-ce qui nous empêchera de doubler nos ventes ? » (un risque stratégique).

Continuité des activités, au sein de la GRE

Dans ce cadre, il est recommandé que les responsables de la continuité des activités travaillent en étroite collaboration avec les responsables de la GRE.

La continuité d’activité devrait se concentrer sur l’identification et la priorisation des processus et des ressources critiques soutenant la fourniture de biens et de services clés. En utilisant le modèle GRE ci-dessus, les risques relevant de la compétence de la continuité d’activité entrent généralement dans la catégorie des risques externes.

En général, lorsqu’une catastrophe survient, un ensemble distinct de systèmes sont activés qui cherchent à minimiser l’impact de la situation. La continuité des activités est le processus de développement de ces systèmes.

Il y a toutefois des moments où le centre d’intérêt de la continuité d’activité s’étend au-delà de la catégorie des risques externes. Par exemple, si un risque de conformité interrompt l’approvisionnement auprès d’un fournisseur critique, alors la continuité d’activité doit au moins faire apparaître ce risque interne dans l’analyse d’impact sur les entreprises, décrite ci-dessous.

Une entreprise doit disposer d’un plan détaillé de continuité d’activité pour faire face aux impacts des événements négatifs.

Ces impacts font partie de catégories applicables à tous les scénarios de catastrophe. Par exemple, une perte soudaine d’électricité dans une installation nécessite le déploiement d’une réponse dans le plan de continuité, que la perte d’électricité soit due à un fusible grillé ou à un incendie. Al Berman, spécialiste du management des risques, fournit une ventilation de ces catégories qu’il détaille ainsi :

  • Effets sur les installations, les rendant inaccessibles ou inutilisables
  • Effets sur la capacité opérationnelle, tels que les interruptions de la chaîne d’approvisionnement, les erreurs de traitement ou l’indisponibilité du personnel
  • Effets sur la technologie
  • Effets sur l’organisation elle-même, allant des problèmes financiers aux droits de propriété intellectuelle

Les plans de continuité d’activité pour divers scénarios devraient être bien connus de ceux qui sont responsables de leur exécution. Il est également crucial que le personnel clé s’entraîne souvent et avec suffisamment de rigueur pour garantir une exécution solide. Des plans bien conçus désignent les rôles et les fonctions de chacun en cas d’urgence, en nommant clairement les personnes.

Les plans de continuité d’activité pour divers scénarios devraient être bien connus de ceux qui sont responsables de leur exécution. Il est également crucial que le personnel clé s’entraîne souvent et avec suffisamment de rigueur pour garantir une exécution solide. Des plans bien conçus désignent les rôles et les fonctions de chacun en cas d’urgence, en nommant clairement les personnes.

La continuité des activités en pratique

Les plans modernes de continuité des activités ont de nombreux éléments à prendre en compte. Les chaînes d’approvisionnement actuelles sont complexes et vulnérables aux perturbations. Le programme de production à court terme d’une entreprise pourrait être menacé si ses installations sont compromises, et la production à plus long terme pourrait être menacée si les fournisseurs externalisés sont touchés. Une bonne planification doit répondre à ces préoccupations potentielles, par priorité.

L’exemple d’Intel et Fukushima

Le plan de continuité d’Intel face à la catastrophe de Fukushima en est un exemple. « Le 15 mars, quatre jours après le désastre, Intel savait qu’elle n’avait pas de problèmes majeurs avec ses fournisseurs directs (ou ‘Tier 1’) », écrit Yossi Sheffi dans son livre The Power of Resilience. « Le 20 mars, Intel savait que le niveau 2 n’avait également que des problèmes mineurs, mais que les niveaux 3, 4 et plus profonds avaient des problèmes plus importants. Intel a identifié 60 fournisseurs qui avaient des problèmes. Beaucoup d’entre eux étaient des fabricants de produits chimiques spécialisés à source unique avec des capacités bien particulières ».

L’équipe d’Intel en charge de la continuité des activités est entrée en action. Les ingénieurs ont rapidement autorisé l’utilisation des matériaux des nouveaux fournisseurs, et ont donné des instructions pour rationner au minimum l’utilisation de certains matériaux essentiels, en maximisant leur durée de vie. Sheffi note que plus de 75% des matériaux d’Intel avaient été potentiellement menacés, mais le déploiement efficace de leur plan de continuité a permis de minimiser les pertes.

L’exemple de Procter & Gamble et l’ouragan Katrina

Certaines situations exigent des réponses particulières, comme la sécurité et le confort des employés. Procter & Gamble, dont la marque Folgers (du café) possédait quatre usines dans la région de la Nouvelle-Orléans, a commencé à déployer son plan de continuité avant que l’ouragan Katrina (2005) ne touche le continent. Lorsque Katrina a frappé, P&G avait cessé toutes ses activités à la Nouvelle-Orléans et avait donné l’ordre aux employés d’évacuer. Une fois la tempête passée et tous les employés retrouvés, l’entreprise a évalué les dégâts.

La plupart des maisons de la Nouvelle-Orléans étant inhabitables, P&G a entrepris de fournir de la nourriture, un logement, des soins de santé et des conseils à ses employés. L’entreprise a également accordé des prêts sans intérêt pour aider ses travailleurs à traverser la crise et a mis en place un planning de travail de sept jours de travail et de sept jours de congé. Ces mesures ont permis à P&G de disposer d’une main-d’œuvre capable et désireuse de l’aider à se remettre de l’ouragan, et les usines de fabrication de P&G à la Nouvelle-Orléans ont été les premières à être remise en service après Katrina. Sheffi note dans son livre : « D’un point de vue commercial, P&G a expédié en 2005 96 % du volume de l’année précédente malgré les perturbations, et son premier trimestre 2006 a enregistré des volumes records, avec un retour des affaires plus fort que jamais ».

Pistes pour rédiger un plan de continuité d’activité

Il existe des pratiques assez bien établies pour l’élaboration d’un plan de continuité d’activité, pratiques qui sont devenues la norme dans l’industrie. Voici un aperçu de ce qui peut être fait :

  • Effectuer une analyse des risques : effectuer une analyse de l’impact sur les entreprises afin d’identifier les fonctions et les processus critiques et les ressources dont ils dépendent.
  • Élaborer des plans d’atténuation : identifier, documenter et mettre en œuvre des plans pour remettre en route les fonctions et les processus critiques de l’entreprise.
  • Faire participer les parties prenantes : organiser une équipe de continuité des activités et rédiger un plan de continuité pour gérer la perturbation des activités.
  • Tester et former : organiser une formation pour l’équipe de continuité des activités ainsi que des tests et exercices pour évaluer le plan et les stratégies.

Chaque plan de continuité d’activité commence par une analyse d’impact sur les entreprises. Elle identifie les impacts sur l’entreprise qui pourraient résulter d’une situation de crise, les classe par ordre d’importance et estime leur probabilité, leurs conséquences et leur coût potentiel. Elle déterminera également l’objectif de temps de rétablissement, ou le délai pendant lequel chaque problème théorique entraînera des conséquences inacceptables. L’analyse doit être rassemblée dans un rapport, qui établira les priorités de chaque service en cas d’urgence. Celles-ci varieront en fonction de la nature de l’activité, c’est pourquoi une analyse détaillée des délais de rétablissement est cruciale.