oute entreprise se doit donc de maîtriser les risques pesant sur ses activités afin d’assurer sa pérennité en situation normale ou en cas de sinistre. C’est particulièrement le cas des entreprises soumises à des réglementations.
En effet, en situation normale, nous peinons souvent à envisager la possibilité d’une catastrophe ou d’un cataclysme. Si certaines grandes entreprises disposent d’un Système de Management intégrant la Gestion des Risques et éventuellement la Gestion de la Continuité d’Activités, beaucoup d’entre elles en sont démunies, car ne voyant pas la nécessité ou pensant minimiser les coûts financiers.

Le Management des Risques permet aux entreprises d’anticiper les risques qui affecteraient leur performance, tout en leur donnant les moyens de mettre en place les actions nécessaires pour minimiser les perturbations et maximiser les opportunités.

Jusqu’à un passé récent, le Management des Risques englobait uniquement un ensemble de techniques destinées à maîtriser, par la planification, les effets dommageables d’aléas souvent stables et bien identifiés ; impactant ainsi de nombreux aspects géographiques et les changements socio-écologiques en cours. Cependant, nous devons dépasser ce type de gestion pour l’intégrer dans une approche dynamique (c’est-à-dire un Système de Management intégrant la Gestion des Risques et la Gestion de la Continuité d’Activités).

C’est le cas de la Continuité d’Activités considérée comme un processus participant pleinement à la résilience des entreprises, des organismes comme des territoires à des perturbations de différentes natures. La Continuité d’Activités pourrait être comparée donc à un système ou dispositif de monitorage permettant d’aller au-delà de la réponse planifiée. En effet, le Plan de Continuité d’Activités (PCA) étant l’ensemble des mesures identifiées au sein d’une entreprise, il permet d’anticiper les conséquences de l’apparition d’une crise sur son activité principale [1], il s’agit : d’y faire face en assurant le maintien total ou partiel des activités et tâches opérationnelles essentielles à la survie de l’entreprise ;

 de prévoir la reprise des activités complètes à l’issue de la crise.[1]

Le PCA va permettre donc à l’entreprise de répondre à ses obligations externes et internes. Si aujourd’hui la gestion des risques est, à raison, au cœur des problématiques des entreprisses, la continuité d’activités reste encore sous-estimée et ou méconnue. Pourtant, la gestion des risques seule ne suffit pas ; le Management des Risques intégrant la Continuité d’Activités est essentiel et nécessaire pour le fonctionnement de nos entreprises.

Toutefois, la gestion des risques est l’activité permettant d’anticiper au mieux les risques pour les éviter ; et toute entreprise sait que ‘’ le risque zéro n’existe pas’’. C’est lorsque la prévention des risques a échoué et que l’hypothèse d’un risque est devenue une réalité que le Plan de Continuité d’Activités entre en scène. En général, la prévention des catastrophes repose pour beaucoup, sur la connaissance première des phénomènes dangereux d’origine naturelle ou technologique auxquels les populations et les activités sont exposées. Leur caractérisation sur des bases scientifiques prédétermine souvent les dispositions prises pour assurer la sécurité des personnes et des biens exposés. Cependant, satisfaire à ces exigences de sécurité nécessite la définition et la mise en œuvre de différents dispositifs réglementaires ou techniques, pour lesquels, l’ingénierie contribue. Ces dispositifs sont conçus pour répondre à des aléas définissables dans l’espace (localisation) et dans le temps (fréquence).

Internes aux entreprises publiques ou privées, les Plans de Continuité d’Activités sont, par principe stabilisateurs car la continuité d’activités a pour objet, selon la norme ISO 22300, de poursuivre la livraison ou la fourniture de produits et services dans des délais acceptables et a une capacité prédéfinie pendant une perturbation. La norme ISO 22301 intègre la Planification de la Continuité d’Activités dans un Système plus global de Management sans modifier ce principe.

Se démarquant de l’approche conventionnelle, cet article a pour objet de montrer l’intérêt pour les entreprises de considérer la Gestion des Risques intégrant le Plan de Continuité d’Activités afin éviter les perturbations de différentes natures.

Pourquoi la Continuité d’Activités est-elle nécessaire ?

D’après une étude les entreprises ayant développé un Plan de Continuité d’Activités se sont montrées significativement plus résilientes aux grandes crises survenues ces dernières années (catastrophes naturelles, mouvements sociaux, crises sanitaires…) que celles qui ne l’ont pas développé. En effet, la présence d’un Plan de Continuité d’Activités structuré, permet lorsqu’une crise majeure survient, de ne pas se laisser submerger par l’émotion et le stress et de prendre les décisions adéquates à temps, en s’appuyant sur :
 une équipe de crise prédéfinie ;
 un arbre de décision permettant d’identifier le plan d’action à mettre en place en cas de crise ;
 un catalogue de plans d’action standards correspondant aux différents scénarios de continuité d’activités ;[2]
 une liste de documents structurés permettant d’avoir les informations clés accessibles facilement (liste de contacts internes et externes, liste de produits et matières premières stratégiques, plan du site, plan d’électricité…).

Un Plan de Continuité d’Activités élaboré minutieusement et sereinement à l’avance permet également de préparer certaines actions indispensables à la gestion pendant et après la crise. C’est le cas par exemple de la reprise, qui demanderait un délai significatif tel que la qualification d’un fournisseur, d’un produit de remplacement, d’une zone de stockage (back-up) ou une l’installation d’un Groupe électrogène (back up).

Même s’il existe une norme (ISO 22301) permettant de définir les principes généraux d’un plan de continuité, les entreprises devraient s’assurer que ce dernier ne soit pas, ou devienne pas une procédure de plus, enfermée dans un tiroir que l’on n’utilise pas. Il doit être écrit de façon concise et pragmatique, tout en prenant en compte sa maintenabilité, pour des mises à jour. Ces mises à jour sont nécessaires pour prendre en compte les éventuelles évolutions des risques, de la vulnérabilité des processus, de la réglementation et de l’organisation de l’entreprise.

Pourquoi une difficile prise de conscience ?

Certaines entreprises, n’inscrivent pas la continuité d’activités à l’ordre du jour. Pourtant, dans une situation dégradée ou de sinistre dans laquelle les activités de certaines entreprises se trouveraient partiellement ou totalement interrompues, un Plan de Continuité d’Activité (PCA) les aiderait à activer rapidement des solutions organisationnelles, techniques et opérationnelles devant leur permettre de continuer la production des biens et services tout en assurant la protection de leurs collaborateurs ou employés et de leurs actifs.

D’autres entreprises ne font pas de la continuité d’activités un enjeu aussi stratégique que le Management de la Qualité ou des Risques. Dans la mesure où elles peinent à évaluer les risques et leur investissement dans un Système de Management de la Continuité d’Activités (SMCA), elles considèrent souvent la démarche comme un luxe. De ce fait, seule la confrontation à une crise apportera la preuve que les pertes subies sont souvent plus élevées que le coût d’investissement dans la sécurisation de l’activité.

Les PCA sont élaborés et formalisés dans le cadre de la mise en œuvre d’un SMCA dont les exigences sont décrites par la norme internationale ISO 22301 Sécurité et résilience. Ils sont spécifiques à chaque entreprise, tenant compte de leurs priorités et des exigences de leurs métiers et activités.
Des PCA souvent très focalisés sur les solutions voire réponses techniques

Quant aux entreprises dotées de PCA, elles ont réalisé à travers l’expérience des différentes crises telles que la pandémie COVID19 ou la crise sécuritaire, que leur plan n’anticipait pas suffisamment les impacts majeurs. Les constats suivants ont été faits :
L’impossibilité physique pour de nombreux collaborateurs de continuer à produire, n’ayant plus accès à leur lieu de travail du fait :
 des mesures de confinement, soit parce qu’ils doivent s’arrêter de travailler pour garder leurs enfants, soit parce qu’ils sont touchés par la maladie ;
 de l’inaccessibilité de leur zone de travail pour donner suite à la crise sécuritaire.
La rupture d’approvisionnement de fournitures critiques pour la continuité de l’activité [3] :
 du fait de la mise à l’arrêt de la production d’un partenaire stratégique localisé à l’autre bout du monde ;
 de l’inaccessibilité de certaines entreprises du fait de la crise sécuritaire.

Il apparait donc que les PCA se focalisent souvent sur des solutions de continuité de production purement techniques : mise en place d’infrastructures et de systèmes redondants, de sites de repli... Cependant, les PCA négligent deux facteurs tout aussi critiques que les actifs matériels dans une crise majeure : l’humain (voire les employées) et surtout les partenariats stratégiques.

Pourquoi intégrer la gestion des crises et la continuité d’activité dans le système de management global de l’entreprise ?

Une crise est une situation exceptionnelle. Aussi est-il impossible de tout prévoir. Mais la meilleure arme pour résister en temps de guerre et mieux rebondir en sortie de crise, c’est de se préparer en temps de paix.
Comment ? En intégrant la gestion de crise et la continuité d’activités dans le système de management global, en tenant compte des menaces les plus probables pour les activités de chaque organisation.

La mise en place et la gestion d’un SMCA relèvent d’une décision de la Direction générale de l’entreprise. Elles requièrent la nomination d’un Responsable Continuité d’Activités disposant de compétences et d’une capacité décisionnelle requises. La méthodologie du SMCA s’inscrit dans la Roue de Deming PDCA (Plan, Do, Check, Act). Il s’agit de :
 Planifier : définir les objectifs, l’organisation et la politique globale du SMCA.
 Mettre en œuvre : identifier et prioriser, dans le cadre de l’élaboration de l’analyse d’impact sur l’entreprise (composante de la planification de la continuité des activités qui aide à identifier les systèmes critiques et non critiques), les éléments jouant un rôle critique dans la chaine de production de biens et services ; évaluer les risques auxquels ils sont exposés et leurs impacts sur l’activité ; définir la stratégie de réponse à chaque scénario de crise ; développer des plans de continuité détaillant les procédures (Qui fait quoi ? Quand ? Comment ?).
 Vérifier les résultats : organiser des exercices réguliers (simulations) avec les collaborateurs pour tester l’efficacité et le bon fonctionnement des procédures.
 Améliorer : optimiser le PCA.

Les crises (crise sanitaire et crise sécuritaire) que traverse le monde invite à une approche plus globale de la continuité d’activités dans la phase ‘’mise en œuvre’’. Par ailleurs, elle met un coup de projecteur sur une solution de continuité des activités qui avait déjà démontré son intérêt lors des crises passées : le télétravail.

Anticiper le travail à distance comme solution de rechange lorsque cela est possible. Certaines entreprises ont adopté et organisé le télétravail pour pallier les différentes crises sanitaires ou sécuritaires. Toutefois, le déploiement du télétravail nécessite plusieurs prérequis et des investissements qui, au fil des crises et au regard des défis environnementaux, s’avèreront bénéfiques :
 La fourniture d’un ordinateur portable aux salariés concernés,
 La mise en œuvre d’une solution sécurisée d’accès à distance au système d’information de l’entreprise ayant une capacité suffisante pour supporter l’ensemble des demandes de connexion,
 L’existence d’une connectivité internet performante au domicile de tous les salariés concernés,
 La formation à l’utilisation de la solution mise en place,
 La fourniture d’un guide d’utilisation et d’un support technique en cas de problème.

Conclusion

Peu d’organisations ont dans leur évaluation des risques, pris en compte la crise sanitaire COVID19 que nous avons traversé et la crise sécuritaire que nous traversons. Cependant, ce qui ne nous tue pas, nous rend à priori plus fort dès lors que nous tirions les bonnes leçons et que nous exploitions les éventuelles opportunités d’amélioration.
Parmi les nombreux retours d’expériences tirer des crises, nous pouvons retenir certains enseignements :
 Traiter les pandémies et les crises sécuritaires comme un événement possible ou même probable dans l’évaluation des risques ;
 Gérer la continuité de façon plus globale en prenant en compte non seulement les risques liés à la sécurité des actifs (équipements, sites…), la sécurité de l’information, mais aussi à la sécurité et sûreté des personnes, ainsi qu’à la perte de partenaires stratégiques ;
 Prendre en compte les effets pervers de la mondialisation et le risque d’arrêt brutal de l’économie d’une d’entreprise en ayant un système de management des risques intégrant un PCA. Le PCA peut être perçu comme une charge par les employés et un coût pour les employeurs. Il est donc important de leur expliquer, les impliquer et leur faire comprendre les enjeux du plan. Chaque service doit être écouté et rassuré pour une mise en place rapide du PCA.

Bibliographie
1. Plan de continuité d’activité (PCA) : définition et mise en place, https://www.cse-guide.fr/plan-continuite-activite/.
2. La continuité d’activité : pourquoi la gestion des risques ne suffit ..., https://www.bearingpoint.com/fr-ma/publications-evenements/blogs/blog-industry/la-continuit%C3%A9-dactivit%C3%A9-pourquoi-la-gestion-des-risques-ne-suffit-toujours-pas/.
3. La continuité d’activité en situation de crise grave - Sofrecom, https://www.sofrecom.com/news-insights/la-continuite-dactivite-en-situation-de-crise-grave.html.

Dr BOUGOUMA Edith Christiane
Pharm.D, PhD. en Santé Publique et Microbiologie
(Certifié en Qualité-Santé- Sécurité-Environnement
et Management des Risques
BECqualityculture@gmail.com