Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PCA - Gestion de crise : une histoire d’hommes et de contexte

avril 2014 par Emmanuelle Lamandé

La mise en œuvre de Plans de Continuité d’Activité (PCA) et de gestion de crise s’avère aujourd’hui essentielle pour assurer la résilience de toute entreprise et de son business. Toutefois, celle-ci ne nécessite pas uniquement le déploiement de processus et outils techniques. C’est avant tout une histoire d’hommes et de contexte, car en fonction des événements et des personnes présentes au moment où la situation tant redoutée arrivera, la gestion de la crise sera complètement différente. Pour être efficiente, elle suppose donc en amont un travail continu de préparation, de sensibilisation et de formation des équipes, mais aussi des tests et exercices réguliers. Le CLUSIF, aux côtés du Club de la Continuité d’Activité, fait le point sur les écueils et bonnes pratiques en la matière.

Les plans de continuité d’activité et de gestion de crise partent globalement d’une analyse concrète des risques (catastrophes naturelles, grèves, incident technique, terrorisme…) au sein de l’entreprise et de la mise en œuvre des mesures adéquates, observe Stéphanie Ruelle, Club de la Continuité d’Activité (CCA). Toutefois, au-delà du risque lui-même, l’entreprise doit également se protéger contre les conséquences de ces risques sur la structure, son activité et son personnel. Il faut, en outre, savoir que c’est souvent à cause de facteurs humains et contextuels que la situation va dégénérer en crise. Celle-ci va, en effet, majoritairement dépendre des hommes qui vont devoir la gérer. Une même crise, en fonction des hommes présents, n’aura pas la même gestion de crise. Chacun arrive avec ses compétences techniques, ses problèmes personnels, son passé... Ces aspects ne doivent donc pas être négligés dans la mise en œuvre des PCA et plans de gestion de crise.

De plus, il est essentiel que les scénarios de crise soient établis avec les différentes parties prenantes et qu’une cellule de crise s’articule autour de différents profils, afin d’avoir une vision de la crise dans son ensemble, et de ne pas la traiter uniquement avec les « yeux » d’un informaticien, d’un commercial, d’un DRH... Effectivement, les personnes d’astreinte, qui sont contactées en cas de problème, sont généralement compétentes sur leur périmètre, mais n’ont souvent pas une bonne vision du reste du groupe. L’aspect psychologique n’est, d’ailleurs, jamais prêt dans une gestion de crise. D’autant que les situations d’astreinte mêlent souvent vie privée et vie professionnelle.

Elle raconte, à titre d’exemple, avoir déjà été contactée un samedi après-midi, étant elle-même au supermarché avec sa fille en bas âge, par un salarié de son ancien groupe, qui voulait tuer sa femme à l’autre bout de la planète. Une situation compliquée, dont la gestion dépend complètement du contexte et des personnes présentes à ce moment-là : dans un premier temps, du fait de ne pas rater l’appel, de faire accepter à la direction du supermarché de lui prêter un autre téléphone pour avertir en parallèle le personnel médical à contacter en cas d’urgence, sans être obligée de raccrocher pour autant avec le salarié, puis que le médecin décroche immédiatement, mais aussi d’accepter de laisser sa fille sous la surveillance d’une tierce personne inconnue pendant la gestion de cette situation… L’histoire s’est finalement bien finie, mais ce sont là autant de facteurs qui auraient pu faire en sorte que la situation dégénère très vite. Sans compter la suite de la gestion de crise, qui a nécessité le rapatriement sanitaire de ce salarié déséquilibré, mais avec au préalable trois examens psychiatriques pour savoir s’il pouvait rentrer seul, escorté ou avec une camisole de force…

Le déni de la crise : un aspect à ne pas négliger

Le problème dans la gestion de crise, c’est aussi le déni des équipes au niveau opérationnel. Certaines personnes pensent pouvoir « réparer » elles-mêmes et n’y arrivent pas ou ont peur d’annoncer à leur direction qu’elles ne vont pas y parvenir. Ce genre de situation faire souvent perdre beaucoup de temps dans la gestion de crise. Cet aspect ne doit pas non plus être négligé, car ce déni nous l’avons tous eu ou nous l’aurons tous à un moment de notre vie. Elle cite l’exemple d’un dirigeant d’entreprise qui refusait complètement de prendre conscience des dégâts de son entreprise suite à un tremblement de terre en Asie. On imagine, souvent à tort, que comme « il ne nous est jamais rien arrivé, il ne nous arrivera jamais rien ». En outre, on ne pense généralement pas au grain de sable qui peut venir enrayer le système, comme une grève des informaticiens par exemple... Il est essentiel pour une entreprise de prendre du recul par rapport à ses risques et à leur gestion, et surtout de tester et re-tester ses PCA.

L’important pour un RSSI et/ou RPCA (Responsable des Plans de Continuité d’Activité) est aussi de traiter les risques de manière différenciée, complète Nicolas de Thoré, CCA. Il faut dissocier chaque élément, les prendre en compte les uns derrière les autres, et donc procéder au traitement des risques par étapes. Il est, de plus, essentiel de faire la différence entre les incidents de production et les incidents majeurs faisant intervenir la gestion de crise. Le RPCA doit être en phase avec la stratégie de couverture des risques et les priorités définies par la Direction Générale. Et surtout s’accorder avant tout sur la terminologie : l’interprétation personnelle des différents termes brouille souvent les objectifs, les approches et les solutions. La définition de cette terminologie est d’ailleurs l’un des objectifs du Club de la Continuité d’Activité (CCA), créé en 2007, qui regroupe aujourd’hui près de 150 praticiens œuvrant dans le domaine de la continuité d’activité, explique-t-il. Globalement, le CCA articule son activité autour de trois principales missions :
 Partager les informations et différentes visions du domaine, mais aussi ses retours d’expérience et bonnes pratiques ;
 Parfaire la maîtrise de chacun au travers de recommandations et de conseils ;
 Développer une démarche pérenne au sein de son entreprise.
L’objectif du Club est de rassembler les différentes compétences et expériences en matière de continuité d’activité, mais aussi de les partager à l’occasion de matinales, dans la réalisation de livres blancs...

La sensibilisation et les exercices PCA doivent être continus pour maintenir l’environnement de secours opérationnel

L’implication des utilisateurs dans le PCA est également essentielle, remarque Thierry Autret, RPCA et RSSI au sein du GIE Cartes Bancaires, d’où l’importance d’une sensibilisation continuelle, mais aussi de l’organisation régulière d’exercices de mise en œuvre de PCA et de gestion de crise. A ce titre, il a mis sur pied deux exercices PSI et PCA au sein de sa structure, qu’il a menés en 2012 et 2013 avec les métiers critiques.

L’aspect humain de l’exercice s’avère fondamental, souligne-t-il. « La sensibilisation, les informations transmises en continu aux comités de direction, aux chefs de service, mais aussi aux responsables intermédiaires sont des aspects cruciaux d’un PCA. Il est, de plus, important de justifier le temps passé auprès des équipes et de leur expliquer pourquoi ce genre d’exercice a de l’importance. L’information et la formation des personnes concernées, l’implication des correspondants PCA, le briefing en amont et le débriefing à chaud le lendemain sont autant de facteurs qui en feront la réussite. Notre premier exercice s’est avéré très positif pour la structure, car il a permis de concrétiser un travail de longue date en matière de continuité d’activité, et de faire en sorte que le PCA devienne beaucoup plus pragmatique pour les équipes. Cependant, la première fois, c’est toujours un choc psychologique pour les collaborateurs, car ils doivent faire face au changement de leurs habitudes de travail. Les personnes se retrouvent désorientées, car elles ne sont plus dans leur bureau et ont perdu leurs repères.

Le bilan de la première journée a, toutefois, permis de mettre en avant une forte implication des salariés, mais aussi de concrétiser des messages qui leur paraissaient jusqu’alors « virtuels ». Elle aura permis à la fois de développer la prise de conscience des personnels, mais aussi leur faire réaliser les choses oubliées ou à améliorer, et le besoin de formaliser les procédures. On a également pu observer une solidarité spontanée dans les équipes. Cette journée aura, enfin, permis au service informatique, qui se veut souvent trop confiant, de prendre conscience que cela ne marche jamais comme prévu. Concernant le second exercice, qui a eu lieu en 2013, la motivation était un peu moindre, car ce n’était plus une découverte pour eux : « ça a marché l’an passé, alors ça ne sert à rien de le refaire »… Néanmoins, le personnel a souhaité aller plus loin que l’année précédente dans l’exercice.

Dans l’ensemble, le bilan de ces exercices s’est donc avéré positif, même si les résultats sont toujours à confirmer. Il est, en effet, essentiel de sensibiliser la DSI en permanence pour maintenir l’environnement de secours opérationnel ».

Un test de redémarrage de la production doit être fait en conditions réelles

Toutefois, la question est aussi de savoir si la solution de secours va véritablement correspondre à l’environnement de production. C’est pourquoi un test de redémarrage de la production doit être fait en conditions réelles si l’on veut s’assurer de l’efficience d’un PCA. Il appartient au dirigeant de prendre cette décision de test en situation réelle. C’est également à la DG de définir son niveau de couverture de risques et son investissement en la matière.

ISO 22301 : le cadre de référence dédié à la continuité d’activité

Pour aller encore plus loin dans la démarche de continuité d’activité, les entreprises peuvent également opter pour la certification ISO 22301, explique Vazrik Minassian, Directeur associé d’Adenium. On observe d’ailleurs aujourd’hui une demande réelle en la matière. Ce fut le cas de la société Soitec, spécialiste mondial de la production et de la génération de matériaux semi-conducteurs pour les marchés de l’électronique et de l’énergie, certifiée ISO 22301:2012 en août 2013 pour son site de Bernin. Cette norme internationale fournit un cadre de référence aux entreprises pour mettre en place des procédures permettant d’assurer la continuité des activités critiques lors de circonstances exceptionnelles.

L’objectif de ce plan de continuité, mis en place dans la structure, est de protéger l’entreprise contre des incidents perturbateurs (incendie, indisponibilité du système d’information, pandémie, acte de malveillance…) en réduisant leur impact potentiel sur son activité. Sur la base de différents scénarii dits « de crise », Soitec a ainsi mis en place une méthodologie pour assurer la bonne gestion des difficultés qui pourraient alors être rencontrées. La volonté de s’inscrire dans cette démarche découle à la fois de l’entreprise elle-même, mais aussi de celle de ses clients. L’exigence de PCA s’avère, en effet, de plus en plus prégnante dans les besoins clients, et celui-ci devient donc aujourd’hui un véritable argument commercial.

PCA : peut-on parler de ROI ?

« Comment identifier la justification économique de ces plans, peut-on parler de ROI ? », se questionne François Tête, Directeur de Devoteam. Car, en effet globalement, « la veille d’un incident de sécurité, le ROI d’un système de sécurité est nul, le lendemain, il est infini », cite-t-il. Tenter d’évaluer le ROI d’un tel projet en amont permet toutefois de mieux argumenter le « pourquoi » auprès de sa direction. Un tel calcul repose, selon lui, sur le calcul des coûts et celui des gains qualitatifs et quantitatifs. Du côté des coûts, il s’agit notamment des investissements (charge de travail, matériel, logiciel, service…) et des récurrents (charge de travail MCO, maintenance, licence, tests et exercices…). Les gains potentiels découlent, quant à eux, majoritairement du déclenchement du PCA, mais peuvent être déterminés en amont par une BIA (Business Impact Analysis). Cependant, ceux-ci ne s’arrêtent pas là. En effet, la mise en œuvre d’un PCA accroît généralement la productivité, car permet une meilleure connaissance de l’entreprise et de ses processus. Elle s’avère également être un bon argument commercial, mais peut aussi être utilisée ponctuellement pour d’autres usages, tels que la maintenance. Sans compter que certaines entreprises sont tout simplement obligées d’avoir un PCA aujourd’hui, notamment dans le domaine financier.
Au final, l’évaluation ou la certification d’un PCA sert-elle à justifier les coûts ou à démontrer que le PCA fonctionne bien ? Comme le disait Alfred Capus, « tout s’explique et rien ne se justifie », conclut-il.


Voir les articles précédents

    

Voir les articles suivants