1 Continuité d'activité

 

1.1 Historique

Historique, notions du risque, continuité d'activité
historique

Toute décision comporte un risque. Peter Barge

Le mot risque pourrait venir du mot latin resecum « ce qui coupe, écueil » d’où l’origine maritime « rocher escarpé » ou pourrait découler de l’italien ancien risicare, qui signifie "oser."

Les opportunités et les menaces sont les deux côtés de la même pièce appelée risque. Quand l’issue est favorable on parle d’opportunité, quand l’issue est défavorable on parle de menace. 

Il y a environ 5200 ans dans la région de l’Euphrate, un groupe appelé Asipu était consultant en analyse du risque pour la prise de décisions risquées ou incertaines.

En Mésopotamie, il y a environ 3900 ans l'assurance a débuté comme l'une des plus anciennes stratégies de gestion du risque.  La prime de risque pour les pertes de navires et de cargaison dans les contrats de base était formalisée dans le code d’Hamurabi. 

Il a y plus de 2400 ans Périclès parle comment prendre des risques et les évaluer avant de réaliser une action. Son compatriote Socrate définit eikos (possible, probable) comme « vraisemblance à la vérité ».

Blaise Pascal et Pierre de Fermat ont jeté les bases de la théorie de la probabilité dans les années 1650 ce qui a ouvert la porte à l’évaluation quantitative du risque.

Pierre Simon de Laplace a développé en 1792 une analyse du risque avec ses calculs de la probabilité de décès avec et sans vaccination antivariolique.

La gestion du risque est relativement récente. Par exemple, l'accord de Bâle II sur les exigences de gestion du risque dans le secteur bancaire date de 2004. Quelques normes prescriptives (non certifiables) sur le risque sont apparues au début du XXI siècle. 

Une difficulté dans la gestion du risque provient du fait que l’événement concerné (le dommage) se situe dans le futur. Il faut imaginer un événement qui n’aura peut-être jamais lieu.

Le risque zéro n’existe pas

La crise financière mondiale de 2008 a remis en question la contribution de la gestion du risque. Certains ont dit que les méthodes de gestion du risque n'ont pas réussi à éviter cette crise. Mais l’analyse révèle que cet échec est surtout dû :

  • au manque d’une analyse équilibrée des bénéfices élevés et les risques encourus
  • au mauvais jugement de l’improbabilité de certains événements (niveau du risque mal quantifié) basé sur des modèles financiers imprudents
  • à la faible surveillance des paramètres clés
  • à la compréhension divergente des différents acteurs sur le goût du risque et l’attitude face au risque
  • à l'effondrement des marchés monétaires de gros non anticipé par les modèles de crédit utilisés par certaines banques

La gestion du risque a été considérée dans le passé par certains responsables comme quelque chose de superflu. Ces personnes pensaient que l’objectif principal était d’éviter le risque. Depuis beaucoup ont compris que le risque est inévitable et intrinsèque à toute activité mais doit être réduit à un niveau acceptable.

Le risque ne peut être éliminé

La gestion du risque est devenue une nécessité incontournable, même la norme ISO 9001 (systèmes de management de la qualité – exigences) depuis la version 2015 a inclus l’approche par les risques. 

Le risque qui résulte de l'incertitude peut être géré. La capacité à identifier le risque, à l’analyser, à l’évaluer, puis à agir en conséquence est à la base de la gestion du risque. 

Le management de la continuité d’activité est aussi relativement récent. Une des premières normes concernant le système de management de la continuité d’activité (SMCA) date de 2003 : BSI PAS 56, Guide to Business Continuity Management (Guide du management de la continuité d’activité), (cf. paragraphe 2.2).

La première édition de la norme ISO 22301 (« Sécurité sociétale - Systèmes de management de la continuité d'activité - Exigences ») date de 2012.

Depuis quelques décennies la majorité des entreprisesstructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) a pris conscience que les coûts de la mise en place de la gestion de la continuité d’activité sont dérisoires comparés aux conséquences défavorables ou même aux assurances à contracter. 

Quelques différences entre la gestion du risque et la gestion de la continuité d’activité sont montrées dans le tableau 1-1 :

Tableau 1-1. Différences

  Gestion du risque Gestion de la continuité d'activité
Finalité Réduction du risque Survie (résilience) de l'entreprise
Activité Incident du quotidien Perturbation majeure
Domaine d'application Un département L'entreprise
Méthode Analyse du risque Analyse d'impact
Sujets concernés La vraisemblance et impact L'impact direct et dans le temps

 

Histoire vraie
 
Pour un cirque les risques susceptibles de provoquer des soucis d’une représentation comprennent une coupure de courant, une tempête, l’absence de plusieurs acteurs ou techniciens (maladie ou conflit social), des problèmes de transport importants pour le public.

Après avoir identifié, analysé et évalué les risques qui pourraient perturber la représentation, la direction doit décider quelles actions appliquer pour réduire les chances d'annulation.

D’après une enquête d’Eagle Rock Alliance, 40 % des entreprisesstructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) sondées estiment que 72 heures d’interruption de leur système informatique est un délai critique avant le risque de faillite.

L’objectif principal de la gestion de la continuité d’activité est d’assurer la survie de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) en toutes circonstances.

Haut de page

 

1.2 Mise en place

Mise en place d'un SMCA, cycle PDCA
 
mise en place
 

Se préparer au pire est une vision réaliste et pragmatique du monde

L'établissement et la mise en place du système de management de la continuité d’activité ISO 22301 sont montrés dans la figure 1-1. 

mise en place
Figure 1-1. Mise en place d'un SMCA

L'étape 1 consiste à expliquer l’importance d’avoir un SMCA, à identifier et définir les processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1), les interactions, les pilotes, les responsabilités et les brouillons de certains documents. Avec la participation du maximum de personnes disponibles sont rédigés les premières versions des plans de continuité d’activité. 

Dans l'étape 2 sont fixées les ressources nécessaires pour atteindre la politique et les objectifs de continuité d’activité. Une planification des tâches, responsabilités et délais est établie. Une formation des auditeurs internes est prise en compte. 

L'étape 3 permet de définir et mettre en œuvre les méthodes permettant de mesurer l’efficacité et l’efficience de chaque processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) et des plans de continuité d’activité. Des audits internes permettent d'évaluer le degré de la mise en place du SMCA.

Les non-conformités en tout genre sont répertoriées à l'étape 4. Une esquisse des différents écarts est établie. Des actions correctives sont mises en place et documentées.

Une première appréciation des outils et du domaine d'application du processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1) d'amélioration continue est faite à l'étape 5. Des risques sont déterminés, des actions sont planifiées et des opportunités d’amélioration sont trouvées. La communication en interne et en externe est établie et formalisée.

Pour effectuer l'audit à blanc du SMCA (étape 6) la documentation du SMCA est vérifiée et approuvée par les personnes appropriées. Une revue de directionexamen périodique réalisé par la direction du système de management pour son amélioration continue (voir aussi ISO 9000, 3.8.7) permet d'évaluer le respect des exigencesbesoin ou attente implicites ou explicites (voir aussi ISO 9000, 3.1.2 et 3.12.1) applicables. La politique et les objectifs de continuité d’activité sont finalisés. Un responsable du PCA d'une autre entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) ou un consultant pourra fournir de précieuses remarques, suggestions et recommandations. 

Quand le système est correctement mis en place et respecté, la certification du SMCA par un organisme externe devient une formalité (étape 7).

Un exemple de plan de projet de certification ISO 22301 comportant 26 étapes est présenté dans l’annexe 01. enregistrement  

Une méthode pertinente pour évaluer le niveau de performance de votre système de management de la continuité d’activité est la logique RADAR du modèle d’excellence de l’EFQM (European Foundation for Quality Management) avec ses 9 critères et sa note globale sur 1000 points.

Le cycle PDCAde l’anglais Plan, Do, Check, Act ou Planifier (prévoir), Dérouler (faire), Comparer (vérifier), Agir. Appelé aussi cycle de Deming. Démarche classique d'amélioration continue, ou cycle de Deming (figure 1-2) s’applique à la maîtrise de tout processusactivités qui transforment des éléments d'entrée en éléments de sortie (voir aussi ISO 9000, 3.4.1). Les cycles PDCAde l’anglais Plan, Do, Check, Act ou Planifier (prévoir), Dérouler (faire), Comparer (vérifier), Agir. Appelé aussi cycle de Deming. Démarche classique d'amélioration continue (de l'anglais Plan, Do, Check, Act ou Planifier, Dérouler, Comparer, Agir) sont une base universelle de l’amélioration continue.


pdca 
Figure 1-2. Le cycle de Deming

  • Planifier, définir le contexte, les enjeux et les processus, faire preuve de leadership, établir la politique et les objectifs de continuité d’activité, traiter les risques  (articles 4, 5, 6 et 7)
  • Dérouler, faire preuve de leadership, analyser le bilan d’impact sur l’activité, apporter le support, établir les stratégies et les solutions, réaliser les plans de continuité d’activité et les tester (articles 5, 7 et 8)
  • Comparer, faire preuve de leadership, évaluer, inspecter, conduire les audits et les revues de direction (articles 5 et 9)
  • Agir, adapter, faire preuve de leadership, traiter les non-conformités, réagir avec des actions correctives et trouver de nouvelles améliorations (nouveau PDCA), (articles 5 et 10)

Pour approfondir ses connaissances sur le cycle de Deming et ses 14 points de la théorie du management vous pouvez consulter le livre « Hors de la crise » W. Edwards Deming, Economica, 2002 paru pour la première fois en 1982, cf. paragraphe 2.3. 

Haut de page

 

1.3 Bénéfices

Bénéfices, excuses
1.3
 

Préparer la guerre en temps de paix

Souvent la décision de mettre en place un SMCA et des PCA est prise après avoir subi une crise ou une situation très proche d’une catastrophe financière.

Des incidents, des accidents, des crises, des sinistres et des catastrophes n’arrivent pas qu’aux autres !

Chaque perturbation est spécifique et cause des dommages souvent inattendus et différents. Une préparation à ces événements d’origine naturelle (séisme, inondation, incendie) ou d’origine humaine (terrorisme, cyber attaque, perte de personnel qualifié) ne peut que nous être bénéfique. 

Une réponse à une perturbation partielle ou totale, potentielle ou réelle, consiste à avoir un plan de continuité d’activité et une équipe de crise désignée. Alors vous pourrez diminuer certains risques, atténuer les impacts et reprendre les activités prioritaires pendant et après une perturbation.

Bénéfices attendus de la gestion de la continuité d’activité :

  • prévenir les situations de crise
  • renforcer sa résilience en évaluant et réduisant les conséquences d’une crise
  • maintenir les activités vitales de l’entreprise pendant une perturbation
  • mettre en place les outils et équipements de protection civile
  • sensibiliser et former le personnel sur le comportement à adopter en cas de crise
  • protéger le patrimoine de l’entreprise
  • réduire les coûts d’assurance (renégociation du contrat)
  • protéger et améliorer la réputation de l’entreprise
  • renforcer la confiance des parties prenantes
  • consolider l’avantage concurrentiel 
  • répondre aux exigences légales et réglementaires
  • anticiper les incidents perturbateurs et réduire le risque de sinistre
  • disposer de processus efficaces pour garantir la continuité d’activité
  • établir une base fiable pour la prise de décisions en temps de crise
  • analyser et comprendre les principales menaces et domaines de vulnérabilité
  • augmenter la vraisemblance d'atteindre les objectifs
  • accroître les opportunités à saisir
  • diminuer les pertes
Histoire vraie
 

Amazon, l'un des leaders mondiaux du commerce électronique, a mis en place l'ISO 22301 pour améliorer la confiance des clients dans la capacité de l'entreprise à maintenir ses services en cas d'incident majeur.

La certification ISO 22301 a permis à Amazon de démontrer son engagement envers la continuité de ses services et de rassurer ses clients.

Amazon a enregistré une augmentation de la confiance des clients, démontrant l'importance de la continuité d'activité pour les clients du e-commerce.

Qui s’excuse s’accuse

Excuses courantes pour expliquer un échec :

  • c’était de la responsabilité de la direction
  • ce n’était pas une exigence explicite dans le contrat
  • comment avoir un plan efficace face à tellement de problèmes potentiels
  • donnez-moi assez de temps et tout sera réglé
  • en cas de situation d’urgence grave, l’implication sera tout autre
  • il n’y avait pas assez de temps 
  • il n’y avait pas de personnel disponible
  • il y a des choses plus importantes à faire
  • j’étais sûr que nous pourrions faire face
  • je ne me suis pas rendu compte que c'était si grave
  • je ne pensais pas que c’est un processus clé 
  • je ne pensais pas que cela arriverait
  • l’assurance devait prendre cette situation en charge
  • le contrat était déjà signé
  • vous ne pouvez pas planifier l'imprévu

Une liste de succès et d’échecs de la continuité d'activité se trouve dans l’annexe 02. enregistrement

Minute de détente. Jeu : Risque

Haut de page