Face à une problématique, comme la crise majeure actuelle, ces organisations cherchent à limiter les effets de celle-ci sur leurs activités ainsi que sur leurs différentes ressources humaines internes ou externes, matérielles (produits, locaux, téléphonie, postes de travail, matériel informatique, logistique, etc.) et non matérielles (données, fichiers). Certaines d’entre elles décident donc de mettre en place un plan de continuité.
«Cette approche permet de mettre en œuvre des mesures pour faire face à différents types de menaces, de nature humaine, naturelle ou technique, afin de réduire, éliminer ou transférer le risque lié à la perte de certains actifs essentiels aux processus critiques», précise Patrice Passé-Coutrin, Directeur Conseil Expert en Business Resilience chez CGI. Ce plan, élaboré en plusieurs phases, doit être régulièrement adapté car les risques comme l’entreprise peuvent évoluer dans le temps (nouvelles activités, nouveaux clients, nouveaux fournisseurs, etc.).
Un processus devenu indispensable
Pour certains secteurs, comme les services financiers, l’usage de ce plan de continuité était déjà répandu, et mis en œuvre et testé à un niveau plus ou moins complet en raison de plusieurs réglementations (Bale 2, Solvency 2, SOX…) notamment. La taille de l’entreprise peut également jouer un rôle. «Les entreprises de grande taille ont déjà anticipé ce type de démarche avec plus ou moins d’efficacité. Elles ont généralement une organisation, une gouvernance, des procédures, des moyens informatiques ou logistiques. Dans les plus petites entreprises, la situation est plus compliquée, ce n’est pas quelque chose de nécessairement prévu ou anticipé. Nous le constatons, un certain nombre de PME ont été obligées de s’arrêter.»
Mettre en place ce processus semble particulièrement indiqué alors que les crises se multiplient et parfois se combinent. «Ce processus est indispensable, ne serait-ce que pour la pérennité et la survie de l’entreprise. On peut néanmoins le voir comme une opportunité. Les entreprises ont ainsi l’occasion de coupler les solutions de secours envisagées avec leurs projets stratégiques, visant par exemple à accélérer la digitalisation et l’automatisation de leurs processus, la modernisation de leurs systèmes et infrastructures informatiques, ce qui peut être un vecteur de croissance et de réduction des coûts». L’entreprise peut en outre réfléchir à un nouveau modèle opérationnel en réinventant ces activités et/ou en mettant fin à d’autres qui n’ont plus de valeur ajoutée afin de se concentrer sur son cœur de métier.
Ce que nous préconisons, c’est de privilégier la prévention afin de limiter l’impact et l’occurrence des sinistres de grande ampleur, d’externaliser certaines activités de secours, d’investir dans des solutions mutualisables.
La méconnaissance de la démarche d’élaboration ainsi que les coûts figurent parmi les freins à cette mise en œuvre. «Ce que nous préconisons, c’est de privilégier la prévention afin de limiter l’impact et l’occurrence des sinistres de grande ampleur, d’externaliser certaines activités de secours, d’investir dans des solutions mutualisables ou ayant un coût variable suivant l’usage qui en sera fait comme les services de Cloud computing.»
Définir des stratégies de continuité
Pour mettre en place ce processus, un audit rapide de la situation de l’entreprise est nécessaire et permet d’identifier les risques auxquels cette dernière peut être confrontée selon la localisation de ses sites, la typologie de ses employés/prestataires ou ressources informatiques.
«Cet audit met en avant les forces et les points d’amélioration. L’objectif est ensuite de dérouler la méthode de bout en bout et de définir puis opérationnaliser les stratégies selon les menaces (inondations, grèves, pandémies, cyberattaques, etc.).»
Outre la mise en place d’un volet gouvernance, organisation, procédures et moyens, il est important de faire participer les employés à cette démarche en les formant et en les sensibilisant. La résilience et l’agilité de l’entreprise sont aussi primordiales. «L’aspect agilité est à prendre en considération pour pallier les différentes crises qui arriveront de plus en plus fréquemment avec des impacts de plus en plus complexes à appréhender.»
Le fait de ne pas avoir anticipé cause aussi une charge de travail supplémentaire, et donc d’heures supplémentaires, pour revenir au même niveau qu’une entreprise qui a pu tout prévoir.
Pour anticiper une crise, il est également nécessaire d’identifier les risques indirects. Dans le contexte actuel, il est question des risques de sécurité informatique liés au télétravail ou des risques psychosociaux liés au confinement.
Des impacts divers
Pour les entreprises qui n’ont pu mettre en place ces stratégies, les impacts sont variés, allant de la réduction des parts de marché à la faillite en passant par la perte d’une partie ou de la totalité de sa clientèle. «Le fait de ne pas avoir anticipé cause aussi une charge de travail supplémentaire, et donc d’heures supplémentaires, pour revenir au même niveau qu’une entreprise qui a pu tout prévoir.» Au-delà de cette dimension commerciale, plusieurs autres typologies sont à considérer: financière (pertes de revenus, augmentation des coûts opérationnels, des pénalités, du loyer de l’argent), réglementaire, légale, de réputation et d’image (perte de confiance des clients, investisseurs, partenaires), etc. Réaliser une analyse d’impacts est donc fondamental pour identifier les processus qui devront être privilégiés dans le cadre de la reprise des activités.
Plusieurs leçons à tirer
L’aspect risque est inhérent à notre monde. Les entreprises doivent donc disposer de stratégies différenciées qui pourront être mobilisées avec l’assistance de contreparties externes. Elles doivent également travailler sur leur agilité à basculer rapidement au niveau de leur activité, voire d’en changer. Enfin, la solidité financière doit être prise en compte.
«Nous sommes souvent sur des stratégies court-termistes, nous ne sommes pas forcément sur des revenus financiers durables dans le temps. Du coup, il y a peut-être une transformation du modèle d’affaires à opérer pour aller sur des revenus plus pérennes et avec une dimension sociale et écologique plus affirmée par rapport aux crises que nous pourrions subir.»