«Un des grands enseignements de la crise du Covid-19, ce sera le retour vers des entreprises socialement responsables, avec une vision beaucoup plus à long terme et axée sur la durabilité», assure le CEO de l’European Business Reliance Centre (EBRC), .
Les entreprises ont en effet été durement impactées par les nécessaires mesures de lutte contre la pandémie de Covid-19. Et leur capacité à résister, à rebondir et à ressortir plus fortes face à des changements d’environnement, des impacts ou des crises est devenue un enjeu majeur. Pour accroître cette résilience, le plan de continuité d’activité (business continuity plan en anglais) est un outil essentiel.
Les entreprises sont alors «mieux préparées pour répondre de manière efficace à des événements disruptifs et donc mieux à même de reprendre au plus vite leurs activités, tout en minimisant les impacts humains, opérationnels et financiers ainsi que les risques liés à la réputation», explique Irina Hedea, partner au sein du département Information & Technology Risk chez Deloitte Luxembourg.
Certaines entreprises et administrations publiques s’étaient préparées à un scénario de pandémie tel que nous le vivons actuellement.
Depuis la crise du SRAS en 2003 et surtout celle du H1N1 en 2009, la pandémie est un risque identifié que les entreprises ne peuvent pas ignorer.
«Depuis la crise du SRAS en 2003 et surtout celle du H1N1 en 2009, la pandémie est un risque identifié que les entreprises ne peuvent pas ignorer, estime Yves Reding. Nous avions ainsi établi un plan pandémie sérieux pour nous-mêmes et pour certains de nos clients à l’époque. Ce plan pandémie de 2009 a, par ailleurs, constitué notre fil conducteur cette fois-ci.»
La Ville de Luxembourg avait ainsi elle-même élaboré en 2009 un plan pandémie après la crise de la grippe aviaire. «Cela nous a ainsi permis d’avoir un coup d’avance, explique la bourgmestre de la capitale, . Tous les services savaient ce que l’on attendait d’eux et donc comment, à leur échelle, ils devaient se préparer.» De même pour AXA Luxembourg, qui avait prévu un plan pandémie voilà deux ans.
«Le risque de pandémie est identifié depuis longtemps, confirme Olivier Vansteelandt, CIO chez AXA Luxembourg et en charge de la gestion de crise et de continuité des opérations. Depuis trois ans, le groupe AXA a relevé le niveau de criticité sur ce scénario. Et, récemment, nous avons fait un test sur un scénario de pandémie pour voir comment nous étions préparés à gérer ce type de cas. Donc cela permet, quand l’événement survient, d’avoir beaucoup de choses prêtes à être utilisées tant au niveau du groupe qu’au niveau local. Nous étions donc déjà rodés à ce type d’exercice et aux questions que cela allait poser.»
L’investissement dans le risk management, c’est ce qui rapporte le plus, parce que cela vous permet de passer à travers tout, de mieux gérer l’incertitude et de surperformer sur la durée.
Selon Yves Reding, le Luxembourg est un écosystème plutôt conscient des risques: «Compliance, risk management, sécurité: la place financière est totalement crédible à l’international par rapport à ce savoir-faire. La culture de la gestion du risque, de la sécurité et de la continuité est tout de même plus importante au Luxembourg que dans d’autres pays.»
Malgré tout, le pire et le meilleur se côtoient dans le pays, selon le CEO d’EBRC: «Il y a vraiment de tout: certaines entreprises, on le sent tout de suite, ont cela dans leur ADN, tandis que, pour d’autres, la gestion du risque, c’est à peine si on sait ce que ça veut dire: c’est une perte, c’est quelque chose qui, de toute façon, ne ramène rien… Mais cela reste du raisonnement à court terme. Car l’investissement dans le risk management, c’est ce qui rapporte le plus, parce que cela vous permet de passer à travers tout, de mieux gérer l’incertitude et de surperformer sur la durée.»
Analyser les risques
Pour envisager une pérennité qui dure 30, 40, voire 50 ans, il est essentiel pour une entreprise de travailler sur sa résilience. Ce qui passe dans un premier temps par une analyse globale des risques: faire l’inventaire de tous les risques, évaluer leur probabilité puis analyser leur impact.
«Toutes les situations doivent être prises en compte et évaluées en fonction de leur niveau de risque, de leur probabilité de survenance et des impacts qu’elles pourraient avoir sur les activités critiques de l’entreprise et sur la sécurité de son personnel», explique Irina Hedea, qui ajoute: «Les événements imprévisibles font partie de l’essence même» du plan de continuité.
Différents types de risques sont alors envisageables, dont la probabilité et l’intensité de l’impact varient: les risques à probabilité élevée et à impact faible, comme les problèmes informatiques divers ou l’indisponibilité du personnel (provoquée, par exemple, par la grippe saisonnière l’hiver, ou, dans un pays comme la France – où elle peut être plus fréquente –, par la grève). Existent aussi les risques à probabilité élevée et impact important, qui doivent absolument être couverts. Ou encore, plus complexes, ceux à probabilité faible et impact très violent, .
En fonction des risques, de votre niveau d’acceptation des risques et de cette balance, vous allez décider si tel risque est acceptable ou non.
Après cette analyse des risques, les décisions restent à prendre par le management. «C’est une sorte de balance entre le coût d’un risque s’il se réalise et le coût de protection contre ce risque, explique Yves Reding. En fonction des risques, de votre niveau d’acceptation des risques et de cette balance, vous allez décider si tel risque est acceptable ou non. Et si le risque n’est pas acceptable, vous allez le mitiger grâce à des contre-mesures.»
Identifier les activités prioritaires
Vient ensuite la deuxième étape, le business impact analysis (BIA): «Vous allez prendre votre cartographie des risques, analyser vos activités, vos process, vos données, vos ressources, vos fournisseurs, tout votre écosystème et vous allez évaluer, si tel risque se réalise, quel sera l’impact des disruptions sur votre organisation. Sur cette base, vous allez définir votre stratégie de résilience et de continuité des activités», explique Yves Reding. Il s’agit alors d’identifier les activités prioritaires à continuer ou redémarrer selon le contexte.
À la Ville de Luxembourg, cette identification n’a pas manqué d’être réalisée au commencement de l’épidémie: «Nous avions identifié très rapidement les risques majeurs au niveau de l’administration, explique Lydie Polfer. Il fallait savoir quels étaient les services essentiels, vitaux, ceux qui en période de pandémie doivent être maintenus – et peut-être justement plus encore en période de pandémie: services d’hygiène, eau, énergie, transport public, le service de téléalarme pour les seniors, l’informatique, le secrétariat général, les finances… Mais aussi le Bierger-Center, car il y a des gens qui meurent et qui viennent au monde, ou qui veulent se marier, et il faut les enregistrer.»
Selon les cas de figure, on applique des stratégies différentes.
AXA Luxembourg non plus n’a pas dérogé à cette étape: «Dans le cadre de la pandémie, le scénario consiste à avoir le minimum de gens sur place. Si je prends le scénario de cyberattaque, c’est l’inverse, on a un maximum de gens sur place et on isole plutôt toutes les connexions extérieures. Donc, selon les cas de figure, on applique des stratégies différentes, explique Olivier Vansteelandt. Nous avions fait une analyse des risques pour chaque département: chaque équipe analyse ses risques, identifie quels sont les personnes et les processus qui sont critiques. En cas de crise, tout le monde sait finalement à quoi on donne la priorité parce qu’il y a des processus critiques qui doivent être absolument maintenus, et d’autres qui peuvent soit venir dans un second temps soit carrément être mis à l’arrêt. Nous savons aussi quelles sont les personnes qui sont critiques durant les 24 ou les 48 premières heures, et qui sont susceptibles d’aller sur le site de secours et d’être mobilisées. Toute cette chaîne de commandement et de réaction est prête et globalement entraînée.»