Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

CONTINUITÉ D’ACTIVITÉ ET GESTION DE CRISE : DE LA TECHNIQUE À L’HUMAIN Stéphani

CONTINUITÉ D’ACTIVITÉ ET GESTION DE CRISE : DE LA TECHNIQUE À L’HUMAIN Stéphanie Ruelle Club des Directeurs de Sécurité des Entreprises | « Sécurité et stratégie » 2012/3 10 | pages 32 à 40 ISSN 2101-4736 Article disponible en ligne à l'adresse : -------------------------------------------------------------------------------------------------------------------- https://www.cairn.info/revue-securite-et-strategie-2012-3-page-32.htm -------------------------------------------------------------------------------------------------------------------- Distribution électronique Cairn.info pour Club des Directeurs de Sécurité des Entreprises. © Club des Directeurs de Sécurité des Entreprises. Tous droits réservés pour tous pays. La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie, sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage dans une base de données est également interdit. Powered by TCPDF (www.tcpdf.org) Document téléchargé depuis www.cairn.info - - - 176.144.138.74 - 05/04/2020 09:03 - © Club des Directeurs de Sécurité des Entreprises Document téléchargé depuis www.cairn.info - - - 176.144.138.74 - 05/04/2020 09:03 - © Club des Directeurs de Sécurité des Entreprises Dossier S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 1 0 / S E P T E M B R E 2 0 1 2 32 Continuité d’activité et gestion de crise : de la technique à l’humain Stéphanie Ruelle Bien qu’ils fassent désormais partie de la culture des entreprises, les concepts de continuité d’activité et de gestion de crise sont encore mal compris et peu relayés opérationnellement. Souvent perçus comme des charges administratives, ces outils de maîtrise des risques peinent à convaincre de leur nécessité. Stéphanie Ruelle, Présidente de L-ebore SAS, explique en partie ce manque de considération par la confusion entre les moyens et les objectifs. Selon elle, il convient dès lors de revenir aux fondamentaux : d’une part, les plans de continuité d’activité et de gestion de crise doivent partir d’une analyse concrète des risques des entre- prises ; d’autre part, l’entreprise doit se protéger contre les conséquences des risques et non contre le risque que porte son activité. Enﬁn, si la continuité d’activité relève essentiellement de problématiques techniques et si la gestion de crise repose sur le facteur humain, ces deux composantes doivent être anticipées, préparées et pilotées de concert. C ette dernière décennie a vu apparaître diﬀérents concepts et terminologies dans le monde de la gestion des risques mé- langeant les objectifs et les périmètres : analyse des risques, réduction d’impacts, plan d’urgence, continuité d’activité, plan de reprise, gestion de crise, etc. Certains de ces aspects ont été mis en avant par diﬀérentes règlementations. Toutefois, loin de structurer les démarches des entreprises, elles ont parfois contribué à l’accroissement de la confusion et de la complexité de ces enjeux. En eﬀet, la plupart des dirigeants d’entreprises voit arriver avec circonspection toutes ces nouvelles obligations, ressenties comme des contraintes, sans toujours en comprendre l’intérêt. Partant de ce postulat, comment convaincre les décideurs que le déploiement d’une politique glo- bale de gestion opérationnelle des risques puisse se faire au quotidien, générer de la valeur pour l’entreprise et ses parties prenantes et assurer la pérennité de celle-ci en cas de crise ? Cet article s’attachera à montrer que l’eﬃcacité d’un dispositif de prévention et de gestion globale des risques repose sur une structuration intelli- gente des process à mettre en place dans l’entre- prise aﬁn de la préparer au mieux, face à des évènements plus ou moins graves en fonction de probabilités plus ou moins élevées. Ainsi deux axes complémentaires seront suivis : l’axe tech- nique de la continuité d’activité et l’axe humain de la gestion de crise. Document téléchargé depuis www.cairn.info - - - 176.144.138.74 - 05/04/2020 09:03 - © Club des Directeurs de Sécurité des Entreprises Document téléchargé depuis www.cairn.info - - - 176.144.138.74 - 05/04/2020 09:03 - © Club des Directeurs de Sécurité des Entreprises Points de réﬂexion sur la continuité d’activité et les méthodes L’état des règlementations de la gestion des risques La diﬃculté à appréhender les causes de la sur- venance d’évènements rares et/ou extrêmes n’est pas un phénomène récent. Ainsi, Buﬀon1 notait en 1749 pour expliquer l’origine de la terre que « les premières causes nous seront à jamais cachées ; les résultats généraux de ces causes nous seront aussi diﬃciles à connaître que les causes mêmes : tout ce qui nous est possible, c’est d’apercevoir quelques eﬀets particuliers, de les comparer, de les combiner, et enﬁn d’y reconnaître plutôt un ordre relatif à notre propre nature, que convenable à l’existence des choses que nous consi- dérons ». Toutefois, le monde d’aujourd’hui pousse les entreprises à anticiper et à imaginer toutes les causes pour faire face à des chocs extrêmes nés d’une concurrence abrupte, de tensions régio- nales et nationales, d’évènements géophysiques et climatiques, de la raréfaction des matières premières, des changements technologiques, des crises ﬁnancières, etc. Fukushima2 en a été un exemple fort, mais, pour certaines entreprises, ce sont les eﬀets de Fukushima cumulés aux inon- dations en Thaïlande qui ont été dévastateurs. Il faut désormais bousculer cet ordre relatif lié à la nature même de l’homme aﬁn de comprendre et de se préparer à faire face à des facteurs déclencheurs non connus et aux eﬀets violents. Malgré une prise de conscience des décideurs, les solutions aux crises paraissent vagues, com- plexes, coûteuses et consommatrices de temps, car elles sont souvent vues par bribes et non dans un ensemble cohérent de gestion des risques qui comprendrait l’analyse des risques, la continuité d’activité et la gestion de crise. En eﬀet, si le coût d’une gestion disparate, segmentée de ces sujets peut paraitre eﬀectivement excessif, il devient plus raisonnable et absorbable dans le cadre d’une démarche intégrée plus globale. Cette der- nière permet également d’éviter des redondances, des groupes de travail compliqués et consomma- teurs de temps et d’argent. Si l'on considère la crise grecque, elle a été révé- latrice de la préparation partielle du système ban- caire à gérer une crise autre qu’aﬀectant le système d’information. Lors de cette crise, les communications de la part des professionnels du système bancaire, y compris publics, n’ont pas toujours été eﬃcientes et comprises par leurs clients et leurs actionnaires. C’est pourtant l’activité bancaire qui est à l’origine de la continuité d’activité telle que nous la connaissons. Historiquement, sa mise en place dans ce secteur est liée à l’obligation de mettre en place des Plans de Continuité d’Activité (PCA) ﬁxée par le règlement CRBF 97-02 spéciﬁant qu’un PCA est « l’ensemble des mesures visant à assu- rer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon tem- poraire selon un mode dégradé, des prestations de ser- vices essentielles de l’entreprise puis la reprise planiﬁée des activités »3. Le constat est que ces plans exis- tent, mais qu’ils n’ont été construits que sur une partie des risques (souvent informatiques) et non sur l’ensemble des risques. La pertinence d’un PCA élaboré vis-à-vis d’un unique risque ou lié à une seule activité mériterait remise en question et débat. S É C U R I T É & S T R AT É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N ° 1 0 / S E P T E M B R E 2 0 1 2 33 Dossier 1 Buﬀon, Œuvres complètes de Buﬀon, Tome 1 : Théorie de la Terre, p 44. 2 Rapport sur Fukushima du NAIIC - National Diet of Japan Fukushima Nuclear Accident Independent Investigation Commission http://naiic.go.jp/en 3 CRBF 97-02, Article 14 ; CRBF : Comité de la Réglementation Bancaire et Financière. Document téléchargé depuis www.cairn.info - - - 176.144.138.74 - 05/04/2020 09:03 - © Club des Directeurs de Sécurité des Entreprises Document téléchargé depuis www.cairn.info - - - 176.144.138.74 - 05/04/2020 09:03 - © Club des Directeurs de Sécurité des Entreprises Dans ce contexte, la nouvelle norme ISO 223014 adoptée le 15 mai 2012, qui reprend la norme an- glaise BSI 25999, va certainement amener un élargissement des PCA à d’autres secteurs et donc à d’autres problématiques. En ce sens, elle se veut d’ailleurs très large : « holistic management process that identiﬁes potential threats to an organization and the impacts to business operations those threats, if rea- lized, might cause, and which provides a framework for building organizational resilience with the capability of an eﬀective response that safeguards the interests of uploads/Management/ pca-gestion-de-crise-et-humain-sestr-010-0032.pdf