Le plan de continuité d'activité (PCA) pour une PME à l'épreuve des crises
Toute PME peut se trouver confrontée à un sinistre. Avec, à la clé, une interruption de son activité et parfois même une fermeture définitive. Formaliser un plan de continuité d'activité (PCA) permet de limiter les risques. Et de décrocher des contrats !
Je m'abonnePanne majeure de l'outil de production ou de l'informatique, catastrophes naturelles, incendie, cyberattaque, pandémie virale, actes de malveillance... Une foule de menaces plane sur votre société. D'ailleurs, 43 % des entreprises ferment à l'occasion d'un sinistre important sans s'y être préparées, selon une étude du Disaster Recovery Institute International. Et 29 % des survivantes périclitent dans les deux ans qui suivent.
Pour leur pérennité, les entreprises doivent d'évaluer les risques les plus critiques auxquels elles sont soumises et imaginer des parades pour poursuivre leur activité. C'est le principe du PCA, alias le plan de continuité d'activité. Le PCA correspond à "l'ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l'entreprise puis la reprise planifiée des activités", selon l'arrêté du 3 novembre 2014 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement.
De la survie au business
"L'objectif consiste à accroître sa résilience et à limiter la perte de chiffre d'affaires en cas de problème grave", résume Olivier Hassid, directeur chez PwC en charge de l'offre de conseil en sécurité, sûreté et continuité, et auteur de l'ouvrage Réaliser le plan de continuité d'activité de son entreprise. Même si c'est une question de survie, rares sont les PME à s'être dotées d'un tel outil. "La mise en place d'un PCA est un projet chronophage, dont le ROI n'est pas immédiatement palpable, reconnaît Frédéric Fabi, dirigeant de Dupliprint (lire l'encadré). Cela doit rebuter nombre d'entreprises. Mais, outre la gestion des risques, nous y avons vu notre intérêt en termes de business."
En effet, si le PCA n'est obligatoire que dans certains secteurs (banques, assurances, OIV (opérateurs d'importance vitale), etc.), il peut être exigé contractuellement par certains grands groupes. "Une exigence qui porte uniquement sur les fournisseurs stratégiques, nuance Olivier Hassid (PwC). Même si un PCA n'est pas expressément demandé, cela peut être un argument commercial rassurant, car il démontre la réactivité et la solidité de l'entreprise." Dans le secteur public aussi, le PCA a la cote. "De plus en plus d'appels d'offres publics y font référence", assure Bruno Hamon, directeur associé de MIRCA Sarl, cabinet spécialisé en management de l'information, du risque et de la continuité d'activité.
PCA, modus operandi
Pour commencer, il convient de nommer un chef de projet. Dans les PME, il peut s'agir du RSSI ou du DSI (même si le PCA n'est pas exclusivement axé sur les problématiques informatiques), de la direction du contrôle interne, des moyens généraux ou technique. "C'est un projet d'entreprise qui doit impliquer chaque service, signale Olivier Hassid (PwC). C'est l'occasion d'un brainstorming collectif. J'y vois aussi un bon outil de team building." Sachez également que des cabinets de conseil peuvent vous aider à construire et à maintenir en condition opérationnelle votre PCA.
La seconde étape ? La cartographie des risques. Sur http://macommune.prim.net, vous pouvez, par exemple, accéder à tous les risques identifiés sur votre commune et votre département. "Il faut aussi partir de la promesse client de chaque service de l'entreprise", indique Bruno Hamon (MIRCA Sarl) qui recommande de déterminer trois objectifs : la DMIA (durée maximale d'interruption admissible), la PDMA (perte de données maximale admissible), et le nombre de places assises nécessaires sur le site de repli (en cas de local inaccessible).
Pour chaque risque, il est nécessaire d'identifier les moyens à mettre en place pour le limiter et permettre de continuer à travailler. "Les principales situations à couvrir sont l'absence des collaborateurs, l'indisponibilité des locaux, du système informatique ou de l'outil de production", souligne Bruno Hamon.
Enfin, tester les solutions retenues est fortement recommandé, afin de s'assurer que les scénarios envisagés tiendront la route le moment venu et dans les délais prévus. Des correctifs peuvent alors s'imposer. "Le danger est de bâtir une usine à gaz", prévient Olivier Hassid (PwC). Faites simple ! La gestion des risques peut commencer avec une simple sauvegarde régulière sur clé USB. Enfin, le PCA doit être mis à jour, a minima à chaque changement important impactant l'entreprise : nouvelle activité, nouveau local, etc.
Témoignage
"Le PCA est un atout commercial"
Le premier PCA de Dupliprint date de 2001. De l'idée à la concrétisation, six mois se sont écoulés. "Nous nous sommes engagés dans cette démarche dans l'optique de limiter les risques de perte de chiffre d'affaires en cas d'incident et pour ne rater aucune opportunité business", indique Frédéric Fabi, président fondateur de la PME.
En effet, l'entreprise collabore essentiellement avec des grands comptes qui peuvent avoir des exigences en matière de continuité d'activité. C'est le cas de Société Générale, pour laquelle Dupliprint gère des imprimés stratégiques depuis 2002. Disposer d'un PCA à jour est alors une obligation contractuelle. Pour chaque client, la PME adapte son PCA en fonction de ses besoins.
En outre, elle teste son efficacité deux fois par an, voire plus, seule ou conjointement avec un client. En 15 ans, la PME l'a mis en oeuvre par deux fois, suite à la défaillance des serveurs. Des incidents sans gravité mais qui ont prouvé les bénéfices d'un plan B ! "Un PCA représente un coût, en termes de temps, de duplication informatique et du matériel, mais c'est un investissement sur l'avenir", complète Frédéric Fabi.
Repères
Activité : nouvelles technologies de communication et d'impression
Ville : Domont (Val d'Oise)
Dirigeant : Frédéric Fabi, 47 ans
Année de création : 1993
Effectif : 100 personnes
CA 2016 : 18 M€