Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Attention aux PCA "Ligne Maginot"


La ligne Maginot devait empêcher les Allemands de passer pour attaquer la France. Elle a parfaitement joué son rôle : ils sont passés ailleurs.

L'analogie avec certaines approches de PCA est frappante ... on prépare ce qui n'arrivera pas.



Attention aux PCA "Ligne Maginot"

Il faut effectivement se couvrir face à un grand risque

La démarche 'PCA' (Plan de Continuité d'Activité) doit, bien sûr, se concentrer sur les risques inacceptables, ceux dont la survenance aurait les conséquences les plus désastreuses pour l'entreprise et qui sont suffisamment vraisemblables pour devoir se protéger.

Cette analyse est souvent faite et la Direction générale garde en tête des scénarios 'du pire', des désastres face auxquels elle demande une préparation, voire des investissements.

L'analogie avec la Ligne Maginot est alors totale : on se protège de ce qui est considéré comme le 'worst case scenario'. "S'il se produit, nous sommes prêts". Est une phrase caractéristique de cet état d'esprit.

Le risque principal a été réduit ; un dispositif de prévention a été mis en place. Faut-il s'arrêter là ? Non.

Que deviennent les autres risques ?

Lorsque l'on réduit un risque, les autres que l'on avait négligés, peuvent se modifier et prendre plus d'importance.

C'est clairement le cas avec la Ligne Maginot : l'offensive des Allemands par les Ardennes, via la Belgique et le Luxembourg devient hautement probable, malgré les obstacles de terrain et la neutralité Belge non respectée par l'ennemi...

Ces risques résiduels (ie après un premier traitement de risque) sont à considérer avec la plus grande attention, car ce sont eux qui "risquent de se produire en vrai". Il convient de les regarder en face.

Concrètement une fois le "gros risque" réduit, il reste un certain nombre de risques moins forts mais qui deviennent prédominants. Dans certains cas d'ailleurs la protection mise en place pour le "gros risque" augmente ces risques de deuxième importance (ce fut le cas avec la Ligne Maginot).

Dans la plupart des cas, il se trouve une petite dizaine de risques qui additionnés aboutissent à des situations à traiter, exemple :

  • le sinistre partiel de bâtiment
  • la panne de courant longue
  • l'intrusion d'un forcené armé
  • l'accident de transport de matières dangereuses

Toutes ces situations aboutissent à une indisponibilité partielle ou totale des locaux sur une durée allant d'une demi journée à disons une semaine voire plus.

On a là clairement une somme de scénarios moyens qu'il faut traiter, en sécurisant par exemple les accès et prévoyant des bureaux de secours pour une partie du personnel, ou la possibilité de travailler à distance ou de chez soi.

Malheureusement, il existe des situations où la Ligne Maginot mise en place face au plus gros risque apporte une confiance trompeuse. De plus elle a monopolisé les budgets et cela suffit !

L'aveuglement face "aux risques qui peuvent se produire" est alors total.

Deux effets pervers à éviter

Traiter le plus gros risque, et uniquement lui, peut amener à deux types d'effets. Le premier est que rien d'autre n'est fait, citons comme exemple :

  • on traite l'inondation centennale mais on ne fait rien pour les infiltrations en sous-sol (qui obligent à couper le courant dans l'immeuble)

  • on prévoit un cluster de serveurs entre deux salles mais on ne maîtrise pas les arrêts des machines dûs à des niveaux trop anciens de systèmes d'exploitation

  • on signe un contrat de secours pour le mainframe mais on ne considère pas les quelques 50 autres serveurs de l'IT.

Il est courant alors d'entendre : "nous sommes préparés à ce qui n'arrivera jamais mais nous sommes démunis face à ce qui arrive assez souvent" avec un sourire triste ...

Le corollaire de cela est alors le deuxième effet : la préparation au gros sinistre est moquée comme une dépense inutile. Elle finit par tomber en déshérence...


Conclusion : la continuité est une préoccupation au jour le jour

En conclusion, une recommandation s'impose : si le PCA se cantonne à ce qui n'arrivera pas (syndrome Maginot) alors ce n'est pas crédible.

Pour éviter d'en arriver là, ne limitons pas la démarche PCA aux gros sinistres rares, mais couvrons une palette plus large de possibles.

Bien sûr il faut se préparer au gros sinistre, mais il faut aussi regarder et traiter méticuleusement les sinistres plus petits et plus fréquents qui empoisonnent régulièrement l'activité.

La Continuité d'activité est l'affaire de tout responsable qui gère des moyens ou produit un bien ou un service. Il faut très régulièrement envisager les pannes et sinistres au jour le jour, en réduire les effets, s'en prémunir et prévoir une réponse.

Emmanuel Besluau
Lundi 16 Février 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2