Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Que faut-il mettre dans le document de "Politique de continuité" ?


Le document de "Politique de Continuité" est posé comme un pré-requis par les "bonnes pratiques" et en particulier par la norme ISO 22301. Pourtant, dans nos missions en entreprise, le sujet est rarement mentionné tout de suite et le fameuse politique se fait attendre.

Au bout d'un certain temps toutefois, tout le monde considère que ce type de document est fondamental. Que faut-il y mettre ? Voici les grandes lignes.



Que faut-il mettre dans le document de "Politique de continuité" ?

Expliquer -rapidement- ce qu'est la continuité !

D'abord le document de politique doit très rapidement en quelques lignes expliquer ce qu'est la Continuité d'activité et ce qui doit être fait pour cela.

Il doit par exemple mentionner la nécessité de faire une analyse de risque spécifique à la continuité, de mener une analyse d'impact et de statuer sur ce qui doit être préparé lorsque le sinistre abat un processus jugé critique.

Il doit aussi faire mention des dispositifs de gestion de crise et autres Plans de reprise à considérer avec leurs nécessaires campagnes de tests.

Il ne s'agit pas d'une description détaillée, mais le lecteur doit savoir ce que "continuité d'activité" recouvre pour la Direction Générale. Ceci peut prendre une demi-page.

Dans cette première partie, il est courant que l'on trouve aussi un cadrage du périmètre (comme : "cette politique concerne la SA France").

Enfin, il est souvent mentionné le fait que la Politique de Continuité est revue régulièrement et que le document de politique sera lui aussi l'objet de modifications sur un rythme de type annuel par exemple.

Exprimer clairement une volonté

Ce point est très important et la norme ISO 22301 insiste sur cet aspect.

La DG doit expliciter ce qui compte pour elle en terme d'enjeu associé à la Continuité, comme par exemple :

  • les pertes financières
  • la détérioration de l'image en cas d'interruption d'activité
  • la violation d'engagements contractuels
  • la violation de réglementation applicable

Ces points sont importants car ils déterminent les "zones de douleur" sur lesquelles l'attention devra porter lors de l'analyse de BIA par exemple.

La DG dans ce document de politique affiche clairement que la Continuité d'Activité est importante pour elle et explique pourquoi.

Associé à ce qui précède, il est courant de trouver ici une expression de priorités à prendre en compte à court terme (telle que : "le risque politique en filiale sera considéré en premier lieu" ou "l'activité industrielle sera prioritaire").

La DG exprime ce qui est important et affiche des priorités.

Attribuer des responsabilités

C'est la suite naturelle de ce qui précède : la Continuité d'Activité étant importante, il faut attribuer les rôles :
  • qui doit décider des activités critiques ?
  • qui est habilité à trancher dans les analyses d'impact ?
  • qui fixe les exigences en matière de continuité ?

Ces points sont traités dans ce chapitre clé du document de politique.

En général on retrouve là les Directeurs de Divisions ou "business owners".

Il est important de bien faire figurer ces aspects dans la politique pour que les responsabilités puissent s'exercer sans ambiguïté.

On notera qu'il s'agit de responsabilités pour mettre en place la démarche et exprimer des exigences, et non de responsabilités en cas de sinistre (vues plus loin).

Un RPCA nouvellement nommé pourra, avec ce viatique, aller voir les responsables pour collecter leurs exigences.

Mettre en place un dispositif de création de PCA

La société souhaite mettre sur pied un PCA. Son document de Politique de Continuité doit donc mettre en place le dispositif qui permettra peu à peu de construire ce PCA.

Ce dispositif est variable, mais il comporte très souvent trois composantes :

  • le RPCA lui même (Responsable du Plan de Continuité d'Activité) qui a pour mission d'impulser, de mener et de coordonner les travaux de réalisation de la Politique de Continuité

  • le ou les comités de pilotage indispensables pour prendre les décisions, réaliser les arbitrages qui s'imposent

  • très souvent des correspondants continuité à même de représenter leur entité et de démultiplier les efforts localement

La description précise de ces composantes peut se faire dans des documents à part.

La DG dans son document de politique monte explicitement un dispositif "d'insertion de la continuité dans l'entreprise."

Institutionnaliser la sensibilisation et la formation

Très souvent rappelée dans les approches anglo-saxones et américaines, la sensibilisation à la Continuité doit être affichée comme une attention de la DG.

Concrètement cela se traduit par un certain nombre de mesures :

  • les séminaires du type 'nouveaux arrivants' doivent aborder le thème de la continuité
  • des présentations de courte durée de sensibilisation doivent être organisées régulièrement
  • des formations plus pointues pour certains titulaires de postes clés sont à prévoir
  • la participation aux tests ou exercices de PRA doit être prise en compte et suivie

Bref, le lecteur doit comprendre que la DG souhaite que chacun considère la Continuité d'activité comme importante à proportion de la criticité de son poste.

A cette occasion est aussi rappelé le rôle des diverses procédures d'urgence et les attributions des cellules de crises suite à sinistre.

Pour ceux qui suivent la norme ISO22301, il est de bon ton d'afficher l'engagement de la Direction pour l'amélioration continue.

Mettre en place du contrôle

Enfin, dernière pièce au dispositif : la DG doit s'assurer que ce qu'elle a décidé passe progressivement dans les faits.

Pour cela, un classique dispositif à trois étages doit être monté :

  • le contrôle par les opérationnels responsables
  • l'audit (de différents types)
  • les revues de direction

Tout ceci est légèrement formalisé dans le document de politique.

L'essentiel doit être que les responsables évaluent et se font évaluer en terme de degré d'avancement de la mise en oeuvre de la Continuité d'Activité dans leur domaine.

Des tableaux de bord avec indicateurs sont produits et permettent de suivre la pénétration des pratiques de continuité en ligne avec la volonté de la Direction Générale.

L'ensemble de ces points doit être organisé convenablement dans un document de politique. Un RPCA nouvellement nommé sera plus habilité à mener ses travaux s'il a ce viatique avec lui.
Emmanuel Besluau
Mercredi 12 Juin 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2