
De nombreuses sociétés lancent des études de risques dans le cadre de leur démarche PCA. Elles analysent leur contexte de menaces, leurs vulnérabilités et leur exposition. Elles décident éventuellement d'actions de réduction, voire d'évitement du risque.
Tout ceci est nécessaire, mais c'est une première étape. En effet, quand le sinistre se produira malgré tout, il faudra réagir. Que ce sinistre ait été prévu ou pas. Et pour réagir il faut se préparer.
Au-delà d’une bonne analyse des risques, il faut aussi prévoir de manière structurée et rigoureuse les actions qui seront à mener. On entre alors dans d'autres travaux de préparation qui complètent l'analyse de risque au sein du Plan de Continuité d’Activité (PCA). Il est important alors de bien positionner cette analyse de risque dans l'ensemble.
Tout ceci est nécessaire, mais c'est une première étape. En effet, quand le sinistre se produira malgré tout, il faudra réagir. Que ce sinistre ait été prévu ou pas. Et pour réagir il faut se préparer.
Au-delà d’une bonne analyse des risques, il faut aussi prévoir de manière structurée et rigoureuse les actions qui seront à mener. On entre alors dans d'autres travaux de préparation qui complètent l'analyse de risque au sein du Plan de Continuité d’Activité (PCA). Il est important alors de bien positionner cette analyse de risque dans l'ensemble.
Comprendre l'intérêt - mais aussi les limites - de l'analyse des risques
Bien sûr les analyses de risques sont indispensables. Toutefois il faut garder à l'esprit ce pour quoi elles sont faites.
Une bonne analyse de risque permet deux choses :
En revanche il faut aussi prendre en compte les points suivants, qui sont encore plus forts lorsqu'il s'agit de risques de type externe et que les bons spécialistes doivent rappeler :
Cela est encore plus vrai lorsque l'on regarde les risques externes ou les sinistres de type catastrophe naturelle où l'humilité doit rester de mise...
Une bonne analyse de risque permet deux choses :
- de diminuer rationellement les risques auxquels l'entreprise est exposée
- de connaître en partie les risques résiduels (ce qui reste après action de réduction)
En revanche il faut aussi prendre en compte les points suivants, qui sont encore plus forts lorsqu'il s'agit de risques de type externe et que les bons spécialistes doivent rappeler :
- l'analyse de risque ne permet pas de se préparer au sinistre, ce n'est pas son rôle
- l'analyse schématise et simplifie le réel et peut aller jusqu'à la caricature dans certains cas
- les menaces sont souvent considérées une par une et la simultanéité est souvent écartée
- l'exhaustivité est bien évidemment impossible
- l'analyse peut donner une impression de maîtrise et endormir l'attention de certains managers
Cela est encore plus vrai lorsque l'on regarde les risques externes ou les sinistres de type catastrophe naturelle où l'humilité doit rester de mise...
Quel devrait être l'objectif de la Direction Générale ?
A ce point de la discussion, une prise de recul est nécessaire : quel objectif assigner à une analyse de risque ?
Il est courant de voir des responsables se satisfaire d'une simple amélioration de leur prise de conscience des risques qui les concernent. On connaît mieux donc on maîtrise mieux. Ce n'est pas faux mais si l'on veut mieux maîtriser il faut aussi se préparer.
Là encore, pour des risques de type externes (les sinistres par exemple) le raisonnement nous semble devoir être complété par une réflexion sur l'entreprise elle-même.
Nous préconisons une réflexion en deux étapes :
D'où la question : comment se préparer ? C'est là que la réflexion de l'entreprise sur elle-même est importante.
Il est courant de voir des responsables se satisfaire d'une simple amélioration de leur prise de conscience des risques qui les concernent. On connaît mieux donc on maîtrise mieux. Ce n'est pas faux mais si l'on veut mieux maîtriser il faut aussi se préparer.
Là encore, pour des risques de type externes (les sinistres par exemple) le raisonnement nous semble devoir être complété par une réflexion sur l'entreprise elle-même.
Nous préconisons une réflexion en deux étapes :
- connaître et maîtriser les risques qui sont aujourd'hui cernables
- se préparer un minimum à la survenance d'un sinistre
D'où la question : comment se préparer ? C'est là que la réflexion de l'entreprise sur elle-même est importante.
Qu'est-ce qui est le plus important pour l'entreprise ?
Imaginons : un sinistre très sévère s'est produit. Le site informatique par exemple est sous deux mètres d'eau. Ou bien l'usine voisine a explosé détruisant tous les vitrages à trois kilomètres à la ronde...Fiction complète ? Non ! rappelons-nous Xynthia ou AZF par exemple en France, ou les pluies sur l'Allemagne il y a quelques mois.
Les responsables métiers se posent alors naturellement des questions :
Les responsables informatiques de leur côté se demandent :
On le voit ces questions sont cruciales et il est utile d'y avoir pensé avant, quel que soit le sinistre.
L'analyse de risque doit donc être complétée par des études sur les métiers critiques (BIA), des Plans de Reprise ou de Continuité d'Activité qui essaient de répondre à ces questions.
Les responsables métiers se posent alors naturellement des questions :
- pouvons-nous fonctionner sans informatique ?
- combien de temps cela va durer ?
- qu'est-ce qui est important à faire aujourd'hui ? demain ?
- comment malgré tout poursuivre mes activités critiques ? et d'abord quelles sont-elles ?
- comment redémarrer mes activités ?
- mes contrats avec mes clients m'obligent à quoi ?
- comment communiquer ?
- où aller ? que faire de mes employés ?
Les responsables informatiques de leur côté se demandent :
- qui a le plus besoin de l'informatique dans l'entreprise ?
- la salle est inutilisable : où allons-nous ?
- le réseau marche-t-il encore ?
- quels sont les serveurs à sauver et/ou redémarrer en premier ?
- le stockage est-il accessible ? quel sous-ensemble faut-il remettre à disposition ?
- qui sont les utilisateurs à traiter en priorité ?
- où vont se trouver ces utilisateurs ? quel poste de travail ont-ils ?
On le voit ces questions sont cruciales et il est utile d'y avoir pensé avant, quel que soit le sinistre.
L'analyse de risque doit donc être complétée par des études sur les métiers critiques (BIA), des Plans de Reprise ou de Continuité d'Activité qui essaient de répondre à ces questions.
L'importance d'une réflexion PCA structurée
L'analyse de risque est effectivement utile pour diminuer -raisonnablement- les risques et connaître - avec humilité- les scénarios de risques résiduels. Elle fait partie d'une démarche de PCA raisonné.
Elle ne suffit toutefois pas ! L'entreprise doit se préparer au sinistre (prévu par l'analyse de risque ou pas !) en menant une réflexion structurée :
C'est toute cette démarche qu'il faut organiser et animer et qui va constituer le coeur du Plan de Continuité d'Activité.
Elle ne suffit toutefois pas ! L'entreprise doit se préparer au sinistre (prévu par l'analyse de risque ou pas !) en menant une réflexion structurée :
- elle doit savoir ce qui est le plus important en terme d'activité à redémarrer au plus vite, au bout d'une heure, de quatre heures, un jour, deux jours, etc...
- elle doit connaître les moyens sous-jacents à ces activités critiques (PC, bureau, serveurs, etc.) et préparer leur reprise ou leur remplacement.
- elle doit organiser un mécanisme ad-hoc de prise de décision suite à sinistre ("cellule de crise")
C'est toute cette démarche qu'il faut organiser et animer et qui va constituer le coeur du Plan de Continuité d'Activité.