Le "PCA" est victime d'interprétations très nombreuses.
Dans nos missions de conseil en Continuité d'Activité, nous le voyons bien, les définitions du trigramme PCA sont nombreuses et différentes.
Citons par exemple :
Bref en matière de continuité tout le monde voit le PCA à sa porte. Ce qui fait que quand quelqu'un nous dit "j'ai un PCA" ou au contraire "je n'ai pas de PCA" nous ne savons en fait pas ce qu'il en est vraiment.
Citons par exemple :
- Pour les uns, le PCA est un dispositif technique informatique permettant d'échapper à une panne unitaire. Un responsable système qui remplace un serveur par un cluster de serveurs avec des mécanismes de bascule ou de résilience dira ainsi qu'il "a mis en place un PCA".
- Pour d'autres le PCA consiste à trouver des bureaux de repli en cas de sinistre sur les bureaux habituels : "dans mon PCA je vais sur tel site où 50 postes de travail nous sont mis à disposition sous quatre heures".
- D'autres encore vont inclure dans ce qu'ils appellent PCA des études d'impact (les fameux BIA) mais aussi, pourquoi pas, des exercices et des appréciations de risques. Ils engloberont alors sous l'appellation PCA une démarche plus globale.
- Enfin, il faut mentionner une vision assez courante au niveau de l'Etat de considérer un PCA uniquement prévu pour le choc majeur avec des déclenchements lourds et coûteux qui hors choc majeur ne sont pas justifiés.
Bref en matière de continuité tout le monde voit le PCA à sa porte. Ce qui fait que quand quelqu'un nous dit "j'ai un PCA" ou au contraire "je n'ai pas de PCA" nous ne savons en fait pas ce qu'il en est vraiment.
Qu'est-ce donc que le PUPA ?
Le PUPA, à l'inverse du PCA n'a pas un passé chargé !
PUPA : "Plan d'Urgence et de Poursuite des Activités" c'est clair et montre bien qu'il y a deux objectifs, réagir en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l'ancien PCA :
"Ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes"
Les derniers mots "et à limiter ses pertes" ont été ajoutés à l'ancienne définition. On notera qu'évidemment un organisme en situation de sinistre va chercher à limiter ses pertes quelles qu'elles soient.
Le passage du PCA au PUPA permet d'attirer l'attention sur la définition plutôt que de se reposer sur un mot fourre-tout et mal compris.
PUPA : "Plan d'Urgence et de Poursuite des Activités" c'est clair et montre bien qu'il y a deux objectifs, réagir en urgence et poursuivre des activités.
La définition du PUPA qui est fournie dans le décret est quasiment la même que celle de l'ancien PCA :
"Ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant, de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise assujettie, puis la reprise planifiée des activités et à limiter ses pertes"
Les derniers mots "et à limiter ses pertes" ont été ajoutés à l'ancienne définition. On notera qu'évidemment un organisme en situation de sinistre va chercher à limiter ses pertes quelles qu'elles soient.
Le passage du PCA au PUPA permet d'attirer l'attention sur la définition plutôt que de se reposer sur un mot fourre-tout et mal compris.
Regardons la définition du PUPA de plus près
Certains commentaires s'imposent sur cette définition (qui n'est pas nouvelle mais souvent occultée par l'ombre du PCA).
Si vous ne savez pas ce qu'est le PUPA, lisez et comprenez cette définition. Ne vous laissez pas influencer par ce que vous pensez savoir du PCA. Rien que cette attitude peut justifier un changement de nom !
- Il s'agit d'un "ensemble de mesures" et non d'un document de 500 pages. Il est bon de le rappeler.
- Ces mesures "visent à assurer" : elles ne "garantissent" pas, contrairement à ce que l'on peut lire dans des "PCA-ligne-Maginot" déjà vus en clientèle.
- "y compris face à des chocs extrèmes" : et donc pas uniquement ce cas là.
- "de façon temporaire selon un mode dégradé" : le mode dégradé ou "niveau minimal acceptable" selon l'ISO22301 a tout à fait droit de citer, suivi du retour à une "reprise planifiée".
- "des prestations de services (...) importantes" : il faut les connaître ! il faut savoir quelles sont les activités prioritaires : nous sommes là au cœur du BIA.
- "et à limiter ses pertes" : cela peut se comprendre de différentes manières : prévention ou réaction prévue. Cela a à voir avec les appréciations de risques et leurs traitements.
Si vous ne savez pas ce qu'est le PUPA, lisez et comprenez cette définition. Ne vous laissez pas influencer par ce que vous pensez savoir du PCA. Rien que cette attitude peut justifier un changement de nom !
Regardons bien tout le décret
Ce décret de novembre 2014 présente aussi sous une forme un peu modifiée l'attitude qui est attendue des organes de direction de l'entreprise.
Deux points méritent l'attention :
Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de vérification de la performance. Aspects très importants à prendre en compte et tout à fait dans l'esprit de la norme ISO 22301.
Le PCA (pardon le PUPA) n'est donc décidément pas un gros classeur dans une vieille armoire de la salle de crise ...
Deux points méritent l'attention :
- Les entreprises "s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité". Il est on ne peut plus clair qu'une appréciation des risques régulière est exigée sur les quatre ressources citées pour éclairer les décisions de la direction
- Les entreprises "s’assurent de la cohérence et de l’efficacité des plans de continuité de l’activité dans le cadre d’un plan global défini par l’organe de surveillance et mis en œuvre par les dirigeants effectifs." Il faut s'assurer de la cohérence et de l'efficacité des plans de continuité (au pluriel) dans le cadre d'un plan global. Même si cette exigence est formulée de manière très générale, elle ouvre la voie aux exercices, revues de direction et audits. Nous sommes très proche d'un système de management ISO 22301.
Ces deux points viennent compléter la définition d'une exigence de maîtrise des risques et de vérification de la performance. Aspects très importants à prendre en compte et tout à fait dans l'esprit de la norme ISO 22301.
Le PCA (pardon le PUPA) n'est donc décidément pas un gros classeur dans une vieille armoire de la salle de crise ...