Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Peut-on recycler les travaux d'un Plan Pandémie Grippale ?


Les années 2009-2010 ont été l'occasion pour bien des entreprises de travailler à la création d'un "plan pandémie grippale". Avec le Plan National pandémie grippale, l'Etat a donné une forte impulsion aux travaux réalisés en entreprise qui sont loin d'être négligeables.

La pandémie n'a pas eu lieu avec l'ampleur redoutée...mais les travaux sont-ils pour autant perdus ?



Peut-on recycler les travaux d'un Plan Pandémie Grippale ?

Qu'est-ce qu'un Plan de Continuité d'Activité ?

Un PCA en règle générale, est un ensemble de mesures permettant à l'entreprise de continuer ses activités essentielles tant bien que mal en cas de sinistre.

La démarche PCA nécessite donc :

  • de cerner et limiter les risques (autant que possible)
  • d'identifier les activités essentielles
  • de voir sur quelles ressources celles-ci reposent : RH, informatique, bureaux, locaux, moyens techniques
  • de prévoir ce que l'on fera en cas de défaillance desdites ressources
  • de préparer une cellule de crise et des réactions adaptées face au sinistre

Un PCA pandémie grippale est donc un cas particulier de PCA qui traite du risque d'absence des ressources humaines pour des raisons sanitaires liées à une pandémie.

On voit bien là que certaines actions faites au titre de la pandémie devraient pouvoir servir à construire un PCA plus général. Voyons point par point comment.

L'analyse de risque est incomplète mais réutilisable

L'analyse de risque en cas de pandémie a présenté les caractéristiques suivantes :

  • elle s'est focalisée par construction sur les RH et la contagion
  • elle s'est concentrée sur des mesures de réduction d’occurrence par l'information, la prophylaxie et diverses protections (masques, produits spéciaux)
  • elle a développé des mesures de diminution des conséquences en gérant les compétences et les remplacements et permettant le travail à domicile

Les impacts in fine pour l'entreprise du risque pandémie sont :
  • l'absence de personnel qui est soit malade, soit mis en quarantaine, soit dans une zone de consignation à domicile, soit dans l'impossibilité de se déplacer...bref ne peut se rendre à son travail.
  • la mise en quarantaine de zones où se trouvent des locaux de l'entreprise que son personnel ne peut donc rejoindre : il faut alors prévoir des alternatives

L'entreprise a donc considéré que le risque était essentiellement l'absence du personnel soit malade soit en bonne santé mais obligé de travailler ailleurs.

On le voit, mis à part la maladie, les situations qui peuvent amener du personnel à travailler ailleurs peuvent se rencontrer hors pandémie, on peut citer :
  • les blocages sociaux
  • les inondations qui bloquent l'accès au site
  • les évacuations (en cas de fuite de gaz, de matières dangereuses, menaces terroristes,...)
  • toutes les destructions de locaux ou bureaux obligeant à travailler ailleurs

Les actions prévues de type gestion des compétences et des remplacements ou le télétravail par exemple sont éminemment réutilisables.

En revanche, tous les risques non pandémiques restent à étudier dans une analyse classique.

Le BIA est tout à fait récupérable, mais potentiellement réduit à l'essentiel

Dans un PCA pandémique, l'entreprise a identifié ses activités essentielles. La méthode pour le faire s'appelle le BIA. Ce point est très intéressant à examiner de près.

En effet, il y a de fortes chances pour que ce que l'entreprise juge essentiel de faire en cas de "défaillance" sur les RH le soit aussi en cas de défaillance d'autres ressources. Il faut néanmoins bien analyser les travaux déjà faits et veiller à deux phénomènes :

1/ Le risque de maladie mortelle fait que l'entreprise place la barre très haut en terme de précaution ;
la conséquence est que la Direction générale se concentre sur le "critique du critique": la liste des activités critiques en cas de pandémie est donc probablement réduite au strict minimum.

2/ Les activités qui n'ont pas un besoin immédiat de ressources humaines n'ont probablement pas été évaluées. Or leur disparition pour des défaillances de matériels ou d'informatique peut être très grave pour l'entreprise et ne pas avoir été vue dans l'approche pandémique. Il peut donc exister des activités critiques non identifiées.

La conclusion de cette analyse est claire : les activités dites critiques en cas de pandémie le sont obligatoirement pour tout PCA ; en revanche il peut y avoir des activités critiques manquantes. La disparition de ces activités en cas de sinistre purement informatique par exemple, serait très problématique. Ces activités ne sont pas sensibles à la perte RH mais à la perte d'une autre ressource. Elles sont à ajouter dans la liste du PCA général.

On notera que certaines sociétés ou organismes déclarés par l'Etat "d'importance vitale" ont des obligations et possèdent une liste "imposée" d'activités critiques.

L'organisation de la gestion de crise est intéressante à considérer

Un PCA pandémie grippale digne de ce nom a mis en place une structure de décision exceptionnelle pour gérer la crise ; en gros les aspects suivants ont été plus ou moins considérés :

  • la permanence de la fonction de Direction et les délégations,
  • l'identification des compétences métiers requises,
  • l'identification des missions réalisables à distance,
  • le dispositif de prise de connaissance des absents et des présents,
  • les bases de compétences et de contacts,
  • éventuellement une salle de gestion de crise équipée et déportée hors site,
  • etc.

La plupart de ces points sont tout à fait intéressants dans une situation de sinistre qu'il soit pandémique ou non.

Le dispositif prévu peut fort bien s'adapter à d'autres crises. Il faut alors adapter les compétences dans la prise de décision du groupe, dans les moyens humains et les qualifications à considérer (informatiques par exemple) et peut-être choisir d'autres lieux plus propices quand le sinistre n'est pas pandémique.

Les activités purement pandémiques (distribuer des masques, mettre en quarantaine un bâtiments, ...) sont alors remplacées par des activités liées à un autre type de sinistre (inondation ? incendie ?) mais la capacité de commandement, de prise de décision et de source d'information du centre de gestion de crise demeure.

Il faut développer les Plans de reprise de moyens qui manquent

Le PCA pandémie grippale est exclusivement tourné vers les RH, qui sont malades ou absentes. Il ne considère pas les autres ressources qu'un PCA "généraliste" doit savoir traiter. Ces autres ressources (informatiques, poste de travail, locaux, bureaux, téléphonie, etc.) doivent être objets de plans divers de reprise.

Un RPCA soucieux de construire un PCA dans les règles, devra donc orchestrer l'élaboration des plans de reprise de moyens en se focalisant sur les plus critiques détectés à l'étape de BIA.

C'est sur ces points -non couverts- qu'il y aura le plus à faire.

On peut citer rapidement sous forme de plan générique les têtes de chapitre suivantes :
  • la première intervention et notification
  • l'évaluation et les escalades
  • la déclaration de sinistre
  • la planification de la logistique d'intervention
  • les activités de récupération et de reprise (sur le lieu du sinistre, le ou les sites de secours de différentes natures)
  • le retour à la normale

Il se peut bien entendu que des Plans de secours Informatiques par exemple soient tout à fait convenables et récupérables.

En conclusion : un PCA pandémie est assez bien réutilisable mais il doit être complété

Les travaux réalisés sur les plans pandémie sont donc réutilisables, mais il faut garder à l’esprit leurs limites dues à leur contexte :

  • L'analyse de risques – limité par construction à l'absence des ressources humaines pour des raisons sanitaires - est forcément insuffisante

  • Le BIA est probablement très sévère (c'est-à-dire, trop réduit à l’essentiel) et est donc à revisiter.

  • Les dispositifs de crise sont reprenables mais sont à adapter à d’autres types de crise aussi.

  • Dans la mesure où le plan pandémie se focalise sur les RH et couvre un périmètre plus limité, les PRA de moyens sont à réaliser -ou à mettre à jour- pour tous les moyens critiques.

Par sa prise en compte d'un sinistre, le Plan pandémie a permis de poser de bonnes questions sur les services essentiels de l'entreprise et sur sa gestion de crise. Ce point est tout à fait prolongeable au-delà de la pandémie.

Les compléments non négligeables à y apporter portent sur les moyens critiques. Il faut alors penser à réutiliser par exemple ce qui a été fait dans les Plans de secours Informatiques (et à les réactualiser !)

On peut donc reprendre une bonne partie d'un plan pandémie mais il faut le compléter par des travaux sur les moyens qui peuvent être assez conséquents.
Emmanuel Besluau
Vendredi 7 Juin 2013

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter