Phase 1 : Expression de besoins et collecte d’informations pour le PCA
Un projet PCA (Plan de Continuité d’Activités) s’articule généralement autour de trois phases. La première phase consiste à recenser l’expression de besoins au travers d’une collecte d’informations grâce, d’une part, à une étude documentaire (plan de secours existant notamment au niveau informatique, POI dans le cadre d’Etablissement classé, organisation de cellule de crise) et d’autre part à des interviews.
Phase 2 : Mise en œuvre du PCA – élaboration des solutions de continuité
La deuxième phase est dédiée à la mise en œuvre des solutions de continuité. Celle-ci permet notamment d’élaborer un kit de gestion de crise qui prend en compte de 10 à 50 scénarios sur l’indisponibilité du personnel, l’indisponibilité du site, l’indisponibilité de l’informatique et l’indisponibilité de fournisseurs ou de sous-traitants stratégiques.
L’approche anglo-saxonne des BCP (Business Continuity Plan), fondée sur le « What If Approach » permet de développer un nombre important de scénarios et peut toucher des scénarios de crise produits ou de réputation (atteinte à l’image, mise en cause de dirigeants). L’idée n’est pas de fournir une réponse organisationnelle spécifique à chaque scénario et qui serait dans la pratique difficilement gérable, mais de regrouper les scénarios impliquant des solutions communes. Il devient alors possible de synthétiser des kits de gestion de crise autour de 5 à 10 grandes familles de solutions et de réponse à la crise.
Ces familles peuvent notamment regrouper des scénarios de catastrophes naturelles (inondation, incendie, séisme, …), de ruptures d’utilités (eau, gaz, électricité), d’accidents industriels et technologiques (explosion, défaillances de procédures, scénario HSE majorant) ou de malveillance (terrorisme, sabotage, alerte à la bombe).Ce kit de gestion de crise est alors remis à chaque membre de la cellule de crise et à leur(s) suppléant(s). Une formation à la gestion de crise peut avantageusement compléter le dispositif avant d’envisager un exercice de crise.
Phase 3 : Test du PCA – Exercice de crise – Maintien en condition opérationnelle
Une fois le PCA élaboré et mis en œuvre, il s’agit de le tester tant au niveau des dispositifs techniques qu’humains. A ce titre des plans secours informatique (également appelé PRA/DRP ou PCIT – Plan de Continuité Informatique et Télécoms) peuvent être testés par segments applicatifs (et en priorité les applications critiques seront testés) mais également du côté utilisateurs avec le test de site de repli utilisateurs.
Au niveau humain, peuvent être envisagés deux types différents d’exercice de crise. La première catégorie d’exercice de crise, appelée exercice sur table, réunit les membres de la cellule de crise en salle dédiée et permet le travail durant 2-3 heures sur un scénario donné. Cela permet d’entraîner les membres du Comité de Direction habituellement associés à la cellule de crise à affronter des scénarios prévus au PCA et dans le kit de gestion de crise. La critique généralement adressée à ce type d’exercice est qu’une crise est un événement imprévu que des solutions ou des réponses préparées à l’avance sont forcément inadaptées. Certes, cette affirmation est peut être exacte, mais lorsqu’il s’agit d’intégrer la gestion de crise à la culture de l’entreprise, un point de départ est nécessaire. De plus, une fois que la cellule de crise a bien été formée (sans oublier le réseau de suppléants), il est possible de progresser vers des exercices de mise sous tension.
Les exercices de mise sous tension, correspondant à la deuxième catégorie d’exercice de crise, sont fondés sur des scénarios qui n’auront pas été nécessairement envisagés à l’avance. Ces exercices de mise sous tension font intervenir la cellule de crise et un certains nombres d’acteurs extérieurs à celle-ci. Ces intervenants peuvent être les représentants des autorités, des forces de l’ordre, de la sécurité civile, des syndicats, etc… L’ensemble de ces intervenants peut être joués par des comédiens qui tiennent tantôt le rôle de Préfet, de Pompiers, de Policiers ou de représentants syndicaux. Ces exercices de mise sous tension peuvent durée 3 à 4 heures selon la complexité du scénario. En plus de l’animateur de l’exercice de crise, un observateur est recommandé pour évaluer le comportement de la cellule de crise face à une situation imprévue.
Les exercices de crise, dans le cadre du PCA, sont généralement un bon moyen tester les schémas d’alerte, les protocoles de gestion de crise et les équipements dédiés (salle de crise, solutions de télécommunications, etc…). Si l’exercice est suivi d’un retour d’expérience, il permet de maintenir en condition opérationnelle les Plans de Continuité. A ce titre une révision annuelle est un minimum pour garantir la justesse et la cohérence des PCA (notamment pour l’annuaire de crise).
Pour en savoir plus, téléchargez votre guide en cliquant ici.
