Résilience : Une gestion

des risques responsable

Mettre en place une stratégie de résilience, c’est accepter d’identifier
les risques potentiels et tout faire pour en réduire les impacts.
Or la gestion des risques n’est encore aujourd’hui pas assez présente
en entreprise. Trop souvent perçue comme un frein à la croissance,
elle est dans les faits un levier stratégique et opérationnel :
Une aide majeure à la prise de décision éclairée par les dirigeants.

Le contexte actuel nous rappelle que l’environnement des
entreprises est complexe, à l’exemple de la mondialisation
et de ses flux d’échanges rendant les frontières parfois
floues entre les entreprises et leurs sous-traitants, mais
aussi changeant avec l’évolution permanente des
règlementations et des métiers.
Ces changements, même brutaux comme l’a rappelé la
pandémie actuelle, doivent être identifiés pour pouvoir s’y
préparer. Or la gestion des risques n’est encore aujourd’hui
pas assez présente en entreprise. Trop souvent perçue
comme un frein à la croissance, elle est, dans les faits,
un levier stratégique et opérationnel puissant : une aide
majeure à la prise de décision éclairée par les dirigeants.
Mettre en place une stratégie de résilience, c’est accepter
d’identifier les risques potentiels et tout faire pour en réduire
les impacts et la fréquence.
Face au risque de crise telle que nous venons de la vivre,
les stratégies de résilience sont multiples avec un certain
nombre de pratiques comme l’introduction de l’agilité,
la digitalisation des processus métiers, la préparation d’un
PCO, Plan de Continuité d’Organisation et la formalisation
d’un PCA, Plan de Continuité d’Activité.
Prenons quelques minutes en nous arrêtant sur l’une d’entre
elles : le PCA
Toute organisation devrait se préparer à cet exercice afin
de mettre à l’épreuve sa robustesse et ainsi construire
son architecture de résilience qui l’aidera à supporter les
impacts des risques sanitaires, sociaux, environnementaux
et cyber à venir.
Cette démarche est connue en France depuis une bonne
vingtaine d’années et est souvent évoquée sous les
acronymes PCA/PRA. Les évènements actuels ont bien mis
en évidence son absolue nécessité ou du moins l’absolue
nécessité de se préparer à être prêt !!

Passé Futur

Le PCA est considéré

comme un « must do »
en raison de la peur,
de l’incertitude
et du doute.
Le PCA Manager
est en grande
partie une fonction
administrative / tenue
de dossiers
Les engagements de
temps et de ressources
pour la formation /
l’exercice demeurent
un défi
Les chefs d’entreprise
considèrent la PCA
comme une activité
informatique / DR
• La résilience est avant tout un projet d’entreprise
animé avec un engagement fort de la Direction
et porté par tous les collaborateurs.
Le PCA est pratiqué
dans des silos
organisationnels • Une forte culture de résilience dans tous les projets,
avec des résultats à l’instar de l’Architecture ou de la Sécurité.
fragmentés
• Une démarche Agile avec des tests réguliers pour
Les organisations s’améliorer en continue.
manquent de visibilités
sur la résilience de leurs
tiers
Trop souvent identifié comme une source de coût et un
projet de la DSI, le PCA reste encore considéré comme
un « nice to have » pour une majorité d’entreprise, et plus
particulièrement pour les PME/ETI. Les évènements récents
démontrent malheureusement le contraire.
Les investissements dans la préparation d’un PCA doivent
être mis en regard des risques financiers et commerciaux
encourus par l’entreprise en cas d’arrêt prolongé de
l’activité. C’est par conséquent un sujet d’entreprise qui
doit être porté par la Direction Générale ou le dirigeant
pour une mise en œuvre collective avec l’engagement
de tous les collaborateurs ! Ce projet doit évidemment
être adressé comme tel avec un responsable identifié et
mandaté. En outre, une culture de la résilience, à l’instar de
ce qui est fait pour la sécurité des SI, est indispensable à tous
les niveaux via une sensibilisation et dans le suivi régulier de
tous les projets.

A minima, un PCA à l’échelle, évolutif et agile,

doit être envisagé !!

Étape 5
Étape 1
• Tester annuellement le PCA
• Assurer l’appropriation • Définir le contexte
• Maintenir le PCA • Cartographier les processus
& activités clés

Étape 4
Étape 2
• Construire la stratégie
de continuité d’activité • Définir les attentes de sécurité
• Élaborer les solutions et de continuité
de réponse avec • Définir le service minimum
un plan d’action
• Rédiger le PCA

Étape 3

• Identifier, analyser, évaluer

et traiter les risques

Un PCA à l’échelle, c’est un plan adapté aux enjeux
de chaque entreprise : simple, avec des procédures
opérationnelles facilement comprises par tous et
déployables rapidement, visant à maintenir un niveau de
service défini pour des fonctions et processus clés.
Les activités de mise à jour du PCA devront être intégrées
dans les processus Métiers et IT pour faciliter la prise en
compte des évolutions possibles au quotidien.
Le PCA devra être testé régulièrement pour en garantir sa
pleine et entière efficacité à chaque instant.

Arsia Mons Conseil - juin 2020