Si le sujet de la continuité d’activité n’est pas nouveau, il est intéressant de noter qu’une petite révolution s’est opérée depuis quelques années.
Traditionnellement les PCA visent à assurer la continuité opérationnelle des organisations dans une approche de prévention et de planification. Comme l’a bien défini dans les années 1990 le Business Continuity Institute, un programme de continuité est un processus holistique de gestion, identifiant les menaces à l’organisation et déterminant les bases pour établir sa résilience. Celle-ci se met en place en développant la réaction appropriée en vue de protéger les intérêts de tous les intervenants clés, mais aussi la réputation, l’image et les activités créant la valeur de l’organisation.
Monter à l’instant « T » la bonne parade n’est pas toujours évident, mais avec une bonne équipe opérationnelle on y arrive (à l’exception du budget le cas échéant). Le souci pour les professionnels est de maintenir les plans en conditions opérationnelles, parce que les organisations changent et que les équipes manquent souvent de moyens. C’est la raison pour laquelle les tests et les entraînements périodiques sont nécessaires.
En 2012 apparaît le premier standard international dédié à la continuité d’activité. La norme de management ISO 22301 définit les exigences et les attentes en matière de continuité d’activité : l’analyse des risques, les enjeux (bilan d’impact sur les activités – BIA), la stratégie de continuité en cas de crise et de perturbations, la mise en œuvre des plans, les tests de continuité (au travers d’un exercice de simulation de crise par exemple). Le PCA est défini comme un ensemble de procédures documentées servant de guide aux organisations pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement à la suite d’une perturbation.
Depuis 6 ans, ISO 22301 a permis de standardiser, rationnaliser les démarches de PCA. ISO 22301 est certifiable au même titre que les normes 9001 ou 14001 par un certificateur (AFNOR, Bureau Veritas, LRQA…). La démarche de certification avec son suivi (audits etc) constitue un vrai gage de confiance pour les décideurs sur le bon maintien en conditions opérationnelles des dispositifs de continuité et de reprise d’activité (valable pour les équipes internes mais aussi pour les tiers-dépendants). Des organisations se sont faites certifiées dans le monde entier (près de 4000 à fin 2016). En France, le club 22301, créé en 2014 pour partager entre acteurs les retours d’expérience, a organisé des conférences publiques, dont le succès d’audience témoigne de l’intérêt grandissant pour l’ISO 22301 (Témoignages de certifiés Grands comptes/Public-Privé/PME). Dans un monde où nos organisations sont de plus en plus exposées, de tels outils sont essentiels pour assurer la continuité de nos organisations et construire les écosystèmes résilients de demain.
Xavier Hartout
Directeur Associé