Qu’est-ce que le PCA?
Le PCA, Plan de continuité d’activité, permet de garder une certaine disponibilité de la production, même entravée, lors d’un incident ou d’une situation de crise. On y retrouve un ensemble de moyens, équipements, procédures afin de ne pas stopper l’activité d’une entreprise (ou une collectivité, un gouvernement, institution, hôpital, etc…). Il permettra aux collaborateurs de savoir quoi faire, qui prévenir, quelles sont les différentes actions à mettre en place et de réagir rapidement.
Ce document doit être formalisé et régulièrement mis à jour afin de prendre tous les risques pouvant survenir lors du fonctionnement de l’activité et la meilleure façon de l’endiguer.
Deux types d’analyse
Pour sa mise en place, il faut constamment rester en veille sur les potentiels risques éventuels et procéder à deux types d’analyse. L’analyse de risque et l’analyse d’impact.
L’analyse de risque permet d’identifier l’ensemble des menaces pouvant survenir sur l’organisme. Elle peut être humaine, liée à une maladresse, volontaire ou naturelle ou elle peut être interne ou externe à l’entreprise.
L’analyse de l’impact permet d’évaluer la possibilité qu’un risque survienne et de déterminer à partir de quand son impact va mettre en danger la survie de l’entreprise.
En complément, il faut effectuer une analyse de vulnérabilité de votre entreprise. Elle va mettre en lumière les facteurs forts et faibles ainsi que les points critiques
Les scénarios
Une fois que vous avez effectué ses analyses il convient de les classer dans un tableau.
Le tableau ci-dessous nous permet de classer les risques par impact qu’ils auront sur l’entreprise, la probabilité qu’ils arrivent et la gravité. G = 1 Un risque peu probable et peu important. G = 4 un risque très probable et très important pour la survie de l’entreprise.
Une fois classer et en fonction de leurs positions dans le tableau il convient de définir l’ensemble des actions et comportements à mettre en place « les scénarios ». Ces derniers vont permettre de savoir comment réagir, qui appeler et quoi mettre en place. Pour ce faire, il faut prendre le temps de communiquer à chacun des collaborateurs l’ensemble des scénarios possible et de s’entrainer si possible sur certains d’entre eux.
Quelques conséquences potentielles
- Perte de chiffre d’affaires
- Image de l’entreprise ternie
- Empêchement de l’entreprise de remplir des obligations légales ou contractuelles
- Ressenti négatif de la part des fournisseurs, clients, partenaires et collaborateurs
Quatre critères pour mettre un PCA fonctionnel en place
Selon le Disaster Recovery Institute international (DRII), pour mettre en place dans son entreprise un PCA efficace et fonctionnel, il faut respecter quatre critères :
- Resume without notice : continuer l’activité de manière transparente
- Data stored off-site : stocker les données hors de l’entreprise pour toujours y avoir accès dans le pire des scénario (sinistre). (NDLR : Même si cette option tient plus du plan de reprise de l’activité (PRA)).
- Within recovery time objective : Mettre en place un objectif de temps de récupération et si dépassé penser mettre en place d’autres solutions
- Without key personnel : Que le plan de continuité ne soit pas rattaché à une personne en particulier pour pouvoir être lancé rapidement.
Quelques questions à se poser pour son PCA
Quel budget vous pouvez accorder à sa mise en place et pour se calculer, quel impact économique une heure d’arrêt de votre système d’information engendrera-t-elle ?
L’arrêt complet de votre système d’information pendant une heure est-il possible/ acceptable ou non ?
L’utilisation de quels outils sont indispensable au bon fonctionnement de l’entreprise et en cas de panne quels vont en être les conséquences.
Démarches supplémentaires
En fonction du secteur d’activité et du plan, il peut intégrer plusieurs démarches telles que :
- Une assurance qualité avec un état des lieux concernant la sécurisation des locaux et des ressources vitales à l’entreprise
- Un plan de protection des employés
- Un plan d’alerte et de secours
- La gestion du risque juridique et assurantiel
Pour finir
Au vu de tous les éléments évoqués précédemment, il va de soi qu’un plan de continuité ne peut être définitif, il doit sans cesse être amélioré, repensé, prendre en compte toutes les éventualités possibles et les retours d’expérience et d’exercices dans le domaine.
Cependant il permettra de réagir correctement si votre entreprise se retrouve face à l’un ou plusieurs scénarios mis en lumière par votre plan. Il permettra aussi de conforter vos collaborateurs et vos clients.
Découvrez notre page sauvegardes – PRA – PCA et n’hésitez pas à nous contacter !