Souvent associé au domaine informatique, le Plan de reprise d’activité ( ou Disaster Recovery Plan – DRP en anglais) devient de plus en plus d’actualité du fait de l’accroissement des catastrophes naturelles, des risques sécuritaires et de la complexité techniques de nos infrastructures.
« Car après une catastrophe, une entreprise se doit de se relever, car il y a un après, oui un après. »
Ce post n’a pas pour but d’être exhaustif, loin de là, mais à pour but de vous faire sentir la nécessité d’engager le dialogue sur la pertinence d’un P.R.A au sein de votre société, même lorsque l’on est une TPE, PME et/ou un artisan. La fragilité n’est pas l’apanage des grands groupes, bien au contraire. Si pour une usine, un incendie de sa salle de serveur sera fortement préjudiciable, pour un artisan, le « simple » vol de son camion avec ses outils de travail le sera tout autant à son « échelle ».
Le P.R.A. a l’intérêt de mettre en lumière les forces et les faiblesses d’une organisation et peut donc servir comme outil de retour à l’activité mais surtout d’outil de prévention. car Savoir c’est la première étape en matière de prévention.
Petite définition
Un plan de reprise d’activité (PRA) a par objet de décliner la stratégie de l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal.Il doit permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image, chute valorisation, perte de stock…) et de tenir ses objectifs de survie à moyen, long terme.
Les acteurs de constitution du P.R.A. .
cette étude est pluridisciplinaire et doit donc englober beaucoup d’acteurs de l’entreprise. Pour les plus importants : la direction, les ressources humaines, l’informatique, la maintenance infrastructure, les achats, la logistique et la production ( direction métier) et les acteurs de la sécurité.Bon les artisans/TPE vous maitrisez votre activité sur le bout des doigts, alors vous restez seul, ou vous me passez un coup de fil. ;o)
La démarche de constitution de l’étude d’un P.R.A.
Définir le périmètre du PRA.
Pour la majorité cela sera, l’entreprise, l’usine, l’entrepôt , l’unité de production, …. L’interêt du découpage pour de plus grandes structures, peut permettre de réduire les champs d’études et de supprimer certains processus jugés non critiques. ( par exemple : unité de stockage de matière, si une solution de stock déporté est existante).
Identifier les activités Critiques
L’objectif est de repenser a minima son activité et se poser les questions « est ce nécessaire ? » « Que faudrait il pour m’en passer? » « Quels sont les risques et les délais que je m’accorde pour une reprise normale du service ? »
L’exercice est délicat car il demande de prendre beaucoup de recul et d’avoir une connaissance précise sur sa propre activité. Si aujourd’hui, l’informatique paraît un incontournable, ne peut on pas s’en passer, sans avoir une incidence forte sur nos processus de service ou de production ? Peut on sous-traiter, totalement ou partiellement une partie de son process? Peut on remplacer une opération toute automatique par des opérations manuelles ? Telles sont toutes les questions à se poser.
En repensant à minima, on doit donc arriver à une cartographie d’activités et de flux « minimaliste » de son entreprise.
Identifier les ressources nécessaires pour les activités critiques
Une fois les activités critiques définies, il faut désormais pouvoir les faire fonctionner et donc recenser les ressources nécessaires à leur fonctionnement.
Utiliser la méthode des 5M ( ou ishikawa) sur chacun des processus pour ne rien omettre :Main d’œuvre, matière, matériels, méthodes, milieu. La représentation schématique reste la plus parlante afin de définir ensuite pour chaque risque les impacts sur le processus.
Identifier les risques
l’identification des risques se doit d’être objectivé par :
votre environnement direct : zone sysmique, couloir aérien, zone inondable, voisins à risques …
Mais il faut aussi prendre en compte les risques internes comme le risque incendie, stockage de produits chimiques, risques techniques ( défaillance infrastructure à fonction continue ), … .
Évaluer les risques
Il faut ensuite évaluer ces risques, porter une estimation de la probabilité et de la gravité du risque afin de se concentrer sur les risques majeurs et les plus probables. par exemple : risque incendie : forte probabilité avec dégâts estimés : partiels, majeurs ou totaux.
A noter que chacun des risques identifiés doit être appliqués à chaque processus ou activités critiques . Un risque peut avoir une incidence sur un ou plusieurs processus.Par exemple: un risque inondation peut affecter une unité mais aussi être circonscrit à une partie uniquement, les mesures, les impacts et les solutions ne seront donc pas identiques.
Définir les conséquences et les solutions possibles
pour chaque processus et chaque risques: il faut proposer les solutions internes et/ou externes pour palier aux ressources nécéssaires manquantes afin de faire fonctionner l’activité critique. Ces solutions pourront être qualifiées dans le temps comme «Prioritaire», de «moyen terme» et de «retour à la normale».
La mise en œuvre
Ce P.R.A., même si tous ne voudrions ne jamais avoir à l’appliquer ne peut rester que théorique.
De la définition des risques et des mesures à prendre a du ressortir des solutions techniques, humaines ou organisationnelles qu’il faut mettre en œuvre pour réduire le risque ou préparer à faire face à ce risque. Par exemple: créer un stock déporté, faire de la formation/polyvalence, demander à son fournisseur un stock de sécurité, voir avec des sous traitants le prêt de matériel ( groupe électrogène, hébergement de données, surface de travail ou de stockage, … ). il faut en amont amorcer ces discussions pour valider la faisabilité, estimer les coûts et les délais de mise en place en cas de sinistres.
Les coûts et les facteurs de décisions
La mise en œuvre et de maintien d’un PRA aura une incidence financière, ces coûts seront à mettre en relation avec les coûts de perturbation ou non-activité de l’entreprise. Ceci afin de déterminer si « oui ou non » et quand le PRA doit être déclenché et à partir de quand son maintien devient préjudiciable. Ces décisions seront à mettre en relation avec les assurances prises pour la perte d’exploitation mais surtout en rapport avec le risque de la pérennité de la société à moyen terme.
L’appropriation
De ce P.R.A. doit sortir les solutions pratiques de retour à l’activité mais tout cela doit s’orchestrer autour d’une équipe. Des éléments sont attendus tels que: un annuaire de crise, les moyens de communications, la cellule de crise ( qui fait quoi et quand), la communication externe, les médias, la relation clientèle, … . Ce P.R.A se doit d’être revue périodiquement afin que les acteurs le garde en tête et qu’il s’adapte à la vie de l’entreprise.
En conclusion, même si cette étude peut paraître vaste et fastidieuse, il faut ne pas négliger les risques encourus et la paralysie parfois d’une entreprise ou d’un service pour des phénomènes que l’on avait pas prévus et qui avec des solutions simples, mais qui nécessite de l’anticipation peuvent réduire drastiquement ces risques.
Même si le Plan de Reprise d’Activité permet donc d’imaginer les pires catastrophes, il a l’avantage de devoir se poser les «bonnes» questions sur ces activités et de mettre en lumière nos faiblesses techniques, humaines et organisationelles.
PS: Nos avons beaucoup aborder les aspects techniques, mais il ne faut en rien négliger le facteur humain qui reste primordial pour un retour rapide à l’activité.
On retiendra :
– Le plan de reprise d’activité reste une étude qui se doit d’être concrète.
– Une équipe pluridisciplinaire est nécéssaire pour ne pas omettre certains aspects.
– le P.R.A. est avant tout un outil qui doit permettre de prévenir le risque. : rendre l’entreprise plus forte.
– Il faut de l’appropriation de la part des équipes de gestion de crise.
– Il faudra revoir ce plan à chaque modification significative de l’entreprise.
– les aspects humains sont des plus importants et à ne sont pas à négliger.
Soyez alerte, innovants et restez en bonne Santé.
j.Keire
theos.fr
Pour aller plus loin :
https://fr.wikipedia.org/wiki/Plan_de_reprise_d’activit%C3%A9