x

En continuant à naviguer sur notre site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêts.
> En savoir plus

L'édito trimestriel du PrésidentHaut de page

 L'édito trimestriel du Président


Le 19 janvier 2017, l’IMdR a organisé, en partenariat avec le CCA (Club de la Continuité d’Activité) et l’IESF (Société des Ingénieurs et Scientifiques de France), une journée sur le thème : « Pourquoi et comment élaborer un Plan de Continuité d’Activité (PCA) ».

Un sinistre peut entrainer la cessation d’activité d’une entreprise. Pendant l’interruption d’activité, outre les pertes d’exploitation, l’image de l’entreprise peut être atteinte, la concurrence en profite et les clients vont voir ailleurs. Il n’est pas dit que les clients reviendront quand les dommages seront réparés à supposer qu’ils peuvent l’être et il n’est pas sûr que l’autorisation administrative sera donnée pour reprendre dans les conditions précédentes, certaines activités n’étant autorisées qu’au bénéfice de l’antériorité.

Les risques doivent être réduits en amont : c’est l’objet de l’analyse de risques et des mesures de prévention.

Mais il est essentiel de bien connaitre l’entreprise. La réalisation d’un BIA (Business Impact Analysis) permettra d’identifier les activités prioritaires en analysant les divers impacts de leur disparition et de déterminer, pour chaque activité critique, le DMIA (Délai Maximal d’Interruption Admissible), c’est-à-dire le temps d’arrêt de l’activité qui est accepté sans que l’entreprise n’en souffre de façon irrémédiable. Il faut ensuite mettre en place des moyens et arbitrer sur des ressources nécessairement limitées.

Le Plan de Continuité d’Activité est mis en œuvre et amélioré continuellement au sein d’un système de management de la continuité d’activité (SMCA) qui fait l’objet de la norme ISO 22301. Cette norme s’ajoute à de nombreuses autres normes de systèmes de management qui sont concernés par les risques : la norme ISO 9001 pour la qualité des produits et services délivrés au client, norme qui se propose d’intégrer les principes de management du risque de la norme ISO 31000, la norme ISO 14001 pour le management environnemental et donc les risques liés à la protection de l’environnement, la norme ISO 45001 pour  la santé et la sécurité au travail, la norme ISO 27001 pour la sécurité des systèmes d’information... Et il y en a d’autres...

Toutes ces normes demandent l’engagement de la direction qui doit faire connaitre sa politique, donner des orientations stratégiques et tenir une revue de direction pour décider des actions d’amélioration et en suivre la réalisation.

La direction générale (DG) d’une entreprise est donc censée tenir une revue de direction sur chaque sujet.

La DG s’appuie sur des directions particulières : direction de la qualité, direction des risques, direction de la sécurité, de la sûreté peut-être (tout le monde ne mettant pas la même signification sur ces deux mots), direction des systèmes d’information... La DG a aussi désigné des responsables : risk manager, responsable de la sécurité des systèmes d’information, responsable du plan de continuité d’activité...

Certes, la DG est responsable de tout.

Mais on peut se poser les questions suivantes : Qui pilote quoi ? Comment sont positionnées ces différentes entités qui travaillent pour la direction générale ? Comment est assurée l’intégration et la cohérence de l’ensemble ?

C’est un sujet que l’IMdR devra aborder.

 

 

Philippe Le POAC

Président de l'IMdR
(en savoir plus)