Un PCA pour la tranquillité de l’esprit ?

Loin d’être de la paperasse inutile, le plan de continuité et de reprise d’activité (PCA), constitue un moyen d’anticipation d’une situation difficile où chaque établissement peut un jour ou l’autre être confronté.

     

Comme tout bon dispositif de crise, le PCA est sensé prévoir un grand nombre de cas de figure possibles et se veut complémentaire aux organisations prévues, en particulier les plans blancs, pour faire face efficacement à un important sinistre. Aujourd’hui, c’est souvent exclusivement sur la sécurité des systèmes d’information que se focalisent les PCA mis en place. Certes, l’omniprésence de l’informatique et notre dépendance quotidienne à ces outils et aux données, rendent indispensables une réflexion et la mise en œuvre de moyens pour parer à une éventuelle indisponibilité du système. Cependant l’envergure du PCA se doit d’être beaucoup plus étendue et recentrée sur l’ensemble des métiers afin d’assurer la résilience de l’établissement face à tout type de risque opérationnel.

Une réflexion centrée sur les métiers

La démarche d’élaboration d’un plan de continuité d’activité doit avant tout débuter par l’identification de ses activités essentielles et des objectifs associés. Cela passe par une approche systémique et une vision cartographique des processus et des ressources.

Par rapport aux activités essentielles il est ensuite nécessaire de définir précisément quelles sont les attentes de sécurité en matière de continuité pour tenir les objectifs. En pratique, l’exercice n’est jamais simple. Il s’agit en effet d’estimer quel peut être le niveau de risque acceptable, ce qui par définition, fait intervenir des paramètres d’incertitude. Une aide précieuse sera toutefois trouvée par le biais des démarches d’analyse de risques a priori dans lesquelles tous les établissements de santé sont dorénavant engagés. Ainsi, l’identification, l’analyse, l’évaluation et le traitement des risques effectués sur les activités essentielles constituent des éléments qui permettent de mieux définir le cœur du PCA. Pour atteindre les objectifs, tout en intégrant les limites capacitaires, un arbitrage s’avère indispensable prenant compte les notions de coûts par rapport aux avantages ou encore de balance bénéfices/risques. Cet arbitrage aboutit à une priorisation, ou tout au moins à une hiérarchisation des solutions envisageables.

Une stratégie de continuité

La définition de la stratégie de continuité d’activité se bâtit donc avec l’appui d’une vision relativement précise de la cartographie des risques centrée sur les métiers et les fonctions essentielles de la structure.

A titre d’exemple, sans être exhaustif, la stratégie doit permettre de lister les solutions de réponses à des accidents d’ordre sanitaire, épidémique, énergétique, climatique, environnemental, hôtelier, incendie, …

En conclusion, construire son PCA ne s’improvise pas. C’est un travail qui s’alimente également de l’expérience et des compétences de ses rédacteurs. Sa mise en œuvre passe nécessairement par des phases d’appropriation et de tests. Le PCA est évolutif et doit régulièrement être remis en question pour affronter de façon sereine toutes les menaces potentielles et s’assurer par la même une certaine mais relative tranquillité d’esprit.

David FRITSCH
Responsable de l’Activité de Conseil
Direction Pôle Services Sham.

Février 2015

Voir aussi :
Un-plan-de-continuite-d-activite-un-bouclier-contre-les-catastrophes
Pour en savoir plus sur l’élaboration d’un PCA, le Secrétariat général de la défense et de la sécurité nationale a rédigé un guide de 80 pages disponible sur son site internet (http://www.sgdsn.gouv.fr/ ).
Pour vous accompagner sur ce thème, une mission spécifique du Pôle Services Sham vous est proposée. Plus d’infos sur la fiche descriptive.