Dans ce cadre, la gestion de la continuité d’affaires, la mesure de la vulnérabilité de l’entreprise dans son environnent permet à la Direction de l’entreprise de minimiser les risques et la part du hasard dans ses prévisions de chiffre d’affaires et de marge. Depuis quelques mois, à travers la nouvelle norme ISO 22301, le Dirigeant dispose désormais des outils lui permettant de « sécuriser ses prévisions », ceci, quelque soit les évènements extérieurs et en accord avec les enjeux du Développement Durable. Cette norme nous offre d’autre part le support qui nous permet d’exprimer la méthodologie THEMA d’analyse des systèmes complexes.

En effet, la gestion du Plan de Continuité d’Affaire de l’entreprise à travers cette norme permet de généraliser ce qui hier concernait uniquement la fonction informatique à l’ensemble des fonctions de l’entreprise, concrètement :
• Vérifier et décrire les différents points d’approvisionnement en « Utilities » (gaz, électricité, eau), en s’assurant que si un point d’accès est coupé, un autre point indépendant prendra le relais.
• Analyser les sources d’approvisionnement en matières premières : si possible deux fabricants indépendants.
• Analyser les modes de transport des produits de l’entreprise : existe-t-il des solutions de contournement vers tous les clients critiques en cas de rupture de la chaine principale ?
Nous obtenons ainsi une vision à 360° des risques et de la vulnérabilité des processus qui peuvent impacter sur les pertes financières de l’entreprise. La nouvelle norme ISO 22301 permet et propose un cadre tangible à l’élaboration du Plan de Continuité d’affaires, mais comment le mettre en œuvre et quel Retour sur Investissement est-on en droit d’attendre ?

La mise en œuvre

La mise en œuvre n’est pas aisée du fait du grand nombre d’informations à manipuler et passe par la maîtrise des processus. Pour cela un découpage par domaines d’activités et une décomposition Sites, Bâtiments, Processus de production/services, Machines/Activités, Equipements/Opérations est nécessaire de manière à dresser la cartographie de la vulnérabilité des processus et leur hiérarchisation en vue de leur priorisation. Cette analyse sera systémique, en ce sens que les événements/menaces/vulnérabilités de tous ordres seront à minima indiqués et au plus étudiés dans le détail à travers un arbre de défaillance, le bon sens servant de guide dans cette opération de manière à ne pas se perdre dans trop de détails.
Nous avons retenu dans notre méthode THEMA que l’estimation de cette vulnérabilité peut être de deux ordres : mesurable ou évaluable. Dans le cas de données mesurables, l’opération est simple, car exprimée « comptablement », il suffit donc de compter les éléments. Dans le cas des données évaluables, nous n’avons pas de repère, si ce n’est notre approche d’appréciation « simple », ou alors le passage vers des techniques d’évaluation plus pointues (arbres de défaillance par exemple).
Notre méthode d’appréciation « simple » des systèmes complexes THEMA permet de prendre en compte le maximum d’éléments. L’évaluation est caractérisée par 4 indicateurs (de définition variables, précisés suivant l’échelle de dommage pour l’entreprise) auxquels une note de 1 à 4 est attribuée, 4 étant la valeur la plus forte, le risque le plus élevé, la vulnérabilité la plus grande. Chaque score est attribué et commenté par le responsable de domaine puis, chalengé par l’analyste/Responsable de l’élaboration du Plan de continuité. La liste croisée des fonctions, hiérarchisées par sous processus et processus, permet d’obtenir une matrice. Ce résultat est ensuite pondéré par une matrice des coûts portant sur la même fonction, de manière à mettre en évidence les solutions incompatibles d’un point de vue coûts. Durant cette phase il faut veiller à rester pragmatique, ne pas simplifier/supprimer trop rapidement des axes ou des éléments, ne pas sur considérer/sur noter.
Les différentes sources de contraintes et de risques sont attribuées aux différents éléments (Thèmes) de cette décomposition permettant d’obtenir la cartographie des risques et des vulnérabilités.

L’évaluation

La méthode d’évaluation « simple » est basée sur le principe que toute chose étant égale par ailleurs, chaque élément peut améliorer ou dégrader le système, ceci quelque soit sa place ou son rang.
L’objectif de la méthode étant de mettre en évidence le maillon faible du système, même si, en apparence, sa présence, sa situation, son score n’amène pas de questions particulières à l’observateur. La mise en place d’un système d’informations est nécessaire pour organiser, hiérarchiser et surtout historiser les mesures dans le temps. Cette dernière activité est indispensable, en effet la prise en compte de la dimension temps permet de surveiller l’évolution du système et par voie de conséquence l’évolution des risques dans le temps. L’effet domino démarre souvent d’évènements à priori sans importance… ainsi la prise en compte du mouvement et/ou de l’évolution du système (l’entreprise dans son milieu) est indispensable pour sa maitrise sur le long terme.
Chaque Thème est évalué suivant les différents attributs, on obtient une note globale pour le Thème, l’analyste justifie sa notation. Chaque Thème est ensuite moyenné sur le niveau supérieur permettant ainsi d’obtenir la vulnérabilité sur le sous processus ou le processus père. Ainsi l’agrégation matricielle permet d’obtenir sur un tableau suivant les attributs fixés simples à lire et immédiatement interprétable.
Il est aussi possible d’exploiter la méthode « standard » d’évaluation des risques admise et calculée suivant la formule : Probabilité du risque x Importance des conséquences. Un abaque permet ensuite de réduire à un indicateur (1 : faible, à 5 : très fort).

L’Organisation

La mise en place d’un comité de suivi du Plan de Continuité des affaires rattaché à la Direction générale de l’entreprise est indispensable pour suivre dynamiquement des indicateurs dans le temps et ainsi tenir compte de leur évolution. L’Officier « Plan de continuité » est le garant de la complétude et de la qualité des informations, de l’évaluation et de la prise en compte des facteurs temps, vieillissement, évolution, transformation. Il a surtout à sa charge la mise en place d’actions correctrices qui vont permettrons de diminuer la vulnérabilité des processus.
La responsabilité de la Direction Générale étant de faire en sorte que la mémoire de l’entreprise soit conservée malgré le turn-over naturel, la gestion des plans de continuité entre dans cette stratégie.

Mise en place des solutions
En fonction de l’évaluation obtenue, des solutions vont-être préconisées pour diminuer la vulnérabilité, mettre en place des nouvelles règles de gestion, décrire des solutions de contournement, ou préconiser des solutions curatives. Différents scénarii de gestion peuvent être proposés à ce stade, leur adoption devant être validée par le comité de suivi du Plan de Continuité qui statut en fonction de la criticité et des investissements potentiels nécessaires de la solution de contournement. Un plan sur plusieurs années est parfois nécessaire pour sécuriser totalement l’ensemble des processus sur l’ensemble des sites de la société.

Retours sur investissement

Le retour sur investissement peut être estimé selon différents axes :

Mesurables
_ ? Diminution des pertes de productivité
_ ? Diminution des accidents / Incidents du travail
_ ? Rationalisation des stocks de matière de base ou semi-œuvrés
_ ? Amélioration des plans de maintenance des machines et équipements
_ ? Diminution de la prime d’assurance « Perte d’exploitation »

Evaluables

_ ? Amélioration de l’image de l’entreprise (ce qui est dit est fait),
_ ? Gains de marchés par la démonstration de la maitrise des délais de livraison,
_ ? maitrise de ses processus et de leurs vulnérabilités,
_ ? Renforcement du Patrimoine Documentaire
_ ? Harmonisation des procédures de sécurité multi-sites, multi-pays,
_ ? Confortation de l’actionnariat, des hommes clés

A la notion de résilience qui se développe dans le discours des experts, le Management des Plans de continuité de l’entreprise introduit la notion de ductilité (pour rester dans la métaphore mécanique). Il s’agit de la capacité à plier sous une contrainte temporaire, puis à retrouver sa forme initiale après la disparition de celle-ci. Comme peuvent être l’accident, la gestion de la crise liée à celui-ci puis le retour à la normale.

Bien évidement l’accident ne pourra pas toujours être évité, mais ses conséquences seront toujours minimisées par rapport à la non prévision ou à la non maitrise des facteurs aggravants. La gestion de la continuité des affaires s’inscrit donc désormais, dans notre monde fortement contraint, comme l’outil de minimisation de la portée d’un évènement susceptible de disloquer l’entreprise.