-
Durée :
20 minutes
-
Objectifs :
- Comprendre la démarche globale de continuité d’activité
- Construire son plan de continuité d’activité
20 minutes
Comprendre la démarche globale de continuité d’activité, c’est identifier les risques, se préparer, apporter une réponse immédiate et se rétablir à long terme. Trois étapes successives font partie de la démarche globale de continuité d’activité : la planification, la gestion de crise et le retour d’expérience.
Regardez la vidéo suivante pour appréhender la démarche globale de continuité d’activité (3 min 19 sec).
La continuité d’activité a pour objet de permettre à un organisme de maintenir ses missions essentielles lors d’un évènement perturbateur.
L’Organisation internationale de normalisation (ISO) rappelle la définition de la continuité d’activité en ces termes (norme ISO 22300) :
« Capacité d’un organisme à poursuivre la livraison de produits et la fourniture de services dans des délais acceptables durant une perturbation. »
La démarche de continuité d’activité est une approche globale et structurée qui constitue un ensemble d’étapes et vise à créer une culture de résilience dans une approche « tous risques ».
Cette démarche s’échelonne en trois étapes : la planification, la gestion de crise et le retour d’expérience.
Cette première étape se met en place lors du fonctionnement en mode nominal et définit une prévention des risques encourus et une préparation en cas de crise. C’est à ce moment précis que sont envisagées les solutions pour garantir la continuité d’activité.
Elle permet d’identifier les risques et de prendre des mesures pour éviter leur réalisation.
Elle détermine les mesures et les actions qui vont permettre d’assurer la continuité des activités en cas d’évènement perturbateur. C’est dans ce cadre que sont élaborés le PCS, le plan communal de sauvegarde, et le PCA, le plan de continuité d’activité.
Indiquez le type de document qui correspond à la description.
Cochez la case qui convient.
Cette étape est lancée en cas de perturbation ou d’interruption d’activité. Il s’agit alors d’appliquer les stratégies de continuité d’activité définies lors de l’étape précédente de planification, c’est-à-dire :
Cette dernière étape doit être lancée le plus tôt possible, sans attendre la sortie de crise. Les retours d’expérience (RETEX) permettent de tirer les enseignements des évènements passés, d’accidents réels ou simulés dans le cadre des exercices et donc, de renforcer la résilience de l’organisme.
Ce processus d’amélioration du PCA permet de reconstruire en mieux afin de mieux résister à un choc futur. Organiser un retour d’expérience après chaque crise ou lors d’un exercice doit permettre de mieux s’adapter et de se préparer en vue d’un retour à la normale plus rapide.
Les points de discussion en vue de l’amélioration peuvent être les suivants :
Une planification stratégique est nécessaire dans la mise en œuvre du plan de continuité d’activité. La prévention et l’anticipation permettent une bonne organisation et la mobilisation des meilleurs outils de gestion de crise.
Il s’agit avant tout de réaliser 3 actions : IDENTIFIER – ANALYSER – ÉVALUER
Ces trois actions nécessitent une bonne connaissance de son territoire ainsi que du fonctionnement de son organisme.
Regardez la vidéo suivante pour comprendre la démarche en trois actions qui vous permet de construire votre PCA (2 min 35 s).
Quels sont alors les risques et les menaces présents sur votre territoire ?
L’objectif, pour l’organisme, est de prendre conscience des risques auxquels il est exposé et de les apprécier correctement afin de les réduire.
Pour rappel, les principales catégories de risques et de menaces en matière de continuité d’activité sont :
D’autres risques complémentaires sont de plus en plus prégnants :
C’est une étape fondamentale de la démarche de continuité d’activité. Il s’agit de déterminer les activités prioritaires et leurs ressources indispensables en fonction de leur criticité.
Pour quantifier la criticité d’une activité, il est nécessaire d’évaluer son délai maximal d’interruption acceptable (DMIA) et ses impacts.
Étape 1 : l’évaluation du DMIA répond aux questions suivantes :
Étape 2 : il est ensuite nécessaire de recueillir les ressources indispensables au maintien de ces activités critiques.
Il s’agit de répondre à la question suivante.
Ces ressources peuvent être :
Une fois que les risques et menaces ont été identifiés, il s’agit de les hiérarchiser en fonction de leur vraisemblance et de leur gravité.
La vraisemblance des risques fait référence à la probabilité qu’une catastrophe se produise.
La gravité se rapporte aux conséquences potentielles si cette catastrophe se produit.
Pour cela, la méthode est simple : il s’agit d’établir des scénarios, notamment grâce aux informations passées qui permettent une meilleure connaissance des vulnérabilités de l’organisme.
Une matrice peut ensuite vous aider à hiérarchiser les risques et les menaces.
Consultez Géorisques (nouvel onglet), découvrez des informations sur les risques naturels et technologiques de la commune de Mandelieu-la-Napoule (Alpes-Maritimes) et placez les risques de séisme, inondation et éboulement dans la matrice.
Cliquez sur l’étiquette puis sur l’emplacement qui lui correspond.
Séisme : Le site internet Géorisques indique que le risque sismique existe sur la commune. La commune est classée dans la zone sismique réglementaires de sismicité « modérée ». Le site Géorisques n’indique pas d’événement sismique ayant conduit à la reconnaissance d’un état de catastrophe naturelle.
Inondations : La commune est concernée par le risque d’inondation. La commune a été reconnue à de nombreuses reprises en état de catastrophe naturelle causée par des inondations et coulées de boue. Le site Géorisques renvoie vers le site internet de la préfecture, où peut être consulté le PPR d’inondations. Les cartes d’aléa du PPR montrent que certaines parties du territoire de la commune sont concernées par un niveau d’aléa d’inondation de niveau « fort ».
Mouvements de terrain : Le site internet Géorisques indique que le risque de mouvement de terrain (éboulement ou chutes de pierres et de blocs, glissement de terrain, tassements différentiels) existe sur la commune. Bien que le site internet Géorisques indique que la commune n’est pas dotée d’un PPR de mouvements de terrain (ce qui peut aussi être vérifié sur le site internet de la préfecture), Géorisques mentionne que la commune a été reconnue à plusieurs reprise en état de catastrophe naturelle causée par des mouvements de terrain. L’intensité des phénomènes possibles est donc forte.
Cet exemple montre, qu’en plus d’intégrer la culture du risque, il est nécessaire d’identifier et d’analyser les risques et les menaces associés pour définir les solutions de continuité d’activité et leurs modalités de mise en œuvre.
Définissez le plan de continuité d’activité parmi les propositions suivantes.
La définition du PCA selon la norme ISO 22300 est la suivante :
« informations documentées servant de guide à l’organisme pour répondre à une perturbation et reprendre la fourniture des produits et services en cohérence avec ses besoins de continuité ».
Le PCA est rédigé à partir des conclusions de l’identification et l’analyse des risques, menaces et besoins de continuité précédemment évoqués.
Sélectionnez la réponse correspondant à la définition d’un PCA ainsi qu’à ses conditions pour être efficace.
Cliquez sur la réponse appropriée.
Après avoir identifié et analysé les risques, menaces et besoins de continuité de l’organisme, il s’agit d’évaluer sa démarche lors d’un retour d’expérience.
Cette action peut se mettre en place :
L’objectif est de rendre et maintenir le PCA opérationnel grâce à :