L’élaboration d’un plan de continuité d’activité

La situation

L’AMF du Morbihan vous répond 👇🏽

Pour rappel, le PCA est définit comme “l’ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l'entreprise puis la reprise planifiée des activités” (1).

Il a pour objectif de :

1. Décliner la stratégie et l’ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal.
2. Permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image…) et de tenir ses objectifs.

Il existe deux PCA possibles, complet ou simplifié.

• Lorsque la réalisation d’un PCA s’inscrit dans une démarche globale de gestion des risques, c’est un PCA complet.
• Lorsque la Commune ne dispose pas de l’anticipation nécessaire ou n’a pas encore de stratégie globale de gestion des risques, elle peut malgré tout réaliser un PCA simplifié.

Le contenu du PCA

Le PCA doit notamment contenir (Guide du Gouvernement) :

• Le contexte : afin de décrire les objectifs et les obligations de l’entreprise, dont va découler la liste des activités essentielles pour les accomplir ;
• L’identification des risques les plus graves, accompagnés de plusieurs scénarios ;
• La stratégie de continuité d’activité : qui établie et précise, pour chaque activité essentielle, les niveaux de service retenus et les durées d’interruption maximales admissibles, ainsi que les ressources et procédures permettant d’atteindre les objectifs jusqu’à la reprise de la situation normal ;
• Le rôle des différents responsables : afin de définir les différentes personnes responsables, leur rôle et les procédures de la mise en œuvre du PCA, accompagnés des moyens associés pour pouvoir l’exécuter ;
• Le dispositif de gestion de crise : permet de conduire la mise en œuvre du PCA en assurant le pilotage des actions de réponse et de gestion de l’incertitude ;
• La maintenance opérationnelle du plan, c’est à dire “ établir des indicateurs permettant de vérifier et mesurer :
• La bonne mise en œuvre des dispositifs préconisés dans le plan ;
• En amont : l’efficacité du plan au regard des objectifs de continuité ;
• En aval (durant une crise) : les niveaux de service constatés sur les activités essentielles, le fonctionnement des processus spécifiques au PCA et la disponibilité des ressources de secours.

La maintenance opérationnelle consiste ensuite à mettre en place les dispositifs de mesure relatifs à des tests périodiques, à des exercices ou à un sinistre vécu. Elle se traduit enfin par l’identification des axes de progrès et le suivi des améliorations apportées au plan.

L’élaboration du PCA

L’élaboration du PCA doit nécessairement s’effectuer en cinq étapes, tels que (Guide du Gouvernement):

1. Définir le contexte et identifier les objectifs et les activités essentielles ;
2. Déterminer les attentes de sécurité pour tenir les objectifs ;
3. Identifier, analyser, évaluer et traiter les risques ;
4. Définir la stratégie de continuité d’activité ;
5. Mettre en œuvre et assurer l’appropriation.

Le PCA simplifié, contrairement au plan de continuité d’activité complet, permet de préparer une stratégie spécifique, rapide et simplifiée pour résister à un scénario donné.

Références :

1. Art 1 de l’arrêté du 31 mars 2005 modifiant le règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement
2. Guide du Gouvernement
3. Guide de la préfecture du Nord