Après nous avoir parlé du savoir-faire de Devoteam, son directeur général pour la Tunisie, Tarek AKROUT, revient sur un concept certes vieux de 30 ans, mais très nouveau en Tunisie.
Ainsi, le DG de Devoteam Tunisie et expert en matière de continuité d’activité nous a entretenu sur la nécessité de préparer les entreprises aux sinistres qui pourraient impacter leurs activités sensibles. Et notre expert sait de quoi il parle, lui qui, depuis une décennie, a accompagné des grands comptes en Europe, en Afrique du Nord et au Moyen-Orient dans la définition et la mise en place de Plans de Continuité d’Activité (PCA).
D’ailleurs, cette interview tombe à bien nommé au moment où on s’active, semble-t-il, dans les entreprises tunisiennes à déclarer 2011 l’année du PCA. M. Akrout nous donne quelques précieux éclairages sur cette notion.
Webmanagercenter : Qu’est-ce que la continuité d’activité ?
Tarek Akrout : La continuité d’activité est un concept né il y a plus de 30 ans dans le but d’assurer le fonctionnement des processus sensibles de l’entreprise en cas de défaillance majeure. En fait, ce concept a vu le jour avec l’informatisation dans les années 80, d’abord pour fiabiliser les nouveaux systèmes informatiques. Ensuite, il s’est vu élargir son périmètre petit à petit dans les années 90 pour y inclure l’immobilier hébergeant les équipes et les collaborateurs pour finalement intégrer la continuité des équipes elles-mêmes, tendance qui s’est confirmée dans les années 2000 avec l’actualité de la grippe aviaire puis de la pandémie H1N1.
Pourquoi une entreprise doit-elle mettre en place un dispositif de continuité d’activité ?
Pour différentes raisons.
Obligation réglementaire : c’est le cas de certains secteurs d’activité comme le secteur financier qui a imposé aux établissements bancaires et financiers de disposer de plans de continuité opérationnels et testés régulièrement. En Tunisie, la réglementation (cf.BCT 2006-19) stipule que les établissements de crédits et les banques non résidentes doivent disposer de plans de continuité de l’activité (PCA) qui consistent en un ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire, des prestations de services essentielles de l’établissement de crédit ou de la banque non résidente puis la reprise planifiée des activités.
D’autres secteurs d’activité, comme celui pharmaceutique en Europe, ou du secteur de l’énergie aux Etats-Unis, sont tenus de mettre en place un PCA d’un point de vue réglementaire.
Obligation contractuelle : je citerais l’exemple d’une société de transport de fonds qui, en étant sous-traitant de banques, se voit imposer par ces dernières de disposer de PCA pour assurer l’alimentation des GAB.
Nécessité commerciale : dans un contexte de circulation de l’information à la vitesse de la lumière, notamment pour certains services devenus vitaux comme les télécoms, le transport, la logistique, il devient difficile de subir un arrêt d’activité sans assumer des conséquences commerciales qui se traduisent souvent et de manière directe par la perte de part de marché.
J’aimerais illustrer mes propos par quelques chiffres issus d’une enquête internationale menée par Contingency Planning Research et qui estime la durée maximale d’interruption au delà de laquelle votre entreprise risque de disparaître, de la façon suivante :
• 72 heures= 40%
• 24 heures= 15%
• 4 heures= 9%
• Dans la première heure= 4%.
Ce qui est sûr, c’est que 72h pour une entreprise non préparée, c’est très court !
Dans ce cas, quels sont les risques qu’il faut couvrir ?
Un PCA idéal doit couvrir 4 familles de sinistres :
– L’indisponibilité du SI critique
– L’indisponibilité des locaux critiques
– L’indisponibilité des RH
– L’indisponibilité de services externalisés (Fournisseurs ou sous-traitant).
Pourriez-vous indiquer à nos lecteurs les composantes d’un PCA ?
Si je devais modéliser simplement un PCA, je dirais qu’il s’appuie sur 3 composants.
1 – Des moyens de secours : sites de secours informatiques, sites de repli utilisateurs, télétravail, logistique de secours, etc.
2 – Une organisation couvrant les aspects décisionnels et opérationnels.
3 – Des procédures de secours de différentes natures : décisionnelles, métier, SI, logistique et communication de crise.
Un PCA se doit également d’être accompagné d’un plan de tests et d’un plan de maintien en condition opérationnelle.
On a compris que le sujet est vaste, mais que conseillez-vous aux entreprises qui souhaitent lancer une démarche de continuité d’activité ?
Tout d’abord, c’est de lancer un projet bien identifié et bien visible au sein de l’entreprise. Dans un premier temps, il faudra de bien cadrer les risques encourus et les besoins des différents processus métiers. Il faut adopter, par la suite, une démarche pragmatique et progressive de mise en place d’un plan qui couvre les risques les plus significatifs.
Généralement, il faut couvrir le risque d’indisponibilité du SI critique puis élargir aux locaux hébergeant les équipes travaillant sur les processus les plus vitaux avant de cibler d’autres types de risques comme ceux liés aux RH ou aux fournisseurs.
Le PCA doit être un processus récurrent qui accompagne la vie de l’entreprise. Régulièrement, l’entreprise doit le tester en vue d’améliorer son efficacité et sa maturité, d’une part, et d’élargir la couverture des risques encourus, d’autre part. Un «bon» PCA est un PCA qui a pris le temps de murir et de devenir un élément incontournable dans la culture de l’entreprise.