Dans le processus de définition d’un Plan de continuité de l’activité (PCA), il est prioritaire de procéder à une évaluation (assessment) des risques. Pour cela, il faut identifier les actifs les plus stratégiques, repérer les vulnérabilités que ces actifs encourent, et évaluer les impacts que leur indisponibilité pourrait avoir pour l’entreprise. C’est ce qu’on appelle le « risk heat map » ou la matrice de risques.
Exemple d’une matrice de risques (ou risk heat map)
A. Probabilité et impact
Dans la matrice de risques, deux dimensions sont cruciales : la probabilité que ce risque survienne, et l’impact que ce risque fait peser sur l’entreprise. Il est pertinent de catégoriser la probabilité de low (basse) à high (haute), en passant par medium (moyenne), que l’on peut encore nuancer.
- High désigne ainsi un événement qui peut se produire plusieurs fois par an, par exemple trois à cinq fois par an.
- Medium high caractérise une probabilité de survenue du risque d’une à trois fois par année.
- Medium low indique plutôt une probabilité d’une fois tous les trois ans.
- Low désigne un risque qui pourrait advenir une fois tous les cinq à dix ans.
Cette classification aide à prioriser les actions. Tout ce qui est classé au-dessus de la ligne « medium high » entraînera une réponse au risque (ou risk-adaptation), car cette probabilité n’est pas acceptable en l’état : il faut prendre des mesures pour se prémunir. C’est une préoccupation que vous pouvez porter auprès de votre hiérarchie ou de votre management.
Pour ces niveaux de risques élevés, il convient de définir des scénarios, et donc d’évaluer des impacts pour chacun. En fonction de l’entreprise, les ordres de grandeur de ces estimations pourront varier.
B. Mise en place des mesures
Une fois la classification réalisée et les impacts des différents scénarios estimés, il convient de faire adopter un plan de prévention et de réaction par le management. Devant la direction, il faut évoquer ces risques, puis envisager ce qu’il est possible de mettre en place pour réduire le risque. Cet exercice a deux objectifs : réduire la probabilité de la survenue du risque, ou réduire son impact si l’événement a lieu malgré tout.
Cela aboutit donc à deux matrices : une matrice actuelle et une matrice résiduelle. Une fois tous les contrôles implémentés et les actions définies, les risques auront été réduits. Sur cette base de discussion avec le management, il faut comparer les coûts des plans envisagés aux avantages financiers (retour sur investissement). Si l’entreprise consacre un budget à ces mesures, quelles seront pour elle les conséquences ? Qu’est-ce qui sera protégé ?
C. PRA et PGC
Dans le cadre d’un PCA, deux outils sont particulièrement utiles : le Plan de reprise de l’activité (PRA) et le Plan de gestion de crise (PGC). Disposer de ces deux éléments peut s’avérer stratégique afin de traverser au mieux une période délicate.
Le PRA, ou Plan de reprise de l’activité constitue la déclinaison spécifique du PCA pour le service informatique d’une organisation. Il comporte plusieurs points majeurs :
- Plan d’action des équipes IT
- Site de repli
- Matériel
- Coordination
- Réseau, Infrastructure, postes de travail en fonction des besoins des métiers
- Plan de Secours Informatique (PSI)
- Bascule sur le site de repli
- Redémarrage (chronologie) en fonction du scénario établi.
Le PGC, ou Plan de gestion de crise définit les objectifs, les rôles et missions de chaque personne et établit une stratégie de communication. Son objectif est de prendre en compte l’ensemble des scénarios envisagés par le PCA et d’apporter les réponses opérationnelles afin de réduire les impacts humains, métier, opérationnels, financiers, légaux et organisationnels. En termes d’organisation, le PGC définit et identifie les parties prenantes internes et externes. Enfin, sur le volet de la communication de crise, le PGC permet d’élaborer et de contrôler la présentation de la crise en interne et en externe, d’organiser une cellule de communication, et de mettre sur pied un plan de communication.
