Un PCA peut sauver votre entreprise

© Westend61/Getty Images

Page publiée le 15/03/2022

Prévenir plutôt que guérir. Le risque zéro n’existe pas dans les Entreprises de Taille Intermédiaire (ETI). Pannes majeures de l'outil de production ou de l'informatique, catastrophes naturelles, incendies, cyberattaques, pandémies virales, actes de malveillance… Cette liste à la Prévert ne cesse de s’allonger en raison notamment du dérèglement climatique et d’une digitalisation des entreprises les rendant plus fragiles aux assauts des hackers et aux désastres causés par les virus informatiques. « La nature, la fréquence et le coût des crises ont sensiblement évolué au cours des vingt dernières années », confirme un récent rapport du Secrétariat général de la Défense et de la Sécurité nationale.

Ces sinistres ne sont pas sans conséquences pour les ETI : 43 % des sociétés touchées qui ne s’étaient pas préparées à un tel événement mettent la clé sous la porte immédiatement ; et 29 % des survivantes périclitent dans les deux ans qui suivent, selon une étude du Disaster Recovery Institute International. Un incendie qui détruit votre usine, une panne qui paralyse votre messagerie interne, une épidémie qui cloue au lit une partie importante de votre personnel… Pour résister à de telles tempêtes, une solution existe : le Plan de Continuité d’Activité (PCA).

Effet boule de neige

Le Plan de Continuité d’Activité (PCA) a pour objet de définir l’ensemble des dispositions nécessaires, pour garantir à une entreprise la reprise et la continuité de ses activités, à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il vise à accroître la résilience d’une entreprise et à limiter la perte de chiffre d'affaires en cas de problème grave. Un événement, même infime, sur un site peut en effet avoir des répercussions sur l’ensemble de la chaîne de valeur d’une ETI et mettre en péril la continuité de son activité. Un PCA cherche, ni plus ni moins, à garantir sa survie.

L’idée est d’anticiper les risques par ordre de priorité selon leurs impacts et leur plausibilité.

Pierre-François Dezalys, Responsable Prévention et Qualité des Risques chez MMA

« L’objectif est de définir une cartographie des risques auxquels une société peut être exposée et de prévoir les mesures à prendre en cas de sinistre afin, idéalement, d’éviter une interruption de son activité ». Pour être efficace, un plan doit être fait sur-mesure. « Il n’existe pas de modèle standard qui s’applique à tout le monde, confirme Abed Berrabah, Responsable des marchés Entreprises chez MMA. Le seul principe commun est la méthodologie à suivre ».

Méthodologie

La première étape d’un PCA consiste à identifier les risques qui vous menacent. Une de vos usines se trouve-t-elle sur un site inondable ? Vos collaborateurs consultent-ils des données professionnelles sur leurs smartphones ou leurs tablettes personnelles ? La panne d’une de vos machines risque-t-elle de stopper toute votre chaîne de production ? Ce travail d’analyse, qui peut prendre une dizaine de jours, selon la taille de votre entreprise et les risques auxquels elle est confrontée, demande une connaissance parfaite de ses spécificités et des process de votre entreprise.

« Un PCA nécessite une connaissance optimale des risques de chaque ETI », confirme Pierre-François Dezalys. « C’est pour cela que nous avons toujours besoin de rencontrer nos clients. La société doit aussi impliquer ses fournisseurs et ses clients. Une fois que les risques ont été bien identifiés, il est possible de préparer en amont des réponses pour réduire les impacts des sinistres potentiels. Pour être efficaces, ces actions doivent être lancées rapidement en mode réflexe ». Mais la théorie n’est rien sans la pratique.

Scénario de crise

Une fois défini, un PCA doit être testé en conditions réelles. Idéalement une fois par an. Un scénario de crise doit être imaginé et déployé sur un ou plusieurs sites sans que les collaborateurs n’aient été préalablement alertés. Leurs réactions doivent ensuite être étudiées et minutées par un observateur indépendant envoyé sur place. Cet exercice permet de comprendre, lors d’un débriefing, si le plan de continuité est efficace ou s’il doit être modifié sans attendre.

Le PCA n’est pas obligatoire en France mais de plus en plus d’ETI décident d’en mettre un en place. La digitalisation des entreprises crée de nouveaux risques qu’il faut savoir anticiper, et de plus en plus de clients exigent de leurs fournisseurs qu’ils disposent d’un PCA avant de leur confier un marché. Un donneur d’ordre privilégiera toujours une société qui pourra lui garantir qu’elle ne lui fera pas subir de rupture d’approvisionnement en cas de sinistre.

Pierre-François DEZALYS

Responsable Prévention et Qualité des risques chez MMA

Gilles PIFFARETTI

Pôle Gestion de Crise chez COVÉA

Matthias BLEUZEN

Animateur Prévention & Prospective après sinistre chez MMA


Pour en savoir plus sur les solutions d'assurances MMA, contactez votre intermédiaire d'assurance