PCA et COVID-19

Organiser la continuité d’activité de l‘entreprise en temps de pandémie : l’exemple du COVID-19

L’épidémie de Coronavirus a déstabilisé la continuité de l’activité dans les entreprises et a modifié les conditions de travail.

L’ampleur de la crise a pu surprendre nombre d’acteurs, dont les moins préparés à la gestion d’une telle éventualité. Or les retours d’expériences des grandes crises récentes montrent que les organisations ayant entrepris une démarche préalable visant à garantir la continuité de leurs activités sont les plus résilientes face aux événements déstabilisants.

Bien qu’il soit utopique de chercher à tout prévoir et à tout maîtriser, le responsable d’une organisation (publique ou privée) se doit de concevoir et mettre en œuvre des stratégies de protection permettant d’éviter certains événements, ou tout du moins d’en limiter les conséquences.

C’est pourquoi, afin de faire face à ce type de crise, les entreprises doivent établir des plans de continuité d’activité (PCA), dont la définition est fixée au niveau international.

Cette gestion PCA s’inscrit dans une histoire, qui connaîtra des redites. L’ampleur « jamais-vu » de la crise peut conduire certains acteurs à se relâcher une fois celle-ci passée. Or il convient de rappeler que ce type de crise a eu lieu, et qu’elles se reproduiront du fait de la mondialisation. Par ailleurs, les entreprises ayant établi des PCA ont su faire face à la pandémie plus efficacement.

Qu’est-ce qu’un PCA ?

Le plan de continuité d’activité est une politique interne à l’entreprise, formalisée et régulièrement mise à jour, de planification de la réaction à une catastrophe ou à un sinistre grave.

La norme ISO 22301 le définit comme :

Un processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, qui si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeurs ^[i].

Gasiorowski-Denis.

Il nécessite donc une analyse transversale dans l’entreprise afin d’être adapté pour chaque ligne de métier. Au vu de la digitalisation qui affecte tous les secteurs d’activité, il est de plus en plus associé à la gestion des systèmes d’information en cas de crise, contre les cyberattaques.

Le PCA s’élabore en 3 étapes :

Une analyse de vulnérabilité, visant à évaluer le risque et les objectifs que l’on se fixe pour son niveau d’acceptation ;
La définition des actions préalables à mettre en place, pour rester sous le seuil de vulnérabilité, qui se fait par le biais d’un plan de traitement ;
La définition et mise en œuvre d’un plan de survie, définissant les ressources et procédures requises en période de crise, pour rétablir les ressources critiques, jusqu’à la reprise d’une situation normale.

Le rôle du PCA est donc d’être décliné pour garantir à une organisation la reprise et la continuité de ses activités à la suite d’un sinistre ou d’un événement perturbant gravement son fonctionnement normal. Il doit permettre à l’organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l’entreprise, image…) et de tenir ses objectifs.

Il s’agit d’une démarche continue. Ce n’est pas un projet ou un simple « plan » à mettre en place, c’est un processus de gestion continu faisant appel à un personnel dédié, compétent, formé et spécialisé^[ii].

Cela nécessite donc de disposer d’outils méthodologiques idoines. Ces outils existent déjà pour couvrir séparément plusieurs domaines indissociables : la gestion de risque, la gestion de crise, l’intervention, le maintien et la reprise d’activité. La démarche de continuité d’activité est le moyen d’associer de manière globale et cohérente tous ces domaines^[iii].

PCA et pandémie, continuum historique

Les pandémies grippales de type H1N1 et grippes aviaires ont permis aux experts de réfléchir à la gestion de telles crises.

Au sujet de l’épidémie de grippe aviaire, le MEDEF avait déjà eu l’occasion d’indiquer en 2008 que :

Dès l’origine de l’alerte pandémique une cellule de crise « grippe aviaire » s’est constituée au sein du MEDEF, désormais appelée « cellule de veille pandémie grippale », en se focalisant sur la continuité d’activité économique dans un contexte de pandémie ^[iv].

Emilien Lacombe, « Fraude au chômage partiel : la justice enquête »

Déjà les experts identifiaient les conséquences que nous avons vécues du fait de l’épidémie de Coronavirus, dont l’absentéisme :

L’absentéisme massif est généralisé à tous les secteurs socio-économiques de notre société a été identifié par tous comme la conséquence immédiate et principale d’une soudaine pandémie grippale. L’élaboration de plans de continuité d’activité au sein des entreprises et des administrations, au-delà des seuls secteurs d’importance vitale, car toute notre société est interreliée, a été l’une des réponses concrètes de la préparation à la lutte contre la pandémie. Mais la grande nouveauté face à cette menace, c’est que pour la première fois dans l’histoire, il nous est possible de nous y préparer avant qu’elle ne se déclare ^[v].

« La pandémie grippale – Colloque technique du 20 décembre 2005 »

La multiplication des demandes de droit de retrait par les salariés fait directement échos à cela. La peur d’être contaminé a paralysé de nombreux salariés travaillant dans des secteurs stratégiques comme la Poste, la livraison de marchandises et même la santé.

Pour y faire face, le recours massif au télétravail et à l’activité partielle ont été des leviers. L’un a cependant entraîné de nouvelles problématiques en termes de cybersécurité, et le second représente un coût financier considérable et une opportunité pour les détournements de fonds^[vi].

M. Emmanuel Sartorius, Haut fonctionnaire de défense et de sécurité, Ministère de l’économie, de l’industrie et de l’emploi déclarait déjà en 2008 que :

Le contexte général en cas de pandémie doit être appréhendé dans sa globalité : les entreprises auront à gérer un fort absentéisme car avec des écoles fermées, la nécessité de garder les enfants à domicile, l’absence de transport, de nombreux paramètres entreront alors en compte pour expliquer une diminution sensible du personnel ^[vii].

« La pandémie grippale – Colloque technique du 20 décembre 2005 »

L’éventualité d’une pandémie grippale atteignant la continuité des activités des entreprises est donc comprise et envisagée depuis au moins une dizaine d’années.

L’épisode du COVID-19 ne sera donc pas le dernier et de nombreux observateurs estiment qu’il y aura d’autres pandémies, peut-être plus mortelles à l’avenir.^[viii]

Le PCA dans le cadre de la pandémie COVID-19

Dans le cadre de la pandémie COVID-19, il a été noté que de nombreuses entreprises n’étaient pas préparées à une telle crise, en témoignent les difficultés rencontrées.

Le recours intense au télétravail a engendré la saturation des réseaux, des difficultés d’accès aux équipements à distance (VNP, PC portable…), des accès limités à certains outils internes, ou encore des bugs d’outils de communication.

Des solutions ad hoc ont dû être mises en place : par exemple, pour faire face à la saturation des réseaux, certaines entreprises ont imposé à des groupes de salariés ou prestataires de travailler en dehors des horaires de pic : avant 9h, après 16h. De même le chômage partiel a permis d’éviter une saturation des réseaux. En outre, les entreprises ont eu recours à des solutions d’urgence pour augmenter la capacité des réseaux.

Par exemple dans le secteur des chaînes d’approvisionnement, aucun acteur n’était réellement préparé à un scénario de crise sanitaire mondiale. Aucun plan de continuité d’activité ne l’envisageait de manière sérieuse. Certaines chaînes logistiques, tels les flux alimentaires, se sont retrouvées en tension quand d’autres étaient paralysées, faute de personnel (contraint au confinement).^[ix]

Bien que l’utilisation des nouvelles technologies ait permis de faire face à la crise. Le manque d’anticipation des entreprises du secteur a été relevé.

De même, dans le secteur bancaire, les acteurs ont sous-estimé l’impact d’une pandémie. Le confinement a chamboulé le fonctionnement des entreprises du secteur. Même si celles-ci ont pour obligation de disposer d’un plan d’urgence et de poursuite des activités (PUPA), l’ampleur de la crise était inattendue.

Le manque d’anticipation s’est par exemple illustré dans la capacité différenciée des acteurs à intégrer le télétravail dans leur mode de fonctionnement. Certaines entreprises ont pu très vite basculer sur ce mode de fonctionnement plus agile, car elle avait anticipé cette éventualité. Tandis que d’autres ont connu un arrêt brutal de leur activité. C’est par exemple le cas de nombreux cabinets d’avocats dont le fonctionnement archaïque est régulièrement pointé du doigt. L’impossibilité de mettre en œuvre le télétravail de manière rapide a conduit des structures à se séparer de nombreux collaborateurs.

De même, le système judiciaire a connu un arrêt brutal pendant le confinement. Un spécialiste du secteur a pu noter que « Depuis le 16 mars, le système semble s’être arrêté. Les juges sont devenus quasiment inaccessibles, les greffiers injoignables, le télétravail auquel s’est pourtant soumis la majorité des entreprises semble avoir échappé à notre système judiciaire. »^[x]

Or à l’heure du digital, le télétravail s’impose comme une partie intégrante du PCA.

Face à l’éventualité d’une nouvelle crise, le maître mot reste donc l’anticipation, qui doit intégrer le digital bien en amont. D’une part celui-ci doit être envisagé comme un outil permettant une meilleure continuité de l’activité mais il doit également faire l’objet d’une attention toute particulière en matière de gestion du risque cyber. Ce risque a en effet explosé pendant le confinement, le manque d’anticipation ayant laissé de nombreuses entreprises sans défense face aux attaques des cybercriminels qui ont augmenté de 30 000 %^[xi].

^[i] Elizabeth Gasiorowski-Denis, « Continuité des activités – ISO 22301 quand tout va très mal », ISO, 18 juin 2012, https://www.iso.org/cms/render/live/fr/sites/isoorg/contents/news/2012/06/Ref1602.html.

^[ii] Gasiorowski-Denis.

^[iii] « Guide pour réaliser un plan de continuité d’activité » (Secrétariat général de la défense et de la sécurité nationale, 2013), http://www.sgdsn.gouv.fr/uploads/2016/10/guide-pca-sgdsn-110613-normal.pdf.

^[iv] « La pandémie grippale – Colloque technique du 20 décembre 2005 » (Haut Comité Francais pour la défense Civile, 20 décembre 2005), https://www.hcfdc.org/documents/pandemie/livre_pandemie_2009.pdf.

^[v] « La pandémie grippale – Colloque technique du 20 décembre 2005 ».

^[vi] par Emilien Lacombe, « Fraude au chômage partiel : la justice enquête », Infodujour.fr (blog), 10 juillet 2020, https://infodujour.fr/societe/37503-fraude-au-chomage-partiel-la-justice-enquete.

^[vii] « La pandémie grippale – Colloque technique du 20 décembre 2005 ».

^[viii] « Coronavirus : il y aura d’autres pandémies plus létales “si nous ne changeons pas de comportement”, estime un naturaliste », Franceinfo, 22 mai 2020, https://www.francetvinfo.fr/sante/maladie/coronavirus/coronavirus-il-y-aura-d-autres-pandemies-plus-letales-si-nous-ne-changeons-pas-de-comportement-naturaliste_3975893.html.

^[ix] Isabelle Meijers, « La « supply chain » se réinvente par la Tech », Les Echos, 23 juin 2020, https://www.lesechos.fr/thema/articles/la-supply-chain-se-reinvente-par-la-tech-1217607.

^[x] « La Justice paralysée par le coronavirus », Atlantico.fr, 15 mai 2020, https://www.atlantico.fr/decryptage/3589598/la-justice-paralysee-par-le-coronavirus-gravite-inedite-covid-19-avocats-maitre-vincent-jule-parade.

^[xi] Emmanuel Leclère, « Cybercriminalité : avec le confinement, les attaques ont augmenté de 30 000 % », 5 mai 2020, https://www.franceinter.fr/justice/cybercriminalite-avec-le-confinement-les-attaques-ont-augmente-de-30-000.