Face à la survenue d’un sinistre qui restreint le fonctionnement d’une PME, un plan de continuité d’activité permet de disposer sans attendre de procédures pour poursuivre l’activité et restaurer sa marche normale.
Coupure d’électricité, serveur informatique en panne, incendie ou inondation… Certains événements, incidents ou accidents graves, mettent à mal l’activité d’une entreprise. Face à des risques qui peuvent perturber voire stopper son fonctionnement (sinistres, cyberattaques, pandémies…), une entreprise a tout intérêt à mettre en place un plan de continuité d’activité (PCA). « C’est le fameux plan B que nous devrions tous avoir. L’idée est de pouvoir fonctionner en mode dégradé et de revenir à la normale le plus rapidement possible », résume Nathalie Malicet, experte-comptable et commissaire aux comptes chez Anexis, membre de France Défi. Toutes les entreprises sont concernées, et il n’existe pas de seuil en dessous duquel le PCA ne serait pas recommandé.
Il faut réfléchir à l’avance, car gérer une crise sans l’avoir anticipée est beaucoup plus difficile.
Bonnes pratiques de gestion de crise
S’il ne relève pas de l’obligation légale, le PCA n’en est pas moins indispensable. Il fait partie des bonnes pratiques de gestion de crise recommandées par l’Agence nationale de sécurité des systèmes d’information (Anssi). « Le PCA ne concerne pas uniquement l’environnement informatique, beaucoup d’activités sont pour partie dématérialisées aujourd’hui. Un coiffeur ou un garagiste peuvent par exemple gérer les rendez-vous en ligne et disposer de fiches clients informatisées. Or, les données sont des actifs intangibles difficilement remplaçables si elles sont perdues et en l’absence de sauvegarde », indique Nathalie Malicet.
Recueil de scénarios
« Le PCA est un document qui recense toutes les activités de l’entreprise, métier par métier. Et, pour chacune, la liste des sinistres qui peuvent survenir sous forme de recueil de scénarios et ce que l’on met en face comme réponse opérationnelle pour maintenir chaque métier et la production, y compris dans un premier temps de manière dégradée », détaille l’experte-comptable. Il contient par exemple la liste des contacts pour porter plainte, joindre son prestataire informatique, son assureur ou des réparateurs, etc. ainsi que le mode d’accès aux sauvegardes informatiques ou au serveur de secours. Le PCA précise aussi quelles actions sont prioritaires pour la continuité de l’activité, indique celles qui peuvent se poursuivre hors du site s’il est inaccessible, etc.
Plusieurs exemplaires papier et numérique
Si l’entreprise a établi une cartographie de ses risques, elle servira de base à la rédaction du PCA. Le dirigeant a intérêt à ne pas l’élaborer seul et à y associer les différents métiers. « Il peut aussi se faire accompagner par son expert-comptable qui a alors une dimension de consultant s’il est compétent sur ce sujet », ajoute Nathalie Malicet.
Un guide du secrétariat général de la défense et de la sécurité nationale (SGDSN) propose par ailleurs une liste de mesures à prendre en neuf points pour mettre en place un plan de continuité d’activité. L’entreprise doit disposer de plusieurs exemplaires du document, papier et numérique, et les conserver à différents endroits. Elle doit aussi régulièrement mettre à jour son PCA. « Anticiper, c’est survivre. Il faut réfléchir à l’avance, car gérer une crise sans l’avoir anticipée est beaucoup plus difficile », insiste Nathalie Malicet.
