La mise en œuvre de Plans de Continuité d’Activité (PCA) et de gestion de crise s’avère aujourd’hui essentielle pour assurer la résilience de toute entreprise et de son business. Toutefois, celle-ci ne nécessite pas uniquement le déploiement de processus et outils techniques. C’est avant tout une histoire d’hommes et de contexte, car en fonction des événements et des personnes présentes au moment où la situation tant redoutée arrivera, la gestion de la crise sera complètement différente. Pour être efficiente, elle suppose donc en amont un travail continu de préparation, de sensibilisation et de formation des équipes, mais aussi des tests et exercices réguliers. Le CLUSIF, aux côtés du Club de la Continuité d’Activité, fait le point sur les écueils et bonnes pratiques en la matière.
Via Stéphane NEREAU
PCA : peut-on parler de ROI ?
« Comment identifier la justification économique de ces plans, peut-on parler de ROI ? », se questionne François Tête, Directeur de Devoteam. Car, en effet globalement, « la veille d’un incident de sécurité, le ROI d’un système de sécurité est nul, le lendemain, il est infini », cite-t-il. Tenter d’évaluer le ROI d’un tel projet en amont permet toutefois de mieux argumenter le « pourquoi » auprès de sa direction. Un tel calcul repose, selon lui, sur le calcul des coûts et celui des gains qualitatifs et quantitatifs. Du côté des coûts, il s’agit notamment des investissements (charge de travail, matériel, logiciel, service…) et des récurrents (charge de travail MCO, maintenance, licence, tests et exercices…). Les gains potentiels découlent, quant à eux, majoritairement du déclenchement du PCA, mais peuvent être déterminés en amont par une BIA (Business Impact Analysis). Cependant, ceux-ci ne s’arrêtent pas là. En effet, la mise en œuvre d’un PCA accroît généralement la productivité, car permet une meilleure connaissance de l’entreprise et de ses processus. Elle s’avère également être un bon argument commercial, mais peut aussi être utilisée ponctuellement pour d’autres usages, tels que la maintenance. Sans compter que certaines entreprises sont tout simplement obligées d’avoir un PCA aujourd’hui, notamment dans le domaine financier.
Au final, l’évaluation ou la certification d’un PCA sert-elle à justifier les coûts ou à démontrer que le PCA fonctionne bien ? Comme le disait Alfred Capus, « tout s’explique et rien ne se justifie », conclut-il.