Du PCA au SMCA : pourquoi structurer la continuité change tout

De nombreuses organisations ont un plan de continuité d'activité (PCA).

Mais rien ne garantit qu'il ne fonctionne ni qu'il soit à jour.

Le système de management de la continuité d'activité (SMCA) permet de s'assurer que le PCA reste vivant, testé, et que lescollaborateurs ont adopté une culture de la résilience.

Le plan de continuité d'activité est longtemps resté un document rassurant mais invisible, rédigé après un audit, rangé dans un répertoire, rarement testé. Une succession de crises récentes a modifié cette perception.

La pandémie, en paralysant des chaînes entières, a révélé la fragilité des organisations qui confondaient « avoir un PCA » et « être vraiment prêt ».

Les cyberattaques, les défaillances fournisseurs et les tensions sur l'énergie ont amplifié le constat.

Un document figé

ne protège de rien.

Un PCA décrit des procédures, des rôles et des ressources. Mais les organisations bougent plus vite que leurs plans, et c'est là que le bât blesse. En quelques mois, le document devient obsolète, fragilisé par une réorganisation, des départs ou encore des migrations techniques. Les numéros d'astreinte ne répondent plus, les procédures décrivent des systèmes qui n'existent plus et quand la crise survient, on découvre que le filet est troué.

Un cadre, pas une contrainte

C'est précisément ce constat qui fonde l'intérêt du SMCA, encadré par la norme ISO 22301. Là où le PCA répond au « comment reprendre », le SMCA va plus loin.

Il structure le « qui décide »,

le « jusqu'où » et surtout le

« comment on progresse ».

Cette progression repose sur un cycle continu. On planifie, on déploie, on teste, on corrige, puis on recommence.

Les exercices ne servent plus à cocher une case mais à identifier ce qui doit changer. Les failles repérées remontent en revue de direction, alimentent des plans d'action, et ces plans sont suivis dans la durée. La boucle tourne. Le dispositif vit.

Qui plus est, la norme ne prescrit ni méthodologie ni organisation type. Elle fixe des exigences de résultat, pas de moyens. Une PME peut ainsi déployer un SMCA léger, adapté à sa taille. Un grand groupe peut l'intégrer à sa gouvernance existante. Le cadre s'adapte, et c'est sa véritable force

Progression, pas perfection

La démarche n'exige pas d'être irréprochable dès le départ. L'auditeur, si l'on va jusqu'à la certification, ne cherche pas un dispositif parfait. Il vérifie qu'un système existe, fonctionne et s'améliore.

Une faiblesse identifiée

puis corrigée vaut mieux

qu'une façade impeccable.

L'amélioration continue n'est pas un slogan,

c'est le cœur du référentiel.

Les bénéfices concrets sont triples.

Un pilotage explicite des priorités :

• Quelles activités sont critiques

• Dans quels délais

• Et avec quelles ressources

Une cohérence transverse :

• métiers

• fonctions supports

• IT

• et achats

cessent de travailler en silos.

Une gestion de crise professionnalisée, avec :

• Des rôles clairs

• Des exercices réguliers

• Et des réflexes acquis.

Certification ou pas ?

Faut-il aller jusqu'à la certification ? La question mérite d'être posée. On peut très bien adopter le cadre ISO 22301 comme référentiel interne, progresser à son rythme et sans contrainte d'audit. Certaines organisations choisissent d'ailleurs de commencer ainsi, puis de viser la certification après deux ou trois ans de maturité. Une approche progressive qui permet de roder le système avant de le soumettre à un regard externe.

Pour autant, la certification ajoute un signal externe non négligeable. Elle rassure clients, donneurs d'ordres et régulateurs. De plus en plus d'organisations font d'ailleurs ce choix pour des raisons commerciales autant que techniques, car dans certains secteurs, le PCA devient un prérequis pour répondre à un appel d'offres ou conserver un client majeur. Et contrairement à un PCA transmis seul, la certification garantit que le dispositif est maintenu, testé et à jour.

Le PCA décrit les procédures de reprise. Le SMCA structure la gouvernance et l'amélioration continue. C'est cette bascule qui transforme un document figé en système vivant.

Thomas Scorticati

Thomas Scorticati est consultant indépendant avec dix ans d'expérience en continuité d'activité et gestion de crise. Certifié MBCI et ISO 22301 Lead implementer, il accompagne les organisations de tous secteurs, finance, industrie, santé ou encore administration publique. Il a également créé Y Crisis, une plateforme de simulation de crise immersive.