Gestion des risques et continuité d’activité, approches inverses donc complémentaires

Face aux crises, la résilience des organisations repose sur deux piliers : Gestion des Risques et Continuité d’Activité.

L’une prévient, l’autre maintient.

Mais anticiper le risque et rebondir après sa survenue sont deux défis indissociables.

C'est cette association complémentaire qui façonnera une Résilience à 360°, clef de la survie dans un environnement incertain.

Éléments constitutifs de la Résilience, la gestion des risques et la continuité d’activité sont trop souvent pensées séparément, voire opposées.

Pourtant, ce sont bien leurs différences qui les rendent si complémentaires, et donc nécessaires, l’une et l’autre.

I/ La Résilience comme finalité

La Gestion des Risques et la continuité d’activité partagent un objectif commun, celui de rendre les organisations plus résilientes, donc robustes et adaptables, aux situations de crise.

Ces situations dégradées appelées crises ne sont pas celles, attendues, du jeu économique et concurrentiel, mais plutôt des ruptures de la normalité, qu’elles soient géopolitiques, sociales, sécuritaires, climatiques ou encore sanitaires.

Il s’agit donc de postuler le changement brutal et défavorable de l’environnement structurel, d’accepter que les règles du jeu puissent changer, au détriment de l’organisation.

En cela, les deux disciplines sont sœurs, car elles font d’abord appel à un état d’esprit. Accepter de prévoir, d’anticiper, de se préparer à un contexte moins favorable ne signifie pas le faire advenir, mais au contraire en juguler la survenue et les conséquences.

Naturellement, ces disciplines, initialement plutôt cantonnées à la sphère anglo-saxonne, se sont diffusées et normalisées à mesure que l’environnement des organisations est devenu plus incertain et hostile.

La Gestion des risques et la Continuité d’Activité constituent, avec la gestion de crise, les fondements du concept de Résilience. Celui-ci peut se définir comme la capacité d’une organisation à réagir, absorber et s’adapter à une menace ou une rupture de la normalité et de son fonctionnement nominal (crise), le tout de la façon la plus efficace et rapide possible, afin de surmonter la situation avec le moins de conséquences néfastes éventuelles.

Afin de parvenir à une Résilience optimale, gestion des risques et continuité d’activité traitent le sujet sous deux angles différents.

II/ Deux approches complémentaires

L’objectif de la gestion des risques est de gérer les causes d’une crise potentielle, tandis que le rôle de la continuité d’activité est de traiter les conséquences lorsque le risque se matérialise, qu'il ait été identifié ou non.

Autrement dit, la gestion des risques consiste à faire de la prévention, la continuité d’activité de la guérison. Cela constitue les deux jambes d’une Résilience à 360°.

Cette complémentarité qui peut apparaitre évidente n’est pourtant pas toujours bien comprise et mise en pratique.

Historiquement tout d’abord, la gestion des risques s’est installée plus tôt au sein des organisations. Peut-être, car, comme le veut l’adage « mieux vaut prévenir que guérir », mais également, car il est psychologiquement plus rassurant d’éviter les problèmes que de postuler leur survenue. Après tout, en affaire, l’incertitude et la morosité ne sont pas les sujets les plus porteurs.

Corolaire de cet état d’esprit, la croyance en une gestion des risques « suffisante » a longtemps prévalu. Nul besoin de se préparer au pire si ce dernier est évité.

Or comme l’actualité récente a pu le démontrer, le bouclier ne peut parer tous les coups du glaive.

Aussi puissante soit-elle, une organisation ne peut éviter/échapper à tous les risques, en toutes circonstances, éternellement.

III/ Écueils et bonnes pratiques

Tout d’abord, l’exhaustivité en matière de gestion des risques est illusoire, car il est impossible de tout prévoir, tout couvrir, tout parer.

Le risque de pandémie mondial l’illustre parfaitement : il était soit absent, soit coté comme ayant une probabilité minimale pour l’immense majorité des organisations avant 2020.

De plus, il s’agit d’un risque qu’il est presque impossible à maitriser et éviter. Les risques géopolitiques (affrontements, barrières douanières, rétentions) ou environnementaux (changement climatique, submersion, etc.) partagent également ces caractéristiques.

Autre écueil récurrent, partir du principe que la nature du risque conditionne la nature des conséquences de celui-ci. Un risque IT peut impacter des éléments non informatiques comme des processus métiers, et vice versa, un risque non IT peut entraîner des problèmes informatiques (par exemple, l’incendie d’un serveur, ou une coupure d’électricité).

À l’inverse, la continuité d’activité, grâce à son approche via les conséquences, vise à l’exhaustivité.

En effet, après avoir listé l’ensemble des besoins en IT, en ressources humaines (RH), physiques (site et équipements) et tiers (prestataires, sous-traitants, fournisseurs) nécessaires à la réalisation des activités critiques, elle cherche à les maintenir ou les substituer via des modes dégradés.

Ainsi, quelle que soit la nature du risque survenu, les conséquences seront obligatoirement couvertes.

C’est pourquoi les deux disciplines sont si proches et additionnelles. De leur fonctionnement en miroir naît leur complémentarité.

“ L’hiver se prépare

en été . ”

Proverbe slave

La chaine cédant toujours par le maillon le plus faible, la Résilience cherche à éluder tous les angles morts et points de fragilité.

C’est pourquoi il est inutile et impossible de penser la gestion des risques ou la continuité d’activité comme prioritaire l’une vis-à-vis de l’autre.

Non seulement ces disciplines ne prétendent pas accomplir le même travail, mais elles se renforcent mutuellement en visant un objectif commun, à savoir renforcer la résilience organisationnelle.

Pour maximiser l’efficacité des processus de résilience mis en place, il est essentiel de les tester régulièrement et de s’entraîner au moyen d’exercices de simulation.

Charles SIROUX

Spécialisé dans la Résilience, j’ai eu l’occasion de mettre en place une vingtaine de plans de continuité d’activité, de créer et délivrer une cinquantaine d’exercices de simulation de crise. Chez NuiTime, j’ai ajouté la conformité à mon spectre de compétences, en particulier celles afférentes au règlement DORA.

https://www.niutime.fr/

Établir une synergie efficace entre gestion des risques et continuité

1. Adopter des échelles communes. Il est indispensable que les niveaux de quantification des impacts (financiers, réputationnels, règlementaires ou encore contractuels) soient similaires. Cela permet une cohérence entre les choix de maitrise du risque, et ceux de gestion des conséquences de sa survenue.

   
   

2. Identifier les évènements redoutés lors des bilans d’analyse d’impact (BIA). L’intégration des enjeux de continuité au sein de la gestion des risques sera de ce fait d’autant plus facilement.

   
   

3. Adopter une approche par scénario. Cette méthode consiste à analyser les conséquences de la survenue d’un risque sur les ressources de l’entreprise. Ceci peut être résumé par les 5 scénarios d’indisponibilité suivants : indisponibilité des ressources IT, des ressources humaines, de tierces, des sites et des équipements. La survenue d’un risque peut déclencher un seul ou plusieurs de ces scénarios simultanément.

   
   

4. Réévaluer la prise de risque. Une fois les enjeux en matière de continuité d’activité connue, formalisé et comparable, l’arbitrage concernant les solutions de maitrise du risque peut changer. Il peut devenir audible voir préférable d’accepter la survenue d’un risque, car les ressources consacrées à la gestion de ses conséquences seront plus faibles que celles consacrées à la maitrise de sa survenue.

   
   

5. Établir des plans d’action communs. Consécutivement aux arbitrages, les plans d’action devront faire appel aux 2 disciplines, afin d’être exhaustifs et le plus efficient possible.