Roumanie, à quoi bon un PCA sans test?

Au début de la pandémie de COVID-19, je me rappelle le nombre de sociétés roumaines qui m’ont contacté pour avoir des conseils en gestion de crise et de mise en oeuvre pour faire face à la crise sanitaire, sollicitant en urgence un dossier de plan de continuité des activités (PCA) clés en main!

En Roumanie, le PCA n’est pas obligatoire, sauf pour des entreprises aux activités particulières qui présentent un risque externe ou particulier.

Lors d’un sondage au début de la crise sanitaire, seuls environ 30 % des entreprises roumaines déclaraient disposer de documents de gestion de crise.

Le PCA, en Roumanie, était un domaine inconnu pour beaucoup d’entreprises avant la COVID. La pandémie et la mise en oeuvre de mesures sanitaires ont donné du fil à retordre aux dirigeants et aux responsables de sécurité et de sûreté!

Mais, cela dit, après la pandémie, ça n’a pas déclenché un électrochoc supplémentaire pour faire des démarches de prévention et de préparation à la résilience.

Les risques existent et sont bien identifiés.

Par exemple, la Roumanie est le pays de l’Union européenne (UE) le plus exposé à un tremblement de terre majeur, une sorte d’épée de Damoclès, qui pourrait se déclencher à n’importe quel moment!

Les entreprises préfèrent négliger les aspects de sécurité qui souvent demandent des engagements financiers (audits, achats de matériel, formations) et qui peuvent prêter au questionnement au sein de l’entreprise.

Alors on préfère ne rien dire et ne rien faire, et miser sur la fatalité!

Lors de ce sondage, seuls 30 % des entreprises ont déclaré avoir des solutions pour intervenir lors d’une crise!

Parmi les entreprises qui disposent d’un PCA, on compte des multinationales ou des opérateurs locaux qui doivent respecter des mesures de sécurité en raison de la législation de leur secteur d’activité, comme les OIV (opérateurs d’importance vitale) – eau, gaz, électricité, Télécommunications et énergie –, mais aussi le secteur bancaire, la chimie, la pétrochimie, la santé et les infrastructures de transport (terre, air, mer, chemin de fer, etc.)

Mais combien dans les 30 % ont des PCA qui ont été testés?

Difficile à dire… Lors des audits, on découvre souvent des dossiers de gestion de crise qui ne sont pas mis à jour ou des PCA qui traitent superficiellement du sujet.

Il est sans rappeler qu’un PCA n’a aucune valeur s’il n’a pas été testé ou déclenché au sein de l’organisation! Des exercices de simulation de crise en salle de type « table top » sont précieux pour valider et améliorer le PCA.

Au-delà de la documentation du PCA, qui, pour beaucoup, n’est qu’un dossier papier dans une bibliothèque, on constate l’absence d’une maturité dans les moyens techniques de mise en oeuvre. En clair, pas de salle de crise dédiée avec des moyens adaptés pour gérer une crise et se préparer à la résilience.

Dans le cas de la Roumanie et du risque sismique pour les OIV, il est nécessaire d’avoir des locaux où l’on peut rester longtemps – salle de crise, salle de repos, cuisinette avec réserve d’alimentation (nourriture et eau) – et des moyens techniques comme un téléphone satellite, un récepteur Internet via satellite de type Starlink, des ordinateurs portables ou des tablettes disposant de la documentation technique disponible hors ligne…

Le sac de survie, en milieu urbain, peut être utile lorsqu’on doit rester autonome sur un site après le déclenchement d’une crise sévère. C’est un élément que l’on doit préparer impérativement en amont, en prévention d’une éventuelle crise, pour éviter de subir des contraintes supplémentaires.

Un autre risque important qui plane sur les entreprises roumaines est le risque cyber et une éventuelle attaque informatique.

Le point positif sur la gestion de crise cyber sera l’élaboration obligatoire d’un PCA en raison de l’arrivée prochaine de la mise en oeuvre de la directive européenne NIS 2 (Network and Information Security).

La directive NIS 2, adoptée en décembre 2022, est un tournant majeur pour la cybersécurité en Europe. Elle vise à harmoniser les pratiques de cybersécurité dans l’UE et à élargir son champ d’application à un plus grand nombre d’entités, couvrant ainsi plusieurs secteurs d’activité.

De nombreuses entreprises seront concernées par la directive et devront obligatoirement mettre en oeuvre un certain nombre de mesures de sécurité au sein de leur organisation.

On note que la Roumanie a fait récemment l’objet d’importantes

attaques cyber qui ont touché le Parlement roumain et un certain

nombre d’établissements publics de santé. Les récents incidents

montrent bien qu’on n’est absolument pas à l’abri d’une attaque.

Etqu’une entreprise mal préparée, peu importe sa taille, aura

beaucoup de mal à gérer la crise!

Depuis plusieurs mois, la Roumanie, via son centre national de sécurité cybernétique (DNSC), fait de la sensibilisation au sujet du risque cyber en apportant aux entreprises les informations sur les attaques et les mesures de précautions à prendre.

Le constat est que, sans une législation du PCA, le dirigeant d’une société reste le maillon décideur dans l’entreprise. Une gestion de crise en entreprise n’arrive pas qu’aux autres.

L’entreprise doit se préparer à la gestion de crise et à la résilience et doit accepter les investissements en prévention et en sécurité sur les plans humain et matériel. Afin de garantir sa survie!

Article rédigé par Jean François Jund

Jean François Jund, gérant de la société JFcontact SRL – Auditeur ISO 27001 et 22301

La veille sectorielle en sécurité et la gestion des risques en entreprise – auditeur et coach en sécurité et sûreté

Pour en savoir plus : https://www.linkedin.com/in/jean-françois-jund

COMPLÉMENT : LA VEILLE ACTIVE RESTE L'OUTIL DE SÉCURITÉ PRINCIPAL

Il n’y a pas de plan de sécurité sans une veille active sur les risques et l’évolution des risques dans l’environnement d’une entreprise. Un PCA doit rester impérativement à jour; il doit être vérifié et mis à jour annuellement ou à la suite d’un incident, d’un audit ou d’une simulation de crise. Au sein d’une organisation, il est important de garder une veille active sur les différents risques et menaces,mais aussi sur les moyens d’aide technologique disponibles.

À cet égard, il existe des revues spécialisées, et de nombreux salons dédiés à la sécurité sont organisés régulièrement avec des experts qui sont en mesure d’accompagner des entreprises et de mener des formations spécifiques (exercices de simulation de crise) pour les cadres dirigeants et le personnel. Il ne faut pas avoir peur d’externaliser un service, surtout quand il s’agit d’assurer la sécurité.

En exemple d’innovation technologique, durant les derniers mois sont apparues des applications pour smartphone qui permettent de mettre votre PCA sur votre téléphone et celui de vos collaborateurs impliqués dans la gestion de crise. Cela comporte plusieurs avantages : un suivi en direct du PCA lors de son déclenchement, la visualisation et la validation des différentes mesures par les acteurs de la cellule de crise, un enregistrement en direct et une sauvegarde du journal des événements!