Continuité d’activité, les entreprises prennent conscience de leurs vulnérabilités

Vazrik Minassian est Co-Fondateur et Directeur Associé d’Adenium-BRG-(Résilience Organisationnelle). Pionnier de la Business Continuity en France, il revient sur 20 ans d’expertise consacrés à la prévention et les plans d’actions en cas de survenance d’un risque majeur au sein des organisations.

Pourquoi avoir fondé BRG en 2002 ? Sur quels principes s’appuie sa démarche ?

La Business Continuity est une discipline principalement développée aux États-Unis et au Canada, que nous avons décidé d’importer en France au début des années 2000.

Le Plan de Continuité de l’Activité est un dispositif qui vise à assurer la survie de l’entreprise, quel que soit le scénario du risque. C’est une démarche fondée sur les conséquences, et non les causes.

Il existe 5 grands scenarii d’indisponibilité :

• L’indisponibilité totale ou partielle d’un site suite à un incendie, la foudre ou une inondation, une pandémie, une Cyber attaque, un bug informatique. Dans ce cas de figure,  c’est l’indisponibilité de la ressource qu’on anticipe.
• L’indisponibilité d’un équipement industriel critique ou unique de production, en raison d’une panne, d’un bris, de son obsolescence. Dans ce scénario, on raisonne sur les conséquences de la défaillance de cet outil indispensable à la poursuite d’activité.
• Le scénario RH qu’on vit aujourd’hui, l’absentéisme quelle qu’en soit la cause, troubles sociaux, révolution, pandémie. On examine alors l’impact de l’absence de 50, 60, 70% des effectifs pendant un mois par exemple.
• Une hypothèse d’attaque Cyber, avec propagation de ransomwares qui bloquent le logiciel de gestion de l’entreprise, avec une incapacité à maintenir l’activité ou à la reprendre.
• Enfin, un scénario de pénurie de premières ou défaillance de fournisseurs, comme le démontre la crise liée au manque de semi-conducteurs actuels.

Bien sûr, nous étudions aussi des combinaisons de scenarii, une pandémie qui touche a priori plutôt les ressources humaines, mais engendre des risques Cyber liés au déploiement intensif du télétravail par exemple.

Nous sommes sur une logique de conséquences et d’anticipation pour préparer l’entreprise, ce qui est novateur par rapport à l’approche assurantielle, qui fonde toute démarche sur le risque. Nous recherchons à comprendre comment la crise va se répandre dans l’organisation, quel que soit l’évènement déclencheur, et comment poursuivre l’activité, même en mode dégradé, le temps de retrouver des capacités optimales.

Ces sujets semblent plutôt concerner les grandes entreprises, qu’en est-il des TPE/PME ?

Nous travaillons avec tous les acteurs. Pourquoi ? Parce que la défaillance de sous-traitants constitue une fragilité pour les entreprises qui ont recours à leurs services. Ainsi les TPE en matière de logistique, de nettoyage, de gardiennage sont très importants pour leurs donneurs d’ordre, tout comme des ressources externes comme les développeurs, qui maintiennent les sites internet d’entreprises de toutes tailles.

Nous sommes aussi mobilisés pour faire prendre conscience aux organisations de tous les risques liés à l’indisponibilité des hommes-clés. Ce sujet est bien connu des courtiers d’ailleurs, et constitue un axe de travail important en matière de prévention RH.

Sur quelle(s) norme(s) s’appuis votre approche ?

Il existait un standard anglo-saxon en matière de Business Continuity, le BS 25999. En mai 2012, l’Organisation Internationale de normalisation ISO a édité pour la première fois un référentiel, la norme ISO 22301, qui avait le mérite de définir de premières exigences en matière de continuité d’activité.

Etre certifiables, présente un intérêt certain pour les organisations qui doivent démontrer avoir mis en place un système de management de la continuité de leur activité. En 2013, nous avons accompagné à la certification, la première entreprise française à adopter cette démarche en France, un fabriquant de semi-conducteurs.

Pour cela, nous nous sommes appuyés sur des standards techniques et sur du conseil opérationnel et terrain.

Quels sont les avantages d’adopter cette démarche ?

Les organisations peuvent attendre plusieurs types de bénéfices en recourant à une réflexion holistique sur leur résilience opérationnelle.

• L’entreprise peut la valoriser commercialement et en fait un avantage compétitif.
• Elle peut l’utiliser vis-à-vis de ses collaborateurs pour démontrer son engagement pour la pérennité de la structure et la préservation des emplois.
• C’est également une valeur ajoutée vis-à-vis des actionnaires. En anticipant les risques d’interruption, l’entreprise assure ses conditions de survie et préserve ainsi l’investissement comme les revenus futurs de ses détenteurs.

J’y vois aussi un intérêt pour les compagnies d’assurances. Une certification, ou l’initiation d’une démarche de réflexion sur la continuité d’activité, valide la robustesse des organisations, mieux armées pour rebondir  et survivre à la survenance d’un risque majeur. Cela pose d’ailleurs la question de l’indemnisation en garantie Perte d’Exploitation. Un PCA bien conçu permettra de redémarrer plus vite et optimisera donc les besoins en couverture PE.

Quelles sont vos relations avec le courtage ?

Nous entretenons de très bonnes relations avec les courtiers, de longue date. Le PCA est une obligation réglementaire pour eux et ils en ont vu toute l’utilité. Après avoir défini leur propre dispositif de continuité,  les courtiers sont devenus force de proposition sur ce sujet auprès de leurs clients, à leur initiative ou à la demande des compagnies.

Les assureurs sont susceptibles d’accorder des conditions plus favorables en termes de prime, voire parfois, prendre en charge une partie de la mission PCA. Cette disposition est gagnante pour toutes les parties prenantes, clients, courtiers et compagnies, car chacune acquiert une sérénité supplémentaire sur un sujet majeur.

Comment Adenium-BRG est-il organisé ?

Nos équipes basées à Paris et à Lyon interviennent sur tout le territoire, et parfois à l’étranger pour le compte de nos clients français. Nous comptons une vingtaine de  collaborateurs et nous avons la capacité de mobiliser également d’autres intervenants pour des missions d’expertise ponctuelles. Nous avons quasiment doublé notre activité en 2021 : nous sommes de plus en plus sollicités par des entreprises qui prennent conscience de leurs vulnérabilités, de leur propre chef ou sous la pression croissante de leurs donneurs d’ordre ou de leurs assureurs.

Pour donner aux professionnels l’opportunité de comprendre ce que nous allons faire au sein de leur entreprise, nous avons développé une forte activité de formation. Aujourd’hui, nous sommes certifiés Qualiopi et nos interventions sont éligibles au CPF. Pour une entreprise qui souhaite mettre en place notre démarche, faire suivre la formation aux managers permet de donner un cadre technique sur les aspects assurantiels, supply chain, RH et informatique de notre future intervention, sur 3 jours. Nous menons aussi des actions de sensibilisation sur une demie-journée.

Adenium-BRG s’efforce de diffuser cette culture de la prévention, via les réseaux associatifs et institutionnels comme le Club 22301, qui réunit des acteurs de la continuité d’activité : on y retrouve des courtiers, des industriels qui partagent chaque trimestre un retour d’expérience sur une crise passée, ou des conseils. Certaines de ces réunions sont ouvertes à des prospects, non adhérents au Club.

Propos recueillis par Céline Meslier