Il est possible d’établir une fiche par processus faisant apparaître :

 le nom du processus
 le nom du responsable
 la description du processus (avec les enjeux et contraintes)
 les interfaces et fl ux externes
 les activités métier rattachées
 le niveau de service minimum (et modes dégradés acceptables)
 les attentes en matière de continuité (dmia, prma)
 l’appréciation de la criticité du processus
 les conséquences (et les coûts) d’une interruption d’activité
 les ressources critiques associées
 les interdépendances critiques (en amont, en aval, avec des partenaires)

la gestion du risque comprend 4 étapes :

1. Identifier les risques de toutes natures (dans une approche « tous risques »).
2. Analyser les risques (selon les critères de fréquence et de gravité) en les regroupant par
scénarios signifi catifs.
3. Évaluer ces risques en fonction du contexte et des enjeux de l’organisation (activités,
chaîne de valeur, conjoncture, opportunités, concurrence, moyens fi nanciers, grands choix
stratégiques…).
4. Traiter ces risques pour en limiter la proba bilité d’occurrence et les impacts.

Risques de nature stratégique (p.ex. indisponibilité des matières premières rares ou de ressources
critiques, inaccessibilité de certains pays, perte d’image ou de notoriété, sécurité économique,
hausse importante du coût du carburant, rupture majeure d’énergie, insuffi sance de trésorerie,
cession d’activité d’un client ou d’un fournisseur essentiel…).

Risques opérationnels (p.ex. inaccessibilité d’une infrastructure par suite de catastrophe naturelle,
technologique, d’acte de terrorisme, de confl it social ou de coupure/ indisponibilité de voies de
communication, ou indisponibilité du système d’information par suite d’intrusion à travers les
réseaux à des fi ns malveillantes, ou encore indisponibilité du personnel consécutive à une
pandémie…).

Risques liés à la gouvernance et à la communication de l’information (p.ex. manque d’information,

de coordination, de cohérence, d’anticipation, hétérogénéité des systèmes d’information
décisionnels, fonction de pilotage défi ciente, absence de décision…).

Risques de conformité et juridiques (p.ex. non-respect des règles prudentielles, de sécurité

sanitaire, de protection des travailleurs ou de l’environnement…).
 1. Le cadre général
La description du contexte permet de lister les activités essentielles de l’entreprise, les
processus clés nécessaires à leur fonctionnement, ainsi que les ressources critiques :
o infrastructures – bâtiments, locaux, moyens de transport…,
o systèmes d’information – systèmes informatiques, moyens de
télécommunication…,
o ressources humaines – personnes clefs, qualifications, compétences…,
o ressources intellectuelles et immatérielles – données internes, informations
stratégiques…,
o prestations externes – énergie, sous-traitants… – ou produits critiques – matières
premières rares.
 
2. L’identification des risques les plus graves
Les risques pouvant compromettre la continuité des activités essentielles doivent être
décrits puis priorisés.
 
3. La stratégie de continuité d’activité
Pour chaque activité essentielle, la stratégie précise, jusqu’au retour à une situation
normale :
o les niveaux de service retenus,
o les durées d’interruption maximales admissibles pour ces différents niveaux de
service,
o les ressources et procédures nécessaires pour atteindre ces objectifs, en tenant
compte des ressources critiques qui peuvent avoir été perdues.
 
4. Le rôle des responsables de la mise en œuvre du PCA – cellule de crise
Doivent être précisés :
o les procédures de mise en œuvre du PCA,
o les moyens nécessaires,
o le détail de l’organigramme
o et le rôle des différents responsables.
Toute personne en charge d’une action relevant d’un PCA doit connaître précisément sa fonction
en cas de crise.
 
5. Le dispositif de gestion de crise
Il permet de conduire la mise en œuvre opérationnelle du PCA, selon des procédures :
o détection et qualification des incidents,
o alerte et activation de la cellule de crise,
o déclenchement des dispositions du PCA :
 solution palliative : contournement des services interrompus,
 mode secours : fonctionnement dégradé,
 plan de reprise de l’activité normale,
 plan de communication.
 
6. La maintenance opérationnelle du plan
Le PCA doit comporter des indicateurs permettant de vérifier :
o la mise en œuvre des dispositifs préconisés dans le plan,
o l’adéquation du plan au regard des objectifs de continuité,
 o les niveaux de service réellement constatés lors d’une crise – retour d’expérience.