Attaque informatique, épisode cévenole, crise sanitaire…Anticiper tous risques, matériels et immatériels, afin d’assurer le maintien de l’activité au sein de l’entreprise. Tel est l’objectif des plans de continuité et de reprise d’activité (PCA et PRA). Depuis mi-mars et le premier confinement, la question de la survie des entreprises est au cœur des préoccupations des acteurs économiques. PCA et PRA deviennent, de facto, des outils incontournables.

Si tous deux ont la même finalité, quelques points diffèrent entre le PCA et le PRA. Le PCA est un « un ensemble de mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes et le cas échéant de façon temporaire, en mode dégradé, des prestations de services essentiels de l’entreprise puis la reprise planifiée des activités », explique Me Jérémie Aharfi, avocat spécialisé en droit du travail, à Toulouse, citant un arrêté du 3 novembre 2014. Et d’ajouter : « Le PRA est une réponse à long terme, alors que le PCA est une réponse immédiate à une situation urgente, afin de maintenir l’activité. En réalité, la reprise d'activité fait partie de la continuité d'activité. Durant la crise sanitaire liée à la Covid-19, on a plus souvent parlé de manière générale de PCA pour nos entreprises, la crise perdurant encore actuellement. »

Tester les procédures régulièrement
Quelle que soit la nature du sinistre, il est important de tester les procédures établies dans le PCA ou PRA régulièrement. Souvent, ce plan est un « document qui reste dans le tiroir et qu’on ne ressort qu’en cas de besoin, prévient Ludovic Martin, consultant en e-commerce intervenant à Nîmes et Montpellier. Le risque c’est qu’il ne soit plus à jour. Un PCA est vivant et doit être réévalué tous les six mois, puis testé via des exercices. » De cette façon, à l’instant T de la crise, il n’est plus nécessaire de réfléchir à la marche à suivre, tout est prêt. « Le PCA participe à l’actualisation du document unique d’évaluation des risques et du programme annuel de prévention des risques professionnels et d’amélioration de conditions de travail. »

Envisager toutes les natures de sinistres
« Au début de la crise sanitaire, nous avons réuni les équipes qualité et responsables de services dispatchés sur nos neuf sites d’impression afin de constituer des groupes de travail, témoigne Laurent Lechat, manager général d’Inessens (impressions d’étiquettes, 270 salariés, CA : 55 M€, siège à Montréal de l’Aude). Nous avons passé en revue tous les types de risques possibles : social, sanitaire, intempérie, matériel (casse de machine), approvisionnement… » Partant de cette liste, les équipes d’Inessens se mettent en ordre de bataille. « Pour le risque sanitaire, nous avons demandé à nos salariés s’ils seraient d’accord pour travailler sur un site temporairement, afin d’assurer un poste clé en cas d’indisponibilité de la personne en place du fait de la crise de la Covid-19, nous avons aussi sollicité nos fournisseurs de matières sensibles pour qu’ils fassent des stocks de plusieurs mois et avons engagé avec notre courtier en assurance un audit conseil évaluant le risque d’intempérie (inondation) sur chacun de nos sites. Quant au bris de matériel, nous avons dressé un inventaire des machines irremplaçables, il y en a une à Carcassonne, et avons pris contact avec des confrères pour nouer des accords de prêt de machine », énumère Laurent Lechat. Toutes ces démarches ont aussi permis à Inessens d’améliorer sa communication auprès de ses clients qui se sont ainsi sentis plus sécurisés. « Ça nous a bougé et ça a été très constructif. »

Pas obligatoire mais recommandé
Pour l’heure, le PCA n’est obligatoire que pour certains secteurs d’activité comme la banque et l’assurance. Sa mise en place est toutefois vivement recommandée. « En cas de sinistre ou litige, l’absence de ce type de plans peut retomber sur le dirigeant », alerte Ludovic Martin. Avec des conséquences légales ou financières car l’assureur est susceptible de refuser une indemnisation. Justement, en la matière, les compagnies d’assurance peuvent être force de proposition, souligne-t-il. « Il peut donc être pertinent de les solliciter, notamment dans la prévention de cyber-risques. »

Le risque informatique
Parmi les sinistres les plus fréquents, et en pleine explosion avec le boom du télétravail, figure le risque informatique. « Les équipes d’ITrust constatent une augmentation des attaques de 400 % par rapport à la même période en 2019 », indique Jean-Nicolas Piotrowski, président d’ITrust (sécurité informatique, 50 salariés, CA : 3 M€, siège à Labège – 31). Et toutes les tailles d’entreprises sont concernées. « Même le petit artisan peut se faire cibler par une cyberattaque, alerte Yannick Gilly, à la tête de Services Network Administration (SNA, une dizaine de salariés, Montpellier). J’ai notamment un client dans l’audiovisuel qui a perdu une grande partie de ses données qui étaient hébergées par son prestataire informatique dans un datacenter. Ce dernier n’avait pas fait de sauvegarde depuis 2017, il n’y a plus rien. » En interne, SNA consacre 50 k€ par an à la formation de ses équipes car les méthodes d’attaques évoluent constamment. « Nous sommes en train de revenir aux datacenters locaux, vivons heureux, vivons cachés. »