Comme sans doute pas mal de dirigeants d’entreprise, j’ai reçu ces derniers temps une lettre de la CCI destinée à me sensibiliser à la problématique des Plans de Continuité d’Activité (PCA) en prévision de l’arrivée de la grippe A.
Sur le risque lui-même, la grippe n’est pas en soit un événement nouveau que découvrent les dirigeants, mais cette grippe a ceci d’être particulière qu’elle semble plus contagieuse et qu’elle s’ajoutera à la grippe saisonnière.
En tout cas, cet événement a au moins le mérite de faire réfléchir à une dimension particulière de l’activité des entreprises, le risque, alors qu’elles sont plus naturellement occupées à améliorer la performance ou diminuer les coûts. Le risque a ceci de complexe qu’il n’est qu’une potentialité, qu’il implique de mobiliser des ressources pour quelque chose qui, non seulement ne se produira peut-être jamais, mais en plus dont on espère qu’elle ne se produira pas. La gestion du risque est donc entachée d’aspects psychologiques non rationnels.
Or la réalisation du risque peut non seulement impacter le chiffre d’affaires (on évalue l’impact de la grippe A au Mexique à 1 point de PIB, des études évaluent l’impact futur à 1,1% du PIB en Suisse contre 0,2% pour une grippe normale, et de l’ordre de 1% également en Europe) mais au-delà de cette pandémie, des sinistres moins inhabituels (incendie, vandalisme, …) peuvent avoir des conséquences beaucoup plus négatives encore qu’une baisse du chiffre d’affaire. Or on comprend bien ici que face à ces « mauvaises nouvelles potentielles », la tentation est grande de faire preuve d’un volontarisme optimiste pour éviter d’avoir à se pencher sur le problème. Un leader est d’abord quelqu’un qui voit demain mieux qu’aujourd’hui, c’est dans sa nature, et même lorsqu’il a conscience du risque, ses ressources étant limitées il ne va pas mettre des airbags partout juste « au cas où ».
Pourtant, l’analyse du risque, en particulier pour ce qui concerne les systèmes d’information, va au-delà d’un coût pour gérer des problèmes potentiels. Mettre sur pied un PRA (plan de reprise d’activité – réparer ce qui est détruit), lui donner une dimension de PCA – continuer à faire son métier en attendant que la réparation soit effective) est également un bon moyen de réfléchir sur ses choix techniques (n’a-t-on pas fait des choix technologiques nécessitant des compétences trop rares par exemple), ses choix organisationnels (a-t-on atteint un niveau de polyvalence et de redondance adapté aux besoins normaux ou exceptionnels) et de définition des processus (existe-t-il un mode dégradé de fonctionnement qui préserve les fonctions stratégiques de l’entreprise en cas de défaillance grave) ?
Cette réflexion augmente encore de sens à l’heure où le modèle de l’entreprise et son besoin de performance impliquent de réfléchir à l’externalisation des fonctions non stratégiques de la chaîne de valeur. Ma logistique ou la sous-traitance de ma production vont-ils impacter le service que j’offre à mes clients ? Mon cabinet d’expert-comptable sera-t-il en mesure de sortir la paie en fin de mois ? Mon contrat avec ma société d’outsourcing comprend-il des garanties suffisantes en matière de continuité de service ? Le PRA informatique que j’ai mis au point en interne ne serait-il pas plus sûr si j’avais eu recours à plus de services dématérialisés en mode SaaS ?
La gestion du risque, en particulier au niveau des systèmes d’information, cache en fait des questions structurantes sur le modèle de son entreprise. Elle ne se limite pas à un problème de coût pour un événement potentiel.
