Cette démarche, qui concerne tous les acteurs de l'entreprise doit être pilotée par une cellule de crise animée par le Risk Manager (qui est parfois le RSSI) et regroupant notamment la direction générale, la DRH, la direction juridique les représentants syndicaux et du personnel, la médecine du travail.
Au plus fort de la vague pandémique (entre 8 et 12 semaines, voire plus), l’absentéisme pourrait atteindre 40 % et tous les acteurs économiques seraient donc perturbés. Dans ce contexte, il est important de prévoir et de tester en amont la mise en œuvre d'un plan de continuité d’activité pour un fonctionnement en mode dégradé.
Tous les secteurs de l'entreprise sont concernés, la DSI fournissant aujourd'hui bon nombre des outils de travail et les moyens de télécommunication est impactée au premier chef.
Je vous propose donc ci-dessous quelques pistes de réflexion permettant d'ébaucher votre Plan de Continuité d'Activité informatique. Elle s'appuient sur 5 points d'attention, applicables à tous les secteurs de l'entreprise.
1. Quelles sont les activités essentielles de la DSI et quelles sont celles pouvant être mises en veille ?
Il n'est pas toujours simple de les recenser, certaines sont frappées de routine et d'autres réalisées sporadiquement. Elles sont souvent liées aux outils mis en place. L'examen attentif des tâches réalisées sur une semaine par l'équipe, les tableaux de bord ainsi que les fiches de description de poste des collaborateurs devraient permettre d'établir un état exhaustif. Pour ma part, je préfère ne pas limiter à 2 états (essentielles/veille) le niveau de criticité et propose donc de choisir parmi:
indispensable: le fait d'interrompre cette activité compromet la pérennité de l'entreprise,
important: cette activité peut être interrompue mais sur une courte durée (inférieure à 12 semaines),
confort: cette activité peut être interrompue ou mise en veille.
Quelques exemples pour illustrer ce classement:
--> La messagerie d'entreprise, le système de gestion-comptabilité, les outils de GMAO, la HotLine technique sont indispensables.
--> L'animation du site web d'entreprise peut souffrir de non mises à jour durant quelques semaines. classement: important.
--> Les activités de veille technologique peuvent être arrêtées. Plus surprenant, la gestion de la paie peut aussi être interrompue: il suffit de demander aux établissements bancaires d'effectuer, jusqu'à nouvel ordre, des virements identiques à une mensualité de référence. classement: confort.
2. Quelles sont les ressources humaines nécessaires pour les activités indispensable ?
Le recensement des activités indispensables va permettre rapidement d'évaluer les ressources et les compétences nécessaires pour la prise en compte de ces missions, en mode dégradé. Ce sera l'occasion de réaliser aussi la cartographie des compétences de la DSI puisque pour chaque activité, il conviendra de prévoir une ressource "nominale" et une "de secours", l'une et/ou l'autre pouvant s'inscrire dans une démarche de sous-traitance (Attention alors à vérifier que le sous-traitant a lui-aussi procédé à cette démarche de PCA).
Après avoir affecté les ressources aux activités indispensables, on étendra la démarche aux activités de niveau important afin de pouvoir, le cas échéant, prendre également en charge ces dernières.
3. Prévoir une organisation du travail pour un fonctionnement dégradé, tout en garantissant la protection de la santé des salariés.
Cette réflexion doit se calquer sur les différents degrés de gravité (nous sommes actuellement en 5A) et l'organisation doit pouvoir rapidement évoluer selon la situation. C'est à cette étape qu'il faut identifier les moyens techniques permettant de réaliser les missions de la DSI à distance (portail sécurisé d'accès, clients VPN "lourds") ou dans le cadre de contrats d'infogérance.
De cette (ces) organisation(s) découlera les budgets nécessaires à l'acquisition des moyens techniques et aux formations complémentaires à mettre en place. Il sera également nécessaire, (modification des contrats de travail) de s'adjoindre l'expertise de la DRH et des juristes.
Suite à la définition de l'organisation et des moyens matériels et humains, la rédaction et la validation des procédures termineront ce volet.
4. Disposer de stocks suffisants de produits d’hygiène et de masques.
Cette action doit être menée au niveau de l'entreprise. Les traitements antiviraux (tamiflu, Relenza) sont délivrés uniquement sur ordonnance et ne peuvent donc être stockés.
Par contre et compte tenu de haute transmissibilité du virus, il est nécessaire de prévoir en quantité suffisante des produits de nettoyage sanitaires et solutions hydroalcooliques. Concernant les masques, deux types sont préconisés: les masques FFP2 destinés à protéger les personnes qui les portent et les masques chirurgicaux destinés à protéger les personnes à qui l'on fait face. Ils peuvent être achetés auprès de l'UGAP selon cette procédure.
5. Diffuser l’information dans l’entreprise.%%%
La mise en place du PCA informatique est à considérer comme un projet SI à part entière.
Il est donc prépondérant de communiquer en interne de la DSI en associant au plus tôt l'ensemble des acteurs mais également auprès des autres services de l'entreprise en leur expliquant les différentes mesures prises et les nouvelles procédures qui seraient à appliquer en cas de pandémie.
A voir aussi:
Le site interministériel traitant des menaces pandémiques grippales.
Le document (pdf) d'orientation de l'OMS - préparation et action en cas de grippe pandémique
Un cas concret de préparation à la pandémie: La Poste