Le passage au deuxième millénaire nous a fourni deux excellents exemples de l’imprévisible et de l’improbable. Pour commencer, l’an 2000 était une année bissextile, ce qui était totalement prévisible (c’est le cas quand le chiffre de l’année est clairement divisible par 400). Mais, en termes de probabilité, la chose était très exceptionnelle car elle ne s’était produite qu’une seule fois dans le passé (en 1600, moins de 20 ans après l’adoption du calendrier grégorien).
Beaucoup moins prévisible était, cette même année, la découverte faite par un libraire vendeur de livres d’occasion dans une boutique tout au nord de l’Angleterre rurale. En découvrant une obscure affiche d’information publique datant de la guerre, le propriétaire de Barter Books a déclenché un phénomène mondial. Avec une progression sur plus d’une décennie, les cinq mots de l’affiche – Keep Calm and Carry On (Gardez votre calme et tenez bon) – sont devenus l’un des mèmes culturels les plus reproduits de l’histoire.
De la propagande à la sécurité publique
La phrase remonte à 1939, période antérieure à l’existence des systèmes de management en tant qu’approche définie, mais résume parfaitement à quel point il est important de tenir bon et de garder la tête froide lorsqu’une crise se profile. Toutefois, lorsqu’il s’agit de gérer les complexités d’une entreprise moderne, rester de marbre face à l’adversité ne suffit pas, comme me l’a expliqué James Crask, Animateur du groupe de travail de l’ISO sur la continuité d’activité et la résilience des organisations.
Président du groupe de travail chargé de la norme ISO sur la continuité d’activité et la résilience des organisations et Responsable de la question des risques auprès de la Nuclear Decommissioning Authority (autorité britannique de démantèlement nucléaire), James occupe la place idéale pour œuvrer sur un sujet qui le passionne depuis toujours : comment les personnes et les entreprises évitent les catastrophes et s’en relèvent. Il y a apporté toute l’expertise qu’il a acquise dans le cadre de différentes fonctions, de postes dans l’administration locale et la London Fire Brigade, dans son rôle de conseiller pour les « Quatre Grands », et jusqu’à sa participation aux processus de l’ISO, où, avec d’autres experts dans le domaine, il a contribué à l’élaboration de normes telles qu’ISO 22301, Sécurité sociétale – Systèmes de management de la continuité d’activité – Exigences. Ma première question a porté sur la différence entre gestion du risque, gestion de crise et continuité opérationnelle.
« L’objectif commun dans ces domaines est d’assurer une protection. La gestion du risque tend à se concentrer sur des menaces et des opportunités spécifiques, tandis que la continuité opérationnelle fournit un plan de reprise utilisable en toutes circonstances lorsque tout va mal et que l’entreprise connaît de graves perturbations. Le concept utilisé pendant de nombreuses années est largement reconnu et ISO 22301 le formalise en tant que Norme internationale. » Fondamentalement, la gestion de la continuité des affaires consiste à établir un plan de reprise afin de se relever des catastrophes lorsqu’elles surviennent. Quand la gestion de la continuité des affaires est doublée d’une gestion du risque, les organisations disposent d’un système complet pour identifier les dangers potentiels de manière à éviter les catastrophes avant qu’elles ne se produisent, établir les impondérables, définir des procédures qui limiteront les effets d’une catastrophe si elle se produit malgré tous les efforts engagés pour l’éviter, et se remettre ensuite sur pied le plus vite possible. « La chose la plus importante est avant tout d’éviter les incidents et surtout de veiller à ce que les personnes et l’environnement soient en sécurité. » Il est rassurant de savoir que pour la Nuclear Decommissioning Authority, qui est en charge de la gestion des sites nucléaires au Royaume-Uni, la sécurité est une priorité absolue.
Se projeter vers l’avenir
Mais comme James l’explique, la gestion de la continuité des affaires a un aspect plus global qui touche à la résilience à plus long terme. « Sur le long terme, une entreprise qui a réellement compris le processus d’identification des menaces pour sa survie l’appliquera aussi aux produits et services qu’elle propose. » En d’autres termes, la résilience concerne plus que la résistance aux séismes ou aux inondations, elle peut aussi s’intéresser à l’environnement de l’entreprise et à l’état de préparation pour se projeter vers l’avenir.
Si le recul permet d’avoir une meilleure vision des choses, on peut encore se demander si les propriétaires de magasins de location de vidéos ou les fabricants de pellicules photo auraient pu tirer parti d’une approche intégrée de la continuité opérationnelle ? Je suis quasiment certain qu’aujourd’hui les fabricants de disques durs, de consoles de jeux et peut-être même de voitures équipées de moteurs à combustion se posent quelques sérieuses questions quant à leur avenir.
Si les vraies grandes questions ne semblent pas dans un premier temps relever du domaine d’application d’ISO 22301 (puisqu’elles sont plus directement traitées dans ISO 22316, Sécurité et résilience – Résilience organisationnelle – Principes et attributs), il y a toutefois des liens entre les deux normes. Xin Guobin, Vice-ministre de l’Industrie et des technologies de l’information en Chine, a par exemple annoncé il y a tout juste quelques mois que son gouvernement prévoyait de mettre un terme aux ventes de voitures fonctionnant aux carburants fossiles1). C’est une décision courageuse et résolument tournée vers l’avenir, qui reconnaît les effets que ces véhicules ont non seulement sur les poumons des habitants des villes embouteillées qu’ils polluent, mais sur les lieux qui payent le plus lourd tribut au changement climatique.
Effets dévastateurs
À l’heure où j’écris, l’ouragan Irma, plus puissant ouragan tropical de ces dix dernières années, continue de faire des ravages. Irma suit de près Harvey qui a largement dévasté différents territoires, notamment dans l’État américain du Texas, il y a seulement deux semaines. En termes d’impact sur les entreprises, pour la seule ville de Houston, les premières estimations2) sont largement supérieures à des dizaines de milliards de dollars. Si, pour certaines entreprises, le problème se limitera à batailler avec leur compagnie d’assurance pour se faire rembourser, pour d’autres, ce sera la fin de leur activité. Un coup trop brutal, qui intervient à la suite d’une longue période de malaise économique.
Pour les survivants, l’énormité de la tâche ne fait aucun doute ; ceux qui s’en sortiront le devront à une planification sérieuse et à des mesures réalistes. Que ce soit simplement un mélange de bon sens, de sens des affaires ou d’approche cohérente et définie, la continuité opérationnelle consiste à essayer en permanence d’anticiper l’avenir. Ensemble, les normes ISO 22301 et ISO 22316 servent un peu de rétroviseur convexe, elles ne peuvent vous aider à prédire parfaitement l’avenir, mais elles permettent de saisir la forme de ce qui s’approche et de manœuvrer en conséquence.
Dans le cas des ouragans de cette année sur l’Atlantique, la priorité est de minimiser les pertes humaines et bien qu’il soit trop tôt pour le dire avec certitude, il semble que la prudence des planificateurs ait considérablement réduit le nombre potentiel des victimes. Des organisations américaines comme le National Hurricane Center et la Federal Emergency Management Agency (FEMA) ont élaboré leurs propres protocoles de gestion des crises – lesquels sont adaptés pour éviter les catastrophes et favoriser le retour à la normale au niveau national. Bon nombre de leurs principes sont similaires à ceux de la gestion de la continuité opérationnelle.
Tous dans le même bateau
Cette résilience est en partie une question de taille. Dans un grand pays, une entreprise de grande envergure peut répartir ses activités entre différents sites et il y aura toujours des « lieux sûrs » où pourront être évacués les gens. Pour les entreprises, les organisations et les pays plus petits, les options semblent souvent moins nombreuses. Ce sont les relativement petites îles qui ont été les plus durement touchées, des lieux à peine visibles sur une mappemonde dont les économies sont tributaires du tourisme saisonnier et qui ont été dévastées dans des proportions sans précédents.
Il y a des ouragans chaque année, mais celui-ci a littéralement rasé des îles entières. Alors même que cette catastrophe fait rage, la menace d’autres ouragans plane. Il faudra être déterminé, planifier et obtenir un effort commun du monde extérieur pour aider les gens à se relever et à reconstruire. Il faudra une coopération et une clairvoyance encore plus importantes pour lutter de façon sérieuse et unifiée contre le changement climatique qui, s’il n’est pas maîtrisé, pourrait entraîner d’autres événements météorologiques imprévus et dévastateurs.
De solides fondations
Une bonne connaissance des concepts sous-jacents à la gestion de la continuité des affaires permet d’élargir son applicabilité. Même si certaines PME considèrent que les Normes internationales sont conçues pour des entreprises ou des fabricants d’envergure mondiale, c’est une erreur. Comme beaucoup de Normes internationales, en particulier les normes de systèmes de management ISO, il s’agit en réalité de la formalisation de processus et de comportements qui, pris individuellement, se résument à de bonnes pratiques. Il faut définir l’interaction de ces pratiques et comment la perte de fonction dans un domaine impactera l’ensemble de l’activité. Il importe également de passer de quelque chose que les salariés ou les propriétaires de longue date savent à quelque chose de documenté par écrit.
Ainsi, si elles comprennent et mettent en œuvre les principes sous-jacents d’ISO 22316, et de normes connexes comme ISO 31000, Management du risque – Principes et lignes directrices, les petites entreprises peuvent elles aussi adopter une approche complète pour améliorer leur résilience. Il suffira pour certaines de se doter de systèmes solides, pour d’autres en revanche, d’ordinaire des entreprises relativement grandes, la certification de conformité à ISO 22301 sera utile. James Crask le confirme : « Généralement, les entreprises qui s’inscrivent dans une chaîne d’approvisionnement ou dans des réseaux de services professionnels sollicitent la certification. D’après mon expérience, l’intérêt n’est pas uniquement de rassurer le public, ni même d’éviter des problèmes à l’avenir, les avantages sont immédiats en termes de réduction des coûts d’assurance et de preuve que l’on est préparé à faire face à l’adversité. »
Une formule de base en deux étapes
« Historiquement, et en particulier au regard de la gestion du risque, les secteurs extrêmement réglementés, comme la banque, ont le plus souvent été les premiers à adopter la gestion de la continuité des affaires » indique James. Ainsi, des secteurs où la sécurité est essentielle, comme les industries extractives, étaient efficaces en fin de processus – au niveau de la sécurité sur les navires ou les plateformes de forage par exemple, mais ils souffraient souvent de lacunes dans d’autres domaines, comme celui des technologies de l’information : « À trop privilégier la gestion de risques pointus, des vulnérabilités peuvent se manifester ailleurs. Les organisations résilientes s’intéresseront également aux aspects comportementaux. »
En adoptant une approche large, en examinant les principes sous-jacents et en se demandant quelles sont les implications pour leurs activités, les entreprises peuvent, quelle que soit leur taille, être mieux préparées pour se projeter dans l’avenir et réagir à l’imprévu. La bonne formule pour la continuité des affaires semble simple : Gardez votre calme et adoptez ISO 22301.
1) China Fossil Fuel Deadline Shifts Focus to Electric Car Race, Bloomberg News, 10 septembre 2017 (actualisé le 11 septembre 2017).
2) Hurricane to Cost Tens of Billions but a Quick Recovery Is Expected, New York Times, 28 août 2017.