Crise et continuité d'activité : du progrès mais peut mieux faire
Les entreprises se dotent de plus en plus d'outils pour mieux gérer les crises. Néanmoins, parfois, des erreurs compromettent l'efficacité des dispositifs mis en place. État des lieux avec le baromètre Gestion de crise de Grant Thornton.
Près des trois quarts des entreprises ont le sentiment qu'elles sont plus exposées aux risques qu'auparavant, selon la 1re édition du baromètre Gestion de crise, publié début février par le groupe d'audit et de conseil Grant Thornton.
Les causes d'exposition les plus redoutées par les entreprises ? La vulnérabilité des systèmes d'information (45 %), les risques sociétaux ou éthiques (29 %) et la gouvernance (13 %).
Or, dans les faits, la première source de crise est une défaillance opérationnelle. Les défaillances informatiques n'arrivent qu'en 5e position. Il semblerait donc qu'il y ait un décalage important entre les craintes des entreprises et la réalité.
Des plans de gestion de crise qui manquent de lisibilité et de perfectionnement
Pour se prémunir, seulement 58 % des entreprises ont formalisé un dispositif de gestion de crise. Les trois quarts sont globaux et concernent toutes les activités de l'entreprise. Néanmoins, la communication de crise fait de la résistance : 19 % des dispositifs y sont consacrés. Une pratique qui perd du terrain car une approche globale de la crise est plus efficace. Jugés principalement robustes ou flexibles, les plans de gestion de crise n'apparaissent lisibles que dans 14 % des cas. En cause ? La lourdeur de certains dispositifs mis en place. Mais aussi le manque de sensibilisation des salariés qui méconnaissent les procédures.
Mettre en place un plan de gestion de crise, c'est bien, s'assurer qu'il tient la route, c'est mieux ! Il doit être testé dans le cadre d'exercices de simulation ou via des audits internes. Malheureusement, si tant est que ces actions soient menées, elles restent souvent lettre morte et sont peu ou pas suivis d'effets. Un répondant sur cinq regrette en effet qu'aucun plan d'action ne soit mis en oeuvre suite à ces évaluations.
61 % des entreprises sans service dédié à la gestion de crise
Une minorité d'entreprises (39 %) ont fait le choix de créer un service dédié au pilotage de la gestion de crise. Quand cette cellule existe, elle est généralement composée d'une à cinq personnes et rattachée directement à la direction générale. Dans 12,5 % des cas, elle dépend de la direction administrative et financière. La plupart du temps, elle organise une fois par an un exercice de crise et/ou un retour d'expérience avec leur direction générale.
À noter que ces dernières prennent le sujet très au sérieux : 63 % des répondants estiment que leur direction générale accorde une grande importance à la gestion de crise. Et ce n'est pas tant le fait d'avoir déjà été confronté à une crise qui explique cet intérêt que le secteur d'activité et les tiers (clients, fournisseurs...). Aujourd'hui, la gestion de crise est perçue comme un atout concurrentiel.
Des PCA parfois conçus sans méthodologie établie...
Par ailleurs, le PCA (plan de continuité d'entreprise) est un dispositif qui se démocratise et n'est plus l'apanage des entreprises évoluant dans un secteur réglementé ou d'"importance vitale". 75 % des répondants en disposent. L'interruption de l'activité est aujourd'hui perçue comme une vraie menace dont il faut réduire les effets. Tout comme le plan de gestion de crise, le PCA doit englober toutes les activités de l'entreprise. D'ailleurs, dans la pratique, on constate qu'il n'est plus cantonné à la continuité informatique. Pour l'établir, les entreprises misent sur des référentiels internes dans la majorité des cas, voire sur l'ISO 22301. Néanmoins, plus du tiers des répondants ne se basent sur aucune méthodologie établie.
Enfin, tout comme le plan de gestion de crise, le PCA doit être éprouvé sur le terrain par des exercices. Un PCA non testé n'a aucune valeur...
Un besoin accru de cohésion et d'articulation entre plan de gestion de crise et PCA
Culture de crise et culture de la continuité doivent aller de pair. Pourtant, plus de la moitié des sondés sont incapables d'affirmer qu'un lien existe entre le dispositif de gestion de crise et celui visant à maintenir l'activité, faute de test.
Or, un PCA sans plan de gestion de crise pour le déclencher affaiblit sa portée. Inversement, un plan de gestion de crise sans PCA pour remettre l'activité sur les rails semble absurde.
Méthodologie
Baromètre réalisé auprès de plus de 200 responsables : des Responsables gestion de crise et RPCA ; des responsables / directeur des risques, des risk managers, des responsables compliance, des responsables contrôle interne, des responsables de l'audit interne, des directeurs sûreté ; des directeurs opérationnels métier ; des directeurs généraux, des directeurs administratif et financier, des responsables achats. 45 % d'entre eux travaillent au sein d'organisations de moins de 500 salariés et 35 % au sein de structures de plus de 5 000 salariés.
Sur le même thème
Voir tous les articles Risques