Quels types de risque menacent vraiment la continuité d’activité ?

La plupart des plans de continuité d’activité (PCA) se concentrent sur les scénarios spectaculaires – incendie, inondation, cyberattaque massive. Nous observons pourtant que les interruptions les plus fréquentes viennent de risques plus diffus, moins cartographiés, et souvent sous-estimés lors du bilan d’impact sur l’activité (BIA).

Risques de continuité liés aux compétences critiques et à l’absentéisme

Un sinistre ne détruit pas toujours un bâtiment ou un serveur. Parfois, il suffit qu’une poignée de personnes-clés soit absente simultanément pour paralyser une chaîne de production ou un service client.

Lire également : Métiers du numérique : quelles opportunités d'emploi ?

L’absentéisme de longue durée lié aux troubles psychologiques est désormais identifié comme une cause majeure d’arrêt de travail, au point de peser directement sur la capacité opérationnelle des équipes. Howden France le souligne dans son analyse des chiffres-clés de l’absentéisme. Ce type de risque n’apparaît presque jamais dans les matrices classiques d’appréciation des risques orientées PCA.

Nous recommandons d’intégrer au BIA une cartographie des compétences critiques non substituables : les fonctions pour lesquelles la perte d’un ou deux titulaires entraîne un arrêt mesurable. Il ne s’agit pas d’un exercice RH théorique, mais d’un volet opérationnel du plan de continuité, avec des stratégies de redondance documentées (formation croisée, procédures dégradées, prestataires de secours).

A découvrir également : Culture d'entreprise : quels sont les 4 types de ?

Technicienne informatique inspectant des serveurs dans une salle de datacenter représentant les risques technologiques pour la continuité d'activité

Risque climatique récurrent : la canicule comme menace opérationnelle

Le risque climatique dans un PCA se résume souvent à l’inondation ou à la tempête. Cette approche ignore un phénomène devenu annuel : la canicule altère la continuité d’activité bien avant le stade de la catastrophe.

L’Anact formalise ce point dans sa fiche « Canicule au travail : prévenir les risques en entreprise ». Dès les niveaux de vigilance orange et rouge, des mesures de continuité spécifiques s’imposent :

  • Réorganisation des horaires de travail pour les postes exposés, avec un impact direct sur les cadences de production et les délais de livraison
  • Arrêt temporaire de certaines tâches physiques ou en extérieur, ce qui peut bloquer un chantier ou une ligne logistique
  • Surveillance renforcée des salariés à risque, mobilisant des ressources managériales et médicales qui ne sont plus disponibles pour d’autres fonctions

Concrètement, une entreprise industrielle ou logistique sans scénario canicule dans son PCA s’expose à des arrêts non planifiés plusieurs semaines par an. Ce n’est plus un risque émergent, c’est un risque récurrent qui mérite ses propres procédures dégradées.

Dépendances réglementaires : quand la conformité devient un risque d’interruption

Un risque rarement modélisé dans les PCA concerne les obligations réglementaires à échéance fixe. La non-conformité peut entraîner l’immobilisation d’un actif, la fermeture administrative d’un site, ou des pénalités qui grèvent la trésorerie au point de compromettre l’exploitation.

La loi APER en est un exemple concret : elle impose des obligations de solarisation des parkings et des bâtiments non résidentiels, avec des échéances étalées jusqu’en 2028-2030 selon la surface concernée. Une entreprise qui ne planifie pas ces travaux risque de voir un site bloqué par une mise en demeure, sans rapport avec un sinistre traditionnel.

Nous observons que ce type de risque échappe aux analyses classiques parce qu’il ne ressemble pas à une menace. Il s’agit d’un calendrier, pas d’un événement soudain. Pourtant, l’impact sur la continuité d’activité est identique : perte d’accès à une ressource nécessaire aux activités critiques. La veille réglementaire doit alimenter directement la matrice de risques du PCA, pas seulement le service juridique.

Risque cyber au-delà du ransomware : systèmes interconnectés et chaîne d’approvisionnement numérique

Les articles sur la continuité d’activité mentionnent systématiquement le ransomware. Le périmètre réel du risque cyber pour un PCA est plus large.

Les tendances documentées par Splashtop pour la cybersécurité montrent que les attaques ciblent désormais les chaînes d’approvisionnement logicielles, pas seulement les systèmes internes. Un fournisseur SaaS compromis peut paralyser vos opérations sans qu’aucun de vos propres serveurs ne soit touché. Votre pare-feu et vos sauvegardes n’y changent rien.

Ce constat modifie la manière de structurer les stratégies de reprise. Le PCA doit intégrer des scénarios où l’interruption vient d’un tiers :

  • Perte d’accès à un ERP hébergé chez un prestataire cloud, avec identification préalable de solutions de repli ou de modes dégradés
  • Compromission d’un outil de communication critique (messagerie, visioconférence), nécessitant des protocoles de communication alternatifs testés
  • Défaillance d’un fournisseur de données ou d’un connecteur API dont dépend un processus métier, avec documentation des seuils de tolérance (RTO et RPO spécifiques par dépendance externe)

La cartographie des dépendances numériques tierces est devenue un prérequis pour toute organisation dont les systèmes informatiques reposent sur des solutions externes.

Équipe de crise analysant un plan de continuité d'activité face à une inondation urbaine visible depuis les fenêtres du bureau

Construire une matrice de risques qui reflète les menaces réelles

Le piège classique de l’appréciation des risques pour la continuité d’activité est de travailler sur des catégories héritées (naturel, technologique, malveillant) sans les confronter au fonctionnement réel de l’entreprise.

Une matrice efficace croise chaque risque identifié avec les ressources nécessaires aux activités prioritaires, pas avec des catégories abstraites. La question n’est pas « sommes-nous exposés au risque incendie ? », mais « quel sinistre priverait l’activité X de la ressource Y pendant une durée supérieure à notre tolérance ? ».

Cette approche fait remonter des vulnérabilités que les grilles standard occultent : la dépendance à un seul transporteur, l’absence de documentation pour un processus détenu par une personne, ou un bail commercial dont le renouvellement coïncide avec un pic d’activité. Le PCA cesse alors d’être un exercice de conformité pour devenir un outil de pilotage de la résilience organisationnelle.

Les entreprises qui testent régulièrement leurs scénarios de crise, y compris les risques diffus décrits ici, détectent les failles avant qu’elles ne se transforment en interruptions réelles. Un plan jamais confronté à un exercice grandeur nature reste un document, pas une stratégie de continuité.

Ne ratez rien de l'actu

Les atouts uniques de Tesla face à la concurrence automobile

1,8 million. Ce n'est pas un chiffre lancé à la volée, c'est le nombre de véhicules électriques que Tesla a livrés en 2023. Une

Magazines avec les plus grands tirages : quelles sont les deux publications ?

En France, deux titres envoient valser les statistiques chaque semaine. Plus d'un million d'exemplaires distribués, semaine après semaine, là où tant d'autres journaux peinent