Sommaire

LE MOT DE L’INTERVENANT

Deux jours pour comprendre la fonction PCA, la mise en place d’un...

Deux jours pour comprendre la fonction PCA, la mise en place d’un plan B réaliste, bien connaître les principaux scénarios et être efficace en Gestion de Crise ; séminaire complet et pratique pour être directement opérationnel.

Vincent Balouet
Vincent Balouet dispose de vingt-cinq années d’expérience en conseil et mobilisation autour des risques d’entreprise. Auteur de nombreuses publications, interlocuteur régulier des directions générales et des pouvoirs publics en France et à l’étranger, organisateur d’exercices à grande échelle, il est une référence en Sécurité des Systèmes d’Information, en Continuité d’Activité et en Gestion de Crise.
Lire la suite Cacher le texte

En deux journées denses et pragmatiques, ce séminaire de référence dresse un état de l’art complet de la Continuité d’Activité « à froid » (organisation, préparation des plans, exercices) et « à chaud » (alerte, cellule de crise, communication, retour d’expérience) :

  • La conception réaliste et la rédaction d’un Plan de Continuité d’Activité, son contenu, sa réalisation, son contrôle, ses tests.
  • La norme ISO 22301.
  • La préparation et la prévention en amont des situations de nature à placer l’entreprise en difficulté, l’identification des scénarios, les méthodes de décomposition des risques et les solutions pour les réduire.
  • Panorama des grands risques spécifiques : crue majeure Paris-Ile-de-France, crise Informatique, cyberattaque, risques sociaux, attentats, pandémie, rupture énergie, qualité produit et réputation, etc.
  • La précrise, la mise en place de la cellule de crise, les méthodes et solutions pour maîtriser l’évolution de la crise, la communication, les médias, la réputation, l’après crise.

Illustré de nombreux exemples et cas pratiques, ce séminaire fait le point des « Best Practices » actuelles pour construire une stratégie de Continuité d’Activité, prévenir et maîtriser les situations de crise.



Les situations de crise et la fonction PCA


Les grands risques et la crise : retours d’expérience

  • Les risques, identification et évaluation : comment identifier ceux qui peuvent se transformer en crise ? Revue de cas concrets de crises bien et moins bien gérées ; quels enseignements en tirer ? Étude des aspects juridiques et réglementaires. Retours que les grandes crises récentes en entreprise (crues Paris 2016 et 2018, épisodes de neige, grèves, WannaCry et NotPetya, réclamations RGPD…).

Le responsable cellule de crise et plan de Continuité d’Activité

  • Le profil du responsable de crise, les missions, le rattachement, les perspectives de carrière, l’équipe, le budget de crise, l’enveloppe de crise, les relations avec les directions opérationnelles et la direction générale.
  • La mission PCA et gestion de crise.
  • Positionnement de la fonction, rattachement, feuille de route. Comment mettre en place une fonction PCA reconnue et attendue par la DG.
  • Les nouvelles offres d’assistance on line : le consultant dans le smartphone permet-il de mieux maîtriser les crises et la Continuité d’Activité ?

BIA et analyse des risques

  • Les méthodes d’identification, les scénarios de référence, l’identification du potentiel de crise de chaque risque. Les grands et petits risques.
  • Problèmes spécifiques liés à quelques grands risques : crue majeure, risque social, rumeur, cybercriminalité, qualité produit, panne informatique, risque « réputationnel », etc.

Le plan de Continuité d’Activité (PCA)


Les objectifs, le contenu, son organisation

  • La stratégie de Continuité d’Activité, les principales options. Les aspects réglementaires et financiers (Bâle II et III, SOX, LSF, CRBF, Solvency, les statuts OIV et OSE, etc.) : que conclure pour la construction d’un PCA ?
  • Le plan type d’un PCA. Comment organiser le travail de conception et rédaction. Les principaux éléments : les pièges de l’exhaustivité d’un PCA. La construction par scénario : stratégie raisonnable et réaliste de la bonne construction d’un PCA. Exemple d’un PCA mis en place en un trimestre.
  • La Norme ISO 22301 : son contenu, son intérêt et ses limites. Les vrais risques de la complexité : comment maintenir un PCA simple et utilisable à chaud ? Faut-il s’engager dans une certification ? Le contre-exemple américain. Quand la norme ne suffit pas : retour sur des exemples informatiques. Les pouvoirs publics, leur organisation, la continuité économique et le décret SAIV.

La mise en œuvre, les tests et la maintenance

  • Le projet PCA, la recherche de solutions simples, la mise en œuvre de procédures robustes : comment rédiger une procédure efficace et robuste ?
  • Les tests : comment vérifier l’efficacité de son PCA pas à pas, la mise en œuvre de procédures robustes : comment rédiger une procédure simple et efficace.
  • La maintenance d’un PCA : comment automatiser partiellement la maintenance d’un PCA et ne pas devenir esclave de sa maintenance ? Comment bien gérer la maintenance des procédures et veiller à la prise en compte des nouveaux risques ?
  • Les fiches réflexes : comment bâtir un jeu de fiches réflexes simples et efficaces, comment identifier le meilleur équilibre dans la rédaction des documents de Continuité. Exemple de fiche réflexe sur incident informatique.
  • Par où commencer ? Comment s’y prendre. Retour d’expériences de déploiement en adoptant des démarches différentes : avantages et inconvénients. Mise en place d’une structure de pilotage et de travail pour mettre en place un PCA dans l’entreprise.
  • PCA / PCI : comment raccorder les plans existants et effectuer les arbitrages ? Limites d’intervention des acteurs : comment sécuriser les plans et en assurer la réelle efficacité ? Organisation de la mise en place d’un PCA, planning type. Les conseils à suivre pour rester compact dans le temps et dans les budgets.

Panorama des Grands Risques d’Entreprise


La perte d’un site

  • Retour sur des cas concrets de sinistre catastrophique touchant un bâtiment entier : quelle leçon en tirer ?
  • Comment réagir et piloter la crise depuis une salle de crise de repli. Que dire aux collaborateurs, aux clients ?
  • Quels sont les premiers réflexes qui permettent de raccourcir considérablement la durée de la baisse d’activité ?

Carence énergétique, fragilité électrique, risque logistique / Supply Chain

  • Réalité du risque de coupure d’électricité (grève, blackout), périodes critiques : que faire pour préparer les dix prochaines années ?
  • Mesure du risque en interne et mise en place d’une solution simple et efficace.
  • Le risque de discontinuité sur la Supply Chain : l’anticipation et les mesures de prévention.

La crise informatique, traitement des attaques : la Cybercriminalité

  • Le risque informatique : retours d’expérience. Attaque informatique, cybercriminalité : que faire ? Le cas RGPD.
  • Cas concrets de crash informatiques. Les premiers réflexes. Le cas particulier de la malveillance. La gestion des inconnues, les réactions des techniciens et des managers. Les pièges de la crise informatique. Revue des meilleures pratiques de la gestion de crise.
  • Le basculement informatique en urgence : prise de décision, mise en œuvre. Comment gérer la transition ? Que faire en cas d’accumulation de problèmes ?
  • La malveillance externe : retours d’expérience. La relation avec les pouvoirs publics. Le plan d’action juridique et technique.

Risques climatiques, inondation, tempête – Crue majeure en région parisienne

  • Les risques actuels climatiques et environnementaux. Gestion des crues : qui fait quoi, comment s’informer pour anticiper. Le déroulement d’une crue majeure sur une grande ville : scénarios, conséquences directes et indirectes.
  • Cas de Paris : le déroulement de la crue, comment préserver l’essentiel et se replier sur un site alternatif. Systèmes d’Information : assurer sa Continuité d’Activité. Retour d’expérience Sandy et Prague. Retour sur l’exercice Sequana et la crue de Mai/Juin 2016 : les véritables enseignements pour les entreprises.

Risques « réputationnel », réseaux sociaux, communication et réglementaires

  • Déclenchement de la crise : comment anticiper et détecter les prémices de la crise. Veille média : organisation et automatisation de la veille.
  • Le risque de réclamation RGPD, la réponse CNIL, les réclamants et la gestion de la crise réputationnelle.
  • Conséquences directes : comment prévenir le dérapage. La communication, le plan média et réseaux sociaux. Comment gérer la presse en situation catastrophique. Gestion de l’événement et du temps : comment rétablir et construire une nouvelle confiance.

Risques RH : indisponibilité du personnel, risque social et psychosocial, terrorisme, pandémie

  • Neige, grève des transports : que faire ?
  • Indisponibilité longue durée : l’organisation du travail à distance, les relations sociales et les IRP, le réflexe « Family First »
  • Définitions et clés pour comprendre le risque social. Capital humain et gestion des risques : comment traiter les priorités économiques.
  • Le point sur les risques de pandémie. Terrorisme : que faire en cas d’attentat de masse, la communication, les relations sociales, le soutien aux collaborateurs.

La situation de crise : déroulement des opérations


L’étude et la préparation des scénarios de crise

  • Les causes, les scénarios de déroulement, l’enchaînement des conséquences. Représentation cartographique : maîtrise du déroulement, contrôle de l’exhaustivité.
  • Les modalités de déclenchement de la crise : précrise, veille et alerte des dirigeants. Préparation et mise en œuvre d’une cascade. Facteurs clés de succès et inventaire des principaux pièges. Aspects budgétaires. L’émergence des nouvelles solutions en ligne : vers un coaching à froid et à chaud 24/7.

Début de crise

  • Comment installer une méthode de travail : la mise en condition, la prise en compte de la situation générale. Déroulement méthodologique de la prise en charge : le cycle de gestion de crise (CGC), la prise de décision.
  • Les outils de la gestion de crise : précautions juridiques, Système d’Information, réseau, communication. Revue des aspects pratiques.

Le déroulement et le dénouement de crise

  • Le fonctionnement méthodologique de la cellule de crise. Suivi des opérations et jalonnage : comment garder une bonne hauteur de vue en gérant les détails ?
  • Les tableaux de bord et les points de situation. Le suivi et le contrôle des opérations de résolution. La communication, le suivi et la relation en interne et avec les tiers.
  • La sortie de crise : comment organiser l’après crise, le débriefing ? Comment rebondir et tirer parti d’une bonne gestion de crise ?

La salle de crise

  • Comment mettre en place une salle de crise. Les fonctions de la salle de crise, son organisation, son équipement. Les enseignements de situations réelles : comment conjuguer simplicité et efficacité ?
  • L’organisation pratique de la vie en cellule de crise, la rotation et la fatigue, le suivi et le contrôle des opérations de résolution.
  • Les postes de travail, le Système d’Information de crise (SIC). Les outils, la veille. La main courante et les Réseaux sociaux internes : vers une inévitable fusion. Comment bien utiliser l’existant pour réussir sa gestion de crise.

Les comportements, la communication de crise, les exercices


Le facteur humain

  • Les principales difficultés, les règles du jeu. Comment bien gérer le stress ? Les erreurs à ne pas commettre en interne vis-à-vis des tiers. Le risque de sidération.
  • Comment limiter les facteurs de stress : la formation, la préparation, les exercices. Le média training. Que faire quand tout va mal : les facteurs clés de succès tirés de l’expérience ?

La communication de crise

  • La communication interne, les attentes des personnels, les impératifs de mobilisation. Comment capitaliser sur la solidarité interne. La coordination interne en mode crise : la messagerie, les RSE et les outils spécialisés : les leçons de Sandy : comment faire simple et efficace.
  • La nécessité de garder la main : comment anticiper les réactions des tiers ? Savoir gérer la presse, ses attentes. Organiser un travail constructif d’information. Étude d’un cas concret.
  • Le débriefing de crise : anticiper J + 100 et l’anniversaire de crise : la prise de bénéfice de l’après-crise.

L’après-crise, éléments de rentabilité

  • Analyse des coûts de la crise. Gestion de crise : comment établir son budget. La rentabilité de la maîtrise des situations de crise.

Les exercices de gestion de crise

  • Rien ne vaut un test : comment bien limiter le champ d’un exercice, comment rester raisonnable en évitant les pièges d’un excès d’optimisme. Direction générale et exercice, comment vendre un exercice sans compromettre la politique PCA.
  • Comment construire un exercice réaliste et en tirer les leçons. Retour d’expérience sur les derniers exercices Cyberattaque collectifs (public / privé Cyberfenua 2017 et 2018).