«Contre la neige, les parapluies ne sont plus suffisants», lisait-on dans les colonnes du Monde suite à la terrible tempête qui a frappé l'Hexagone. Au Maroc, la neige n'est certainement pas la première inquiétude, ni la menace la plus critique, mais nous faisons désormais régulièrement face à des situations de crise qui mettent à mal des pans entiers de notre économie. Les inondations qui ont paralysé Casablanca le 30 novembre 2010 en sont l'illustration parfaite. Cela sans parler des risques géopolitiques susceptibles de menacer les filiales nationales à l'étranger.«Nous avons très mal vécu les inondations du 30 novembre dernier. Quand vous avez un mètre et demi d'eau dans votre rez-de-chaussée et 80 centimètres dans votre data-center, que l'ensemble des opérateurs sont absents, que la continuité télécom et électrique est rompue, et qu'en plus des gens se rassemblent devant l'entrée et se battent, un très gros problème se pose», raconte le Risk Manager de l'OCP lors du séminaire organisé par Devoteam, spécialisée dans le conseil en infrastructures réseaux, systèmes et sécurité, autour des PCA u Maghreb. Le phosphatier national est loin d'être seul dans cette situation, même s'il faut reconnaitre qu'il fait partie des plus importants. «Si jamais, par malheur, notre pays devait subir un sinistre majeur, notamment dans le périmètre Rabat-Casablanca, je pense que, vu l'expérience que l'OCP a vécu entre le 30 novembre et le 15 décembre dernier, les impacts seront graves, très graves même !», poursuit-il. L'OCP et les grandes entreprises, comme les banques et les assurances, ne disposent, dans leur majorité, que d'un plan de secours informatique (PSI). Pour ces dernières, c'est même une obligation réglementaire introduite par le régulateur de tutelle. Néanmoins, le PSI n'est qu'une partie du plan de continuité d'activité, qui prend en compte tous les maillons du processus, identifie les risques les plus critiques et détermine les procédures de réaction suite à la survenance d'un incident, qu'il ait été identifié auparavant ou non. L'informatique d'abord Toutefois, selon les experts, démarrer avec un plan de secours informatique est la bonne démarche pour plusieurs raisons. La première est que cela permet de lancer le processus de PCA. Ce dernier permet de comprendre les enjeux et le fonctionnement de la continuité de l'activité, mais aussi de définir quel budget et quel type de risque afin d'identifier le besoin. De plus, il est aujourd'hui difficile de parler de PCA quand l'informatique n'est pas sécurisée, sachant que c'est un outil de travail, désormais omniprésent dans l'entreprise. Entamer, ainsi, un PCA, sans sécuriser et prévoir de secourir l'informatique n'a pas vraiment de sens. Par contre, croire qu'un PSI assure la continuité de l'activité est une erreur grave. «C'est le tort dans lequel de nombreuses entreprises sont en train de tomber aujourd'hui», souligne Tarek Akrout, expert en PCA, et directeur général de Devoteam Tunisie. «Quand l'une de vos agences prend feu ou que votre siège est victime d'une coupure électrique, le PSI n'assurera pas la continuité de l'activité à lui seul», illustre-t-il. Il s'agit donc d'une étape intermédiaire dans la mise en place d'un mécanisme global.Dans un autre registre, au-delà des exigences réglementaires, qui concernent principalement les institutions financières et les secteurs d'activité critiques, c'est les relations d'affaires qui poussent le plus les entreprises à se doter de PCA et à prendre conscience des enjeux qui y sont liés. Il faut donc que l'intéraction entre les différents maillons de l'activité économique soient pris en considération,dans le sens où, la défaillance d'un seul maillon est susceptible d'engendrer des impacts, plus ou moins néfastes, sur l'ensemble des partenaires économiques et commerciaux, les fournisseurs et les clients dans une même filière. Pour ces raisons objectives, disposer d'un PCA devient de plus en plus un argument commercial significatif à faire valoir auprès des clients partenaires. Toutes choses étant égales par ailleurs, entre un fournisseur doté d'un PCA et un autre qui en est dépourvu, les grands clients choisiront le premier, quitte à payer la prestation un peu plus chère. Un raisonnement d'autant plus valable pour des relations de longue durée. «Quand le client achète un service, il achète de la continuité d'activité d'office, puisque de fait, toute rupture d'activité fera l'objet d'une réclamation», précise l'expert, «surtout au vu de la multiplication des incidents et des crises, qu'elles soient géopolitiques, techniques ou naturelles». L'exigence du PCA devient, de fait, implicite. O.Z «Le Maghreb est en retard !» : Tarek Akrout, Expert en PCA et DG de Devoteam Tunisie Les Echos quotidien : Y a-t-il des facteurs de risque propres au Maghreb ? Tarek Akrout : Certainement. En tête de ces facteurs de risques, le risque géopolitique. Il a d'ailleurs été identifié avant les derniers événements, mais a nettement été sous-évalué. Ensuite, un second risque prévalant dans la région porte sur les infrastructures vitales : la continuité de l'énergie, la continuité des télécommunications, la continuité du transport et des autres infrastructures de façon générale. Ce sont finalement des plans de continuité de l'activité (PCA) à la charge de l'Etat. À ce sujet, je pense qu'au Maroc, l'on est en retard par rapport à ce qui se fait dans d'autres régions du monde, ce qui peut potentiellement poser de gros problèmes au niveau du Maghreb. Quelle différence entre un PCA d'Etat et un autre d'entreprise ? C'est en fait la même chose. Vous devez cadrer vos besoins et vos risques, mettre en place des moyens de secours, rédiger des procédures et enfin passer aux tests, tout en organisant le maintien aux conditions opérationnelles. Ces trois phases, quelle que soit l'entité concernée, sont des étapes obligatoires. Comment peut-on évaluer le retour sur investissement d'un PCA ? Est-il intéressant pour les entreprises maghrébines ? Le retour sur investissement du PCA est nul, jusqu'au jour du sinistre où il devient infini. À ce moment, vous ne pouvez être que satisfait d'avoir mis en place votre PCA. Maintenant, le comportement de l'entreprise maghrébine est tout comme celui de l'automobiliste maghrébin : prendre la police d'assurance la plus basse, pour des raisons purement réglementaires. Je pense aussi que la réticence est liée à des considérations culturelles, dans le sens où nous sommes dans des sociétés globalement fatalistes, le «maktoub» : si un sinistre doit arriver, il arrivera. Le dirigeant maghrébin n'est souvent pas rationnel. O.Z