Un des faits marquants dans la catastrophe nucléaire japonaise est le cumul d’événements qui l’ont provoquée : tremblement de terre, tsunami, puis panne d’électricité. Dans les scénarios aujourd’hui étudiés au plan national en France, un tel enchaînement d’événements est-il envisagé ?
La gravité de ces grands risques vient souvent d’une série de dominos, comme cela s’est passé au Japon. En France, la crue centennale, qui est un des grands risques ayant fait l’objet d’un exercice de mise en œuvre des PCA en grandeur réelle en novembre dernier, pourrait en effet entraîner d’autres types de risques : pannes d’électricité, d’approvisionnement, voire un risque sanitaire. Ceux qui estiment être à l’abri parce qu’ils sont situés sur les hauteurs de la capitale sont trop optimistes.
Quels sont les acteurs prioritaires dans ces scénarios ?
À la différence des hôpitaux ou des ministères et en dépit de leur souhait, les établissements financiers ne seraient pas prioritaires dans le cas de la crue centennale. Au contraire, les banques comme les grandes entreprises sont incitées à prendre en charge au maximum la situation sans solliciter l’aide de l’État, notamment en ce qui concerne leurs salariés et les difficultés qu’ils pourraient subir, par exemple du fait de l’absence de transports en commun.
Que prévoient globalement les plans de secours des banques ?
Dans une telle situation, il est primordial pour une banque que l’ensemble des ordres passés soient correctement dénoués. Or, le problème avec un événement imprévisible de type tremblement de terre, attentat ou incendie, est qu’il laisse dans la nature des flux non traités. Une situation telle que la crue pourra être gérée de ce point de vue car elle peut être prévue avec quelques jours d’avance.
Les grandes banques ont la possibilité, parce que cela ne concerne que Paris, de déporter leur activité sur des sites en province ou à l’étranger. Ce ne sera pas sans risques mais si Internet fonctionne, elles pourront maintenir un volant d’activités et traiter leurs clients au mieux en fonction des personnels disponibles.
Que peut-il se passer si Internet n’est pas préservé ?
Prévoit-on le pire et peut-on lui résister ? La crue centennale pourrait bien sûr se révéler beaucoup plus grave qu’imaginée : si le métro était noyé, cela pourrait avoir des conséquences durables : la préfecture estime que le trafic mettrait des années à redevenir normal. Et prévoir des bassins de rétention de capacité suffisante pour éviter que Paris ne soit sous l’eau reviendrait à noyer deux départements !
Quelles sont les bonnes pratiques à mettre en avant pour que les PCA soient efficaces ?
Un grand réseau peut avoir plusieurs centaines de PCA. Sans compter un certain nombre de grands risques survenus au cours des dernières années, que ce soit le SRAS en 2004, l’alerte au virus H1N1, l’affaire Kerviel… dans une grande banque internationale, il y a tous les jours un PCA qui se déclenche avec plus ou moins de conséquences visibles. Le PCA relève presque d’une gestion quotidienne. Le maintien en condition opérationnelle de ces plans de secours est donc essentiel : il faut pratiquer des cycles de revue permanents de l’ensemble des processus, ainsi que des phases de tests et d’exercices extrêmement réguliers.
Par ailleurs, l’établissement des PCA dans les établissements de crédit étant prévu par la réglementation dite 97-02, ils sont souvent vus comme une contrainte réglementaire. Pourtant, développer des PCA revient aussi à se donner la capacité d'appréhender d’une manière beaucoup plus formelle ses propres processus. En effet, en cherchant les grands risques, on traite également des risques opérationnels de moindre ampleur mais plus quotidiens. Cela peut être une source de profitabilité pour les entreprises et il faut se placer dans cet état d’esprit. Les responsables de PCA en sont souvent déjà convaincus, mais ils ont des difficultés à faire passer le message en haut et en bas de leur hiérarchie. Pour cela, il est essentiel de créer une culture du risque dans les entreprises. Il faut que chacun connaisse parfaitement son rôle en cas de survenance d’un risque et que cela soit géré comme quelque chose qui va améliorer les processus de fonctionnement et donc la profitabilité.
Comment générer cette culture du risque parmi les collaborateurs ?
Certes, les entreprises font tourner les collaborateurs qui sont dans les cellules de crise en charge de l’activité de continuité : c’est une façon d’impliquer de plus en plus de monde, mais cela ne suffit pas. La généralisation de cette culture est affaire de formation : aujourd’hui, beaucoup de démarches de gestion des risques fonctionnent en bottom up, les salariés doivent signaler les risques rencontrés et vécus au quotidien. Mais cela ne se fait pas aussi facilement, notamment par crainte des appréciations qui pourraient être portées sur les capacités et compétences des salariés impliqués. Il faut faire passer le message que tout le monde peut être confronté à un risque, que le faire savoir, c’est apprendre à l’appréhender et peut être le maîtriser dans le futur, et enfin qu’il n’y a pas de conséquence à remonter des risques de ce type. La mobilisation du personnel doit être acquise à tous les niveaux de l’entreprise, pour que le PCA soit vécu comme un projet d’entreprise au sens noble du terme.
Et dans les assurances ?
La situation et la mobilisation nécessaire sont assez identiques dans les compagnies d’assurance, avec cependant une particularité : elles auront un risque opérationnel mais aussi un risque d’exploitation car elles seront également sollicitées en matière de remboursement sur les polices souscrites par leurs clients.
