WAT: --:--:--
EAT: --:--:--
EST: --:--:--

Gouvernance et Continuité d’Activité : une Alliance pour la Résilience.

Gouvernance et Continuité d’Activité : une Alliance pour la Résilience.

R. Lotan By  September 17, 2025 0 691

Deuxième volet de notre série « Univers de la Gouvernance », cet article est le fruit d’une collaboration avec M. Patrick S. Ayangma. L’article explore les leviers concrets de la résilience organisationnelle, et à travers des instruments de résilience issus de normes internationales, de cadres réglementaires et d’exemples réels, propose une démarche structurée pour bâtir un véritable mûr de résilience face aux crises.

Introduction

Le Baromètre Allianz des risques 2025 est sans appel : les cyberattaques, les interruptions d’activité et les catastrophes naturelles dominent les préoccupations des experts en gestion des risques à travers le monde. Ces menaces arrivent en tête des réponses de plus de 3 700 professionnels interrogés dans 106 pays, confirmant leur impact direct sur la continuité des opérations. Les risques climatiques, les incendies industriels et les tensions politiques suivent de près, traduisant une montée en puissance des menaces aussi bien environnementales que géopolitiques. Ce panorama montre à quel point la résilience organisationnelle n’est plus qu’une simple option stratégique mais un impératif de survie, imposant aux entreprises de renforcer leurs dispositifs de gouvernance en matière de préparation et de réponse aux crises.

Si le Baromètre Allianz met en lumière les préoccupations concrètes des entreprises face aux menaces immédiates et émergentes, le Rapport sur les risques systémiques/mondiaux du forum économique mondial (WEF) élargit la focale en identifiant des risques systémiques à l’échelle planétaire. Pourtant, une convergence s’observe : les cyber incidents, les événements climatiques extrêmes, les tensions géopolitiques et la désinformation figurent parmi les dix (10) principaux risques dans les deux rapports. Cette similitude, bien que née de perspectives différentes — l’une centrée sur la résilience opérationnelle, l’autre sur la stabilité mondiale — souligne l’urgence pour les organisations d’adopter une gouvernance intégrée, capable de répondre aux menaces locales tout en anticipant les chocs globaux.

Illustration : Baromètre des risques d'Allianz et classification des principaux risques systémiques du Forum économique mondial pour 2025

Parmi les événements récents les plus marquants, la pandémie de la COVID-19 est probablement l’illustration la plus significative de l’importance cruciale de la résilience organisationnelle. Par son envergure mondiale et ses impacts multisectoriels, elle a marqué un tournant, établissant un “avant” et un “après” dans la manière dont les entreprises anticipent, s’adaptent et surmontent les crises. Elle a bouleversé les chaînes logistiques, imposé le télétravail à grande échelle et obligé les entreprises à maintenir leurs services dans un climat d’incertitude mondiale. À une échelle plus locale, l’attaque par Ransomware contre Colonial Pipeline en 2021 a paralysé une grande partie de l’approvisionnement en carburant de la côte Est des États-Unis. Les inondations en Allemagne ou encore les cyclones au Mozambique rappellent également que les crises peuvent frapper brutalement et mettre à l’épreuve la capacité de survie des organisations.

Ces exemples illustrent qu’en dépit des efforts consentis pour une gestion rigoureuse et efficace des opérations commerciales, informatiques, techniques ou encore administratives, la capacité des entreprises à fonctionner de manière continue reste vulnérable aux chocs tant exogènes que endogènes. La veille stratégique de ces influences, souvent sporadiques et imprévisibles, relève pleinement du champ de la gouvernance, qui vise à anticiper, encadrer et renforcer la résilience organisationnelle.
C’est dans ce contexte que les cadres de gouvernance d’entreprise prennent tout leur sens. Ils offrent des principes et des outils permettant aux dirigeants et aux conseils d’administration d’ériger un ‘mûr de résilience’, d’anticiper les ruptures et de garantir la continuité des opérations, même en situation extrême.

1. Les cadres de référence : quand les règles dessinent la résilience

Dans cette série d’articles sur l’Univers de la Gouvernance, nous nous inspirons de cadres de référence reconnus pour fixer le cap en matière de bonne gouvernance, appliquées à des problématiques spécifiques telles que la continuité d’activité, la gestion des risques, la sécurité des systèmes d’information, la qualité associée à l’excellence opérationnelle, la fiabilité de l’information financière ou encore l’intelligence artificielle. Ces exigences — que nous appelons volontiers “instruments” — couvrent des dimensions clés telles que la structuration organisationnelle, l’élaboration des politiques, la supervision, les responsabilités et le contrôle. Après avoir établi les notions historiques et contemporaines du terme de la Gouvernance, nous passons en revue une dizaine de cadres de gouvernance qui font figure de pionniers en matière de continuité d’activité et de résilience opérationnelle tant à l’échelle locale qu’internationale.

1. ISO 37000 – Gouvernance des organisations
La norme ISO 37000:2021 propose un cadre de gouvernance fondé sur des principes tels que la viabilité à long terme, la gestion des risques, la responsabilité, et la surveillance efficace. En matière de résilience, elle insiste sur la nécessité pour les organes de gouvernance de maintenir une vision systémique et proactive des risques (section 6.9 – Risk Governance) et de garantir la viabilité et la performance dans le temps (section 6.11). Elle recommande également la mise en place de structures de gouvernance intégrées (section 4.2) et de mécanismes de contrôle interne fiables pour assurer la continuité des opérations face aux perturbations.

2. ISO 22301 – Systèmes de management de la continuité
La norme ISO 22301:2019 est la référence internationale pour les systèmes de management de la continuité d’activité (BCMS). Elle exige l’identification des activités critiques, la réalisation d’une analyse d’impact sur les activités (BIA), la définition de stratégies de continuité, ainsi que la mise en œuvre de plans de reprise. Les exigences clés sont détaillées dans l’article 6 (Planning : objectifs de continuité, BIA, évaluation des risques), l’article 8 (Operation : mise en œuvre et contrôle des plans de continuité), et l’article 9 (Performance Evaluation : tests, audits, revues de direction).

3. BCI Good Practice Guidelines (GPG) – Édition 7.0
Le Business Continuity Institute (BCI), à travers ses Good Practice Guidelines (GPG) propose une approche méthodologique complète pour la mise en œuvre d’un système de gestion de la continuité d’activité (BCMS). Le guide est structuré autour de six pratiques professionnelles (Professional Practices – PP), allant de l’établissement du programme à sa validation. 

La PP1 – Establishing a Business Continuity Management Programme insiste sur la nécessité de définir une gouvernance claire, incluant la désignation de rôles et responsabilités, la validation par la direction, et la mise en place de mécanismes de supervision – des structures de pilotage formelles, adaptées à la taille et à la complexité de l’organisation. Ces structures peuvent prendre la forme de comités de continuité, de groupes de travail interfonctionnels, ou d’unités de coordination chargées de superviser l’ensemble du programme.

Autres pratiques prônées sont l’intégration de la continuité dans la culture organisationnelle, l’analyse des besoins et des impacts (BIA), la conception des stratégies de continuité, la mise en œuvre des solutions et la validation par des tests, exercices et audits. 

4. Accords de Bâle II et III – Résilience opérationnelle dans le secteur bancaire

Les principes de résilience opérationnelle publiés par le Comité de Bâle sur le contrôle bancaire (BCBS) en mars 2021 visent à renforcer la capacité des banques à résister aux événements perturbateurs majeurs tels que les cyberattaques, les pannes technologiques ou les catastrophes naturelles. Ces principes trouvent leur origine dans une série de crises financières : les crises bancaires des années 1980 en Amérique latine ont motivé la création de Bâle I en 1988, tandis que les failles révélées lors de la crise financière mondiale de 2007–2009 ont conduit à l’élaboration de Bâle III.

Le Principe 10 du cadre Bâle II, plus précisément dans “Principles for the Sound Management of Operational Risk” (Comité de Bâle, 2003, révisés en 2011) stipule que les banques doivent disposer de plans de continuité d’activité et de résilience pour garantir la poursuite des opérations et limiter les pertes en cas de perturbation grave. Ces principes s’appuient sur les trois piliers de Bâle II : exigences de capital, surveillance prudentielle et discipline de marché, enrichis par les buffers de liquidité et de capital, le ratio de levier, et les ratios de financement stable introduits par Bâle III pour mieux encadrer les risques systémiques et opérationnels.

5. Solvabilité II – Gouvernance et continuité dans le secteur de l’assurance
Le règlement délégué (UE) 2015/35, dans son article 258, impose aux entreprises d’assurance et de réassurance de mettre en œuvre une politique de continuité d’activité visant à préserver les données et fonctions essentielles en cas d’interruption, ou à en permettre la reprise rapide. Le Policy Statement PS2/22 de la Prudential Regulation Authority (PRA) renforce ces exigences en introduisant des tolérances d’impact pour les services critiques et en exigeant des plans de reprise approuvés par les organes de gouvernance.

6. Règlement DORA – Résilience numérique dans le secteur financier européen
Entré en vigueur le 17 janvier 2025, le Digital Operational Resilience Act (DORA) impose aux entités financières de l’Union européenne de mettre en place un cadre de gestion des risques liés aux TIC, incluant la cartographie des fonctions critiques, l’analyse d’impact métier (BIA), la définition de stratégies de continuité, des tests réguliers et le reporting aux autorités compétentes. DORA harmonise les exigences de résilience numérique pour 20 types d’entités financières et leurs prestataires tiers critiques, avec des obligations en matière de documentation, de supervision et de partage d’informations.

7. Directive NIS2 – Cybersécurité et continuité dans les secteurs critiques
La Directive (UE) 2022/2555, dite NIS2, élargit les obligations de cybersécurité et de résilience à un large éventail de secteurs d’activité. L’article 21(2)(c) impose aux entités essentielles et importantes de disposer de plans de continuité et de gestion de crise, incluant des systèmes de sauvegarde, des procédures d’urgence et des équipes de réponse. Les dirigeants sont personnellement responsables de la conformité, et des sanctions allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, peuvent être appliquées.

8. FFIEC BCM – Gouvernance de la continuité dans les institutions financières américaines
Le Business Continuity Management Booklet du FFIEC (Federal Financial Institutions Examination Council), révisé en 2019, propose une approche globale et orientée processus de la continuité, intégrée au cycle de gestion des risques. Il exige une stratégie de résilience, le développement de plans de continuité, la formation et la sensibilisation, des tests et exercices, ainsi que le reporting au conseil d’administration. Ce guide insiste sur l’alignement du programme de continuité avec les objectifs stratégiques de l’institution et sur l’importance d’une résilience proactive. Il convient de noter qu’il présente de nombreuses similitudes avec le règlement DORA même si leurs champs d’application et leur contexte réglementaire diffèrent.

9. Réglementation COBAC – Continuité dans les établissements de crédit en Afrique Centrale
Le Règlement COBAC R-2008/01, en vigueur dans la zone CEMAC, impose aux établissements de crédit de mettre en place un plan de continuité d’activité prenant en compte les aspects techniques et humains. Les organes de gouvernance sont responsables de définir une politique de continuité, de superviser sa mise en œuvre, et de recevoir des rapports sur les incidents, les tests et les plans d’action. Le plan doit être audité régulièrement, soit par le contrôle interne soit par l’audit externe, et faire l’objet d’un rapport annuel au conseil d’administration. Ce dispositif vise à renforcer la résilience institutionnelle face aux perturbations opérationnelles majeures et à garantir la reprise des activités critiques dans un délai raisonnable.

10. Réglementation CIMA – Une exigence croissante de résilience pour les assureurs africains
La Conférence Interafricaine des Marchés d’Assurances (CIMA) a renforcé en 2024 ses exigences en matière de continuité d’activité et de gouvernance des risques pour les entreprises d’assurance et de réassurance opérant dans ses États membres. Le Règlement n°010/CIMA/PCMA/CE/SG/2024, publié dans le Bulletin Officiel de décembre 2024, impose aux assureurs de mettre en place un plan de continuité d’activité (PCA) actualisé au moins une fois par an, afin d’assurer la poursuite des opérations en cas de sinistre, de crise ou de force majeure.

Ce plan doit s’inscrire dans un dispositif global de contrôle interne, tel que défini à l’article 331-15 du Code des Assurances, modifié par le Règlement n°009/CIMA/PCMA/CE/SG/2024. Ce dispositif de contrôle interne doit intégrer un manuel de procédures internes couvrant l’ensemble des activités critiques, des systèmes automatisés de traitement de l’information et des mécanismes de surveillance et de maîtrise des risques pour garantir la résilience opérationnelle

Illustration: La résilience organisationnelle se construit tel un édifice, pierre après pierre, grâce à l’action coordonnée de plusieurs acteurs. L’illustration du mur de résilience représente cette dynamique à travers une scène de chantier, où des ouvriers – symboles du leadership et des fonctions clés – mettent en œuvre les instruments de résilience pour ériger une structure solide et durable.

2. Résilience en Action : de l’anticipation à l’adaptation, des leçons tirées de crises réelles.

La résilience organisationnelle peut se manifester de deux manières : par l’anticipation stratégique ou par l’adaptation réactive. Ces deux approches, bien que différentes, ont permis à certaines entreprises de surmonter des crises majeures.

2.1. Résilience par anticipation : la préparation avant la tempête
Certaines entreprises ont su anticiper les risques systémiques grâce à des investissements stratégiques et une vision à long terme. Microsoft, par exemple, avait déjà développé et déployé sa plateforme collaborative Teams bien avant la pandémie de COVID-19. Lorsque le télétravail est devenu la norme, l’entreprise a pu répondre immédiatement aux besoins du marché, consolidant sa position et augmentant sa capitalisation boursière. De son côté et face au même contexte, Amazon avait mis en place une chaîne logistique agile et des capacités de stockage massives, lui permettant de prioriser les produits essentiels et de maintenir ses opérations malgré les perturbations mondiales. Tesla, quant à elle, a bénéficié d’une chaîne d’approvisionnement intégrée et d’une forte digitalisation, lui permettant de poursuivre sa production et ses livraisons, devenant ainsi la première capitalisation automobile mondiale. Ces entreprises ont démontré une résilience proactive, fondée sur la planification, l’innovation et la flexibilité.

2.2. Résilience par adaptation : la réponse en temps réel
D’autres organisations, bien qu’ayant été prises de court, ont su réagir efficacement face à la crise. En mai 2021, Colonial Pipeline a été victime d’un ransomware qui a paralysé l’approvisionnement en carburant sur la côte Est des États-Unis. Malgré l’absence de préparation spécifique à ce type d’attaque, l’entreprise a collaboré avec les autorités fédérales pour rétablir ses opérations et renforcer sa cybersécurité. L’incident a conduit à la création du Joint Cyber Defense Collaborative (JCDC) et à l’adoption de nouvelles directives de sécurité. Dans un autre registre, les cyclones Idai et Kenneth qui ont frappé le Mozambique en 2019 ont mis à rude épreuve les entreprises locales. Certaines, en partenariat avec des ONG comme ADRA, ont su organiser rapidement la distribution de nourriture, d’eau et d’abris, illustrant une résilience communautaire fondée sur la mobilisation rapide et la solidarité. Ces exemples démontrent une résilience réactive, fondée sur la capacité à improviser, à mobiliser les ressources disponibles et à ajuster les priorités en temps réel.

3. Alors, comment s’y prendre? La boîte à outils de la résilience

Construire un dispositif de résilience ne se fait pas en un jour. Dans cette section, nous vous proposons — en mode synthèse — une série d’actions clés que toute organisation peut mettre en œuvre pour ériger son ‘mur de résilience’. Le pilotage stratégique de cette initiative, lorsqu’il est assuré à un niveau élevé, garantit l’alignement des efforts avec la vision globale de l’entreprise et renforce sa capacité à faire face aux crises.

La comitologie – orchestrer et donner le tempo:
Le conseil d’administration délègue la supervision à un comité spécialisé, chargé d’évaluer et de suivre le programme de continuité. Des réunions régulières permettront d’aligner les choix et actions sur l’appétit au risque et la stratégie globale, comme l’exigent le FFIEC aux États-Unis ou la COBAC dans la zone CEMAC.

Les politiques – fixer le cap et montrer l’exemple:
Selon l’ISO 22301, la direction doit formaliser une politique de continuité alignée sur l’orientation stratégique. Cette politique, validée par le conseil et communiquée à tous les collaborateurs, sert de boussole pour les actions opérationnelles.

La gestion des risques – anticiper pour mieux résister:
Cartographier les risques et réaliser une analyse d’impact sont des étapes essentielles. Dans le cadre de Solvabilité II, les assureurs doivent par exemple intégrer la continuité dans leur ORSA (Own Risk and Solvency Assessment). Ils doivent pour cela évaluer des scénarios de crise et leur impact sur la solvabilité de l’entreprise. La supervision de ce processus incombe au conseil d’administration, qui doit non seulement approuver l’ORSA, mais aussi examiner régulièrement ces scénarios et s’assurer que des stratégies de reprise existent pour protéger les assurés.

Le reporting – rendre des comptes et inspirer confiance:
Les résultats des tests, les délais de reprise ou encore les incidents sont présentés de manière régulière aux comités et aux conseils. Le règlement DORA insiste notamment sur la transparence vis-à-vis des incidents liés aux prestataires tiers, soulignant que le reporting est un outil clé de supervision. En zone CEMAC, la réglementation bancaire impose que le plan de continuité des activités fasse l’objet de reporting régulier vers les organes de direction.

L’audit et le contrôle interne – vérifier, corriger et progresser:
Un dispositif de continuité crédible ne peut exister sans évaluation indépendante. Les audits internes et externes, validés par le conseil, permettent de vérifier l’efficacité du dispositif et de proposer des améliorations. L’ISO 22301 met l’accent sur l’amélioration continue, tandis que la COBAC et la CIMA imposent que le plan de continuité soit revu annuellement par le contrôle interne et présenté au conseil.

Illustration: La boite à outils nécessaires pour une organisation résiliente.

Conclusion: La gouvernance, socle de la résilience

La continuité d’activité ne se résume pas à un simple document technique rangé dans un tiroir. C’est une démarche vivante qui repose avant tout sur une gouvernance active et engagée. Les comités, les politiques, la gestion des risques, le reporting et les audits sont autant de leviers qui, lorsqu’ils sont bien utilisés, transforment une organisation vulnérable en organisation résiliente.

Les crises récentes, qu’elles soient sanitaires, climatiques ou cyber, rappellent qu’aucune entreprise n’est à l’abri. Le Dr Tedros Adhanom Ghebreyesus, Directeur Général de l’Organisation Mondiale de la Santé (OMS), lors de son discours d’ouverture au World Governments Summit le 12 février 2024 déclara : And there will be a next time. History teaches us that the next pandemic is a matter of when, not if ” (en français : “Il y aura une prochaine fois. L’histoire nous apprend que la prochaine pandémie est une question de quand, et non de si.“). La véritable question n’est donc pas de savoir si une crise surviendra, mais QUAND. Et ce jour-là, la résilience dépendra directement du dispositif mis en place aujourd’hui à travers différents leviers de résilience. Plutôt que d’être perçu par les entreprises comme des contraintes imposées par les régulateurs, la gouvernance devrait être ce socle qui permet aux entreprises de faire face aux crises et de continuer à créer de la valeur, même dans l’adversité.

Êtes-vous vraiment prêt à affronter la prochaine crise ? Nous vous proposons de faire cet exercice d’auto évaluation rapide de la maturité de votre  gouvernance de la résilience. La construction de votre ‘mûr de résilience’ est un premier pas concret pour transformer vos bonnes intentions en un dispositif de gouvernance solide et durable.  

Téléchargez notre questionnaire d’auto-évaluation de la gouvernance de la résilience.

———————————————

Make a Comment

Your email address will not be published. Required fields are marked *

Categories

Recent Posts

Recent Comments

At SG Consultants, our mission is to build attention, thought and curiosity on matters related to Governance, Risk Management, and Compliance.

Our core values are Respect, Integrity, Sustainability, and Continuous Learning

Contact Info
Office Address
×