La norme ISO 22301 « Sécurité sociétale – État de préparation et systèmes de gestion de la continuité – Exigences » a été publiée le 5 juin 2012. Elle était très attendue par les responsables de continuité d’activités et les risk managers.
Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l’AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l’ISO22301 est le nouveau – et seul – standard international en la matière. S’aligner sur ses recommandations, c’est inscrire les Plans de Continuité d’Activités (PCA) dans un véritable cycle de vie et réussir, au-delà de l’avancement des actions relatives à sa construction, son maintien en conditions opérationnelles !
En quoi la norme peut-elle appuyer la pertinence des investissements nécessaires à la mise en place d’un PCA ?
La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international.
Par exemple, l’un des points structurants de la norme est de saisir les besoins de l’organisation par la conduite d’un Bilan d’Impacts sur Activité ou Business Impact Analysis (BIA). Cette étape consiste en l’identification des activités clés, l’analyse de l’impact d’une indisponibilité, et donc la priorisation des efforts à mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management.
Par ailleurs, l’analyse de risques, telle que requise par le standard, permet de s’interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables ? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées ? Ces éléments doivent être validés par le management.
Si les BIA ont généralement déjà été effectués dans les organisations, la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d’aborder les PCA.
Ceux-ci traitent aujourd’hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques ? Un exemple ? Les cyber-attaques doivent-elles être considérées dans le cadre d’un PCA ? Les synergies sont en effet nombreuses : processus de gestion de crise, communication… Mais c’est aussi un risque dont le traitement dépasse la problématique de la continuité.
BIA et analyse de risques sont donc des exercices d’argumentation des coûts qui doivent être vus également comme un axe d’optimisation des investissements ! Mais une fois ces investissements consentis par le Management, l’enjeu est d’en prouver l’efficacité…
En quoi fournit-elle des clés permettant d’inscrire les PCA dans la durée ?
Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d’Activité, le fameux SMCA. Il s’agit d’évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien.
Il s’agit de répondre à la question « les processus sont-ils fonctionnels et sont-ils efficace ? ». La norme est bien explicite sur ce point, l’évaluation de la performance doit porter sur « la pertinence, l’adéquation, et l’efficacité » des procédures du PCA.
Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d’ailleurs d’ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l’analyse des exercices et des plans de tests, s’aligner à la norme nécessite de s’interroger sur les revues à conduire, d’analyser les incidents et d’évaluer la performance des solutions.
Ainsi la norme motive la mise en place des principes qui permettent d’argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience.
L’investissement déclenché doit-il aller jusqu’à la certification ?
L’alignement peut aisément s’imposer comme une évidence pour tout responsable des risques ou de continuité d’activité. En effet, il offre ainsi la garantie d’appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité.
L’émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur.