L’ISO 22301 décrit les exigences liées à la mise en place d’un Système de Management de la Continuité d’Activité (SMCA). Alors que l’ISO 27001 fait office de référence incontestée auprès des Responsables de la Sécurité des Systèmes d’Information (RSSI) depuis plusieurs années, l’ISO 22301 peine à trouver sa place auprès des Responsables des Plans de Continuité d’Activité (RPCA). Difficile à prendre en main telle quelle et peu opérationnelle, la question se pose alors de la bonne manière d’appréhender la norme et surtout de savoir à qui elle est aujourd’hui destinée.
Une relation de longue date avec l’ISO 27001
L’évolution de l’ISO 27001:2005 vers l’ISO 27001:2013 a changé le regard de la continuité d’activité dans les Systèmes de Management de la Sécurité de l’information. Alors que dans sa version précédente (2005), l’ISO 27001 évoquait la mise en place d’un PCA pour l’ensemble de l’organisation, la version actuelle (2013) ne parle de continuité d’activité uniquement pour les activités liées à la sécurité de l’information. La nuance est très importante et souvent mal interprétée ; il n’est donc plus question dans un Système de Management de la Sécurité de l’Information d’implémenter un PCA pour l’ensemble de l’organisation (il est toutefois compliqué de prévoir la continuité des activités sécurité en l’absence de PCA global…). Désormais, c’est bien l’ISO 22301 qui porte le sujet de la continuité dans les normes ISO existantes.
Construite exactement sur la même structure que l’ISO 27001, l’ISO 22301 préconise une démarche similaire : approche par processus, cycle de vie « Plan » « Do » « Check » « Act » (PDCA), implication du top management etc. mais elles portent également les mêmes travers ; les deux normes décrivent « ce qu’il faut faire » sans dire « comment il faut le faire ».
Une norme ISO 22301 qui ne se suffit pas à elle seule…
Contrairement à l’ISO 27001 qui possède une annexe apportant des recommandations concrètes sur la mise en place, l’ISO 22301 ne dispose pas de guide permettant de s’appuyer sur un socle solide « de fond » permettant de guider la définition et la mise en place des chantiers autour du Plan de Continuité d’Activité. Toutefois, on peut mentionner l’ISO 22313 : « Business Continuity Management System – Guidance ». Cette norme qui se veut être un guide soutenant l’ISO 22301 reste cependant assez haut niveau et n’apporte que peu de réponses méthodologiques concrètes.
Il ne faut donc pas appréhender l’ISO 22301 avec pour objectif d’y trouver des réponses sur l’implémentation de son Plan de Continuité d’Activité, mais bien pour y trouver des réponses quant à son pilotage. La norme va plutôt s’adresser à ceux qui ont déjà trouvé des réponses sur le fond de l’implémentation de leur Plan de Continuité d’Activité.
…mais qui possède une véritable force
Le problème récurrent des Plans de Continuité d’Activité réside dans leur maintien à jour dans le temps. Souvent construit en mode projet, ils deviennent vite obsolètes une fois en phase de run, faute de maintien à jour. Le projet se lance dans une période où il est considéré comme prioritaire (survenance d’un incident majeur, prise de conscience de la direction des risques encourus…). Avec le temps, la priorité bascule vers un autre projet au détriment du PCA, sur lequel il est difficile de mesurer les bénéfices ; l’éternel débat du « tant que ça n’arrive pas… ».
La force de la norme réside dans la construction d’un SMCA avec pour pilier central l’amélioration continue : le PCA doit s’inscrire dans le quotidien des activités qu’elles soient SI ou métiers. Intégrer dans les tâches de tous les jours, le PCA n’est alors plus perçu comme un projet à part. Par ailleurs, mettre en place une organisation dédiée au PCA peut s’avérer complexe et particulièrement lourd. Le sujet du PCA doit s’inviter aux différentes instances existantes (comités sécurité, revue de direction qualité / sécurité, comité d’architecture…) : Le PCA n’est plus un sujet à traiter à part, il doit faire partie de tous les sujets.
Pour que ce principe soit vrai, l’implication du top management est indispensable pour légitimer les actions entreprises et être garant du planning PDCA : Le rythme des exercices, les revues de direction, les campagnes de sensibilisation sont autant de rendez-vous qui vont contribuer au Maintien en Condition Opérationnelle du PCA. L’intérêt de la norme est ici la formalisation de toutes ces pratiques de maintien en condition opérationnelle dès la phase projet. Formaliser en amont ces pratiques vont permettre d’être applicables avant même la fin de la phase projet. Les chances de survies du PCA vont donc être augmentées de par l’absence de discontinuité entre la phase projet et la phase de run.
Doit-on aller jusqu’à la certification de son SMCA ?
Au-delà de son rôle de référence en matière de bonnes pratiques, la norme peut conduire jusqu’à une certification du Système de Management de la Continuité d’Activité. Aujourd’hui, l’intérêt d’aller jusqu’à la certification ne concerne pas tous les acteurs du marché. Les premiers intéressés vont être ceux dont le métier est celui-là même de la continuité, c’est-à-dire par exemple les hébergeurs de services informatiques ; afficher sa capacité de résilience aux sinistres majeurs à travers un label mondialement reconnu constitue un élément différenciateur indéniable. Souvent déjà certifiés sur d’autres Système de Management (qualité, sécurité) et adoptant déjà des bonnes pratiques en matière de continuité d’activité, la marche à franchir jusqu’à la certification n’est pas nécessairement haute. C’est le cas par exemple de « TelecityGroupe », fournisseur de DataCenter qui a obtenu sa certification ISO 22301 sur ses activités d’hébergement en France, ou encore « Melbourne », société Britannique d’hébergement cloud.
Outre les aspects de disponibilité et redondance des systèmes, la disponibilité des données est également un enjeu porté directement par les PCA. Les acteurs dont le métier est la sauvegarde de la donnée vont également trouver un intérêt à implémenter l’ISO 22301 dans un objectif de certification. C’est le cas par exemple de « Wanbishi Archives », société Japonaise spécialisée dans la gestion de l’information, certifiée ISO 22301.
Mais les sociétés sont encore peu nombreuses à viser la certification, celle-ci ne représentant pas aujourd’hui un élément déterminant de leur stratégie. Reste à savoir si les années à venir rendront l’ISO 22301 aussi incontournable que l’ISO 27001.
En synthèse : être mature et en tirer un réel bénéfice économique
La certification ISO 22301 s’adresse à des contextes matures dans la gestion de leur continuité d’activité, pourvu d’un management convaincu du bien-fondé de la démarche de certification et doté d’un intérêt économique certain légitimant le projet. Si la marche à franchir entre les pratiques actuelles et la certification est grande, alors mieux vaut ne pas se lancer dans un projet de certification. Là où les projets SMSI peuvent viser la certification en partant de zéro, les projets de continuité nécessitent une première maturité opérationnelle. La course à la certification ISO 22301 est encore loin d’être engagée mais l’intérêt d’y prendre part commence à se faire sentir. Les « fournisseurs de disponibilité » sont en train d’ouvrir la marche, la vie de l’ISO 22301 ne fait que commencer.