Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Amal Boutayeb, Solucom : ISO 22301, la nouvelle norme sur la continuité d’activité peut-elle convaincre ?

juin 2012 par Amal Boutayeb, Manager Solucom, practice Sécurité & Risk Management

La norme 22301 « Sécurité sociétale - État de préparation et systèmes de gestion de la continuité - Exigences », tant attendue par les responsables de continuité d’activités et risk managers, est désormais publiée.

Après de nombreux guides et standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l’AFNOR en France, NFPA 1600 aux États-Unis, etc.), elle est le nouveau standard international en la matière. S’y aligner, c’est inscrire les Plans de Continuité d’Activités (PCA) dans un véritable cycle de vie, et réussir, au-delà de l’avancement des actions relatives au PCA, son maintien en conditions opérationnelles !

Si l’alignement sur la norme est l’assurance pour tout responsable des risques ou de continuité d’activité d’appliquer les bonnes pratiques internationales, dans quelle mesure peut-elle également intéresser le Top Management qu’il faut convaincre ?

Prouver la pertinence des investissements…

L’un des points structurants est de saisir les besoins de l’organisation par la conduite d’un Bilan d’Impacts sur Activité ou Business Impact Analysis (BIA). Cette étape consiste en l’identification des activités clés, l’analyse de l’impact d’une indisponibilité, et donc la priorisation des efforts à mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management.

Par ailleurs, l’analyse de risques, telle que requise par le standard, permet de s’interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables ? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées ?

Si les BIA ont généralement déjà été effectués dans les organisations, la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d’aborder les PCA. Ceux-ci traitent aujourd’hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques. Un exemple ? Les cyber-attaques doivent-elles être considérées dans le cadre d’un PCA ? Les synergies sont en effet nombreuses : processus de gestion de crise, communication... Mais c’est aussi un risque dont le traitement dépasse la problématique de la continuité.

BIA et analyse de risques sont donc des exercices d’argumentation des coûts qui doivent être vus également comme un axe d’optimisation des investissements ! Mais une fois ces investissements consentis par le Management, l’enjeu est d’en prouver l’efficacité…

… puis chercher à les pérenniser

Mettre en place un Système de Management de la Continuité d’Activité, c’est aussi évaluer les dispositifs retenus en inscrivant son PCA dans la recherche d’efficacité opérationnelle.

C’est là l’enjeu principal de tout Système de Management. Mesurer l’efficacité des processus du Système d’une part, soit répondre à la question « les processus sont-ils fonctionnels ? ». Mais aussi et surtout l’efficacité des dispositifs mis en place, ou « le PCA est-il bien opérationnel ? ». La norme est bien explicite sur ce point, l’évaluation de la performance doit porter sur « la pertinence, l’adéquation, et l’efficacité » des procédures du PCA.

Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d’ailleurs d’ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l’analyse des exercices et des plans de tests, s’aligner à la norme nécessite de s’interroger sur les revues à conduire, d’analyser les incidents et d’évaluer la performance des solutions. Ainsi l’alignement permet-il d’adopter des processus qui permettent d’argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience.

Un investissement allant jusqu’à la certification ?

L’alignement à une norme ou un standard est possible depuis quelques années. La plus connue, la BS 25999, a été publiée en 2007 et a posé les bases du Système de Management de la Continuité d’Activités (SMCA). Des entreprises françaises ont d’ailleurs fait le choix de s’y aligner, a minima sur les processus les plus intéressants.

L’émergence de cette nouvelle norme ISO donne une dimension internationale au SMCA, et pourra ainsi susciter un intérêt pour la certification. En effet, certifier un périmètre opportun peut être un élément différentiant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, le respect intégral de la norme peut prouver l’effort de réponse aux obligations en vigueur.




Voir les articles précédents

    

Voir les articles suivants