ISO 22301 : un nouvel élan pour la Continuité d’Activité ?

Cybersécurité et confiance numérique

Publié le

La publication de la norme ISO 22301 – « Sécurité sociétale – État de préparation et systèmes de gestion de la continuité – Exigences » – est attendue dans les prochains mois. En institutionnalisant au niveau international de bonnes pratiques déjà souvent formalisées localement, elle devrait favoriser le franchissement d’un nouveau cap dans la maturité  des organisations sur le sujet.

En effet, la réflexion autour des systèmes de management de la continuité d’activité n’est pas récente : de nombreux guides nationaux sont apparus ces dernières années, notamment dans les pays les plus mûrs sur le sujet de la continuité.

Parmi ce foisonnement de publications, la BS 25999 (publiée en 2007) a pris un rôle de premier ordre. Or l’ISO 22301 partage de nombreux points communs avec cette norme, et notamment les notions relatives aux Systèmes de Management : amélioration continue, implication du management, pilotage par les risques et les enjeux Métiers, etc.

S’inscrire dans une démarche de progression continue

Il s’agit là d’un point-clé : inscrire le Plan de Continuité des Activités (PCA) dans un Système de Management, c’est entre autres réfléchir à sa politique de couverture de risque et aux moyens affectés au PCA, impliquer le management et délimiter un périmètre en s’assurant de son adéquation avec les enjeux Métiers ; et tout cela de façon récurrente, de façon à garantir in fine l’alignement du PCA avec les objectifs de l’organisation.

Le point de départ est donc la réalisation d’une analyse de risques et d’un Bilan d’Impact sur l’Activité (BIA). Si ce dernier point est fortement détaillé dans la BS 25999, allant jusqu’au cadrage des critères d’expression des besoins et assez largement répandu dans la pratique, l’analyse de risques est quant à elle plus rarement revue aujourd’hui. Or les dispositifs de secours ont vocation à couvrir des périmètres et des risques de plus en plus larges… mais surtout en permanente évolution : réaliser ou revoir l’analyse de risques qui supporte le PCA, c’est aussi apporter un regard critique sur son PCA.

Le contrôle, point clé de l’amélioration

Le deuxième point à souligner est celui du contrôle du PCA, afin d’en mesurer la pertinence et l’efficacité opérationnelle. À cet égard, la réalisation régulière de tests et exercices PCA est nécessaire mais pas suffisante, car sauf remise en question très régulière du scénario de test, la pertinence du PCA n’est pas analysée. Par ailleurs, force est de constater que la mobilisation des acteurs peut être difficile à maintenir dans le temps et que les tests peuvent  perdre leur statut de preuve du caractère opérationnel du PCA. En outre, la mise en place d’un processus de contrôle force à s’interroger sur les indicateurs de mesures d’efficacité du PCA, utiles notamment pour le reporting auprès du management, et sur la politique d’audit du PCA.

Sensibiliser pour ne pas oublier l’humain

Enfin, peu déployée mais pourtant d’une nécessité évidente, la sensibilisation des collaborateurs permet d’assurer que le PCA n’est pas qu’un plan « sur le papier », et que son exécution dans la « vraie vie » est crédible. En ciblant le management, elle s’assure de son sponsorship, et peut l’aider dans la prise de décision le moment venu. En touchant les acteurs au quotidien du PCA, elle peut être d’une réelle aide dans le maintien de leur implication. Et surtout, en ciblant les collaborateurs concernés lors du déclenchement des dispositifs, elle permet de renforcer le caractère opérationnel du PCA !

Au-delà de l’aspect médiatique, une évolution naturelle pour un sujet de plus en plus sensible

Le caractère international de l’ISO ne manquera pas de redonner un réel engouement pour le sujet, et lui permettre de s’inscrire dans la lignée de ses glorieux aînés concernant la qualité (ISO9001) et la sécurité de l’information (ISO27001). Un intérêt qui viendra accompagner la maturité croissante des PCA des organisations, qui ont ces dernières années lancé de nombreux projets de mise en place, en réponse aux menaces qui pèsent sur leurs activités et aux exigences de disponibilité de leurs métiers.

Mais le PCA est plus qu’un projet. Le principal enjeu, plus que de le mettre en place, est bien de le maintenir en conditions opérationnelles, et c’est sur ce point que la norme peut apporter : par l’inscription du PCA dans un processus récurrent, dans un cycle de vie calé sur l’évolution de l’organisation.

Sans oublier que cette norme sera certifiante : pour ceux souhaitant aller au-delà d’une simple utilisation de ces bonnes pratiques, la certification permet d’afficher l’existence et l’importance du PCA de manière externe, vis-à-vis de clients, de partenaires, voire d’autorités réglementaires… Autant de bonnes raisons pour adopter cette norme au plus tôt !