Internationale, fruit d’un consensus d’experts… la norme semble tout avoir pour s’imposer comme référentiel de bonnes pratiques. Mais comment l’utiliser au mieux pour mettre en œuvre un système de management de la continuité d’activité ?
Alignement ou certification : quelle stratégie retenir ?
L’alignement consiste à en adopter les principes fondamentaux et les principales exigences. Il permet à la fois de donner une cohérence globale à la démarche, d’impliquer les acteurs et d’offrir de la visibilité en interne tout en offrant de la souplesse sur le périmètre (identique celui du PCA de l’organisation ou plus restreint), les processus à mettre en place, et les exigences à intégrer (mener les actions sans s’astreindre à disposer de preuves auditables).
Le piège à éviter est dès lors celui de trop limiter le périmètre et le nombre d’exigences à respecter, et de perdre ainsi de l’intérêt de l’alignement. La souplesse prise dans la mise en place du SMCA doit pouvoir être argumentée, et toujours ramenée aux intérêts et enjeux de l’organisation.
Si la certification laisse toujours la capacité à l’organisation de choisir le périmètre le plus opportun en fonction des enjeux métier et de la maturité de l’organisation, ce choix est néanmoins plus engageant dans la mesure où il implique l’application de l’ensemble de la norme, et ce dans la durée.
Elle présente cependant plusieurs atouts. Le premier étant qu’elle apporte une valorisation vis-à-vis des clients externes pouvant aller jusqu’à constituer un élément différenciant sur le marché.
Le second avantage de la certification est qu’elle constitue une preuve de l’effort engagé par l’organisation dans leur PCA, un effort qui peut être mis en avant vis-à-vis d’autorités ou d’auditeurs. Cet avantage prend tout son sens pour les organisations soumises à des exigences réglementaires.
Enfin, une certification peut également donner un nouveau souffle au PCA, qu’elle redynamise en introduisant une dimension projet supplémentaire
3 étapes pour mettre en œuvre un SMCA (Système de Management de la Continuité d’Activité)
Qu’il s’agisse d’un projet d’alignement ou de certification, un projet de mise en place d’un Système de Management de la Continuité d’Activité se réalise en trois principales étapes :
Évaluer et Cadrer
L’évaluation et le cadrage constituent une première étape clé. L’enjeu principal, outre celui de disposer d’une image réaliste de la situation en termes de PCA, est celui de déterminer le périmètre du SMCA.
Construire les processus et piloter les projets d’alignement
Définir un processus, c’est en déterminer les acteurs, les composants, les activités à mener et comment le faire. Pour exemple, définir le processus de gestion de crise implique d’identifier les critères de déclenchement d’une crise, les acteurs à impliquer, les interactions avec les parties prenantes (autres directions de l’organisation, clients, autorités,…), les messages et outils de communication à utiliser et plus généralement les moyens.
Outre « l’installation » des processus, cette phase est celle de la mise en œuvre des projets identifiés, telle que la mise en place de dispositifs de continuité pour des périmètres jugés critiques lors du BIA et qui ne sont pas « secourus ».
Réaliser un cycle complet « Plan-Do-Check-Act »
Réaliser un cycle complet, c’est installer les processus et s’assurer de leur bon fonctionnement. Ainsi la phase de « check », de vérification, réalisée par un audit interne, permet-elle de vérifier que les processus sont pertinents, que le SMCA est efficace, et le cas échéant mener les actions correctives nécessaires. Point clé de cette étape : la revue de direction. C’est elle qui permet la mobilisation régulière du management sur les sujets de la continuité.
Une fois seulement ces actions réalisées, il est possible d’envisager un audit de certification pour ceux qui auront choisi cette voie…
3 facteurs clés de succès : mobilisation, pragmatisme et projection dans le futur
Mettre en place un SMCA est donc un projet à part entière dont les clés de la réussite résident dans trois facteurs clés de succès.
- Mobiliser les acteurs, en particulier le Top Management, indispensable pour le lancement même du projet et tout au long de sa mise en œuvre, mais également les acteurs opérationnels qui doivent se sentir responsabilisés, valorisés… Mettre en place un SMCA est fédérateur du moment que la conduite du changement est bien menée.
- Adopter une démarche pragmatique et partagée … Mieux vaut viser une première étape réaliste se couronnant rapidement par des succès plutôt qu’une démarche trop large.
- Construire pour le futur : l’engagement sur la mise en place d’un SMCA est pluriannuel, la définition de la cible initiale doit prendre en compte cet aspect pour garder, au fil des années, des actions d’évolutions et d’améliorations qui permettent de maintenir la mobilisation.
ISO 22301 : et après ?
La continuité d’activité a gagné en maturité et la parution de la norme apporte un nouveau regard. Quel usage les organisations peuvent-elles en faire ? Profiter de cette parution pour dresser un bilan sur leurs dispositifs PCA… pourra se poser ensuite la question de l’alignement, voire de la certification lorsque les enjeux de continuité le justifient !
