Travail en extérieur, température, graisse… quels usages possibles en milieu industriel ?

Les opportunités d’utilisation pour les collaborateurs sur le terrain sont nombreuses. La digitalisation de documentation technique, de guide métier en est une. Les métiers de maintenance notamment nécessitent de nombreuses documentations de contrôle ou de modes opératoires : les mettre à disposition sur un unique support numérique est simplificateur.

Les outils numériques et connectés permettent également les remontées d’informations en temps réel et donc un meilleur pilotage et partage d’informations. Ce point est d’autant plus prégnant pour les métiers s’exerçant sur un territoire étendu.

Par ailleurs en digitalisant les outils métiers les retours d’expérience sont alimentés par des données « terrain », enrichissant ainsi les bases d’analyse et améliorant la capitalisation, les processus d’amélioration.

C’est également sans compter que les outils digitaux offrent la possibilité d’utilisation de photos, de vidéos, de lecteur  de tags ou QR code, etc. augmentant ainsi la richesse des informations remontées. Parmi les exemples d’usages « multimédias », la possibilité de mettre à disposition des tutoriels ou  une assistance à distance des collaborateurs. Ces fonctionnalités proposées par les tablettes ou smartphones grand public sont tout à fait accessibles pour les milieux industriels, que le choix soit porté sur un appareil mobile « durci » ou grand public renforcé par des accessoires de protection ad hoc. Se pose en revanche la question de la connectivité qui est nécessaire pour permettre des usages en temps réel, surtout pour les métiers hors ateliers (travaux sur des voies par exemple).

Qu’ils soient génériques ou spécifiques à un métier ou une opération donnée, les usages envisageables sont donc nombreux ! Mais  au-delà de l’usage, ce sont les bénéfices apportés qui peuvent accélérer le mouvement de digitalisation.

Simple gadget ou réel apport ?

La digitalisation ne consiste pas en l’introduction de simples gadgets dans les métiers industriels. Elle ne répond pas non plus en  un simple mouvement inéluctable suivant l’utilisation de smartphones ou de tablettes dans la vie privée. Les initiatives relèvent d’un réel mouvement stratégique des entreprises pour répondre à leurs enjeux voire à leurs fondamentaux : augmentation de productivité, amélioration de la sécurité, de la qualité, réponse à des exigences de conformité, etc.

Prenons pour exemple la digitalisation de documents qui est souvent un des premiers pas du digital. Elle permet à la fois d’optimiser la performance de la production et de la diffusion documentaire (cycle de mise à jour plus rapide), tout en standardisant les pratiques, améliorant ainsi la conformité et la sécurité. Leur mise à disposition sur un outil mobile les rend plus simplement disponibles pour les collaborateurs. Outre le confort d’avoir moins de documents papiers à transporter, disposer d’une application permet de structurer l’information pour la rendre plus simple d’accès.

La modernisation de l’outil est également un vrai facteur de valorisation des salariés. Et ces atouts sont d’autant plus visibles lorsque les salariés sont impliqués dans les projets.

Faire de la transformation digitale un projet pour et par les agents terrain

Les collaborateurs en ateliers, en usines, sur le terrain doivent être acteurs du projet. Il est primordial en effet de comprendre les usages du futur utilisateur : comment travaille-t-il avant la digitalisation ? Quelle valeur ajoutée pour lui ? Comment serait-il impacté par le changement ? Outre les utilisateurs finaux, il est indispensable de construire avec l’ensemble des autres acteurs intervenants dans la chaîne de valeur. En prenant toujours l’exemple d’une digitalisation de documents, en amont de leur utilisation, c’est toute la chaîne de production et de diffusion du document qui est impactée.

Réussir cette transformation c’est savoir co-construire progressivement un nouvel environnement de travail digital avec les collaborateurs. En impliquant les bonnes parties prenantes dès la phase d’étude d’opportunité, l’initiative prend en considération l’expérience utilisateur, elle répond à un réel besoin et tient compte des exigences du métier. Une telle démarche donne une vraie légitimité au projet, et pose les premières pierres de l’accompagnement du changement. Un premier pas vers la réussite d’une transformation aujourd’hui inéluctable.

Cet article Digitalisation des métiers industriels, une nouvelle (r)évolution ? est apparu en premier sur RiskInsight.

Les initiatives posent la question de la sécurité de l’information

Un système de transports intelligents, quel qu’il soit, permet de diffuser et partager de l’information, de la traiter de manière autonome et intelligente. Les objectifs de telles évolutions ? Ils sont multiples : optimiser la gestion de trafic, améliorer la sécurité routière, aider à développer la multi-modalité, etc.

De tels usages nécessitent l’échange de nombreuses informations, entre les véhicules, ou entre les véhicules et les infrastructures routières : vitesse, positionnement GPS, changement de trajectoire, alertes sur le trafic… Protection des données à caractère personnel, préservation de l’intégrité des informations, disponibilité des dispositifs qui concourent à la sécurité routière : les enjeux de sécurité de ces informations ressortent clairement comme essentiels pour que la voiture connectée de demain donne confiance aux usagers.

Ces transformations font aujourd’hui l’objet de réflexions de standardisation et de normalisation menées par divers groupes de travail (l’ISO, la Commission européenne de normalisation,  et l’ETSI – European Telecommunications Standards Institute). Ces organismes mènent des réflexions qui portent par exemple sur les formats de messages à utiliser, les canaux de communications envisageables (Wi-Fi véhiculaire, réseaux cellulaires ou réseau satellite) ou la sécurisation des protocoles de communication.

En complément, de nombreux consortiums européens (Drive C2X, CAR2CAR, FOTsis) mènent des réflexions sur le déploiement de systèmes routiers collaboratifs. Certains d’entre eux peuvent intégrer le sujet de la sécurité de l’information.

Si ces réflexions portent sur un périmètre plus ou moins large, mener un projet lié aux voitures connectées implique de revenir sur les usages et d’identifier les risques puis les mesures de sécurité à mettre en place sur l’ensemble des briques du dispositif : la voiture, les bornes, les systèmes d’informations du gestionnaire, etc.

Focus sur le véhicule : la prise de contrôle par un hacker est-elle réellement possible ?

Les attaques informatiques sur des systèmes embarqués de véhicules ne sont pas une nouveauté en soi. Des démonstrations d’attaques ont été réalisées par manipulation physique des boîtiers. Mais aujourd’hui il est indispensable d’intégrer la dimension communicante du véhicule, et donc la capacité à prendre le contrôle à distance. En effet, les voitures ont historiquement été conçues pour fonctionner en système fermé, sans ou avec très peu d’interactions avec le monde extérieur. La multiplication des connexions des véhicules avec le monde extérieur constitue de nouvelles surfaces d’attaque.

Le « car hacking » est donc possible, et pour la sécurité de l’information dans les véhicules de demain, les constructeurs intègrent la cybersécurité dans les réflexions sur l’architecture technique du véhicule avec notamment la mise en œuvre d’un cloisonnement entre les réseaux de fonctionnement liés au système de conduite (freinage par exemple) et les réseaux liés « aux médias » et à la sécurisation du boîtier de communication.

Au-delà des projets en cours, comment anticiper la « smart security » dans le transport routier ?

Si le sujet est innovant, la démarche de sécurité est en somme « classique » : intégrer la sécurité dans toutes les phases du projet ! Il s’agit d’un point essentiel pour mener la réflexion sur l’ensemble des briques. Dans un premier temps, analyser les usages et donc les besoins de sécurité. Ensuite, comprendre les fonctions, l’architecture de sécurité et donc les menaces et vulnérabilités. Puis, en fonction des risques, les mesures de sécurité à mettre en place puis à maintenir doivent être définies qu’elles soient techniques ou organisationnelles.

Une spécificité néanmoins liée au caractère innovant : mener une veille permanente sur le sujet. Quels nouveaux projets peuvent présenter des adhérences ? Quels nouveaux standards ? Quels travaux des chercheurs sur les vulnérabilités, sur les solutions ? Quels consortiums, groupes de travail portent une réflexion sur une brique ? Le secteur est en pleine transformation, et son évolution doit donc être suivie.

Cet article Voiture connectée : quels enjeux de sécurité de l’information ? est apparu en premier sur RiskInsight.

Cet article Cybercriminalité : et si ça nous arrivait ? est apparu en premier sur RiskInsight.

La sécurité de l’information, un pré-requis sur les canaux numériques

La protection des données est aujourd’hui une préoccupation évidente des clients et usagers. C’est ce que révèle un sondage de l’Economist Intelligence Unit en 2013, dans lequel 90% des sondés affirment penser que leurs données utilisées en ligne peuvent être volées, notamment pour détourner de l’argent. C’est également une préoccupation des pouvoirs publics qui renforcent les obligations en termes de sécurité. Attirer les clients sur les canaux digitaux est  une nécessité pour beaucoup d’entreprises. La sécurité est un prérequis indispensable à cette transition.

D’une part, Il faut rassurer les clients, et pour cela démontrer de manière visible que des mesures de sécurité existent pour protéger les données critiques et éviter notamment les fraudes financières. Une création de compte, une transaction, un changement de RIB… une bonne sécurisation, organisationnelle ou technique, peut conforter les clients dans leur confiance dans le canal numérique.

D’autre part, en cas d’incident, la capacité à bien réagir,  tant  pour résoudre l’incident le plus rapidement possible, que pour communiquer clairement et rassurer les clients concernés est un élément clé. L’évolution de la réglementation autour de la notification des incidents poussera d’ailleurs les organisations à développer ce point.

Enfin, il est important de relayer cette position au travers des acteurs de la relation client sur le terrain (vendeurs, conseillers…) en les sensibilisant pour qu’ils portent également ces messages en magasins, agences, etc.

La sécurité de l’information, un facteur de différenciation et de compétitivité

Démontrer un réel engagement dans la sécurité de l’information peut être un élément différenciant sur le marché. Pour ce faire, des solutions de sécurité avancées peuvent être proposées. Des banques comme Société Générale ou HSBC, proposent ainsi un logiciel à installer gratuitement pour renforcer la sécurité du terminal de l’utilisateur lorsqu’il utilise leur site. D’autres, comme Natwest et Barclays mettent à disposition de leurs clients des moyens d’authentification renforcés.  Au-delà des solutions techniques, certains acteurs vont jusqu’à sensibiliser leurs clients et usagers sur l’importance du respect de bonnes pratiques de sécurité. AXA a ainsi publié le « Le guide du bon sens numérique » et encore Le Groupe La Poste a communiqué sur des bonnes pratiques à adopter sur les réseaux sociaux.

Les services marketing doivent donc travailler en collaboration avec les équipes de sécurité à la fois pour innover et proposer des solutions de sécurité, mais aussi pour écouter et savoir tenir compte des attentes des consommateurs.

La sécurité de l’information, une offre à part entière ?

Et si de centre de coûts, la sécurité devenait une source de gains ? En étant attentifs aux attentes des clients, différentes entreprises se sont posées cette question et lancent aujourd’hui des offres de sécurité en tant que telles..

Plusieurs secteurs se sont d’ores et déjà  lancés : celui de l’assurance par exemple. Cyber-assurance ou encore protection de l’identité numérique, des assurances comme AIG, AXA ou Swiss Life, ont entendu l’intérêt que portent leurs clients à la sécurité de l’information, B2B comme B2C. Autre exemple, les opérateurs télécoms qui proposent un anti-virus avec les abonnements d’accès à Internet. Ou encore, d’autres opérateurs, d’un tout autre secteur, celui des jeux en ligne, mettent à disposition de l’authentification renforcée pour leurs clients.

Ainsi, au-delà d’être un pré-requis  la sécurité de l’information peut devenir un avantage concurrentiel, voire représenter une offre à part entière. C’est à chaque organisation de choisir la posture qu’elle souhaite adopter !

Cet article La sécurité de l’information, au service de la relation client est apparu en premier sur RiskInsight.

Si de prime abord les deux sujets peuvent paraître disjoints, ces interrogations semblent justifiées au regard des certifications relatives à la norme BS 25999 : plusieurs d’entre elles avaient combiné les deux référentiels. Et pour cause, il existe plusieurs points communs entre les deux normes…

D’indéniables axes de mutualisation

Les bases de tout système de management, qu’il concerne la qualité (9001), les services IT (20000) ou d’autres, sont communes – les normes  27001 et 22301 ne dérogent pas à la règle. On y retrouve ainsi les notions de construction par processus, d’amélioration continue, d’implication du management, …

En outre, elles concourent toutes deux à un même objectif : gérer les risques d’une organisation. Les risques liés, respectivement à la sécurité ou à la continuité, doivent être identifiés et priorisés, les traitements définis, … Elles se rejoignent donc sur une étape importante de la phase « Plan » : l’analyse de risques.

Par ailleurs, la continuité ou la disponibilité en tant que critère de sécurité est clairement abordée dans l’annexe de la 27001. En effet, cette dernière exige que l’organisme mette en place un Plan de Continuité d’Activité (PCA) et qu’il soit testé.

Pour autant, passer d’un SMSI à un Système de Management intégrant l’ISO 22301 n’est pas immédiat.

Des différences majeures à ne pas perdre de vue

L’ISO 22301 est une norme qui s’inscrit dans les réflexions autour de la sécurité sociétale. Elle traite de cas de sinistres majeurs : la problématique de la gestion de crise y est prégnante. Au vu de la dimension des sinistres envisagés, les exigences en termes de communication font l’objet d’un chapitre spécifique. Il s’agit aussi bien de la communication interne qu’externe envers les autorités, les médias, les familles des collaborateurs…

S’agissant de Système de Management de Continuité d’Activité, la notion de besoin de continuité est plus développée dans la norme ISO 22301. Un BIA (Bilan d’Impacts sur Activité ou Business Impact Analysis) doit être conduit. Ce BIA est à réaliser lors des premières étapes de mise en œuvre, identifiant, a minima, les activités critiques, et exprimant pour chacune d’entre elles les délais d’interruption maximale admissible, le « calendrier » de reprise progressive de l’activité, … Par ailleurs, la norme exige clairement que les dépendances soient identifiées, notamment avec les fournisseurs de services, lesquels doivent préciser leurs PCA existants. Cette précision vient directement faire écho à la notion de prestataires de services essentiels externalisés (ou PSEE).

Passer d’un SMSI à Système de management intégrant les exigences de la 22301 nécessite donc d’inscrire ces points dans les processus du Système de Management Intégré.

Un pas intéressant à franchir ?

Intégrer les exigences de l’ISO 22301 peut clairement donner un nouveau souffle à son système de management en effectuant un focus particulier sur la continuité d’activité. Mais redonner un nouveau souffle ne peut pas être une fin en soi, l’objectif est bien de répondre à un réel enjeu de sécurité de l’information et de continuité à la fois, avec une rationalisation de l’effort consacré à la gestion de deux risques !

Cet article De la 27001 à la 22301, juste un pas à franchir ? est apparu en premier sur RiskInsight.

Le défi aujourd’hui est de réussir à ancrer la sécurité durablement dans les pratiques de chacun des utilisateurs.

L’inventivité, facteur de renouveau

Que ce soit lors de la mise en place, ou dans les piqûres de rappel, l’originalité, la créativité, peut être un réel facteur d’attractivité et de différentiation de la compagne de sensibilisation à la sécurité. Pour autant ce facteur doit être mis en regard de la culture de communication interne de l’entreprise, et ce pour trouver le meilleur compromis entre originalité et crédibilité de la démarche.

La campagne doit ensuite évoluer dans le temps, ainsi que la posture en elle-même, mais également les canaux de communication. Nombreux sont les concepts, les supports qui peuvent être intégrés à la sensibilisation. Les serious games, la gamification et les applications pour smartphones ou tablettes en sont des illustrations.

L’adaptabilité, une réponse aux nouveaux usages et les risques afférents

L’évolution des usages permet de donner un nouveau souffle au catalogue de communication et formation, mais elle doit aussi être considérée sous l’angle des risques. Le BYOD (Bring Your Own Device) ou encore le Cloud en sont des cas concrets. Les objectifs de communication, les messages à diffuser vont évoluer, et ce dans l’objectif de responsabiliser davantage le personnel qui en fera l’usage. Un axe intéressant est de dresser un parallèle avec la vie quotidienne des collaborateurs afin de les responsabiliser.

La mesure d’efficacité, source d’amélioration

Chercher à s’améliorer implique de mesurer l’efficacité dans l’atteinte des objectifs initiaux. In fine, les collaborateurs sont-ils tous acteurs de la protection de l’information chacun à leur niveau ? La clé réside dans le fait que la sensibilisation est un dispositif de sécurité, et par conséquent il est important :

• D’identifier les éléments du plan de contrôle qui sont en lien avec le facteur humain d’une part. Un exemple ? Les audits  intègrent-ils la notion de « bureau net », de protection physique du matériel, d’exigence de port de badges, etc. ?
• D’intégrer de nouveaux contrôles spécifiques d’autre part. Il peut s’agir de contrôles par échantillonnage qu’ils soient techniques (vérification des mots de passe par exemple) ou de l’ordre de la simple observation « terrain ».

En conclusion, comme toute démarche liée à sécurité, la sensibilisation et la formation doivent s’inscrire dans un cycle de revue tant sur le fond (messages à faire passer, collaborateurs à cibler…), que sur la forme (canaux, supports, et conception…). L’ensemble doit s’intégrer dans l’existant de l’entreprise en respectant les pratiques des ressources humaines en termes de formation et de communication interne !

Cet article La sensibilisation : un dispositif à inscrire dans la durée ! est apparu en premier sur RiskInsight.

Il existe déjà de nombreux standards édités par des organismes nationaux sur le sujet de la continuité (BPZ 74/700 de l’AFNOR en France, NFPA 1600 aux États-Unis, etc.), mais l’ISO22301 est le nouveau – et seul – standard international en la matière. S’aligner sur ses recommandations, c’est inscrire les Plans de Continuité d’Activités (PCA) dans un véritable cycle de vie et réussir, au-delà de l’avancement des actions relatives à sa construction, son maintien en conditions opérationnelles !

En quoi la norme peut-elle appuyer la pertinence des investissements nécessaires à la mise en place d’un PCA ?

La norme met en lumière les bonnes pratiques des PCA mais surtout elle les rend cohérentes les unes par rapport aux autres et elle les légitime grâce à son coté international.

Par exemple, l’un des points structurants de la norme est de saisir les besoins de l’organisation par la conduite d’un Bilan d’Impacts sur Activité ou Business Impact Analysis (BIA). Cette étape consiste en l’identification des activités clés, l’analyse de l’impact d’une indisponibilité, et donc la priorisation des efforts à  mener pour se focaliser sur les véritables enjeux, ceux définis par le Top Management.

Par ailleurs, l’analyse de risques, telle que requise par le standard, permet de s’interroger sur les risques à traiter et de mobiliser le management autour de menaces réelles. Quels risques doivent être couverts, et lesquels sont acceptables ou évitables ? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent être envisagées ?  Ces éléments doivent être validés par le management.

Si les BIA ont généralement déjà été effectués dans les organisations,  la réflexion autour des risques est la nouveauté principale que peut apporter la norme dans la façon d’aborder les PCA.

Ceux-ci traitent aujourd’hui quelques catégories de sinistres majeurs (incendie, inondation, panne électrique, etc.), mais comment peuvent-ils être utilisés pour traiter de nouveaux risques ? Un exemple ? Les cyber-attaques doivent-elles être considérées dans le cadre d’un PCA ? Les synergies sont en effet nombreuses : processus de gestion de crise, communication… Mais c’est aussi un risque dont le traitement dépasse la problématique de la continuité.

BIA et analyse de risques sont donc des exercices d’argumentation des coûts qui doivent être vus également comme un axe d’optimisation des investissements ! Mais une fois ces investissements consentis par le Management, l’enjeu est d’en prouver l’efficacité…

En quoi fournit-elle des clés permettant d’inscrire les PCA dans la durée ?

Le cœur de la norme consiste à mettre en place un Système de Management de la Continuité d’Activité, le fameux SMCA. Il s’agit d’évaluer régulièrement les dispositifs en place pour les faire progresser au quotidien.

Il s’agit de répondre à la question « les processus sont-ils fonctionnels et sont-ils efficace ? ». La norme est bien explicite sur ce point, l’évaluation de la performance doit porter sur  « la pertinence, l’adéquation, et l’efficacité » des procédures du PCA.

Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d’ailleurs d’ores et déjà intégrée aux dispositifs mis en œuvre dans le cadre des PCA. Mais au-delà de l’analyse des exercices et des plans de tests, s’aligner à la norme nécessite de s’interroger sur les revues à conduire, d’analyser les incidents et d’évaluer la performance des solutions.

Ainsi la norme motive la mise en place des principes qui permettent d’argumenter, mais aussi de pérenniser les investissements réalisés autour des PCA, en cherchant une amélioration continue de son efficience.

L’investissement déclenché doit-il aller jusqu’à la certification ?

L’alignement peut aisément s’imposer comme une évidence pour tout  responsable des risques ou de continuité d’activité. En effet, il offre ainsi la garantie d’appliquer les bonnes pratiques internationales et par là même valide un certain niveau de qualité.

L’émergence de cette nouvelle norme ISO amène une reconnaissance internationale au SMCA et pourra ainsi susciter un intérêt pour la certification. Certifier un périmètre opportun peut être un élément différenciant sur le marché lorsque la continuité est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises à une réglementation, cette certification peut prouver de manière formelle la réponse aux obligations en vigueur.

Cet article Continuité d’activité : ISO 22301, une norme faite pour convaincre ? est apparu en premier sur RiskInsight.

En effet, la réflexion autour des systèmes de management de la continuité d’activité n’est pas récente : de nombreux guides nationaux sont apparus ces dernières années, notamment dans les pays les plus mûrs sur le sujet de la continuité.

Parmi ce foisonnement de publications, la BS 25999 (publiée en 2007) a pris un rôle de premier ordre. Or l’ISO 22301 partage de nombreux points communs avec cette norme, et notamment les notions relatives aux Systèmes de Management : amélioration continue, implication du management, pilotage par les risques et les enjeux Métiers, etc.

S’inscrire dans une démarche de progression continue

Il s’agit là d’un point-clé : inscrire le Plan de Continuité des Activités (PCA) dans un Système de Management, c’est entre autres réfléchir à sa politique de couverture de risque et aux moyens affectés au PCA, impliquer le management et délimiter un périmètre en s’assurant de son adéquation avec les enjeux Métiers ; et tout cela de façon récurrente, de façon à garantir in fine l’alignement du PCA avec les objectifs de l’organisation.

Le point de départ est donc la réalisation d’une analyse de risques et d’un Bilan d’Impact sur l’Activité (BIA). Si ce dernier point est fortement détaillé dans la BS 25999, allant jusqu’au cadrage des critères d’expression des besoins et assez largement répandu dans la pratique, l’analyse de risques est quant à elle plus rarement revue aujourd’hui. Or les dispositifs de secours ont vocation à couvrir des périmètres et des risques de plus en plus larges… mais surtout en permanente évolution : réaliser ou revoir l’analyse de risques qui supporte le PCA, c’est aussi apporter un regard critique sur son PCA.

Le contrôle, point clé de l’amélioration

Le deuxième point à souligner est celui du contrôle du PCA, afin d’en mesurer la pertinence et l’efficacité opérationnelle. À cet égard, la réalisation régulière de tests et exercices PCA est nécessaire mais pas suffisante, car sauf remise en question très régulière du scénario de test, la pertinence du PCA n’est pas analysée. Par ailleurs, force est de constater que la mobilisation des acteurs peut être difficile à maintenir dans le temps et que les tests peuvent  perdre leur statut de preuve du caractère opérationnel du PCA. En outre, la mise en place d’un processus de contrôle force à s’interroger sur les indicateurs de mesures d’efficacité du PCA, utiles notamment pour le reporting auprès du management, et sur la politique d’audit du PCA.

Sensibiliser pour ne pas oublier l’humain

Enfin, peu déployée mais pourtant d’une nécessité évidente, la sensibilisation des collaborateurs permet d’assurer que le PCA n’est pas qu’un plan « sur le papier », et que son exécution dans la « vraie vie » est crédible. En ciblant le management, elle s’assure de son sponsorship, et peut l’aider dans la prise de décision le moment venu. En touchant les acteurs au quotidien du PCA, elle peut être d’une réelle aide dans le maintien de leur implication. Et surtout, en ciblant les collaborateurs concernés lors du déclenchement des dispositifs, elle permet de renforcer le caractère opérationnel du PCA !

Au-delà de l’aspect médiatique, une évolution naturelle pour un sujet de plus en plus sensible

Le caractère international de l’ISO ne manquera pas de redonner un réel engouement pour le sujet, et lui permettre de s’inscrire dans la lignée de ses glorieux aînés concernant la qualité (ISO9001) et la sécurité de l’information (ISO27001). Un intérêt qui viendra accompagner la maturité croissante des PCA des organisations, qui ont ces dernières années lancé de nombreux projets de mise en place, en réponse aux menaces qui pèsent sur leurs activités et aux exigences de disponibilité de leurs métiers.

Mais le PCA est plus qu’un projet. Le principal enjeu, plus que de le mettre en place, est bien de le maintenir en conditions opérationnelles, et c’est sur ce point que la norme peut apporter : par l’inscription du PCA dans un processus récurrent, dans un cycle de vie calé sur l’évolution de l’organisation.

Sans oublier que cette norme sera certifiante : pour ceux souhaitant aller au-delà d’une simple utilisation de ces bonnes pratiques, la certification permet d’afficher l’existence et l’importance du PCA de manière externe, vis-à-vis de clients, de partenaires, voire d’autorités réglementaires… Autant de bonnes raisons pour adopter cette norme au plus tôt !

Cet article ISO 22301 : un nouvel élan pour la Continuité d’Activité ? est apparu en premier sur RiskInsight.