Une relation de longue date avec l’ISO 27001

L’évolution de l’ISO 27001:2005 vers l’ISO 27001:2013 a changé le regard de la continuité d’activité dans les Systèmes de Management de la Sécurité de l’information. Alors que dans sa version précédente (2005), l’ISO 27001 évoquait la mise en place d’un PCA pour l’ensemble de l’organisation, la version actuelle (2013) ne parle de continuité d’activité uniquement pour les activités liées à la sécurité de l’information. La nuance est très importante et souvent mal interprétée ; il n’est donc plus question dans un Système de Management de la Sécurité de l’Information d’implémenter un PCA pour l’ensemble de l’organisation (il est toutefois compliqué de prévoir la continuité des activités sécurité en l’absence de PCA global…). Désormais, c’est bien l’ISO 22301 qui porte le sujet de la continuité dans les normes ISO existantes.

Construite exactement sur la même structure que l’ISO 27001, l’ISO 22301 préconise une démarche similaire : approche par processus, cycle de vie « Plan » « Do » « Check » « Act » (PDCA), implication du top management etc. mais elles portent également les mêmes travers ; les deux normes décrivent « ce qu’il faut faire » sans dire « comment il faut le faire ».

Une norme ISO 22301 qui ne se suffit pas à elle seule…

Contrairement à l’ISO 27001 qui possède une annexe apportant des recommandations concrètes sur la mise en place, l’ISO 22301 ne dispose pas de guide permettant de s’appuyer sur un socle solide « de fond » permettant de guider la définition et la mise en place des chantiers autour du Plan de Continuité d’Activité. Toutefois, on peut mentionner l’ISO 22313 : « Business Continuity Management System – Guidance ». Cette norme qui se veut être un guide soutenant l’ISO 22301 reste cependant assez haut niveau et n’apporte que peu de réponses méthodologiques concrètes.

Il ne faut donc pas appréhender l’ISO 22301 avec pour objectif d’y trouver des réponses sur l’implémentation de son Plan de Continuité d’Activité, mais bien pour y trouver des réponses quant à son pilotage. La norme va plutôt s’adresser à ceux qui ont déjà trouvé des réponses sur le fond de l’implémentation de leur Plan de Continuité d’Activité.

…mais qui possède une véritable force

Le problème récurrent des Plans de Continuité d’Activité réside dans leur maintien à jour dans le temps. Souvent construit en mode projet, ils deviennent vite obsolètes une fois en phase de run, faute de maintien à jour. Le projet se lance dans une période où il est considéré comme prioritaire (survenance d’un incident majeur, prise de conscience de la direction des risques encourus…). Avec le temps, la priorité bascule vers un autre projet au détriment du PCA, sur lequel il est difficile de mesurer les bénéfices ; l’éternel débat du « tant que ça n’arrive pas… ».

La force de la norme réside dans la construction d’un SMCA avec pour pilier central l’amélioration continue : le PCA doit s’inscrire dans le quotidien des activités qu’elles soient SI ou métiers. Intégrer dans les tâches de tous les jours, le PCA n’est alors plus perçu comme un projet à part. Par ailleurs, mettre en place une organisation dédiée au PCA peut s’avérer complexe et particulièrement lourd. Le sujet du PCA doit s’inviter aux différentes instances existantes (comités sécurité, revue de direction qualité / sécurité, comité d’architecture…) : Le PCA n’est plus un sujet à traiter à part, il doit faire partie de tous les sujets.

Pour que ce principe soit vrai, l’implication du top management est indispensable pour légitimer les actions entreprises et être garant du planning PDCA : Le rythme des exercices, les revues de direction, les campagnes de sensibilisation sont autant de rendez-vous qui vont contribuer au Maintien en Condition Opérationnelle du PCA. L’intérêt de la norme est ici la formalisation de toutes ces pratiques de maintien en condition opérationnelle dès la phase projet. Formaliser en amont ces pratiques vont permettre d’être applicables avant même la fin de la phase projet. Les chances de survies du PCA vont donc être augmentées de par l’absence de discontinuité entre la phase projet et la phase de run.

Doit-on aller jusqu’à la certification de son SMCA ?

Au-delà de son rôle de référence en matière de bonnes pratiques, la norme peut conduire jusqu’à une certification du Système de Management de la Continuité d’Activité. Aujourd’hui, l’intérêt d’aller jusqu’à la certification ne concerne pas tous les acteurs du marché. Les premiers intéressés vont être ceux dont le métier est celui-là même de la continuité, c’est-à-dire par exemple les hébergeurs de services informatiques ; afficher sa capacité de résilience aux sinistres majeurs à travers un label mondialement reconnu constitue un élément différenciateur indéniable. Souvent déjà certifiés sur d’autres Système de Management (qualité, sécurité) et adoptant déjà des bonnes pratiques en matière de continuité d’activité, la marche à franchir jusqu’à la certification n’est pas nécessairement haute. C’est le cas par exemple de « TelecityGroupe », fournisseur de DataCenter qui a obtenu sa certification ISO 22301 sur ses activités d’hébergement en France, ou encore « Melbourne », société Britannique d’hébergement cloud.

Outre les aspects de disponibilité et redondance des systèmes, la disponibilité des données est également un enjeu porté directement par les PCA. Les acteurs dont le métier est la sauvegarde de la donnée vont également trouver un intérêt à implémenter l’ISO 22301 dans un objectif de certification. C’est le cas par exemple de « Wanbishi Archives », société Japonaise spécialisée dans la gestion de l’information, certifiée ISO 22301.

Mais les sociétés sont encore peu nombreuses à viser la certification, celle-ci ne représentant pas aujourd’hui un élément déterminant de leur stratégie. Reste à savoir si les années à venir rendront l’ISO 22301 aussi incontournable que l’ISO 27001.

En synthèse : être mature et en tirer un réel bénéfice économique

La certification ISO 22301 s’adresse à des contextes matures dans la gestion de leur continuité d’activité, pourvu d’un management convaincu du bien-fondé de la démarche de certification et doté d’un intérêt économique certain légitimant le projet. Si la marche à franchir entre les pratiques actuelles et la certification est grande, alors mieux vaut ne pas se lancer dans un projet de certification. Là où les projets SMSI peuvent viser la certification en partant de zéro, les projets de continuité nécessitent une première maturité opérationnelle. La course à la certification ISO 22301 est encore loin d’être engagée mais l’intérêt d’y prendre part commence à se faire sentir. Les « fournisseurs de disponibilité » sont en train d’ouvrir la marche, la vie de l’ISO 22301 ne fait que commencer.

Cet article Continuité d’Activité : faut-il se doter d’un label reconnu ? est apparu en premier sur RiskInsight.

Comment intégrer une vision plus « positive » du risque au sein de la cartographie ?

Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l’entreprise. Dès lors, on doit attendre de la cartographie qu’elle accompagne cette prise de risques.
Prenons l’exemple d’une entreprise qui souhaite se développer sur un nouveau marché. Cette stratégie pourrait notamment s’appuyer sur l’acquisition d’une société disposant d’expertises sur ce marché. On pourrait raisonnablement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu ? La valeur d’acquisition sera-t-elle bien évaluée ? Son intégration dans la culture de l’entreprise sera-t-elle facile ?… À ne considérer que les risques, la cartographie pourrait inciter à ne pas se lancer dans une telle démarche d’acquisition qui est pourtant ici nécessaire au développement de l’entreprise.
La bonne réponse passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d’être gérés mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartographie deviendra alors un vrai outil d’aide à la décision permettant d’équilibrer la prise de risques.

Une vision très dépendante d’un contexte évoluant très rapidement

La perception et la qualification d’un scénario en tant que risque pour l’entreprise dépend des objectifs et du contexte (économique, financier, social,…) de celle-ci. Une bonne conjoncture économique, une trésorerie avantageuse, un contrôle interne efficace,…peuvent être à l’origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l’entreprise pourraient être faibles.
Prenons, par exemple, la situation d’une entreprise disposant d’une forte trésorerie, qui l’inciterait peu à chercher des opportunités d’optimisation de celle-ci. Au sein de la cartographie, le risque de manque d’optimisation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l’argent immobilisé constituera un risque nettement plus conséquent (endettement, pénalités financières, baisse du chiffre d’affaire…) pour l’atteinte des objectifs de l’entreprise.

Adopter une approche globale des risques en intégrant les points de vulnérabilités à traiter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adapter cette dernière aux évolutions rapides du contexte de l’entreprise.

Cet article Gestion des risques : comment équilibrer opportunités de développement et risques ? est apparu en premier sur RiskInsight.