La norme ISO 22301 \u00ab\u00a0S\u00e9curit\u00e9 soci\u00e9tale – \u00c9tat de pr\u00e9paration et syst\u00e8mes de gestion de la continuit\u00e9 – Exigences\u00a0\u00bb a \u00e9t\u00e9 publi\u00e9e le 5 juin 2012. Elle \u00e9tait tr\u00e8s attendue par les responsables de continuit\u00e9 d\u2019activit\u00e9s et les risk managers.<\/p>\n
Il existe d\u00e9j\u00e0 de nombreux standards \u00e9dit\u00e9s par des organismes nationaux sur le sujet de la continuit\u00e9 (BPZ 74\/700 de l\u2019AFNOR en France, NFPA 1600 aux \u00c9tats-Unis, etc.), mais l\u2019ISO22301 est le nouveau \u2013 et seul \u2013 standard international en la mati\u00e8re. S\u2019aligner sur ses recommandations, c\u2019est inscrire les Plans de Continuit\u00e9 d\u2019Activit\u00e9s (PCA) dans un v\u00e9ritable cycle de vie et r\u00e9ussir, au-del\u00e0 de l\u2019avancement des actions relatives \u00e0 sa construction, son maintien en conditions op\u00e9rationnelles !<\/p>\n
La norme met en lumi\u00e8re les bonnes pratiques des PCA mais surtout elle les rend coh\u00e9rentes les unes par rapport aux autres et elle les l\u00e9gitime gr\u00e2ce \u00e0 son cot\u00e9 international.<\/p>\n
Par exemple, l\u2019un des points structurants de la norme est de saisir les besoins de l\u2019organisation par la conduite d\u2019un Bilan d\u2019Impacts sur Activit\u00e9 ou Business Impact Analysis<\/em> (BIA). Cette \u00e9tape consiste en l\u2019identification des activit\u00e9s cl\u00e9s, l\u2019analyse de l\u2019impact d\u2019une indisponibilit\u00e9, et donc la priorisation des efforts \u00e0\u00a0 mener pour se focaliser sur les v\u00e9ritables enjeux, ceux d\u00e9finis par le Top Management.<\/p>\n Par ailleurs, l\u2019analyse de risques, telle que requise par le standard, permet de s\u2019interroger sur les risques \u00e0 traiter et de mobiliser le management autour de menaces r\u00e9elles. Quels risques doivent \u00eatre couverts, et lesquels sont acceptables ou \u00e9vitables\u00a0? Quels sont les dispositifs existants, et quelles mutualisations de solutions peuvent \u00eatre envisag\u00e9es\u00a0?\u00a0 Ces \u00e9l\u00e9ments doivent \u00eatre valid\u00e9s par le management.<\/p>\n Si les BIA ont g\u00e9n\u00e9ralement d\u00e9j\u00e0 \u00e9t\u00e9 effectu\u00e9s dans les organisations,\u00a0 la r\u00e9flexion autour des risques est la nouveaut\u00e9 principale que peut apporter la norme dans la fa\u00e7on d\u2019aborder les PCA.<\/p>\n Ceux-ci traitent aujourd\u2019hui quelques cat\u00e9gories de sinistres majeurs (incendie, inondation, panne \u00e9lectrique, etc.), mais comment peuvent-ils \u00eatre utilis\u00e9s pour traiter de nouveaux risques\u00a0? Un exemple\u00a0? Les cyber-attaques doivent-elles \u00eatre consid\u00e9r\u00e9es dans le cadre d\u2019un PCA\u00a0? Les synergies sont en effet nombreuses\u00a0: processus de gestion de crise, communication… Mais c\u2019est aussi un risque dont le traitement d\u00e9passe la probl\u00e9matique de la continuit\u00e9.<\/p>\n BIA et analyse de risques sont donc des exercices d\u2019argumentation des co\u00fbts qui doivent \u00eatre vus \u00e9galement comme un axe d\u2019optimisation des investissements\u00a0! Mais une fois ces investissements consentis par le Management, l\u2019enjeu est d\u2019en prouver l\u2019efficacit\u00e9\u2026<\/p>\n Le c\u0153ur de la norme consiste \u00e0 mettre en place un Syst\u00e8me de Management de la Continuit\u00e9 d\u2019Activit\u00e9, le fameux SMCA. Il s\u2019agit d\u2019\u00e9valuer r\u00e9guli\u00e8rement les dispositifs en place pour les faire progresser au quotidien.<\/p>\n Il s\u2019agit de r\u00e9pondre \u00e0 la question \u00ab\u00a0les processus sont-ils fonctionnels et sont-ils efficace\u00a0?\u00a0\u00bb. La norme est bien explicite sur ce point, l\u2019\u00e9valuation de la performance doit porter sur\u00a0 \u00ab\u00a0la pertinence, l\u2019ad\u00e9quation, et l\u2019efficacit\u00e9\u00a0\u00bb des proc\u00e9dures du PCA.<\/p>\n Un des axes de mesures est la conduite des tests et exercices. Cette bonne pratique est d\u2019ailleurs d\u2019ores et d\u00e9j\u00e0 int\u00e9gr\u00e9e aux dispositifs mis en \u0153uvre dans le cadre des PCA. Mais au-del\u00e0 de l\u2019analyse des exercices et des plans de tests, s\u2019aligner \u00e0 la norme n\u00e9cessite de s\u2019interroger sur les revues \u00e0 conduire, d\u2019analyser les incidents et d\u2019\u00e9valuer la performance des solutions.<\/p>\n Ainsi la norme motive la mise en place des principes qui permettent d\u2019argumenter, mais aussi de p\u00e9renniser les investissements r\u00e9alis\u00e9s autour des PCA, en cherchant une am\u00e9lioration continue de son efficience.<\/p>\n L\u2019alignement peut ais\u00e9ment s\u2019imposer comme une \u00e9vidence pour tout\u00a0 responsable des risques ou de continuit\u00e9 d\u2019activit\u00e9. En effet, il offre ainsi la garantie d\u2019appliquer les bonnes pratiques internationales et par l\u00e0 m\u00eame valide un certain niveau de qualit\u00e9.<\/p>\n L\u2019\u00e9mergence de cette nouvelle norme ISO am\u00e8ne une reconnaissance internationale au SMCA et pourra ainsi susciter un int\u00e9r\u00eat pour la certification. Certifier un p\u00e9rim\u00e8tre opportun peut \u00eatre un \u00e9l\u00e9ment diff\u00e9renciant sur le march\u00e9 lorsque la continuit\u00e9 est un argument marketing fort tel que pour les fournisseurs de services IT. Et pour les organisations soumises \u00e0 une r\u00e9glementation, cette certification peut prouver de mani\u00e8re formelle la r\u00e9ponse aux obligations en vigueur.<\/p>\n","protected":false},"excerpt":{"rendered":" La norme ISO 22301 \u00ab\u00a0S\u00e9curit\u00e9 soci\u00e9tale – \u00c9tat de pr\u00e9paration et syst\u00e8mes de gestion de la continuit\u00e9 – Exigences\u00a0\u00bb a \u00e9t\u00e9 publi\u00e9e le 5 juin 2012. Elle \u00e9tait tr\u00e8s attendue par les responsables de continuit\u00e9 d\u2019activit\u00e9s et les risk managers….<\/p>\n","protected":false},"author":18,"featured_media":6344,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3222,36],"tags":[391,133,66,131,3304],"coauthors":[796],"class_list":["post-1992","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyberrisk-management-strategy","category-cybersecurity-digital-trust","tag-continuite-dactivite","tag-iso-22301","tag-norme","tag-pca","tag-risk-management-strategy-governance"],"acf":[],"yoast_head":"\nEn quoi fournit-elle des cl\u00e9s permettant d\u2019inscrire les PCA dans la dur\u00e9e\u00a0?<\/h2>\n
L\u2019investissement d\u00e9clench\u00e9 doit-il aller jusqu\u2019\u00e0 la certification\u00a0?<\/h2>\n