La publication de la norme ISO 22301 \u2013 \u00ab\u00a0S\u00e9curit\u00e9 soci\u00e9tale – \u00c9tat de pr\u00e9paration et syst\u00e8mes de gestion de la continuit\u00e9 – Exigences\u00a0\u00bb \u2013 est attendue dans les prochains mois. En institutionnalisant au niveau international de bonnes pratiques d\u00e9j\u00e0 souvent formalis\u00e9es localement, elle devrait favoriser le franchissement d\u2019un nouveau cap dans la maturit\u00e9 \u00a0des organisations sur le sujet.<\/p>\n
En effet, la r\u00e9flexion autour des syst\u00e8mes de management de la continuit\u00e9 d\u2019activit\u00e9 n\u2019est pas r\u00e9cente\u00a0: de nombreux guides nationaux sont apparus ces derni\u00e8res ann\u00e9es, notamment dans les pays les plus m\u00fbrs sur le sujet de la continuit\u00e9.<\/p>\n
Parmi ce foisonnement de publications, la BS 25999 (publi\u00e9e en 2007) a pris un r\u00f4le de premier ordre. Or l\u2019ISO 22301 partage de nombreux points communs avec cette norme, et notamment les notions relatives aux Syst\u00e8mes de Management\u00a0: am\u00e9lioration continue, implication du management, pilotage par les risques et les enjeux M\u00e9tiers, etc.<\/p>\n
Il s\u2019agit l\u00e0 d\u2019un point-cl\u00e9\u00a0: inscrire le Plan de Continuit\u00e9 des Activit\u00e9s (PCA) dans un Syst\u00e8me de Management, c\u2019est entre autres r\u00e9fl\u00e9chir \u00e0 sa politique de couverture de risque et aux moyens affect\u00e9s au PCA, impliquer le management et d\u00e9limiter un p\u00e9rim\u00e8tre en s\u2019assurant de son ad\u00e9quation avec les enjeux M\u00e9tiers\u00a0; et tout cela de fa\u00e7on r\u00e9currente, de fa\u00e7on \u00e0 garantir in fine<\/em> l\u2019alignement du PCA avec les objectifs de l\u2019organisation.<\/p>\n Le point de d\u00e9part est donc la r\u00e9alisation d\u2019une analyse de risques et d\u2019un Bilan d\u2019Impact sur l\u2019Activit\u00e9 (BIA). Si ce dernier point est fortement d\u00e9taill\u00e9 dans la BS 25999, allant jusqu’au cadrage des crit\u00e8res d\u2019expression des besoins et assez largement r\u00e9pandu dans la pratique, l\u2019analyse de risques est quant \u00e0 elle plus rarement revue aujourd\u2019hui. Or les dispositifs de secours ont vocation \u00e0 couvrir des p\u00e9rim\u00e8tres et des risques de plus en plus larges\u2026 mais surtout en permanente \u00e9volution\u00a0: r\u00e9aliser ou revoir l\u2019analyse de risques qui supporte le PCA, c\u2019est aussi apporter un regard critique sur son PCA.<\/p>\n Le deuxi\u00e8me point \u00e0 souligner est celui du contr\u00f4le du PCA, afin d\u2019en mesurer la pertinence et l\u2019efficacit\u00e9 op\u00e9rationnelle. \u00c0 cet \u00e9gard, la r\u00e9alisation r\u00e9guli\u00e8re de tests et exercices PCA est n\u00e9cessaire mais pas suffisante, car sauf remise en question tr\u00e8s r\u00e9guli\u00e8re du sc\u00e9nario de test, la pertinence du PCA n\u2019est pas analys\u00e9e. Par ailleurs, force est de constater que la mobilisation des acteurs peut \u00eatre difficile \u00e0 maintenir dans le temps et que les tests peuvent\u00a0 perdre leur statut de preuve du caract\u00e8re op\u00e9rationnel du PCA. En outre, la mise en place d\u2019un processus de contr\u00f4le force \u00e0 s\u2019interroger sur les indicateurs de mesures d\u2019efficacit\u00e9 du PCA, utiles notamment pour le reporting aupr\u00e8s du management, et sur la politique d\u2019audit du PCA.<\/p>\n Enfin, peu d\u00e9ploy\u00e9e mais pourtant d\u2019une n\u00e9cessit\u00e9 \u00e9vidente, la sensibilisation des collaborateurs permet d\u2019assurer que le PCA n\u2019est pas qu\u2019un plan \u00ab\u00a0sur le papier\u00a0\u00bb, et que son ex\u00e9cution dans la \u00ab\u00a0vraie vie\u00a0\u00bb est cr\u00e9dible. En ciblant le management, elle s\u2019assure de son sponsorship<\/em>, et peut l\u2019aider dans la prise de d\u00e9cision le moment venu. En touchant les acteurs au quotidien du PCA, elle peut \u00eatre d\u2019une r\u00e9elle aide dans le maintien de leur implication. Et surtout, en ciblant les collaborateurs concern\u00e9s lors du d\u00e9clenchement des dispositifs, elle permet de renforcer le caract\u00e8re op\u00e9rationnel du PCA\u00a0!<\/p>\n Le caract\u00e8re international de l\u2019ISO ne manquera pas de redonner un r\u00e9el engouement pour le sujet, et lui permettre de s\u2019inscrire dans la lign\u00e9e de ses glorieux a\u00een\u00e9s concernant la qualit\u00e9 (ISO9001) et la s\u00e9curit\u00e9 de l\u2019information (ISO27001). Un int\u00e9r\u00eat qui viendra accompagner la maturit\u00e9 croissante des PCA des organisations, qui ont ces derni\u00e8res ann\u00e9es lanc\u00e9 de nombreux projets de mise en place, en r\u00e9ponse aux menaces qui p\u00e8sent sur leurs activit\u00e9s et aux exigences de disponibilit\u00e9 de leurs m\u00e9tiers.<\/p>\n Mais le PCA est plus qu\u2019un projet. Le principal enjeu, plus que de le mettre en place, est bien de le maintenir en conditions op\u00e9rationnelles, et c\u2019est sur ce point que la norme peut apporter\u00a0: par l\u2019inscription du PCA dans un processus r\u00e9current, dans un cycle de vie cal\u00e9 sur l\u2019\u00e9volution de l\u2019organisation.<\/p>\n Sans oublier que cette norme sera certifiante\u00a0: pour ceux souhaitant aller au-del\u00e0 d\u2019une simple utilisation de ces bonnes pratiques, la certification permet d\u2019afficher l\u2019existence et l\u2019importance du PCA de mani\u00e8re externe, vis-\u00e0-vis de clients, de partenaires, voire d\u2019autorit\u00e9s r\u00e9glementaires\u2026 Autant de bonnes raisons pour adopter cette norme au plus t\u00f4t\u00a0!<\/p>\n","protected":false},"excerpt":{"rendered":" La publication de la norme ISO 22301 \u2013 \u00ab\u00a0S\u00e9curit\u00e9 soci\u00e9tale – \u00c9tat de pr\u00e9paration et syst\u00e8mes de gestion de la continuit\u00e9 – Exigences\u00a0\u00bb \u2013 est attendue dans les prochains mois. En institutionnalisant au niveau international de bonnes pratiques d\u00e9j\u00e0 souvent…<\/p>\n","protected":false},"author":18,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3222,36],"tags":[391,133,134,136,132,131,3304],"coauthors":[796],"class_list":["post-627","post","type-post","status-publish","format-standard","hentry","category-cyberrisk-management-strategy","category-cybersecurity-digital-trust","tag-continuite-dactivite","tag-iso-22301","tag-iso-25999","tag-mco","tag-norme-iso","tag-pca","tag-risk-management-strategy-governance"],"acf":[],"yoast_head":"\nLe contr\u00f4le, point cl\u00e9 de l\u2019am\u00e9lioration<\/h2>\n
Sensibiliser pour ne pas oublier l\u2019humain<\/h2>\n
Au-del\u00e0 de l\u2019aspect m\u00e9diatique, une \u00e9volution naturelle pour un sujet de plus en plus sensible<\/h2>\n