Continuité des activités - ISO 22301 quand tout va très mal

En même temps qu’ils commençaient à reconnaître l’intérêt de cette discipline pour atténuer les effets d’incidents perturbateurs sur la société, les gouvernements et les autorités de réglementation ont voulu pouvoir obtenir l’assurance que les principaux acteurs étaient dotés de dispositifs appropriés pour garantir la continuité des affaires. En parallèle, conscientes de leur interdépendance, les entreprises ont, elles aussi, voulu être sûres que leurs principaux fournisseurs et partenaires étaient en mesure de toujours pouvoir fournir les produits et services critiques, même en cas d’incidents.

Il fallait donc un élément de référence reconnu représentant les bonnes pratiques de GCA, et plusieurs pays, dont l’Australie, les États-Unis, le Royaume-Uni et Singapour, établirent des normes nationales traitant de cette question. La norme britannique BS 25999 avait, par exemple, pour objet d’aider à mettre en place un système de gestion de la continuité des activités, et était la première à pouvoir servir de référence à des fins de certification accréditée.

Quand les organisations actives au niveau international ont commencé à pousser à l’instauration d’une Norme internationale unique, le comité technique ISO/TC 223, Sécurité sociétale, a entrepris ses travaux sur la norme ISO 22301:2012, Sécurité sociétale – Gestion de la continuité des affaires – Exigences. Cette nouvelle norme, fruit d’un intérêt significatif au niveau mondial, est l’aboutissement de travaux menés en coopération et avec des contributions du monde entier.

Démontrer de bonnes pratiques

ISO 22301 est une norme de système de management pour la GCA qui peut être utilisée par des organisations de toutes tailles et de tous types. Une fois leur système de GCA en place, les organisations ont la possibilité de solliciter une certification accréditée de conformité à la norme pour prouver leur respect des bonnes pratiques de GCA aux instances législatives et réglementaires, aux clients potentiels et à d’autres parties intéressées. Au niveau de l’entreprise, la personne chargée de la GCA peut, grâce à ISO 22301, montrer à sa direction qu’une norme reconnue est bel et bien en place.

Du fait qu’ISO 22301 est utilisable à des fins de certification, les exigences qu’elle spécifie décrivent les éléments essentiels de la GCA de manière relativement brève et concise. Une norme d’orientation plus complète (ISO 22313) fournissant plus de détails pour chaque exigence d’ISO 22301 est en préparation.

ISO 22301 peut aussi servir de référence à l’entreprise pour évaluer sa situation par rapport aux bonnes pratiques, et aux auditeurs pour rendre leur rapport à la direction. L’intérêt de cette norme ne se limite pas, et de loin, à la simple obtention d’un certificat de conformité.

 

Un départ difficile

La genèse des travaux sur la norme ISO 22301 remonte à un atelier ISO sur «la préparation aux situations d’urgence» à Florence, en Italie, en 2006. À l’époque, les experts étaient nombreux à penser que leur propre norme nationale était celle qui convenait le mieux pour servir de base à une Norme internationale.

Dans le souci de faire avancer les choses, une réunion de tous les principaux acteurs fut organisée pour identifier les similitudes entre les normes. Le consensus ainsi réalisé donna lieu à la publication d’un document d’orientation, l’ISO/PAS 22399:2007, Sécurité sociétale – Lignes directrices pour être préparé à un incident et gestion de continuité opérationnelle.

Pour ISO 22301, c’était le grand nombre de documents nationaux sur le sujet qui constituait le problème sur lequel il avait été difficile de se mettre d’accord.

A ce stade, le comité était prêt à créer une norme de système de management avec des exigences spécifiées, utilisable à des fins de certification. Le texte des différentes normes nationales fut exploité pour rédiger le projet initial, qui a été progressivement mis en forme pour aboutir à un nouveau document réunissant les bonnes pratiques du monde entier. Différents pays dont l’Allemagne, l’Australie, les États-Unis, la France, le Japon, la République de Corée, le Royaume-Uni, Singapour, la Suède et la Thaïlande ont beaucoup contribué au document. De nombreux autres pays ont participé aux travaux, ce qui montre bien le caractère véritablement international de l’intérêt et de la collaboration autour de cette norme.

ISO 22301 sous la loupe

ISO 22301 est la deuxième norme de système de management à adopter la nouvelle structure de haut niveau et le texte normalisé convenu au sein de l’ISO. L’objectif est d’assurer la cohérence avec toutes les normes futures et révisées de ce type et de faciliter l’intégration avec différentes normes, par exemple, ISO 9001 (qualité), ISO 14001 (environnement) et ISO/CEI 27001 (sécurité de l’information).

La norme comporte dix articles avec, dans l’ordre, Domaine d’application, Références normatives, Termes et définitions, puis différentes exigences dont les suivantes :

• Article 4 – Contexte de l’organisation
  La première étape consiste à bien cerner l’organisation, ce dont elle a besoin en interne et à l’extérieur, et à établir des limites claires quant à la portée du système de management. En particulier, il importe que l’organisation sache bien quelles sont les exigences des parties intéressées pertinentes, des organismes de réglementation, des clients et du personnel. Elle doit aussi, et surtout, connaître les exigences juridiques et réglementaires applicables. Elle pourra ainsi déterminer la portée du système de gestion de la continuité des affaires (SGCA).
• Article 5 – Leadership
  ISO 22301 insiste tout particulièrement sur la nécessité d’un leadership approprié du SGCA. La direction doit faire en sorte que les ressources adéquates soient mises à disposition, elle établit les politiques et désigne les personnes chargées de mettre en œuvre et de maintenir le SGCA.
• Article 6 – Planification
  L’organisation doit identifier les risques associés à la mise en œuvre du système de management et fixer des objectifs et des critères clairs qui peuvent être utilisés pour mesurer sa réussite.
• Article 7 – Soutien
  Étant donné que la mise en œuvre nécessite des ressources, ici intervient la notion importante de compétence. Pour assurer la continuité des activités, il faut avoir en place des personnes dotées des connaissances, des compétences et de l’expérience requises pour contribuer au SGCA et intervenir lorsque des incidents se produisent. Il est également important que chacun sache bien le rôle qu’il doit jouer dans la réponse opérationnelle. Cet article traite de tous ces aspects ainsi que de la question des informations à communiquer sur le SGCA – par exemple, les clients doivent être informés que l’organisation a mis en place un SGCA en bonne et due forme – et du mode de communication prévu en cas d’incident (car les canaux de communication normaux peuvent être perturbés).
• Article 8 – Activités
  Il s’agit du corps principal des compétences spécifiques en matière de continuité des activités. L’organisation doit procéder à une analyse d’impact sur ses activités pour comprendre les répercussions des perturbations et l’évolution sur la durée. L’évaluation des risques pour l’entreprise est à opérer d’une manière structurée et il faut en tenir compte dans l’établissement d’une stratégie de continuité des activités. Parallèlement aux mesures de prévention ou de limitation de la probabilité d’incidents, il convient de développer des mesures à prendre en cas d’incident. Comme il est impossible de prévoir et de prévenir tous les incidents, l’approche de réduction des risques et de planification pour toutes les éventualités est complémentaire. En l’occurrence, il faut pouvoir espérer le meilleur, tout en ayant prévu le pire. ISO 22301 met l’accent sur la nécessité d’une structure bien définie de réponse aux incidents. Ainsi, en cas d’incident, les interventions sont déclenchées au bon moment et chacun se sait habilité à prendre les mesures d’urgences nécessaires. La sécurité des personnes est un aspect fondamental et l’organisation doit communiquer avec des parties à l’extérieur qui peuvent être mises en danger, par exemple, si un incident présente un risque toxique ou explosif pour ceux qui habitent à proximité. Les exigences relatives aux plans de continuité des activités sont aussi définies à l’article 8. A cet égard, des documents faciles à comprendre sont plus adaptés que les grands dossiers prévus pour les auditeurs. Il sera certainement plus utile de disposer de plusieurs petits plans plutôt que d’un seul grand plan.

Une exigence qui n’a pas été abordée jusqu’ici dans les normes relatives à la continuité des activités est la nécessité de planifier le retour à l’activité normale. Cette simple exigence implique un travail de réflexion approfondi, car les organisations doivent définir ce qu’il faut faire une fois que les opérations d’urgence sont terminées.

Le dernier paragraphe de l’article 8 concerne les exercices pratiques et les essais, un élément clé de la GCA. Les essais permettent de vérifier concrètement les éléments du dispositif de continuité qui fonctionnent (essai réussi) et ceux qui ne fonctionnent pas (échec). Par exemple, on peut mettre en marche le générateur de secours pour vérifier qu’il fonctionne. Un exercice pratique peut comporter des essais, mais c’est en général une démarche qui vise à simuler certains aspects de la réponse opérationnelle. L’exercice implique généralement un travail préalable de formation et de sensibilisation sur la façon de gérer les incidents perturbateurs dans un contexte difficile et inhabituel, et dans le même temps de vérifier si les processus fonctionnent, comme prévu.

Les exercices et les essais sont fondamentaux dans la norme ISO 22301 : ce n’est que grâce à des exercices structurés – conçus pour préparer les individus et les équipes impliquées – qu’une organisation peut obtenir une assurance objective que son dispositif fonctionnera comme prévu au moment voulu.

• Article 9 – Évaluation
  Pour tout système de gestion, il est essentiel d’évaluer la performance par rapport au plan. ISO 22301 exige donc que l’organisation choisisse les paramètres de mesure par rapport auxquels elle évaluera la performance appropriée. Des audits internes doivent être effectués et la direction doit examiner le SGCA et agir en conséquence.
• Article 10 – Amélioration
  Aucun système de gestion n’est parfait d’emblée et, de surcroît, les organisations et leurs environnements évoluent constamment. L’article 10 définit les actions à entreprendre pour améliorer le SGCA au fil du temps et pour veiller à ce que les mesures correctives mises en évidence par les audits, revues, exercices, etc. soient bien réalisées.

Mise en œuvre réussie

Pour une bonne application d’ISO 22301, les organisations doivent en avoir bien compris les exigences. Chaque ligne et chaque mot a son importance et l’importance relative d’un sujet n’est pas nécessairement proportionnelle au nombre de mots qui lui sont consacrés. La GCA, n’est pas un projet ou un simple «plan» à mettre en place, c’est un processus de gestion continu faisant appel à des personnes compétentes travaillant avec un soutien approprié et des structures adéquates qui se mettra en œuvre quand il le faudra.