OUTILS CONTINUIT DACTIVIT

La norme ISO 22301,

pour aller mieux quand tout va mal

Publie en juin2012, la norme internationale ISO 22301, Scurit socitale
Systmes de management de la continuit dactivit Exigences, devrait permettre toute
organisation, quelle que soit sa taille ou son secteur dactivit, de structurer sa rsilience face aux
vnements non souhaits.

Alehdats/Fotolia.com

Les systmes
dinformation
sont une nouvelle
vulnrabilit
des organisations.
Aprs une crise,
il faut assurer
la continuit
des flux.

a multiplication et la complexit des crises, lvolution

permanente des organisations,
laugmentation et la globalisation des
changes, les dpendances croissantes
aux technologies contribuent crer
des environnements de plus en plus
instables pouvant mettre en difficult
les organisations publiques et prives.
Face ces ralits, lISO a ouvert un
nouveau comit technique traitant
de la scurit socitale, cest--dire la
scurit en gnral dans la socit, le
TC 223. Ce dernier a dvelopp un

34

FACE AU RISQUE n 494 juin-juillet 2013

recueil de normes dont le porte-drapeau est la norme ISO 22301. Cette

nouvelle norme internationale sur
les Systmes de management de la
continuit dactivit (SMCA) a t
publie en juin2012.
La continuit des activits prpare
les organisations ragir face une
crise majeure et prserver leurs
activits coeur de leur mtier en cas
de survenance. La continuit est
un outil stratgique de gestion des
risques qui contribue la rsilience
(capacit rebondir la suite dune

crise) des organisations et plus largement la scurit socitale.

Jusque-l, les rfrentiels normatifs
ou de bonnes pratiques en continuit des activits reposaient souvent sur la BS 25999 Requirements
for Business Continuity Management
System et sur les guides de bonnes
pratiques publis par des organismes
spcialiss tels le DRII et la NFPA
amricains et le BCI britannique.
La continuit des activits doit
mobiliser lensemble des acteurs
mtiers et fonctions supports (im-

mobilier, moyens gnraux, DSI,

RH, communication, juridique, etc),
et tous les niveaux de lorganisation,
dcisionnels et oprationnels. Elle
implique galement les parties prenantes, tels que les actionnaires, autorits de tutelle, partenaires, fournisseurs, prestataires et clients.
En France, la continuit des activits
reste souvent axe sur les ressources
supports, particulirement le systme dinformation. Dans les pays de
culture anglo-saxonne, de nombreuses
organisations ont intgr la continuit
leur programme de gestion des
risques, synonyme de maturit.

La continuit des activits

peut devenir un avantage
concurrentiel
Selon plusieurs tudes, dont celles
du Gartner et de Marsh, les principales difficults rencontres pour
dvelopper la continuit des activits au sein des organisations sont
un manque de comprhension, des
difficults prioriser, ou encore des
carts entre ressources alloues et
ressources ncessaires.
Les leviers ou facteurs moteurs
pour y remdier restent les bonnes
pratiques, les retours dexpriences
et la conformit rglementaire. La
continuit est cependant de plus en
plus considre comme un avantage
concurrentiel et lISO 22301 intervient alors que les organisations
commencent percevoir que leur
business peut tre amlior grce
la continuit.
La norme permet aux organisations
davoir une dmarche structure et
reconnue, elle fournit un cadre de
rfrence en matire de SMCA et
spcifie formellement un ensemble
dexigences. Celles-ci portent sur
la conception, le dveloppement,
la mise en uvre et le maintien en
conditions oprationnelles dans une
logique damlioration continue
(cycle PDCA). Comme toute norme
de systme de management, lISO
22301 est auditable et peut aboutir
lobtention dune certification.
Ses exigences sont gnriques et
sadressent toutes les organisations
(ou parties de celles-ci), indpen-

damment de leur type, de leur taille

ou de leur nature.
Elles sont traites dans les chapitres
4 10 de la norme. Le chapitre 8
Oprations traite des processus
spcifiques la continuit des activits tels que lanalyse des impacts
mtier (BIA), lapprciation des
risques, la dfinition des stratgies
de continuit, le dveloppement et
la mise en uvre des rponses et
plans, ainsi que la conduite de tests
et exercices. Les autres chapitres
reprennent les exigences relatives au
systme de management semblables

Atmospheric/Fotolia.com

La continuit des activits doit mobiliser

lensemble des acteurs mtiers
mais galement les fonctions supports.

UNE NORME ET DES GUIDES

LISO 22301 est une norme de systme de management qui spcifie des exigences,
mais ne prcise pas la manire dont on doit sorganiser. Des guides pratiques la compltent:
> ISO 22300 qui spcifie le vocabulaire de la continuit dactivit.
> ISO 22313, guide de mise en uvre dun SMCA conforme la 22301. Il suit les mmes chapitres
et en prcise les exigences, avec des complments oprationnels intressants. Nanmoins,
il demeure largement insuffisant pour mettre en uvre un SMCA, ne permet pas une mise
en uvre squentielle de la norme, ni de distinguer les actions projet et rcurrentes,
les processus composant le SMCA ncessitent dtre dfinis selon lorganisation, etc.
> ISO 27031, guide de mise en uvre de la Prparation des technologies de linformation
et de communication la continuit dactivit (PTCA), composante du SMCA, assimilable au Plan
de secours informatique (PSI). Il contient des recommandations en matire dorganisation,
de processus, de ressources et moyens de secours ncessaires pour satisfaire aux exigences
de continuit mtiers et garantir un niveau de rsilience des infrastructures et systmes
dinformation rpondant aux stratgies retenues. Publie en 2011, la 27031 sintgre trs bien
dans chacun des processus du SMCA, notamment en partant du principe quune analyse
dimpact (BIA) doit tre ralise en amont et que la gestion des incidents perturbateurs se dcline
lchelle de linformatique. Une mise jour demeure nanmoins indispensable tant
son vocabulaire peut paratre abscons (PTCA/IRBC) ou incohrent avec les autres normes ISO
en vigueur (ISO 22301, ISO 31000 et 27005).
> ISO 31000, lignes directrices pour le management du risque. Lapprciation des risques
est prsente dans la norme ISO 22301 comme une composante indispensable, au mme titre
que le BIA, pour la dfinition des stratgies de continuit dactivit. Cette tape, bien souvent
nglige en continuit dactivit, impose un arbitrage des incidents perturbateurs par
une dmarche structure. LISO 31000 donne le cadre gnrique de toute mthode de gestion
des risques. Elle permet duniformiser le vocabulaire et les activits en management du risque
favorisant ainsi lharmonisation et la comparaison entre les secteurs dactivits et les techniques
dapprciation des risques. Volontairement imprcise, elle laisse chacun la libert de sappuyer
sur les mthodes respectant un cadre gnrique fix, comme par exemple lISO 27005.
Seule, elle est inefficace pour la ralisation concrte dune apprciation des risques: absence
de base de connaissance, imprcisions sur les composantes dun risque, etc.

FACE AU RISQUE n 494 juin-juillet 2013

35

Gilles Rolle/REA

OUTILS CONTINUIT DACTIVIT

Anticiper linattendu et faire face aux perturbations des oprations.

AVANTAGES DUN SMCA

CONFORME LISO 22301
Les bnfices apports par la mise en place dun
Systme de management de la continuit dactivit
selon lISO 22301 sont nombreux:
> une comprhension amliore du mtier et des
fonctions supports de lorganisation (obtenue durant le
BIA et lapprciation des risques);
> la protection des actifs physiques et informationnels
des mtiers;
> la ractivit et lefficacit de lorganisation face aux
crises: prises de dcisions amliores par la
connaissance du risque;
> la rduction des impacts en cas de crise relle;
> le renforcement de la conformit rglementaire;
> la prservation des marchs par lassurance dun
SMCA oprant et continu;
> un apport de confiance aux parties prenantes sur la
rsilience de lorganisation;
> une augmentation indirecte du niveau de rsilience,
grce au principe damlioration continue.

36

FACE AU RISQUE n 494 juin-juillet 2013

celles que lon peut trouver dans un

SMQ (qualit) ou un SMSI (systmes dinformation), par exemple
la comprhension du contexte,
lengagement de la direction gnrale, les ressources supports, la surveillance et le r-examen, la revue de
direction, les actions correctives et
lamlioration continue.

Limportance
des analyses pralables
Un SMCA conforme la norme
ISO 22301 ne garantit pas ncessairement un haut niveau de rsilience
de lorganisation, mais simplement
que la continuit dactivit est gre
de manire efficace et que le niveau
de rsilience est en adquation avec
les enjeux mtiers. Cest la notion
damlioration continue du SMCA
qui contribue indirectement augmenter le niveau de rsilience en
salignant avec les objectifs de continuit dactivit fixs par la direction.

La structure de lISO 22301 est

conforme aux nouvelles lignes directrices de lISO/Guide 83 (structure
haut niveau et texte identique pour
les normes de systmes de management, terminologie de base et dfinitions communes), lui permettant
ainsi de sintgrer facilement aux
systmes de management dj prsents au sein des organisations, tout
en respectant une cohrence globale.
ce sujet, la structure de la norme
autour du modle PDCA (PlanDo-Check-Act - principes de lamlioration continue selon la roue de
Deming) apporte un message trs
fort: la norme ISO 22301 positionne
les phases danalyses pralables (BIA
et Apprciation des risques) dans le
chapitre consacr au Do, les considrant comme aussi importantes que
la gestion de crise et lapplication des
procdures de continuit.
La norme ISO 22301 tait galement trs attendue pour rgler le

sempiternel problme de vocabulaire en continuit dactivit. Nous

ne pouvons qutre dus sur ce
point puisque plusieurs termes fondamentaux ne sont pas clairement
dfinis (exercices et tests), voire
totalement absent (Plan de reprise
dactivit PRA). Ces imprcisions
se justifient certainement par la volont de correspondre tout type de
contexte et dviter de prendre parti
entre les approches amricaine/
anglo-saxonne et les profils continuit/informaticien.
Le gestionnaire des risques dispose
dun rle important dans la mise en
uvre et lexploitation dun SMCA.
Il doit travailler en collaboration avec:
les juristes et les mtiers afin de
dcliner les exigences lgales, rglementaires et contractuelles en exigences de continuit dactivit pragmatiques;
les autres dpartements de gestion des risques afin dharmoniser
lapprciation des risques du SMCA
avec la ou les mthode(s) de gestion
des risques interne(s);
les mtiers afin dintgrer dans
lapprciation des risques les cons-

quences identifies dans le cadre du

BIA et les vnements redouts;
le responsable PCA (RPCA), les
mtiers et les responsables des fonctions supports pour dfinir les mesures proactives et les stratgies de
continuit, suivre leur mise en uvre

STRUCTURE DE LA NORME
Les tapes cl dune dmarche conforme lISO 22301
sont:
> la comprhension des besoins de lorganisation et
des parties prenantes via une approche systmique
globale (4.2 et 4.3);
> limplication et lengagement plein et entier de la
direction gnrale dans le SMCA (5.1 & 5.2);
> la dfinition et la mise en place des moyens et des
plans (7, 8.1, 8.3, 8.4) qui sont lists et dtaills dans
lISO 22313, ainsi que les tests et exercices (8.5);
> le dveloppement de la culture de la continuit au
sein de lorganisation (7.2 7.4);
> lvaluation de la performance des moyens mis en
uvre et de lefficacit du SMCA (9);
> lamlioration continue dans la dure (10).

et mettre jour en consquence

lapprciation des risques;
la direction gnrale pour lui prsenter et faire arbitrer les risques
dincidents perturbateurs.
Plusieurs organismes de certification se sont dj positionns sur la
certification ISO 22301 dont Afnor
Certification, BSI et LSTI. Les audits peuvent tre commandits par
les clients, partenaires, autorits de
tutelle pour sassurer des engagements contractuels pris au titre de la
continuit dactivit.
Au-del de la rponse une exigence contractuelle ou rglementaire en matire de rsilience, la
certification ISO 22301 est un nouveau levier dapport de confiance.
Une telle certification procure un
avantage concurrentiel lorsque la
continuit et la rsilience sont des
critres dcisifs pour le client, elle
est aussi un facteur de rduction des
exigences en fonds propres et garantie de la solvabilit.
n
Thomas Le Poetvin,
Herv Schauer
Consultants HSC

LES SIGLES DE LA CONTINUIT DACTIVIT

> BCI: Business Continuity Institute
> BIA: Business Impact Analysis - Analyse des impacts ou consquences sur les mtiers
> CRBF: Comit de la rglementation bancaire et financire. Les principaux articles du rglement concernant la continuit
sont les articles 4, 14, 37 et 39
> DNS: Directives nationales de scurit - exigences mises par le SGDN (Secrtariat gnral la dfense nationale)
destination des OIV (Oprateurs dimportance vitale), visant renforcer la protection des infrastructures stratgiques en
tablissant une politique de scurit commune aux services de ltat et aux entreprises.
> DRII: Disaster Recovery Institute International
> EPCIP: European Program for Critical Infrastructure Protection
> ICT: Information and Communications Technology
> IRBC: Information and Communications Technology Readiness for Business Continuity
> MIFID: Markets in Financial Instruments Directive
> NFPA: National Fire Protection Association (www.nfpa.org). Rfrentiels disponibles en franais auprs du CNPP:
www.cnpp.com/fr/Boutique-Editions/Referentiels/Referentiels-NFPA
> OCDE: Organisation pour la coopration et le dveloppement conomique (www.oecd.org)
> PDCA: Plan Do Check Act - Cycle damlioration continue
> RPCA: Responsable du plan de continuit des activits
> SAIV: Secteur dactivit dimportance vitale. 12 SAIV dfinis par arrt du 2juin 2006, regroupent les oprateurs
dimportance vitale.
> SMQ: Systme de management de la qualit
> SMSI: Systme de management de la scurit de linformation (ISO 27001)

FACE AU RISQUE n 494 juin-juillet 2013

37