ISO 22301, la première norme internationale de management de la continuité des activités (MCA ou BCM, « Business Continuity Management »), a été développée pour aider les organisations à minimiser les risques liés à de perturbations de toutes sources. L'ISO a officiellement lancé la norme ISO 22301, « Sécurité sociétale - Systèmes de Gestion de la Continuité des Activités – Exigences », qui devient le nouveau standard de facto pour la gestion de la continuité des activités. Cette norme remplace donc l'actuel standard britannique BS-25999.

ISO 22301 spécifie les exigences pour planifier, déployer, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer en permanence un système de gestion documenté pour permettre de réduire la probabilité d'occurrence d’un événement désastreux, s'y préparer, intervenir et récupérer à la suite de la survenance d’incidents perturbateurs quels qu’ils soient.

Les exigences spécifiées dans la norme ISO 22301 sont génériques et prévues pour s'appliquer à toutes les organisations (ou parties de celles-ci), indépendamment du type, de la taille et de la nature de l'organisation. La portée d'application de ces exigences dépend de l'environnement opérationnel de l'organisation et de sa complexité.

La normalisation de la continuité des activités évolue avec la norme ISO 22301 par l’ajout, notamment:
  • de l'accent qui est mis sur ​​la définition des objectifs, du suivi des performances et des indicateurs de mesure de celles-ci ;
  • des attentes plus claires en matière de gestion ;
  • d’une planification plus soignée et d’une meilleure préparation des ressources nécessaires pour assurer la continuité des activités.

ISO 22301 s'applique à toutes les organisations qui souhaitent:
  • établir, mettre en œuvre, maintenir et améliorer un SMCA ;
  • assurer la conformité avec la politique de continuité des activités ;
  • démontrer la conformité à des tiers ;
  • obtenir la certification / l’enregistrement de son SMCA par un organisme de certification indépendant ;
  • déposer une auto-détermination et une auto-déclaration de conformité à cette norme internationale.

Clauses essentielles de l’ISO 22301:2012

Suite à la nouvelle structure du guide ISO 83, les exigences de l’ISO 22301 sont structurées au sein des clauses suivantes: Clause 4: Contexte de l’organisme
Clause 5: Leadership
Clause 6: Planification
Clause 7: Support
Clause 8: Gestion des opérations
Clause 9: Evaluation de performance      
Clause 10: Améliorations  


Chacune de ces activités-clés est détaillée ci-après.

Clause 4: Contexte de l’organisation

Déterminer les enjeux internes et externes qui sont pertinents pour atteindre l’objectif et qui affectent la capacité de l’organisation à atteindre les résultats escomptés de son SMCA:

  • les activités de l'organisation, ses fonctions, ses services, ses produits, 1ses partenariats, les chaînes d'approvisionnement qu’elle fait fonctionner, ses relations avec les parties intéressées, et l'impact potentiel lié à un événement perturbateur
  • les liens entre la politique de continuité des activités et les objectifs de l'organisation ainsi que les autres politiques, y compris la stratégie globale de gestion des risques
  • l’appétence de l’organisation pour le risque
  • les parties intéressées les plus pertinentes et leurs exigences
  • contexte légal et régulatoire applicables ou tout autre contexte ou ensemble d’exigences auxquels adhère l’organisation.

 

Clause 5: Leadership

La direction de l’organisation doit faire preuve d'un engagement continu envers le système de gestion de continuité de l'activité. Grâce à son leadership, la direction peut créer un environnement dans lequel les différents acteurs sont pleinement impliqués et dans lequel le système de gestion peut fonctionner efficacement, en synergie avec les objectifs de l'organisation. Le management est ainsi responsable de:
  • assurer que le SMCA est compatible avec l'orientation stratégique de l'organisation ;
  • intégrer les exigences du SMCA dans les processus métier de l'organisation ;
  • fournir les ressources nécessaires au SMCA ;
  • établir et communiquer une politique de continuité des activités ;
  • veiller à l’affectation des responsabilités et de l’autorité des différents rôles pertinents ;
  • communiquer l'importance d’une gestion efficace de la continuité des activités ;
  • veiller à ce que le SMCA atteigne les résultats escomptés ;
  • orienter et soutenir l'amélioration continue.

Clause 6: Planification

Il s'agit d'une étape cruciale en ce qui concerne l'établissement des objectifs stratégiques et des principes directeurs du SMCA dans son ensemble. Les objectifs d'un système de gestion de la continuité de l’activité sont l'expression de l'intention de l'organisation de traiter les risques identifiés et / ou de se conformer aux exigences des besoins organisationnels. Les objectifs de continuité de l’activité doivent:
  • être cohérents avec la politique de continuité d’activité ;
  • tenir compte du niveau minimum acceptable de produits et de services nécessaires à l’organisation pour qu’elle puisse atteindre ses objectifs ;
  • être mesurables ;
  • tenir compte des exigences applicables ;
  • être surveillés et tenus à jour de façon appropriée.

Clause 7: Support

La gestion au jour le jour d'un système de management de la continuité efficace repose sur l'utilisation des ressources appropriées pour chaque tâche. Il s'agit notamment de disposer de personnel compétent, formé et accompagné (de façon démontrable), ainsi que d’une démarche de sensibilisation et d’un plan de communication solides. Ces éléments doivent bien sûr être étayés par des informations documentées et correctement gérées.

Dans cette optique, tant les communications internes qu’externes de l'organisation doivent être considérées dans le périmètre, en ce compris leur format, leur contenu et le calendrier de celles-ci. Une planification adéquate du SMCA est donc également très importante à ce stade.

Les bonnes pratiques de documentation d’un SMCA exigent également le respect des exigences standards pour les systèmes de management, en ce compris pour la création, la modification et le contrôle des documents.

Clause 8: Gestion des opérations

Après avoir planifié le SMCA, une organisation doit le mettre en opération. Cette clause comprend les éléments suivants:

  • Analyse d’impacts : Cette activité permet à une organisation d'identifier les processus critiques qui soutiennent la production de ses principaux produits et services, les interdépendances entre les processus et les ressources nécessaires pour faire fonctionner les processus à un niveau minimum acceptable.

  • Analyse de risque : ISO 22301 propose de se référer à la norme ISO 31000 pour mettre en œuvre ce processus. Le but de cette exigence est d'établir, de mettre en œuvre, et de maintenir un processus formel d'évaluation des risques documenté qui identifie de façon systématique, analyse et évalue le niveau de risque d'incidents perturbateurs vis-à-vis de l'organisation.

  • Stratégie de continuité de l’activité :  Une fois que les exigences ont été établies par l'analyse d'impacts et l'évaluation des risques, des stratégies peuvent être développées pour identifier les dispositions qui permettront à l'organisation de protéger et d’assurer la continuité des activités critiques fondées sur la tolérance des risques organisationnels, à l'intérieur d’objectifs définis en temps de récupération. L'expérience et les bonnes pratiques indiquent clairement que la mise en œuvre rapide d'une stratégie globale de continuité de l’activité permet de s'assurer que les activités du SMCA sont alignées avec la stratégie globale de l'organisation. La stratégie de continuité d'activité devrait être partie intégrante de la stratégie d'entreprise d'une institution.

  • Procédures de la continuité de l’activité: L'organisation doit documenter les procédures, y compris les dispositions nécessaires pour assurer la continuité des activités et la gestion d'un incident perturbateur. Les procédures doivent :
    • établir un protocole approprié de communications interne et externe;
    • être précises en ce qui concerne les mesures immédiates qui doivent être prises lors d'une interruption;
    • faire preuve de souplesse pour répondre aux menaces imprévues et à l’évolution des conditions internes et externes;
    • mettre l'accent sur l'impact des événements qui pourraient perturber l'exploitation;
    • être développé sur la base des hypothèses énoncées et une analyse des interdépendances;
    • être efficace en minimisant les conséquences à travers la mise en œuvre de stratégies appropriées d'atténuation d’impacts.

Tests et exercices : Pour s'assurer que les procédures de continuité d'activité sont conformes aux objectifs, une organisation devra les valider régulièrement. Les exercices et les tests sont des processus de validation des plans de continuité des activités et de leurs procédures associées pour s'assurer que les stratégies choisies sont capables de fournir des réponses et des résultats de récupération dans les délais convenus par la Direction.

 

Clause 9: Évaluation de la performance

Une fois que le SMCA est mis en œuvre, la norme ISO 22301 exige un suivi permanent ainsi que des réexamens périodiques destinés à améliorer son fonctionnement par :
  • un suivi permettant de valider de quelle manière la politique de continuité d'activité de l’organisation a permis d’atteindre les objectifs fixés;
  • la mesure de la performance des processus, des procédures et des mesures qui protègent ses activités critiques;
  • la surveillance de la conformité à la norme ISO 22301 elle-même ainsi qu’aux objectifs de continuité des activités;
  • la surveillance des non-conformités et des déficiences du SMCA;
  • la réalisation d'audits internes à intervalles planifiés;
  • l'évaluation de tous les éléments précédents dans une revue de direction organisée à intervalles planifiés.

Clause 10: Amélioration

L'amélioration continue peut être définie comme l'ensemble des mesures prises dans toute l'organisation pour accroître l'efficacité (atteinte des objectifs) et l'efficience (un rapport optimal coût / bénéfice) des processus et des mesures afin d'apporter des avantages accrus pour l'organisation et ses parties prenantes. Une organisation peut améliorer continuellement l'efficacité de son système de gestion grâce à l'utilisation de la politique de continuité des activités, des objectifs, des résultats d'audit, de l'analyse des événements surveillés, des indicateurs, des actions correctives et préventives ainsi que d’une revue de direction.

Back to Top