3 mai 2016

ISO22301 : La continuité d’activité pour tous

ISO_22301

Quelle entreprise n’a jamais vécu une coupure de courant, une indisponibilité prolongée d’un serveur, une épidémie de grippe ou encore un incendie… Sans actions spécifiques, il est inévitable que celles-ci subissent à nouveau, un jour, les impacts financiers, opérationnels ou encore sur l’image d’un tel incident.

C’est pourquoi formaliser et déployer vos processus de continuité d’activité pourrait permettre à votre entreprise de se doter des capacités nécessaires à limiter les impacts d’une indisponibilité prolongée des systèmes d’information. C’est la première étape pour la mise en place d’une Gestion de la Continuité d’Activité – GCA.

Des bases solides

La première norme reconnue à l’international concernant la continuité d’activité était la PAS 56 en 2003. Publiée par le British Standards Institute, elle a instauré les bases que nous connaissons aujourd’hui. Quelques années plus, d’autres standards ont été diffusés par BSI : BS 25999-1 & BS 25999-2 respectivement en 2006 et 2007. Actuellement, la référence est  l’ISO 22301 qui a été publiée en 2012 et qui se base principalement sur la BS25999.

ISO 22301 : 2012 – Sécurité sociétale – Systèmes de management de la continuité d’activité

La volonté de l’ISO est d’inscrire la continuité d’activité dans un processus d’amélioration continue :

  • Plan : Planifiez de ce que l’on souhaite réaliser
  • Do : Mettez en œuvre de l’étape précédente
  • Check : Testez et contrôlez les procédures préalablement mises en place
  • Act : Rectifiez les erreurs et/ou optimiser vos processus

En suivant la tendance actuelle de l’ISO (27001 & 9000), la norme s’oriente davantage sur le suivi de la performance, en mettant en place un Système de Management de la Continuité d’Activité – SMCA :

  • Formalisation d’une politique
  • Définition des rôles et responsabilités
  • Des processus de management se rapportant à :
    • La politique
    • La planification
    • La mise en œuvre et le fonctionnement
    • L’évaluation des performances
    • La revue de direction
    • L’amélioration
  • Mise en place d’un corpus documentaire fournissant des preuves tangible

Une implémentation progressive

Un des points forts d’une norme centrée sur un système de management est de pouvoir réaliser une intégration progressive au sein d’un organisme. L’entreprise peut commencer par délimiter un périmètre restreint en choisissant une activité ou un site pilote. Une fois le GCA opérationnel, plus particulièrement son SMCA, et les premiers résultats probants, le périmètre pourra être élargi pour y intégrer de nouveaux actifs. Ainsi, tout l’organisme gagne en maturité en améliorant son dispositif à chaque itération.

Outre l’avantage concurrentiel que peut apporter une GCA à l’entreprise, elle permet de pérenniser vos investissements dans la continuité d’activité en vous certifiant ISO 22301.

D’autres standards peuvent vous guider !

  • ISO 22300 Sécurité sociétale – Terminologie
  • ISO 22313 Sécurité sociétale – Systèmes de management de la continuité d’activité – Lignes directrices
  • ISO 24762 Lignes directrices pour les services de secours en cas de catastrophe dans les technologies de l’information et des communications
  • ISO 27031 Lignes directrices pour la préparation des technologies de la communication et de l’information pour la continuité d’activité
  • ISO 31000 Management du risque – Principes et lignes directrices

Sources :

http://www.risques.gouv.fr/risques-majeurs/identifier-les-risques-pres-de-chez-vous/departement
http://www.sgdsn.gouv.fr/IMG/pdf/Guide_PCA_SGDSN_110613_normal.pdf
http://www.iso.org/iso/fr/news.htm?refid=Ref1602
http://www.clubpca.eu/fonds-documentaire-37.html
https://drii.org/
http://www.thebci.org/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *