Sécurité et résilience — Systèmes de management de la continuité d'activité selon la norme ISO 22301
La continuité d’activité désigne la capacité d’une organisation à maintenir ses fonctions critiques et ainsi pouvoir continuer de fournir des produits ou services essentiels, en cas de perturbations imprévues, qu’elles soient d’origine interne ou externe.
La norme 22301 a pour but de fournir un cadre structuré aux systèmes de management de la continuité d’activité (ou SMCA). Ce système permet aux organisations de se protéger des perturbations, d’en réduire la probabilité, d’y répondre et de rétablir un fonctionnement optimal le plus rapidement possible.
Elle s’appuie sur le cycle Plan-Do-Act-Check (ou PDCA) et intègre une structure HLS, ce qui lui permet une excellente compatibilité avec les autres normes ISO, notamment ISO 9001 ou ISO 19443.
Les bénéfices de la norme ISO 22301
Minimisation du temps d’arrêt : permet par exemple d’éviter les pénalités MDR/IVDR, pour les dispositifs médicaux ou arrêts IAEA dans le nucléaire.
La norme ISO 22301 présente un avantage stratégique par sa capacité à organiser la résilience d’une organisation. Elle est particulièrement utile à des secteurs dans lesquels le risque est élevé et particulièrement dommageable comme la finance, le nucléaire, l’énergie, les data centers, où une interruption d’activité peut causer des dommages considérables.
Elle permet ainsi de :
-
Minimiser les temps d’arrêt
-
Prévoir et tester les Plans de Réponses aux Incidents (PRI) et Plans de Reprise d’Activité (PRA)
-
Pratiquer une démarche d’amélioration continue, selon le cycle PDCA
Elle peut également être exigée par des fournisseurs, des clients ou des régulateurs. Cela permet en effet de garantir la fiabilité de l’acteur concerné, ou du moins sa capacité à faire face aux perturbations.
La certification ISO 22301 se place également comme réponse à plusieurs obligations légales.
Les perturbations
Une perturbation se définit comme “tout incident anticipé ou non entraînant un écart négatif non planifié par rapport aux objectifs de livraison de produits/services, sans liste exhaustive ni organisation par origine”.
Il est exigé un travail permettant d’identifier tous les types d’évènements perturbateurs potentiels, selon le type d’activité de l’organisation.
La considération du danger et l’organisation du SMCA sont donc propre à chaque secteur et même à chaque organisation selon ses singularités.
Les incidents perturbateurs d’origine externe peuvent être des :
-
Catastrophes naturelles : Inondations, tremblements de terre, tempêtes ou incendies majeurs impactant le personnel et les infrastructures
-
Crises sanitaires ou environnementales : Pandémies comme celle de 2019, perturbant les chaînes d'approvisionnement et impactant le personnel
-
Cyberattaques ou menaces numériques : Ransomware, DDoS ou breaches affectant les systèmes IT critiques
-
Ruptures supply chain : Pénuries chez les fournisseurs ou perturbations géopolitiques
-
Actes de malveillance comme du vandalisme, du terrorisme ou un sabotage
Les incidents perturbateurs d’origine interne peuvent être des :
-
Pannes techniques : Défaillances matérielles, logiciels ou réseaux informatiques
-
Erreurs humaines : Fautes opérationnelles, fraudes ou manquements procéduraux
-
Problèmes organisationnels : Grèves, départs massifs de personnel, conflits internes
La liste n’est pas exhaustive et doit bien sûr être ajustée à l’organisation et à son contexte.
Le SMCA pour faire face aux perturbations et assurer la continuité d’activité
En fournissant les exigences adaptées, la norme permet de développer et d’entretenir un Système de Management de la Continuité d’Activité efficace et durable, en intégrant la continuité d’activité dans la culture et les processus organisationnels.
Il a pour fonction de répondre en temps réel pour permettre une reprise rapide des activités critiques à un niveau acceptable qui aura été préalablement défini.
Le cycle PDCA permet d’élaborer le SMCA comme un système vivant et adaptatif, qui anticipe, teste et raffine en continu sa forme. Cette boucle itérative transforme la continuité d’activité en compétence organisationnelle durable.
Plan (Planifier)
Cette phase est une anticipation proactive. Elle analyse en profondeur son contexte permet d’identifier les activités critiques et d’évaluer les risques/opportunités. En considérant l’analyse d’impact sur l’activité (ou BIA pour Business Impact Analysis) il est possible d’identifier les activités critiques et d’évaluer les conséquences d’une interruption sur ces activités.
Le BIA permet de déterminer les processus essentiels à maintenir pour livrer les produits et/ou services prioritaires. Il permet de concevoir les impacts cumulatifs d’une perturbation (financiers, opérationnels, réputationnels, réglementaires, humains).
Il permet également de déterminer des seuils de tolérance :
RTO (pour Recovery Time Objective), c’est le délai maximum d’interruption acceptable
RPO (pour Recovery point Objective), c’est la perte maximale de données tolérée. Elle est exprimée sous la forme d’une durée correspondant au laps de temps acceptable pendant lequel les données peuvent être perdues sans conséquences inacceptables.
Le but étant de prioriser les ressources sur de vraies vulnérabilités pour construire une base résiliente.
Elle se conclue par des plans d’actions à mettre en œuvre pour organiser la continuité d’activité.
Do (Faire)
Cette phase met en pratique les plans d’actions élaborés précédemment, grâce à des procédures opérationnelles concrètes. Ces procédures peuvent inclure la formation des équipes et des exercices simulés d’incidents. Ils permettent de mettre de révéler les faiblesses et tester les hypothèses.
Check (Vérifier)
Cette phase analyse les performances des opérations et tests précédemment menés, complétés par des audits internes.
En exposant objectivement les écarts entre les objectifs fixés et la réalité, cette étape permet une détection précoce des manques.
Act (Agir)
Cette phase est celle où des actions sont mises en œuvre pour corriger les non-conformités identifiées dans la phase précédente. En intégrant les conclusions tirées des incidents ou des évolutions contextuelles, elle relance le cycle PDCA pour consolider le SMCA et le rendre résistant.
Processus de certification ISO 22301
La certification ISO 22301 suit un processus standardisé en trois grandes phases, encadré par les organismes accrédités. Elle valide la conformité du SMCA aux exigences de la norme et se déroule sur un cycle de trois ans, renouvelable.
La phase de préparation interne
Elle dure généralement entre 6 et 18 mois selon la taille et la maturité de l'organisation. Elle commence par une analyse des écarts (ou gap analysis) par rapport aux clauses de la norme, suivie de l'élaboration de l'analyse d'impact sur l'activité et de la mise en place des processus SMCA. Un audit interne et une revue de direction concluent cette étape, permettant de démontrer une maturité suffisante.
La phase d'audit de certification
Elle s'étend sur 2 à 4 mois et comprend l'audit de stage 1 (qui dure 1 à 2 jours). Il permet d’examiner la documentation et la préparation (portée SMCA, politique, BIA validée), avec un rapport d'observations et d'éventuels écarts à corriger.
L'audit de stage 2 (2 à 5 jours sur site) vérifie l'implémentation effective via entretiens, observations et revue des tests d'exercices. Les non-conformités doivent être traitées dans un délai de 90 jours maximum pour obtenir la certification.
Le maintien de la certification
Il repose sur des audits de surveillance annuels (années 1 et 2, couvrant 1/3 du périmètre), suivis d'une re certification complète tous les trois ans.
Préiso réalise le diagnostic initial (gap analysis), et vous soutien dans l’élaboration du Système de Management de la Continuité d’Activité à travers, la formation des équipes, les audits internes préparatoires et le suivi jusqu'à la réussite de votre certification.
Contactez-nous pour savoir comment Préiso peut vous accompagner dans la certification de votre système de management de la continuité d’activité.
Norme ISO 19443 : Sécuriser la chaine d'approvisionnement nucléaire
Certification ISO 19443 : Une norme essentielle pour la qualité et la sûreté nucléaire
Gestion des Risques liés à l'IA : Une Nouvelle Ere avec la Norme ISO/IEC 23894 : Technologie de l'information - Intelligence Artificielle - Recommandations relatives au Management du Risque
