Or, on s’est de plus en plus clairement rendu compte que le processus à établir dans ce domaine devait être pris en main par l’entreprise et englober les moyens de se prémunir contre de multiples formes de perturbation. C’est ainsi qu’a vu le jour une nouvelle discipline, connue sous le nom de «gestion de la continuité des affaires» (GCA).
En même temps qu’ils commençaient à reconnaître l’intérêt de cette discipline pour atténuer les effets d’incidents perturbateurs sur la société, les gouvernements et les autorités de réglementation ont voulu pouvoir obtenir l’assurance que les principaux acteurs étaient dotés de dispositifs appropriés pour garantir la continuité des affaires. En parallèle, conscientes de leur interdépendance, les entreprises ont, elles aussi, voulu être sûres que leurs principaux fournisseurs et partenaires étaient en mesure de toujours pouvoir fournir les produits et services critiques, même en cas d’incidents.
Il fallait donc un élément de référence reconnu représentant les bonnes pratiques de GCA, et plusieurs pays, dont l’Australie, les États-Unis, le Royaume-Uni et Singapour, établirent des normes nationales traitant de cette question. La norme britannique BS 25999 avait, par exemple, pour objet d’aider à mettre en place un système de gestion de la continuité des activités, et était la première à pouvoir servir de référence à des fins de certification accréditée.
Quand les organisations actives au niveau international ont commencé à pousser à l’instauration d’une Norme internationale unique, le comité technique ISO/TC 223, Sécurité sociétale, a entrepris ses travaux sur la norme ISO 22301:2012, Sécurité sociétale – Gestion de la continuité des affaires – Exigences. Cette nouvelle norme, fruit d’un intérêt significatif au niveau mondial, est l’aboutissement de travaux menés en coopération et avec des contributions du monde entier.
Démontrer de bonnes pratiques
ISO 22301 est une norme de système de management pour la GCA qui peut être utilisée par des organisations de toutes tailles et de tous types. Une fois leur système de GCA en place, les organisations ont la possibilité de solliciter une certification accréditée de conformité à la norme pour prouver leur respect des bonnes pratiques de GCA aux instances législatives et réglementaires, aux clients potentiels et à d’autres parties intéressées. Au niveau de l’entreprise, la personne chargée de la GCA peut, grâce à ISO 22301, montrer à sa direction qu’une norme reconnue est bel et bien en place.
Du fait qu’ISO 22301 est utilisable à des fins de certification, les exigences qu’elle spécifie décrivent les éléments essentiels de la GCA de manière relativement brève et concise. Une norme d’orientation plus complète (ISO 22313) fournissant plus de détails pour chaque exigence d’ISO 22301 est en préparation.
ISO 22301 peut aussi servir de référence à l’entreprise pour évaluer sa situation par rapport aux bonnes pratiques, et aux auditeurs pour rendre leur rapport à la direction. L’intérêt de cette norme ne se limite pas, et de loin, à la simple obtention d’un certificat de conformité.
Le contexte de la sécurité sociétale
ISO 22301 a été préparée par l’ISO/TC 223, Sécurité sociétale. Ce comité technique élabore des normes dans une optique d’action préventive ou réactive pour protéger la société en cas de situations d’urgence, d’incidents, et de sinistres causés par des actes intentionnels et involontaires, des catastrophes naturelles et des défaillances techniques. Le TC adopte, dans ses travaux, une approche inclusive de tous les risques, englobant toutes les actions nécessaires au cours des phases-clés (avant, pendant, après) de la gestion de crise. Le domaine de la sécurité sociétale est multidisciplinaire et implique les acteurs des secteurs public et privé.
Le comité a déjà publié les normes et documents suivants:
- ISO 22300: 2012, Sécurité sociétale – Terminologie
- ISO 22320: 2011, Sécurité sociétale – Gestion des urgences – Exigences des opérations des secours
- ISO/TR 22312:2011, Sécurité sociétale – Capacités technologiques
- ISO/PAS 22399: 2007, Sécurité sociétale – Lignes directrices pour être préparé à un incident et gestion de continuité opérationnelle
Les projets suivants sont en cours de développement:
- ISO 22311, Sécurité sociétale – Vidéosurveillance – Interopérabilité de l’export
- ISO 22313, Sécurité sociétale – Gestion de la continuité des affaires – Lignes directrices
- ISO 22315, Sécurité sociétale – Évacuation de masse
- ISO 22322, Sécurité sociétale – Gestion des urgences – Mises en garde de la population
- ISO 22323, Sécurité sociétale – Systèmes de management de la Résilience organisationnelle – Exigences et lignes directrices pour son utilisation
- ISO 22325, Sécurité sociétale – Lignes directrices pour l’évaluation de la capacité de gestion des urgences des organisations
- ISO 22351, Sécurité sociétale – Gestion des urgences – Appréciation concertée de la situation
- ISO 22397, Sécurité sociétale – Partenariats privé public – Lignes directrices pour l’établissement d’accords de partenariat
- ISO 22398, Sécurité sociétale – Lignes directrices pour exercice et essai
- ISO 22324, Sécurité sociétale – Gestion des urgences – Alerte à code couleur
Un départ difficile
La genèse des travaux sur la norme ISO 22301 remonte à un atelier ISO sur «la préparation aux situations d’urgence» à Florence, en Italie, en 2006. À l’époque, les experts étaient nombreux à penser que leur propre norme nationale était celle qui convenait le mieux pour servir de base à une Norme internationale.
Dans le souci de faire avancer les choses, une réunion de tous les principaux acteurs fut organisée pour identifier les similitudes entre les normes. Le consensus ainsi réalisé donna lieu à la publication d’un document d’orientation, l’ISO/PAS 22399:2007, Sécurité sociétale – Lignes directrices pour être préparé à un incident et gestion de continuité opérationnelle.
Pour ISO 22301, c’était le grand nombre de documents nationaux sur le sujet qui constituait le problème sur lequel il avait été difficile de se mettre d’accord.
A ce stade, le comité était prêt à créer une norme de système de management avec des exigences spécifiées, utilisable à des fins de certification. Le texte des différentes normes nationales fut exploité pour rédiger le projet initial, qui a été progressivement mis en forme pour aboutir à un nouveau document réunissant les bonnes pratiques du monde entier. Différents pays dont l’Allemagne, l’Australie, les États-Unis, la France, le Japon, la République de Corée, le Royaume-Uni, Singapour, la Suède et la Thaïlande ont beaucoup contribué au document. De nombreux autres pays ont participé aux travaux, ce qui montre bien le caractère véritablement international de l’intérêt et de la collaboration autour de cette norme.
ISO 22301 sous la loupe
ISO 22301 est la deuxième norme de système de management à adopter la nouvelle structure de haut niveau et le texte normalisé convenu au sein de l’ISO. L’objectif est d’assurer la cohérence avec toutes les normes futures et révisées de ce type et de faciliter l’intégration avec différentes normes, par exemple, ISO 9001 (qualité), ISO 14001 (environnement) et ISO/CEI 27001 (sécurité de l’information).
La norme comporte dix articles avec, dans l’ordre, Domaine d’application, Références normatives, Termes et définitions, puis différentes exigences dont les suivantes :
- Article 4 – Contexte de l’organisation
La première étape consiste à bien cerner l’organisation, ce dont elle a besoin en interne et à l’extérieur, et à établir des limites claires quant à la portée du système de management. En particulier, il importe que l’organisation sache bien quelles sont les exigences des parties intéressées pertinentes, des organismes de réglementation, des clients et du personnel. Elle doit aussi, et surtout, connaître les exigences juridiques et réglementaires applicables. Elle pourra ainsi déterminer la portée du système de gestion de la continuité des affaires (SGCA). - Article 5 – Leadership
ISO 22301 insiste tout particulièrement sur la nécessité d’un leadership approprié du SGCA. La direction doit faire en sorte que les ressources adéquates soient mises à disposition, elle établit les politiques et désigne les personnes chargées de mettre en œuvre et de maintenir le SGCA. - Article 6 – Planification
L’organisation doit identifier les risques associés à la mise en œuvre du système de management et fixer des objectifs et des critères clairs qui peuvent être utilisés pour mesurer sa réussite. - Article 7 – Soutien
Étant donné que la mise en œuvre nécessite des ressources, ici intervient la notion importante de compétence. Pour assurer la continuité des activités, il faut avoir en place des personnes dotées des connaissances, des compétences et de l’expérience requises pour contribuer au SGCA et intervenir lorsque des incidents se produisent. Il est également important que chacun sache bien le rôle qu’il doit jouer dans la réponse opérationnelle. Cet article traite de tous ces aspects ainsi que de la question des informations à communiquer sur le SGCA – par exemple, les clients doivent être informés que l’organisation a mis en place un SGCA en bonne et due forme – et du mode de communication prévu en cas d’incident (car les canaux de communication normaux peuvent être perturbés). - Article 8 – Activités
Il s’agit du corps principal des compétences spécifiques en matière de continuité des activités. L’organisation doit procéder à une analyse d’impact sur ses activités pour comprendre les répercussions des perturbations et l’évolution sur la durée. L’évaluation des risques pour l’entreprise est à opérer d’une manière structurée et il faut en tenir compte dans l’établissement d’une stratégie de continuité des activités. Parallèlement aux mesures de prévention ou de limitation de la probabilité d’incidents, il convient de développer des mesures à prendre en cas d’incident. Comme il est impossible de prévoir et de prévenir tous les incidents, l’approche de réduction des risques et de planification pour toutes les éventualités est complémentaire. En l’occurrence, il faut pouvoir espérer le meilleur, tout en ayant prévu le pire. ISO 22301 met l’accent sur la nécessité d’une structure bien définie de réponse aux incidents. Ainsi, en cas d’incident, les interventions sont déclenchées au bon moment et chacun se sait habilité à prendre les mesures d’urgences nécessaires. La sécurité des personnes est un aspect fondamental et l’organisation doit communiquer avec des parties à l’extérieur qui peuvent être mises en danger, par exemple, si un incident présente un risque toxique ou explosif pour ceux qui habitent à proximité. Les exigences relatives aux plans de continuité des activités sont aussi définies à l’article 8. A cet égard, des documents faciles à comprendre sont plus adaptés que les grands dossiers prévus pour les auditeurs. Il sera certainement plus utile de disposer de plusieurs petits plans plutôt que d’un seul grand plan.
Une exigence qui n’a pas été abordée jusqu’ici dans les normes relatives à la continuité des activités est la nécessité de planifier le retour à l’activité normale. Cette simple exigence implique un travail de réflexion approfondi, car les organisations doivent définir ce qu’il faut faire une fois que les opérations d’urgence sont terminées.
Le dernier paragraphe de l’article 8 concerne les exercices pratiques et les essais, un élément clé de la GCA. Les essais permettent de vérifier concrètement les éléments du dispositif de continuité qui fonctionnent (essai réussi) et ceux qui ne fonctionnent pas (échec). Par exemple, on peut mettre en marche le générateur de secours pour vérifier qu’il fonctionne. Un exercice pratique peut comporter des essais, mais c’est en général une démarche qui vise à simuler certains aspects de la réponse opérationnelle. L’exercice implique généralement un travail préalable de formation et de sensibilisation sur la façon de gérer les incidents perturbateurs dans un contexte difficile et inhabituel, et dans le même temps de vérifier si les processus fonctionnent, comme prévu.
Les exercices et les essais sont fondamentaux dans la norme ISO 22301 : ce n’est que grâce à des exercices structurés – conçus pour préparer les individus et les équipes impliquées – qu’une organisation peut obtenir une assurance objective que son dispositif fonctionnera comme prévu au moment voulu.
- Article 9 – Évaluation
Pour tout système de gestion, il est essentiel d’évaluer la performance par rapport au plan. ISO 22301 exige donc que l’organisation choisisse les paramètres de mesure par rapport auxquels elle évaluera la performance appropriée. Des audits internes doivent être effectués et la direction doit examiner le SGCA et agir en conséquence. - Article 10 – Amélioration
Aucun système de gestion n’est parfait d’emblée et, de surcroît, les organisations et leurs environnements évoluent constamment. L’article 10 définit les actions à entreprendre pour améliorer le SGCA au fil du temps et pour veiller à ce que les mesures correctives mises en évidence par les audits, revues, exercices, etc. soient bien réalisées.
Mise en œuvre réussie
Pour une bonne application d’ISO 22301, les organisations doivent en avoir bien compris les exigences. Chaque ligne et chaque mot a son importance et l’importance relative d’un sujet n’est pas nécessairement proportionnelle au nombre de mots qui lui sont consacrés. La GCA, n’est pas un projet ou un simple «plan» à mettre en place, c’est un processus de gestion continu faisant appel à des personnes compétentes travaillant avec un soutien approprié et des structures adéquates qui se mettra en œuvre quand il le faudra.
Stefan Tangen est Secrétaire de l’ISO/ TC 223, Sécurité sociétale. Il est, depuis six ans, actif dans le domaine de la normalisation. Il est également Secrétaire du JTCG (Groupe mixte de coordination technique) sur l’harmonisation des systèmes de gestion. Chef de projet au SIS, Institut suédois de normalisation, il est titulaire d’un doctorat en ingénierie de production.
Chef de projet pour la norme ISO 22301. Fondateur et Directeur de la société Operational Resilience (Oprel) Ltd, il a une grande expérience de consultant en continuité des activités, continuité des TIC et gestion de crise. Il a été, au début de sa carrière, Responsable continuité des systèmes pour la Royal Bank of Scotland. Plus tard, chez Siemens, il a développé et dirigé un service de conseil en continuité des activités.