ISO 22301 : la future norme de Continuité d'activité

L'organisme international de normalisation ISO, après avoir travaillé le texte d'une proposition de norme pour la Continuité d'activité, vient de le soumettre au vote de ses membres.

Une nouvelle norme va donc normalement voir le jour au printemps 2012, date du dépouillement. Son titre : "Sécurité sociétale — Systèmes de management de la continuité — Exigences".

Ce genre de norme est important pour au moins deux raisons :

• son adoption par l'entreprise indique clairement une intention d'amélioration inscrite dans la durée en matière de continuité

• les partenaires de l'entreprise -client ou fournisseurs- savent que des mesures sont en place et que l'entreprise présente un niveau de risque et un degré de préparation face au sinistre meilleurs que d'autres.

Voici nos premières remarques.

Cette norme appartient à une catégorie bien particulière : les "management systems" ou "systèmes de management". Cela signifie qu'elle se concentre sur la manière de se rapprocher d'un état cible.

Autrement dit, elle présente des dispositifs à mettre en place pour permettre d'améliorer la situation en matière de continuité d'activité. Ce type de norme s'appesantit beaucoup plus sur le fait de se rapprocher d'une cible de bonnes pratiques que sur les bonnes pratiques elles-même. Ceux qui y recherchent des "recettes" en seront pour leurs frais.

En ce qui concerne les bonnes pratiques (à chercher à atteindre) il faut se référer à un autre corpus, normé ou pas d'ailleurs.

On peut très bien faire l'analogie avec les normes de sécurité de la famille ISO 27000 ou de qualité ISO 9000 qui possèdent en leur sein une norme "système de management". Ces normes "de management" présentent toutes une même caractéristique : l'engagement nécessaire de la Direction générale.

Elles responsabilisent la Direction générale (DG) : elles ne disent pas "voilà ce qu'il faut faire en matière de continuité" mais "la DG doit choisir ce qu'elle veut en matière de continuité". C'est ce que ces normes appellent le "leadership" du management qui passe par la rédaction et diffusion d'une note de politique de continuité. (On peut remplacer dans ce qui précède 'continuité' par 'sécurité' ou 'qualité', selon la norme.)

Pour réaliser ces choix de niveau stratégique, des recommandations sont faites dans la norme, qui énonce quelques critères. Il est clair cependant qu'un travail de préparation est à faire en amont, en général accompagné et suscité par un responsable (RPCA dans ce cas).

Nous voyons souvent dans nos missions de conseil ce document de politique rédigé quelques mois après la nomination du RPCA et sous l'impulsion de ce dernier. L'analogie avec la qualité et la sécurité demeure.

Conséquence probable de ce qui précède et d'un réalisme tout anglo-saxon, ce type de norme envisage un progrès avec le temps.

Elles s'inscrivent en effet dans un cycle d'amélioration : réalistes, elles considèrent qu'il faut commencer en mettant la barre assez bas puis la monter progressivement. Dit autrement, elles ne sont pas binaires ('bien' / 'mal') mais beaucoup plus dosées ('moyen' / 'mieux l'année prochaine').

C'est le fameux PDCA (Plan Do Check Act):

• P : Plan ou prévoyez ce que vous voulez faire pour la période N°n

• D : Do ou faites-le, passez à l'acte : cela se traduit par des plans d'actions divers qui permettent d'améliorer la situation

• C : Check : faites des essais, des exercices, vérifiez ce qui marche ou pas.

• A : Pour ce qui ne marche pas, ré-agissez par des corrections

Enfin, recommencez en haut de la liste à la lettre P avec n+1.

Nous l'avons vu, il existe des normes de 'bonnes pratiques' et des normes 'système de management'.

Les normes de bonnes pratiques listent un certain nombre de recommandations intéressantes classées logiquement. Le verbe employé en anglais est "should", les quelques traductions en français spécifient "il convient". On peut donc en prendre et en laisser.

Les normes de système de management sont plus exigeantes, elles précisent 'you shall' ou 'il faut'. En particulier elles demandent que la DG choisisse ce qu'elle prend ou laisse dans le corpus de bonnes pratiques. Cela amène à des obligations qui peuvent faire sourire : "la politique est faite pour être appliquée" ou sembler évidentes.

La conséquence directe de cet état de fait est qu'il devient possible de savoir si la norme 'système de management' est suivie ou non. "Il faut faire ceci" stipule la norme : "est-ce fait ?" peut demander l'auditeur "oui" ou "non" sont des réponses possibles. Ce type de norme peut donc faire l'objet d'un certification. Des certifications ISO 22301 pourraient donc apparaître ultérieurement.

Une norme 'système de management' se prête, comme on le voit, à des mécanismes de certification alors qu'une norme 'bonnes pratiques' ne s'y prête pas. L'ISO 22301 mentionne d'ailleurs des possibilités d'auto-évaluation ou d'audit par des tiers intéressantes car ouvrant la porte à des certifications plus souples.

L'exigence première et fondatrice est que la Direction générale doit commencer par dire ce qu'elle veut faire en matière de continuité dans tel ou tel corpus de bonnes pratiques, attribuer des responsabilités dans son organisation et suivre ce qui est fait pour corriger. Elle doit aussi prévoir le nécessaire en matière de support, d'assistance compétente et de traitement des difficultés.

Un document de "politique de continuité" doit exister avant tout. Il doit être largement communiqué dans l'entreprise et auprès de ceux que cela concerne hors entreprise : c'est la première exigence de la norme.

En gros ce qui précède est valable pour toute norme 'système de management' ; qu'est-il donc exigé spécifiquement en matière de continuité d'activité dans cette future norme ISO 22301 ?

Les points détaillés se résument à ce qui suit :

• Il faut cadrer l'approche : définir le périmètre sur lequel le système de gestion va porter ; tout bon chef de projet sait qu'il faut commencer par là...

.

• Il faut mener une analyse de risque et un BIA (Business Impact Analysis) ; il est amusant de voir ces deux analyses rassemblées dans le même paragraphe quand on sait que l'approche britannique met le BIA en premier alors que l'approche US commence par l'analyse de risque. La norme -c'est normal pour un système de gestion- ne dit pas comment faire cela, mais se contente de préciser des points durs comme la nécessité d'avoir des critères d'évaluation et des méthodes pour les risques ou la détermination des activités critiques de l'entreprise ainsi que des délais d'interruption maximum admissibles.

• Il faut déterminer et choisir les options de continuité : les activités prioritaires et les ressources sous-jacentes (humaines, techniques, informatiques, locaux, bureaux, etc.) à prévoir ; quant aux risques, il faut prévoir d'en diminuer les effets et occurrences...

• Il faut mettre en place la réponse appropriée : les procédures et l'organisation qui permettent de redémarrer dans le contexte du sinistre au-delà d'un certain seuil de gravité ; il faut y inclure la communication vers les parties-prenantes. Les missions et responsabilités doivent être décrites.

• Il faut mettre en place des procédures de surveillance, d'alerte en cas de sinistre et de mise en place de la réponse.

• Il faut construire des "Business Continuity Plans" comprenant un certain nombre de points traditionnels de la discipline et penser aussi au retour à la normale quand tout est rentré dans l'ordre.

• Il faut faire des exercices et des tests pour s'assurer que les procédures conviennent et répondent aux objectifs de continuité.

• Il faut prévoir des audits et des revues régulières, la direction générale doit s'assurer de l'efficacité des procédures et plans en place.

• Enfin, PDCA oblige, il faut mettre en place et vérifier les actions correctives face aux anomalies constatées.

Chacun de ces points est traité sur une page ou deux tout au plus, ce qui porte à 15 le nombre de pages spécifiant les exigences propres à la continuité d'activité sur un document comptant 32 pages.

Il est possible de sentir des "redites" dans les phrases de la norme, indiquant des sources multiples (comme le BCI britannique et le DRII nord-américain, entre autres).

L'ensemble de ces exigences est évidemment structurant mais laisse de grands degrés de liberté dans la manière de faire.

L'implémentation concrète n'est pas précisée, ce qui est propre à toute norme 'système de management'.

On notera dans le contexte français -qui privilégie l'approche par les risques et les moyens- que le BIA (approche par les processus) est obligatoire. Il y aura en France du travail à faire !

Cette norme en devenir représente somme toute un compromis intelligent et pragmatique entre les directives vagues et les détails inapplicables. Mais, le rôle des RPCA, chefs de projets et consultants pour la mise en oeuvre sera très important.