Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


ISO 22301 : la nouvelle norme de Management de la Continuité d'activité




ISO 22301 : la nouvelle norme de Management de la Continuité d'activité
L'organisme international de normalisation ISO, après avoir retravaillé le texte d'une proposition de norme pour la Continuité d'activité, vient de le publier suite au vote de ses membres.

Une nouvelle norme voit donc le jour au printemps 2012. Son titre : "Sécurité sociétale — Systèmes de management de la continuité d'activité — Exigences".

Ce genre de norme est important pour au moins trois raisons :
  • son adoption par l'entreprise indique clairement une intention d'amélioration inscrite dans la durée en matière de continuité
  • les partenaires de l'entreprise -client ou fournisseurs- savent que des mesures sont en place et que l'entreprise présente un niveau de risque et un degré de préparation face au sinistre meilleurs que d'autres.
  • et puis la possibilité de se faire certifier (les entreprises mais aussi les professionnels) incite à une amélioration continue de la situation.

Voici nos premières remarques.

C'est une norme "système de management"

Cette norme appartient à une catégorie bien particulière : les "management systems" ou "systèmes de management". Cela signifie qu'elle se concentre sur la manière de se rapprocher volontairement d'un état cible décidé.

Autrement dit, elle présente des dispositifs à mettre en place pour permettre d'améliorer la situation en matière de continuité d'activité. Ce type de norme s'appesantit beaucoup plus sur le fait de se rapprocher d'une cible de bonnes pratiques que sur les bonnes pratiques elles-même. Ceux qui y recherchent des "recettes" en seront pour leurs frais.

En ce qui concerne les bonnes pratiques (à chercher à atteindre) il faut se référer à un autre corpus, normé ou pas d'ailleurs.

On peut très bien faire l'analogie avec les normes de sécurité de la famille ISO 27000 ou de qualité ISO 9000 qui possèdent en leur sein une norme "système de management". Ces normes "de management" présentent toutes une même caractéristique : l'engagement nécessaire de la Direction générale.

Elles responsabilisent la Direction générale (DG) : elles ne disent pas "voilà ce qu'il faut faire en matière de continuité" mais "la DG doit choisir ce qu'elle veut en matière de continuité". C'est ce que ces normes appellent le "leadership" du management qui passe par la rédaction et diffusion d'une note de politique de continuité. (On peut remplacer dans ce qui précède 'continuité' par 'sécurité' ou 'qualité', selon la norme.)

Pour réaliser ces choix de niveau stratégique, des recommandations sont faites dans la norme, qui énonce quelques critères. Il est clair cependant qu'un travail de préparation est à faire en amont, en général accompagné et suscité par un responsable (RPCA dans ce cas).

Nous voyons souvent dans nos missions de conseil ce document de politique rédigé quelques mois après la nomination du RPCA et sous l'impulsion de ce dernier. L'analogie avec la qualité et la sécurité demeure.

Où l'on retrouve le célèbre PDCA ou cycle de Deming

Conséquence probable de ce qui précède et d'un réalisme tout anglo-saxon, ce type de norme envisage un progrès avec le temps.

Elles s'inscrivent en effet dans un cycle d'amélioration : réalistes, elles considèrent qu'il faut commencer en mettant la barre assez bas puis la monter progressivement. Dit autrement, elles ne sont pas binaires ('bien' / 'mal') mais beaucoup plus dosées ('moyen' / 'mieux l'année prochaine').

C'est le fameux PDCA (Plan Do Check Act):
  • P : Plan ou prévoyez ce que vous voulez faire pour la période N°n
  • D : Do ou faites-le, déployez, passez à l'acte : cela se traduit par des plans d'actions divers qui permettent d'améliorer la situation
  • C : Check : faites des essais, des exercices, contrôlez, vérifiez ce qui marche ou pas.
  • A : Pour ce qui ne marche pas, ou pourrait marcher mieux, ré-agissez par des corrections
Enfin, recommencez en haut de la liste à la lettre P avec n+1.

C'est une norme "incitative"

Nous l'avons vu, il existe des normes de 'bonnes pratiques' et des normes 'système de management'.

Les normes de bonnes pratiques listent un certain nombre de recommandations intéressantes classées logiquement. Le verbe employé en anglais est "should", les quelques traductions en français spécifient "il convient". On peut donc en prendre et en laisser.

Les normes de système de management sont plus exigeantes, elles précisent 'you shall' ou 'il faut'. En particulier elles demandent que la DG choisisse ce qu'elle prend ou laisse dans le corpus de bonnes pratiques ou autres actions intéressantes. Cela s'accompagne de plus d'une justification : il faut expliquer pourquoi on sélectionne telle action et pourquoi on ne prend pas telle autre, en fonction de l'aversion au risque de la Direction.

La conséquence directe de cet état de fait est qu'il devient possible de savoir si la norme 'système de management' est suivie ou non. "Il faut faire ceci" stipule la norme : "est-ce fait ?" peut demander l'auditeur "oui" ou "non" sont des réponses possibles. Ce type de norme peut donc faire l'objet d'un certification. Des certifications ISO 22301 existent d'ailleurs déjà pour les RPCA ou praticiens (nous consulter, nous avons un cours certifiant).

Une norme 'système de management' se prête, comme on le voit, à des mécanismes de certification alors qu'une norme 'bonnes pratiques' ne s'y prête pas. L'ISO 22301 mentionne d'ailleurs des possibilités d'auto-évaluation ou d'audit par des tiers intéressantes car ouvrant la porte à des certifications plus souples, à condition que les professionnels qui les mènent soient qualifiés.

L'exigence première et fondatrice est que la Direction générale doit commencer par dire ce qu'elle veut faire en matière de continuité dans tel ou tel corpus de bonnes pratiques, attribuer des responsabilités dans son organisation et suivre ce qui est fait pour corriger. Elle doit aussi prévoir le nécessaire en matière de support, d'assistance compétente et de traitement des difficultés.

Un document de "politique de continuité" doit exister avant tout. Il doit être largement communiqué dans l'entreprise et auprès de ceux que cela concerne hors entreprise : c'est la première exigence de la norme.

Et la Continuité dans tout cela ?

En gros ce qui précède est valable pour toute norme 'système de management' ; qu'est-il donc exigé spécifiquement en matière de continuité d'activité dans cette future norme ISO 22301 ?

Les points détaillés se résument à ce qui suit :

  • Il faut cadrer l'approche : définir le périmètre sur lequel le système de gestion va porter ; tout bon chef de projet sait qu'il faut commencer par là...
.
  • Il faut mener une analyse de risque et un BIA (Business Impact Analysis) ; il est amusant de voir ces deux analyses rassemblées dans le même paragraphe quand on sait que l'approche britannique met le BIA en premier alors que l'approche US commence par l'analyse de risque. La norme -c'est normal pour un système de management - ne dit pas comment faire cela, mais se contente de préciser des points durs comme la nécessité d'avoir des critères d'évaluation et des méthodes pour les risques ou la détermination des activités critiques de l'entreprise ainsi que des délais d'interruption maximum admissibles.

  • Il faut déterminer et choisir les options de continuité : les activités prioritaires et les ressources sous-jacentes (humaines, techniques, informatiques, locaux, bureaux, etc.) à prévoir ; quant aux risques, il faut prévoir d'en diminuer les effets et occurrences...

  • Il faut mettre en place la réponse appropriée : les procédures et l'organisation qui permettent de redémarrer dans le contexte du sinistre au-delà d'un certain seuil de gravité ; il faut y inclure la communication vers les parties-prenantes. Les missions et responsabilités doivent être décrites.

  • Il faut mettre en place des procédures de surveillance, d'alerte en cas de sinistre et de mise en place de la réponse.

  • Il faut construire des "Business Continuity Plans" comprenant un certain nombre de points traditionnels de la discipline et penser aussi au retour à la normale quand tout est rentré dans l'ordre.

  • Il faut faire des exercices et des tests pour s'assurer que les procédures conviennent et répondent aux objectifs de continuité.

  • Il faut prévoir des audits et des revues régulières, la direction générale doit s'assurer de l'efficacité des procédures et plans en place.

  • Enfin, PDCA oblige, il faut mettre en place et vérifier les actions correctives face aux anomalies constatées.

Des exigences minimales mais structurantes

Chacun de ces points est traité sur une page ou deux tout au plus, ce qui porte à 15 le nombre de pages spécifiant les exigences propres à la continuité d'activité sur un document comptant 32 pages.

Il est possible de sentir des "redites" dans les phrases de la norme, indiquant des sources multiples (comme le BCI britannique et le DRII nord-américain, entre autres).

L'ensemble de ces exigences est évidemment structurant mais laisse de grands degrés de liberté dans la manière de faire.

L'implémentation concrète n'est pas précisée, ce qui est propre à toute norme 'système de management'.

On notera dans le contexte français -qui privilégie l'approche par les risques et les moyens- que le BIA (approche par les processus) est obligatoire. Il y aura en France du travail à faire !

Cette norme représente somme toute un compromis intelligent et pragmatique entre les directives vagues et les détails inapplicables. Mais, le rôle des RPCA, chefs de projets et consultants pour la mise en oeuvre sera très important.
Emmanuel Besluau
Mercredi 16 Mai 2012

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter