Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Quelques remarques sur la norme ISO 22301


Nous avons souvent cette réaction quand la norme ISO 22301 est abordée : à la fois de l'espoir et de la crainte :
- Espoir d'avoir des réponses à des questions précises.
- Crainte de ne pas être conforme.

Or à la fin de l'étude de la norme, la réaction est souvent inversée...pourquoi donc ?



E.B.
E.B.

C'est un système de management, donc c'est abstrait

Première remarque à faire, nous sommes en présence d'un "système de management" comme pour l'ISO 9001 ou l'ISO 27001. Qu'est-ce à dire ?

Cela veut dire que vous n'y apprendrez pas grand'chose sur ce qu'est un plan de continuité !

En revanche, vous y verrez tout ce qui concerne la gouvernance et la vision direction générale ; exemples de recommandations :
  • avoir des indicateurs sur l'efficacité et le bien-fondé des mesures en place
  • mener des audits réguliers avec propositions d'améliorations
  • tenir des revues de direction à intervalles planifiés ou après de grands changements
  • etc.

Cela ressemble à la qualité et à la sécurité.

Tout de même, on y trouve des points ayant trait à la continuité ! mais ils sont généraux, exemples :
  • connaître vos risques qui détruiraient vos activités où les mettraient à mal
  • connaitre vos activités principales critiques qu'il faut protéger ou reprendre en priorité
  • identifier les risques nécessitant traitement
  • prévoir vos dispositifs de reprise et vos plans en conséquence
  • réaliser des tests et exercices assez probants et y donner suite
  • etc.

Bref nous sommes face à un ensemble d'exigences de haut niveau.

Où sont passés les PCA, PRA et les cellules de crise ?

Ces expressions sont de fait absentes telles qu'elles de la norme. Et ce n'est pas dû à la traduction.

Devant la grande diversité des mises en oeuvre et des terminologies employées (en français, comme en toute autre langue) la norme se place 'un cran au-dessus' et généralise, tout en fixant des noyaux durs imposés.

Que vous appeliez cela PCA ou PRA ou PCIT ou autre "Plan XY", il s'agit dans tous les cas de listes de choses à faire, procédurées, que la norme appelle des "procédures de réponse".

De même vos diverses cellules de crise décisionnelles ou opérationnelles, sont des "structures de management".

La norme traite donc des 'procédures de réponse' et des 'structures de management' de manière globale et c'est à vous d'aller voir si ce que vous avez fait pour vos PCA, PRA, PCIT ou vos 'cellules de crise' est conforme.

A priori, il est probable que vous ne serez pas trop éloigné de la conformité à la norme si vous avez mis sur pied des dispositifs réalistes et efficaces. Le tout documenté bien sûr et avalisé par la Direction Générale (ces deux points par contre peuvent manquer).

Important toutefois : dans la norme, toutes ces procédures sont là pour répondre à l'incident interrupteur et continuer et/ou redémarrer les activités jugées prioritaires. La vision est très orientée métier et non moyens. Souvent sur le terrain on pense avant tout 'moyen' et fort peu 'métier'.

Priorité aux métiers suite à sinistre et au "niveau minimal acceptable"

La norme s'intitule BCMS Business Continuity Management Systems ; il s'agit de la continuité du Business c'est à dire de la production de biens ou de services, ce point est précisé.

Ce qui ne concoure pas à cette fin est fort peu dans le champ de la norme. Les quelques fonctions internes citées ne sont considérées que si elles sont vitales pour l'entreprise.

La philosophie de la norme est de poursuivre ou rétablir dans des délais convenus les activités métiers essentielles à un niveau minimal acceptable. Tout est tendu vers cet objectif. Le retour à la normale (plus tard) est mentionné en deux lignes.

Des notions comme les DMIA (Délais Maximum d'Interruption Admissibles) sont associés à des 'niveaux de reprise acceptables'. La norme fait un zoom fort sur ces activités prioritaires en mode 'service minimal' et délais plutôt courts.

La norme insiste sur la précision à apporter aux premiers instants suivant l'incident ou le sinistre. Et sur la nécessaire souplesse à avoir sur les durées plus longues.

Conclusion

La norme liste les exigences que ce que vous prévoyez de faire doit respecter.

Elle ne vous dicte pas ce que vous avez à faire car cela dépend de l'appétence au risque de votre Direction Générale -la norme insiste sur ce point.

En ce sens, ce n'est pas du tout une "liste de recettes".

En revanche la conformité à la norme peut être atteinte si vous en respectez les exigences dans vos réalisations de PCA aussi diverses soient-elles.
Emmanuel Besluau
Vendredi 23 Mai 2014

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Dans la même rubrique :
< >

Duquesne Research Newsletter