ISO 22301, la norme de Management de la Continuité d’Activité
Les analystes affirment que deux entreprises sur cinq qui subissent une catastrophe risquent la faillite dans les cinq ans qui suivent l’événement. La capacité d’une organisation à se remettre d’une catastrophe est directement liée au degré de planification de la continuité de l’activité qui se déroulait normalement avant la catastrophe.
Toutes les entreprises quelle que soit leur taille devraient aujourd’hui s’engager dans un processus complet de continuité et de récupération des activités.
ISO 22301, une norme internationale de référence
ISO 22301, la première norme internationale de gestion de continuité des activités a été développée pour aider les organisations à minimiser les risques liés à une situation de crise. L’ISO a ainsi lancé en 2012 la norme ISO 22301, « Sécurité sociétale - Systèmes de Gestion de la Continuité des Activités – Exigences », qui est devenu le nouveau standard pour la gestion de la continuité des activités. Cette norme présente des dispositifs à mettre en place pour permettre d'améliorer la situation en matière de continuité d'activité.
Planifier, mettre en œuvre, améliorer…
ISO 22301 spécifie les exigences pour planifier, déployer, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer en permanence un système de gestion documenté pour permettre de réduire les risques liés à un événement désastreux, s’y préparer, intervenir et récupérer à la suite de la survenance d’incidents perturbateurs quels qu’ils soient.
Les exigences spécifiées dans la norme ISO 22301 sont génériques et prévues pour s’appliquer à toutes les organisations, indépendamment du type, de la taille et de la nature de l’organisation.
En pratique
L’entreprise doit identifier ses fonctions critiques et établir une stratégie pour que, même en cas d’incident majeur, l’activité puisse suivre son cours. Responsabiliser le personnel en le dotant des compétences indispensables pour augmenter la résilience des processus et solidifier les rapports de confiance entre les différents départements est fondamental. Cette démarche permet d’améliorer en continu l’aptitude de l’entreprise (et du personnel) à réagir et à intervenir face à des incidents majeurs pour assurer la reprise des activités critiques de l’entreprise et mobiliser tous les efforts pour accélérer le retour à la normale.
Motivation et implication comme clés de succès
Chaque entreprise est unique, chacune poursuit un ensemble d’objectifs spécifiques. Mais, dans tous les cas, il faut que ceux qui sont aux commandes soient très clairs sur leur motivation et s’engagent jusqu’au bout à mener à bien la démarche.
Mettre en place une véritable stratégie de continuité d’activité nécessite du temps et des efforts, notamment pour analyser l’impact que pourrait avoir une situation de crise sur les activités de l’entreprise mais aussi pour évaluer les risques, ou encore pour faire comprendre, dans les différents services , à quel point il est utile et important d’établir un processus de préparation opérationnelle aux situations d’urgence. Le plus souvent, il peut s’avérer utile de désigner, dans chaque division, une personne de référence dans le domaine.
Autre objectif fondamental : renforcer, dans l’entreprise, la culture du risque et de la préparation à réagir. C’est là le rôle de la communication interne de convaincre l’ensemble du personnel de l’entreprise, du premier au dernier échelon.
Les actifs numériques au cœur de la continuité d’activité de l’entreprise
Aujourd’hui, une part croissante d’applications logicielles spécifiques achetées en dehors de l’entreprise se trouve au cœur de ses processus de production et de gestion. Or l’entreprise doit être consciente que tout nouvel actif numérique spécifique acheté à l’extérieur porte avec lui une relation de dépendance client-fournisseur à risque pour son activité.
Même s’il est difficile d’identifier ou de comptabiliser l’ensemble de ses actifs numériques, connaître et maîtriser parfaitement les risques qui leur sont liés est un besoin vital pour la Direction, la fonction Achat et pour les Métiers au sein de l’entreprise. Dans la pratique, pérenniser la détection et le traitement des risques consiste à mettre en place un processus continu d’analyse, de traitement et de retours d’expérience auprès des acteurs concernés (ex: acheteurs familles, acheteurs leader, Direction achats, Direction métier, Direction technique, Direction juridique…). En cela, cette pratique s’intègre totalement dans le processus de gestion de la continuité des activités de la norme ISO 22301.
Prévenir et anticiper une situation de crise liée à l’arrêt du support d’une application ou la disparition du fournisseur est capital pour la bonne marche de l’entreprise. L’enjeu pour l’organisation, au travers de ses contrats, processus d’achat et bonnes pratiques métier, est d’étendre le cercle de contrôle sur les actifs numériques spécifiques achetés à l’extérieur.
L'entiercement logiciel (ou escrow agreement) est tout particulièrement adapté puisqu'il agit comme une véritable protection juridique des logiciels.
Pour aller plus loin
La norme ISO 22301
Mettre en place la continuité des actifs numériques de son entreprise avec les solutions CONTINEW