AGENDA

1. Introduction et définition
2. Contexte réglementaire et enjeux clients
3. L’ISO 22301 en application
4. Constat et conclusion

Confidentiel ISO 22301 1

 Introduction et définition
L’ISO 22301 et le SMCA

• La norme ISO 22301:2012 décrit la mise en place d’un Système de Management de la Continuité d’Activité (SMCA). Elle s’insère dans
la série de normes ISO 22300 relative à la continuité d’activité des entreprises.
La continuité d’activité correspond à la capacité d’une organisation à poursuivre la fourniture de produits ou la prestation de services à
des niveaux acceptables et préalablement définis après un incident perturbateur. Son périmètre englobe donc a minima toutes les
activités jugées essentielles à la survie de l’entreprise (métier, IT…) Le SMCA correspond quant à lui au système de management global
qui établit, met en œuvre, contrôle, révise, maintient et améliore la continuité d’activité.

• Dans ce cadre, la norme met particulièrement en avant trois points spécifiques en ouverture : la compréhension des besoins en
continuité d’activité de l’entreprise, et en conséquence ses objectifs ; la manière dont l’entreprise mesure et contrôle son SMCA ;
l’amélioration continue sur la base de mesures objectives.

Lexique Que trouve-t-on dans un SMCA ?

PCA (Plan de continuité d’activité) : procédures documentées servant
de guide aux organisations pour répondre, rétablir, reprendre et - Une politique
retrouver un niveau de fonctionnement prédéfini à la suite d’une
perturbation. - Rôles et responsabilités des principaux acteurs concernés

Analyse d’impact : processus d’analyse des activités et de l’effet qu’un - Des processus de management qui se rapportent à :
événement perturbateur peut avoir sur elles. - La politique
- La planification
DMIA/DMTP (Durée Maximale d’Interruption Acceptable / Tolérable
de Perturbation) : temps nécessaire pour que les impacts défavorables - La mise en œuvre et le fonctionnement
résultant de la non réalisation d’une activité deviennent - L’évaluation des performances
inacceptables. - La revue de direction
- L’amélioration
OMCA (Objectif Minimal de Continuité d’Activité) : niveau minimal
acceptable de services/produits pendant une perturbation
- Une documentation fournissant des preuves tangibles
RTO (Recovery Time Objective) : durée après un incident durant
laquelle une activité doit être reprise.

ISO 22301 2
AGENDA

1. Introduction et définition
2. Contexte réglementaire et enjeux clients
3. L’ISO 22301 en application
4. Constat et conclusion

Confidentiel ISO 22301 3

 Contexte réglementaire et enjeux clients
Une série de normes fondée sur des enjeux de sécurité croissants
• Les normes de la série 22300 traitent de la continuité d’activité, un sujet particulièrement prégnant pour les entreprises, dans un
environnement où les menaces sont de plus en plus complexes, variées et nombreuses (sécurité des biens et personnes, risques
financiers, réputationnels, cyber…). Dans ce contexte, les entreprises doivent mettre en place des systèmes aptes à minimiser l’impact
des événements perturbateurs sur leurs activités essentielles.

Contexte réglementaire Enjeux clients

L’enjeu est
Le guide du SGDSN • existentiel : la continuité d’activité constitue l’assurance-survie de
l’entreprise. Mettre en place un SMCA, c’est s’assurer du maintien des
Le Secrétariat Général à la activités vitales de l’entreprise, et atténuer les dégâts en temps de crise.
ISO 31000 Défense et à la Sécurité Nationale,
rattaché au Premier Ministre, a • organisationnel : la démarche demande de connaître l’organisation en
La série ISO 31000 publié en 2013 un Guide pour profondeur, son fonctionnement, ses forces et ses faiblesses. Mettre en
rassemble la norme 31000 réaliser un PCA à destination des place un SMCA, c’est s’offrir une vue globale des activités de l’entreprise.
relative à la mise en place organisations. Il se divise en 3 • réglementaire : tous les établissements de crédit sont dans l’obligation de
d’un système de grandes parties : le pourquoi, le
management des risques, la disposer d’un PCA, obligation renforcée depuis 2013 par la LPM pour les
comment, puis un recueil de fiches OIV. Pour les assureurs, la directive Solvabilité II l’impose.
norme 31010 qui concerne pratiques.
les techniques d’évaluation • réputationnel : c’est un facteur de confiance pour les partenaires, qui
des risques et l’ISO Guide rassure sur la capacité de l’entreprise à faire face aux chocs extrêmes.
73 relatif au vocabulaire de
la gestion des risques. ISO 22300 • humain et financier : c’est protéger les collaborateurs et réduire les dégâts
Le management des risques qui ne pourront être prévenus.
est un pendant essentiel de La norme ISO 22300 définit le • d’amélioration continue : c’est la possibilité de se faire certifier et donc
la continuité d’activité. vocabulaire de la continuité d’engager un cercle vertueux de résilience de l’entreprise.
d’activité en entreprise, repris
dans la norme ISO 22301.

ISO 22301 4
AGENDA

1. Introduction et définition
2. Contexte réglementaire et enjeux clients
3. L’ISO 22301 en application
4. Constat et conclusion

Confidentiel ISO 22301 5

 L’ISO 22301 en application
Contexte organisationnel et responsabilités de la direction

Que faut-il documenter ?

- Les activités de l’organisation, ses services, ses produits, ses partenariats, ses chaînes d’approvisionnement, ses relations avec les
parties intéressées (clients, fournisseurs, régulateurs, Etats…)

- Objectifs de l’organisation, autres politiques pouvant influer sur la continuité d’activité, stratégie globale de gestion des risques,
appétence au risque de l’organisation

Contexte organisationnel Responsabilités de la direction

- Exprimer clairement les objectifs de l’entreprise, et La direction doit manifester son soutien à l’initiative : promotion,
notamment ceux liés à la continuité d’activité (quel est le participation à l’amélioration continue, affectation des bonnes
cœur de métier de l’entreprise, quelles sont les grandes compétences et des ressources suffisantes.
activités à sauvegarder à tout prix)
La direction a aussi la responsabilité d’établir une politique de
- Définir les facteurs de risques externes et internes continuité d’activité et de désigner une ou plusieurs personnes
responsable(s) du SMCA. Elle doit aussi vérifier que les
- Etablir (ou rappeler) les critères d’analyse des risques responsabilités des autres managers sont attribuées et
communiquées
- Définir la finalité du SMCA
La politique de continuité d’activité doit fournir un cadre pour établir
Pendant l’établissement du contexte, l’organisation doit les objectifs de continuité, inclure l’engagement de satisfaire aux
déterminer les parties intéressées qui sont concernées par le exigences applicables et l’amélioration continue.
SMCA et leurs exigences.

ISO 22301 6
 3 L’ISO 22301 en application
Vue globale de l’établissement d’un SMCA
FONCTIONNEMENT

Bilan Structure Structure

Stratégie Procédures Contrôle et
d’Impact de de Exercices
Analyses de de amélioration
sur les détection réponse et tests PCA
de risques Continuité Continuité continue
Activités des aux réguliers
d’Activité d’Activité (dont REX)
(BIA) incidents incidents

PLANIFICATION SUPPORT
- Déterminer les risques et opportunités L’organisation doit fournir toutes les ressources nécessaires
- Planifier les actions à mener en conséquence et les à l’établissement, la mise en œuvre et l’amélioration
modalités de mise en œuvre et d’intégration de ces continue du SMCA :
actions au sein des processus SMCA. Evaluer l’efficacité - S’assurer des compétences des responsables de du
de ces actions. SMCA, les former si besoin. Conserver des infos
- Communiquer des objectifs de continuité aux fonctions documentées prouvant ces compétences.
concernées. Ils doivent être mesurables, cohérents - Sensibiliser à l’utilité du SMCA et au rôle de chacun
avec la politique et mis à jour si nécessaire. SMCA - Déterminer sur quels sujets communiquer, à quel
- Définir et attribuer les actions, les ressources, les moment et avec qui, en interne et en externe. S’assurer
échéances et les modalités d’évaluation des résultats. du maintien de la communication en cas de crise.
- Maîtriser les informations documentées.

CONTEXTE ORGANISATIONNEL

ISO 22301 7
 L’ISO 22301 en application
Détail de la démarche
 Analyse de risques : établir, mettre en œuvre et tenir à jour des analyses de risques (modèle ISO 31000) établissant des critères constants, des
priorités de traitement et les coûts associés ;

 Réaliser des BIA comprenant l’identification des activités supports de la fourniture de produits ou de la prestation de services, identifier les
impacts en cas de non-réalisation, déterminer des DMIA et identifier les interdépendances ;

 Mettre en place une stratégie de continuité des activités identifiées comme prioritaires et définir les ressources à solliciter pour la mettre en
œuvre ainsi que les mesures de protection et d’atténuation en cas d’événement perturbateur ;

 Sur la base d’hypothèses établies suite à l’analyse de risques et aux BIA, et sur la base de l’analyse des interdépendances, documenter les
procédures de continuité d’activité visant à mettre en œuvre les stratégies d’atténuation appropriées. Les procédures doivent pouvoir
s’appliquer à des événements non envisagés ;

 Mettre en place des procédures de détection des incidents ;

 Mettre en place une structure de réponse aux incidents qui doit identifier les seuils d’impact qui justifient une réponse formelle ;

 A partir des procédures établies, mettre en place un PCA, contenant :

 Rôles et responsabilités
 Procédure d’activation du plan
 Détails de la gestion de crise immédiate (stratégique, tactique et opérationnelle)
 Procédures de continuité et de reprise d’activité dans un délai prédéterminé
 Procédures de sortie de crise

 Mettre en place des exercices réguliers sur les procédures et la gestion de crise, et en réaliser des retours d’expérience, et sensibiliser
l’ensemble des acteurs de la filière.

ISO 22301 8
 L’ISO 22301 en application
Gestion de crise
 La continuité d’activité ne saurait se résumer à l’application de procédures prédéfinies, tant la nature des événements
perturbateurs que peut rencontrer l’organisation est variée. La mise en place d’un SMCA suppose « une structure de réponse aux
incidents », souvent appelée cellule de crise. C’est la cellule qui est amenée, pendant la crise, à proposer des solutions de
continuité d’activité en s’appuyant sur les procédures préétablies dans le PCA.

AVANT PENDANT APRES

EVENEMENT PERTURBATEUR

Anticiper Gérer Mettre à profit

• Alerter
• Etablir une veille • RETEX
• Organiser
• Préparer • Diffusion auprès des
• Mettre en œuvre
• Maintenir en acteurs concernés
l’existant (PGC, PCA)
condition • Amélioration
et l’adapter
continue

Outils et moyens
• Salle et annuaire de crise • Plan de Gestion de Crise • Instances plénières
• Exercices réguliers • Cellule(s) de Crise • Communication sur le RETEX
• Structure de détection des • Outil d’alerte • Outil d’alerte
incidents

ISO 22301 9
AGENDA

1. Introduction et définition
2. Contexte réglementaire et enjeux clients
3. L’ISO 22301 en application
4. Constat et conclusion

ISO 22301
Confidentiel 10
 Constat et conclusion
L’ISO 22301:2012

 Constat
 L’ISO 22301 propose une approche globale de la continuité d’activité au sein des entreprises, de la définition des
responsabilités et de l’analyse d’impact jusqu’à l’amélioration continue en passant par la planification des procédures de
continuité d’activité et de gestion de crise. Les responsabilités de la direction sont clairement évoquées.
 Le cadre est assez généraliste pour être adapté à différents types d’organisation.
 La norme inclut les éléments relatifs à l’analyse de risques, nécessaires à la mis en place du SMCA, et que l’on retrouve dans la
norme ISO 31000 relative au management des risques. Le SMCA a pour objectif d’englober la totalité des processus de
l’entreprise (à niveau de maturité élevé) et de communiquer avec la majorité des fonctions supports .

 Conclusion générale
 Les recommandations de la norme ISO 22301 sont cohérentes avec le contexte actuel dans lequel évoluent les entreprises. En
l’espace de 30 ans, l’accélération des échanges et l’évolution technologique et sociale constantes ont profondément modifié le
rapport des entreprises aux événements perturbateurs. La crise d’aujourd’hui est devenue l’expression d’un réseau d’acteurs,
de flux et d’idées trop dense pour être maîtrisé et générant une incertitude quasi-constante. La crise s’est banalisée.
 En réponse à cette évolution, la continuité d’activité s’est développée dans une appréhension globale des processus de
l’entreprise tout en se standardisant. L’approche n’est plus seulement planifiée, mais structurée de manière à développer un
système hautement polyvalent à même d’absorber les chocs et d’en tirer parti, d’accepter des inconnues plutôt que d’en
espérer une cartographie exhaustive. L’ISO 22301 et le SMCA en constituent l’expression.

ISO 22301 11