Implémentation d’un SMCA (système de management de la continuité de l’activité) suivant la norme ISO 22301

ISO 22301 SMCA

La norme ISO 22301 spécifie les exigences pour planifier, établir , mettre en œuvre , exploiter , surveiller , revoir , maintenir et assurer une amélioration continue d’un système de management de la continuité d’activité, et ce , afin d’assurer que l’organisme puisse continuer à fonctionner et à délivrer ses produits et/ou services dans le cas de survenance d’un événement perturbateur, voire même un sinistre majeur.

La majorité des organismes réagissent aux perturbations majeures d’une façon réactive et en improvisant des solutions au moment de l’événement, ce qui implique des erreurs dans les prises de décision, voire l’aggravation de la situation car les parties intéressées ne sont pas préparées à de telles situations, un SMCA répond à cette problématique en ne laissant rien au hasard , en ayant des directives et des procédures claires à suivre en cas d’un événement perturbateur qui empêcherait l’organisme de remplir sa mission.

Contexte , Leadership et engagement de la direction:

Le responsable du projet d’implémentation du SMCA devrait avant tout, s’assurer de l’engagement de la direction et son appui pour la mise en place du SMCA, sans cet appui, le projet ne pourrait aboutir, et dans la plupart des cas, voué à l’échec.

La direction est tenue également de communiquer sur l’importance de la mise en place d’un système de management de continuité de l’activité, et également de fournir les ressources nécessaires au SMCA.

Bien comprendre l’organisme et son contexte est une étape primordiale, elle permet entre autres de justifier le besoin de mettre en place un SMCA et déterminer les besoins et les attentes des parties intéressées (exigences légales, réglementaires, contractuelles …).

Activités de support:

Afin de réussir l’implémentation d’un SMCA, l’organisation doit fournir les ressources et les compétences nécessaires afin de l’implémenter et de le maintenir.

Il est indispensable de sensibiliser le personnel à la politique de continuité de l’activité et de la contribution et rôle de chacun dans le système.

Des dispositifs de communication avec les parties intéressées internes et externes doivent être mis en place également.

Et afin de faciliter le suivi, la surveillance et l’audit du système, les informations liées au SMCA doivent être documentées suivant un processus dans lequel la gestion du cycle de vie des documents est bien définie (création, modification, approbation, suppression …). Une bonne base documentaire permettra ainsi de démontrer l’efficacité du système.

Politique de continuité de l’activité:

La politique de continuité de l’activité est un élément essentiel d’un SMCA, c’est un document approuvé par la direction qui définit le cadre pour identifier et atteindre les objectifs clés concernant la continuité de l’activité ainsi que les rôles et responsabilités qui y sont liés.

Il n’y a pas de modèle spécifique à adopter pour établir une politique de continuité de l’activité, même son contenu et son périmètre varient d’une organisation à l’autre.

Par ailleurs, la politique de continuité doit être révisée périodiquement, et apporter des mises à jour si nécessaire.

L’analyse des impacts sur l’activité (BIA) :

L’analyse des impacts sur l’activité (ou plus communément la BIA) est une étape indispensable dans la mise en place d’un SMCA, elle consiste à analyser les activités clés de l’organisme et d’évaluer l’effet d’une perturbation sur elles.

elle permet entre autres d’identifier les activités les plus critiques de l’organisme et sert comme un input à l’étape de l’appréciation des risques.

Un processus formel d’analyse des impacts sur l’activité doit être ainsi mis en place par les organisations souhaitant se conformer à la norme ISO22301.

Appréciation du risque :

L’appréciation des risques est tout aussi primordiale, car elle permet d’identifier, d’analyser et d’évaluer les risques auxquels est confrontée l’organisation et qui peuvent causer des perturbations des activités essentielles.

Les résultats des appréciations des risques et du BIA vont permettre entre autres d’imaginer et définir une stratégie de continuité de l’activité.

Stratégie de continuité de l’activité :

Une fois les activités critiques identifiées et priorisées, les impacts sur les activités évalués et les risques analysés, l’organisme sera en mesure de définir une stratégie de continuité de l’activité.

La stratégie de continuité de l’activité est une vision globale de l’organisme pour faire face à un événement perturbateur en protégeant les activités critiques, réduire et minimiser les dégâts et permettre à l’organisme de continuer à remplir sa mission. une stratégie de continuité par exemple peut consister à continuer fonctionner manuellement le temps de restaurer le système impacté en mettant en place un processus bien défini, ou aussi d’opter pour un site de backup distant permettant de prendre le relais si le système primaire connaît des perturbations qui empêchent l’organisme de produire ses services.

Il n’y a pas de stratégie commune à adopter par l’ensemble des entreprises, chaque organisme a ses spécificités et son contexte particulier, c’est pourquoi la définition d’une stratégie est presque unique pour chaque organisme. elle doit prendre en compte également la taille de l’organisme, les moyens financiers, les ressources disponibles, la situation géographique etc.

Il est à signaler que quelques organismes dépendent d’autres parties pour fonctionner, il est essentiel dans ces cas de prendre ce facteur en compte dans la définition de la stratégie de continuité de l’activité.

Plan et procédures de continuité de l’activité:

Une fois la stratégie de continuité d’activité déterminée, il est temps de produire des procédures plus détaillées qui traduisent la stratégie globale et définissent step-by-step comment faire face aux événements perturbateurs de l’activité.

Un plan de continuité de l’activité permet de décrire en détail comment on peut faire face aux scénarios de risque déjà identifiés dans les phases précédentes avec un langage clair et précis, et permettre à l’organisme de minimiser les dégâts engendrés par les événements perturbateurs de l’activité et assurer un retour à la normale dans les meilleures conditions possibles.

La majorité des organismes prévoit également de produire un plan d’urgence qui sert à pouvoir répondre dans les plus brefs délais à une crise ou à une catastrophe pour protéger les personnes en priorité : secours publics, évacuation, gestion des priorité …

Une autre procédure importante à produire est la procédure de reprise d’activité qui permettra de récupérer les opérations critiques , peut être sur un site distant pour continuer à remplir la mission principale de l’organisme, le temps du retour à la normale.

A côté de la reprise de l’activité , un plan de reconstruction devrait être défini pour permettre un retour serein à la normale et la restauration totale le cas échéant du site principal de l’organisme.

Ce n’est pas une liste exhaustive des procédures et plans à prévoir, chaque organisation a ses spécificités et son contexte particulier , et d’autres procédures peuvent bien sûr être produites en cas de besoin.

Exercices et tests :

il ne suffit pas de produire des procédures et des plans de continuité de l’activité pour se conformer à l’ISO22301, la norme exige de revoir la documentation liée au SMCA périodiquement (de préférence annuellement), et de dérouler des exercices et des tests pour s’assurer de la fiabilité et de la cohérence des procédures écrites avec les objectifs prédéfinis.

Revues et surveillance du SMCA :

Une revue de toutes les composantes du SMCA doit être effectuée périodiquement sous différentes formes afin d’assurer que le système reste toujours efficace et répond aux objectifs de continuité de l’activité.

Les procédures et plans de continuité devraient être révisés et mis à jour périodiquement, des audits internes devraient être effectuées, les analyses d’impacts et appréciations des risques devraient être revues et adapté aux nouveau contexte et aux changements majeurs, les exercices et tests devraient être déroulés périodiquement et les entrants suite aux requêtes et commentaires des parties intéressées devraient être pris en compte.

l’efficacité du SMCA doit être évaluée au fil du temps afin d’être toujours préparé à faire face à un événement perturbateur avéré.

L’amélioration continue :

un SMCA est mis en place pour servir à n’importe quel moment où un événement, qui empêche l’organisme de remplir sa mission, se produise, c’est pour cela qu’il doit être amélioré continuellement en se basant sur les résultats des revues, des audits, des tests et exercices et de ses faiblesses qui ont pu être détectées dans le passé.

Leave a Reply

Your email address will not be published. Required fields are marked *