Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Systèmes de Management de la Continuité d’Activité
  3. Le SMCA
Extrait - Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301
Extraits du livre
Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301 Revenir à la page d'achat du livre

Le SMCA

Le système de management : définition et principes

"Un système de management est l’ensemble des processus par lesquels un organisme gère les éléments corrélés ou en interaction de ses activités afin d’atteindre ses objectifs".

Nous trouvons cette définition sur le site de l’ISO. Elle est donc exacte. Cependant, la nature profonde de ce qu’est réellement un système de management nous échappe encore à ce stade.

Le système de management est comme le système immunitaire d’une organisation. Il est responsable de la protection de l’organisation contre les risques et de l’amélioration de ses performances dans un environnement changeant. Tout comme le système immunitaire, le système de management est composé de nombreux éléments qui travaillent ensemble pour identifier et combattre les menaces.

Certains des éléments du système de management sont les suivants :

  • Des employés formés et motivés.

  • Des politiques et des procédures claires et concises.

  • Un système de surveillance et de suivi efficace.

  • Un processus d’amélioration continue.

En poursuivant l’analogie que nous avons proposée : les employés combattent les menaces de l’organisation comme les lymphocytes éliminent...

La roue de Deming

La plupart des systèmes de management comportent un principe d’amélioration continue. Il est illustré par la roue de Deming, appelée également "cycle PDCA".

images/3-2.png

Principe d’amélioration continue

En fait, la roue de Deming est une représentation symbolique d’une caractéristique majeure du système de management. Ce système est construit sur un cycle où quatre phases se succèdent : Plan, Do, Check et Act. Comme le montre l’image, la rotation de la roue permet d’atteindre un niveau supérieur de performance. À chaque tour, le système revient à la première phase et le cycle se reproduit.

Ce système mnémotechnique est souvent traduit en français par "Planifier - Développer - Contrôler - Ajuster". Bien évidemment, cette roue n’a aucune existence physique et vous n’êtes pas supposé la fabriquer. Il faut retenir de ce concept que toutes les actions qui sont programmées dans le système doivent apporter un progrès par rapport à la situation antérieure. Ce progrès doit être mesurable de manière objective. À l’inverse, certaines décisions peuvent éventuellement faire régresser le système et doivent être neutralisées rapidement. Nous...

Les différents systèmes de management

L’ISO a développé plusieurs systèmes de management depuis celui de la qualité. À l’heure actuelle, ils concernent des domaines extrêmement variés. Seule une partie de ces documents présente un intérêt direct ou connexe au domaine de la continuité d’activité.

Les normes suivantes sont signalées "HS", pour Harmonized Structure, et disposent d’un corpus commun de termes et de définitions, et nous intéressent dans le cadre de la continuité d’activité :

Référence

Titre

ISO 22301:2019

Sécurité et résilience - Systèmes de management de la continuité d’activité - Exigences

ISO 22313:2020

Sécurité et résilience - Systèmes de management de la continuité d’activité - Lignes directrices sur l’utilisation de l’ISO 22301

ISO/IEC 27001:2022

Sécurité de l’information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l’information - Exigences

ISO/IEC 27003:2017

Technologies de l’information -Techniques de sécurité -Systèmes de management de la sécurité de l’information - Lignes directrices

ISO 9001-2015...

Le système de management appliqué à la continuité d’activité

La norme ISO 22301 a appliqué le concept de système de management à la continuité d’activité. Le système de management de la continuité d’activité (SMCA) comporte de nombreuses similitudes avec le dispositif décrit dans la norme ISO 27001 et appelé système de management de la sécurité de l’information, ou SMSI.

La définition apportée par la norme ISO 22301 au SMCA est évidente et simple : c’est un "système de management destiné à la continuité d’activité".

Elle précise également le contenu du SMCA : "la structure de l’organisme, les politiques, les activités de planification, les responsabilités, les procédures, les processus et les ressources". Cette définition synthétique ne donne pas une idée concrète de l’ampleur de la tâche.

La lecture de la norme ISO 22301 fournit toutes les explications dont vous avez besoin pour créer le SMCA. La récolte des informations nécessaires à la continuité d’activité et les fruits de votre réflexion sur les stratégies à mettre en œuvre génèrent le SMCA. Il comporte donc des documents descriptifs, des plans, des procédures, des checklists, des présentations pour réunions, des politiques, etc.

Le SMCA comporte non seulement la description de tous les processus nécessaires à la continuité d’activité mais également les enregistrements créés par l’exécution de ces processus. Par exemple, vous devez intégrer dans la base documentaire du SMCA la méthode d’analyse des risques, les questionnaires et checklist associées ainsi que les rapports créés à chaque application du processus d’analyse des risques.

Il est assez facile d’établir la liste des documents indispensables pour le SMCA. En général, ils sont formellement cités ou décrits dans la norme ISO 22301.

La norme comporte également des recommandations qui n’ont pas forcément un caractère...

La politique de continuité d’activité

Le moteur principal de tout système de management est la politique. Dans le SMCA, nous parlons de la politique de continuité d’activité.

La politique est constituée des "intentions et orientations d’un organisme, telles qu’elles sont officiellement formulées par sa direction".

Pour la continuité d’activité, nous parlons d’intentions et d’orientations en matière de continuité d’activité.

Cette définition est juste mais elle est très théorique. Dans la pratique, la direction de l’entreprise ne se trouve pas devant une page blanche afin d’y rédiger sa politique. Nous devons lui donner un coup de pouce en fournissant un projet de politique. Ce document est proposé à la direction pour qu’elle se l’approprie. 

images/3-6.png

Démarrer une politique de Gestion de la Continuité d’Activité (GCA)

La rédaction du brouillon de politique n’est pas un travail très fastidieux. Le schéma du document est bien codifié par la norme et il n’est pas très difficile de concevoir une première version conforme aux caractéristiques d’une bonne politique. Le travail le plus long et le plus compliqué se trouve après cette étape, lorsque la direction commence à y apporter ses modifications. En effet, la politique de continuité d’activité doit être approuvée par la direction de l’organisme. Tous, au plus haut niveau de la hiérarchie, doivent sous-peser chaque mot du document et être en plein accord avec chaque chapitre. L’engagement du management doit être total et sans ambiguïté. C’est pourquoi la direction doit lire avec attention chaque ligne du document et demander les modifications appropriées pour pouvoir s’engager.

Vous devez faire preuve de réalisme pour arriver à une politique de bonne qualité dans des délais acceptables. En premier lieu, il est raisonnable de miser sur deux ou trois itérations avant d’obtenir un résultat acceptable. La première version de la politique nécessite des modifications demandées par la direction. La deuxième...

Le leadership

Dans les faits, ce leadership est formalisé aussi dans la politique de continuité d’activité.

Nous avons coutume de dire que l’engagement de la direction dans la réussite du projet est vital. C’est vrai. La norme ISO 22301 nous conforte dans cette idée et explique ce que l’organisme "est en droit d’attendre" de la direction. Nous avons mis ici des guillemets car évidemment l’organisme n’attend rien par lui-même et il s’agit plutôt du responsable de la continuité d’activité. L’expérience rejoint ici la théorie et elle confirme les difficultés apportées par une direction peu impliquée dans le dispositif de gestion de la continuité d’activité. 

Chronologiquement, la désignation d’un responsable du SMCA est une des premières responsabilités de la direction. La norme est formelle sur ce point. Pourtant, dans la plupart des cas, l’initiative de concevoir un système de management de la continuité d’activité est prise par celui qui prendra la tête du projet. Il vend son projet à la direction et espère en avoir le soutien. Il a acquis une connaissance des concepts et des méthodes de la continuité d’activité grâce à une formation, un séminaire...

Comment concevoir un SMCA ?

La démarche qui se rapproche le plus de la conception du SMCA est, sans aucun doute, le reengineering de l’organisme. Nous allons le transformer pour qu’il soit capable de répondre à des scénarios de crise qu’il serait incapable de surmonter dans la situation actuelle.

Cette analogie nous donne la première étape de ce long travail dont l’objectif est de formuler la vision de la continuité d’activité pour l’organisme.

Pour ce faire, vous devez comprendre la situation actuelle en matière de continuité d’activité et la position future, à long terme, que l’organisme devra occuper. Autrement dit, la vision est la future capacité de répondre aux événements disruptifs de manière appropriée.

Cette démarche représente une charge de travail considérable et implique des modifications en profondeur de l’organisme. Vous devez accepter de ne pas voir un système totalement opérationnel dans les prochains mois suivant le début des activités. Pourtant, il ne s’agit pas de revoir vos ambitions à la baisse uniquement pour maintenir une date butoir acceptable. C’est pourquoi vous devrez penser à des stratégies d’implémentation (à ne pas confondre avec les stratégies...

Exemple de structure SMCA

Nous pensons qu’il est réducteur de ne considérer que la partie documentaire du SMCA qui est un système beaucoup plus complexe. Cependant, nous devons le formaliser et nous vous proposons donc un format type pour décrire le dispositif. Ce document et les procédures associées viennent compléter l’arborescence SMCA que nous vous avons proposée. C’est un document minimaliste à adapter à la complexité de votre organisation et du système de gestion de la continuité d’activité que vous mettez en œuvre :

Système de management de la continuité d’activité (SMCA)

Entreprise : [Nom de l’entreprise]

Auteur : S.Hesschentier

Version : 1.0 du 12/12/2023

Gestion documentaire et diffusion : xxxxxxx

  • 1. Introduction

    Le système de management de la continuité d’activité (SMCA) de [Nom de l’entreprise] est conçu pour garantir la résilience de nos activités et la continuité de nos services face aux incidents perturbateurs. Ce document définit les politiques, les procédures et les responsabilités associées à notre SMCA, en alignement avec les normes fictives de continuité d’activité (ex. norme NCA 2023).

  • 2. Objectifs

    Les objectifs de notre SMCA sont les suivants :

    a) Identifier les risques et les menaces susceptibles d’affecter la continuité de nos activités.

    b) Développer des plans de continuité d’activité pour assurer la reprise rapide et efficace de nos services.

    c) Mettre en place un système de surveillance et de gestion des incidents pour minimiser les interruptions d’activité.

    d) Former et sensibiliser nos employés à la continuité d’activité et aux procédures d’urgence.

    e) Réaliser des exercices et des tests réguliers pour évaluer et améliorer notre résilience opérationnelle.

  • 3. Responsabilités

    3.1 Direction

    La direction de [Nom de l’entreprise fictive] est responsable des actions suivantes :

    • Établir la politique de continuité d’activité et fournir les ressources nécessaires pour sa mise en œuvre.

    • Nommer un responsable...