Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Systèmes de Management de la Continuité d’Activité
  3. Normes, méthodologies et réglementations
Extrait - Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301
Extraits du livre
Systèmes de Management de la Continuité d’Activité Meilleures pratiques et mise en œuvre de la norme ISO 22301 Revenir à la page d'achat du livre

Normes, méthodologies et réglementations

Le panorama complet

Nous avons cherché à vous offrir un panorama varié de tous les documents qui guident la conception des plans de continuité d’activité et de la résilience. La liste est longue et, malgré notre expérience, elle a apporté quelques surprises. Les méthodologies sont grandement influencées par la culture de ceux qui sont censés les mettre en œuvre. Par exemple, un Américain n’abordera pas la gestion de la continuité d’activité de la même manière qu’un Français. C’est pourquoi nous avons assisté à l’émergence de nombreuses méthodes, chacune ayant ses spécificités culturelles et géographiques. La normalisation a permis de rationaliser cet éventail en apportant une cohérence, mais certaines méthodes résistent encore.

La réglementation et les lois suivent une tendance similaire de mise en cohérence, grâce à l’effet de l’Europe sur ses pays membres. Par exemple, le RGPD (règlement général sur la protection des données) a créé un cadre globalisé qui rend les dispositions compatibles entre elles dans chaque pays.

Dans notre approche, nous avons décidé d’explorer les normes, les méthodes et les réglementations...

Les normes

1. Les normes ISO 22301 et ISO 22313

La norme ISO 22301 est un référentiel international qui établit les exigences pour un système de management de la continuité d’activité (SMCA). Elle fournit un cadre complet et structuré pour aider les organisations à anticiper, prévenir, gérer et récupérer des incidents perturbateurs afin de maintenir la continuité de leurs activités vitales.

La norme ISO 22301 est basée sur une approche de gestion de risques. Cela signifie que les organisations doivent identifier et évaluer les risques susceptibles de perturber leurs activités. En comprenant les risques, les organisations sont en capacité de mettre en place des mesures préventives et des plans de continuité adaptés. Cette approche proactive permet de mieux anticiper les incidents et de réduire leur impact sur l’organisation.

La norme ISO 22301 définit les exigences relatives à la planification, à la mise en œuvre, au fonctionnement, à la surveillance et à l’amélioration continue du système. En adoptant cette norme, les organisations disposent d’un cadre solide pour gérer efficacement la continuité de leurs activités et s’assurer de faire face aux incidents majeurs.

Les avantages de la mise en œuvre de la norme ISO 22301 incluent les éléments suivants :

  • Une meilleure préparation aux incidents et aux crises.

  • Une réduction des perturbations et des temps d’arrêt.

  • Une amélioration de la résilience organisationnelle.

  • Une meilleure protection de la réputation et de la confiance des parties prenantes. 

  • Une amélioration de l’efficacité et de l’efficience des opérations.

La norme ISO 22301 est un outil précieux pour les organisations qui souhaitent améliorer leur capacité à faire face aux incidents perturbateurs. En adoptant la norme ISO 22301, les organisations peuvent réduire les risques, améliorer leur résilience et renforcer leur confiance avec les parties prenantes.

Les normes ISO 22301 et ISO 22313 sont deux documents complémentaires. La norme ISO 22301 définit les exigences relatives au SMCA, tandis que la norme ISO 22313 fournit...

Les méthodologies

1. La méthode du DRII : l’approche professionnelle  pour la continuité d’activité

La continuité d’activité est un aspect essentiel de la gestion des entreprises dans un monde en constante évolution, où les perturbations peuvent survenir à tout moment. Dans ce contexte, le DRII (Disaster Recovery Institute International) propose une méthode rigoureuse pour assurer la continuité des opérations en cas de sinistre.

images/2-8.png

Logo du DRII (https://drii.org)

Le DRII offre un ensemble de meilleures pratiques reconnues à l’échelle mondiale pour garantir la résilience des organisations face aux incidents majeurs. Sa méthode repose sur une approche globale qui couvre la préparation, la réponse et la reprise après sinistre. Nous pouvons affirmer que le DRII a jeté les bases d’une conception moderne et efficace de la continuité d’activité.

La méthode du DRII est basée sur des principes fondamentaux visant à assurer la continuité d’activité de manière efficace et professionnelle. Elle met l’accent sur un leadership engagé, une approche basée sur les risques, l’implication des parties prenantes, des processus documentés et des tests réguliers.

L’évaluation des risques constitue une étape clé de la méthode du DRII. Il s’agit d’identifier les risques et d’évaluer leur impact sur les activités de l’organisation. Cette analyse approfondie des menaces, qu’elles soient externes ou internes, permet de déterminer les priorités en matière de continuité d’activité.

La planification de la continuité d’activité est une autre étape essentielle. Sur la base de l’évaluation des risques, des plans de continuité sont élaborés pour assurer la reprise des activités en cas d’incident. Ces plans comprennent des procédures détaillées, des rôles et responsabilités clairement définis, et des stratégies pour minimiser les pertes et les interruptions.

La préparation et l’entraînement sont également cruciaux dans la méthode du DRII....

Les réglementations

1. Réglementation européenne

Voici quelques-unes des réglementations et des textes de loi européens qui sont pertinents pour la continuité d’activité, la résilience et la gestion de crise :

1. Directive 2008/114/CE de l’Union européenne sur la résilience des infrastructures critiques : cette directive établit un cadre pour l’identification et la protection des infrastructures critiques au sein de l’Union européenne, en encourageant la coopération et la coordination entre les États membres pour assurer leur résilience face aux incidents majeurs.

2. Directive 2014/24/UE de l’Union européenne sur la passation des marchés publics : bien qu’elle ne soit pas spécifiquement axée sur la continuité d’activité, cette directive requiert que les organismes publics prennent en compte la disponibilité de services.

3. Règlement (UE) 2016/679 sur la protection des données (RGPD) : bien que principalement axé sur la protection des données personnelles, ce règlement impose aux organisations de mettre en place des mesures de sécurité et de continuité d’activité pour assurer la confidentialité, l’intégrité et la disponibilité des données.

Il convient de noter que la continuité d’activité, la résilience et la gestion de crise sont souvent abordées dans un contexte national, avec des réglementations et des textes de loi spécifiques à chaque État membre de l’Union européenne.

4. Loi DORA : le Conseil européen a adopté en 2022 la loi sur la résilience opérationnelle numérique (DORA) dans le but d’assurer la résilience du secteur financier européen face à d’importantes perturbations opérationnelles. DORA s’applique aux tiers critiques fournissant des services liés aux technologies de l’information et de la communication (TIC) aux entités financières. Cette réglementation établit un cadre pour renforcer la résilience opérationnelle numérique, en obligeant toutes les entreprises à...

La bonne approche pour s’en sortir

Le problème à résoudre est en réalité assez simple et peut être résumé en deux questions clés :

1. Quelles sont les obligations réglementaires auxquelles nous devons répondre en fonction de la nature de nos activités et de la localisation de notre organisme ?

2. Compte tenu de ces obligations et de notre culture d’entreprise, quel référentiel méthodologique est le plus approprié ?

Pour répondre à la première question, il suffit de dresser un inventaire des cadres réglementaires pertinents pour notre organisme. Dans la plupart des cas, il s’agit d’un seul cadre spécifique : secteur bancaire, industriel, des services aux entreprises, etc.

Cependant, les entreprises ayant une dimension internationale doivent mettre en place un dispositif cohérent au niveau du groupe et ce système doit répondre au minimum requis dans chaque pays où se trouve une filiale. Ce casse-tête a été grandement simplifié depuis l’adoption par la majorité des pays du référentiel ISO. En pratique, nous vous recommandons de vérifier dans chaque cas qu’il n’existe pas de disposition plus contraignante dans une localité.

La mise en place d’un plan de continuité d’activité...