TASQ-OM , Mastère spécialisé QSE, février 2017

Introduction à l'ISO 22301

Animé par Lhacène YAHIAOUI

 Tour de table
• Présentation
Nom, fonction, parcours
• Expérience dans la continuité d'activité
• Expérience éventuelle dans les systèmes de management ou
la qualité au sens ISO 9000
• Connaissance des normes ISO 22301, ISO 22313 et ISO
31000

• Expérience dans d'autres référentiels

BS25999, ISO27001, Audit CobiT, ITIL/ISO20000, CMMI,
EBIOS/Mehari/ISO27005, etc
• Attentes
3 / 151
 Programme
1. Introduction aux normes et à l'ISO22301
2. Vision processus de l'ISO22301
3. Management des risques avec la norme ISO31000
4. Certification ISO22301

4 / 151
 Introduction à l'ISO 22301
ISO 22301 impose la mise en place d’un SMCA
SMCA : Système de Management de la Continuité d'Activité
SM Système de management
CA Continuité d'Activité

Trois questions fondamentales

Qu’est ce qu’un système de management ?
Qu’entendons nous par continuité d'activité ?
Pourquoi mettre en place un SMCA ?

5 / 151
 Introduction à l'ISO 22301

Système de
management ISO 22301

Point
sur les
ISO 22313
normes

Continuité
d'activité ISO 27031

6 / 151
 Système de management : définition

• Définition formelle de l’ISO 9000

C’est un système permettant :
1. D’établir une politique
2. D’établir des objectifs
3. D’atteindre ces objectifs

Situation Politique
Objectifs
actuelle

7 / 151
 Système de management : définition

Définition plus empirique

Ensemble de moyens
Organisationnels
Techniques
Permettant
D’atteindre un objectif
Une fois atteint, d’y rester dans la durée

Moyens
techniques
Situation Politique Objectifs
actuelle
Moyens
organisationnels

8 / 151
 Système de management : propriétés

Basé sur la notion de processus :

Processus : ensemble d'activités corrélées ou interactives qui
transforment les éléments d'entrée en éléments de sortie
Propriétés des systèmes de management
Couvrent un large spectre de métiers et de compétences
Concernent tout le monde
De la direction générale
Jusqu’en bas de l’échelle
Se basent sur des référentiels précis
Importance du document écrit
Sont auditables
Quelqu’un peut venir vérifier qu’il n’y a pas d’écart entre le système de
management et les référentiels
9 / 151
 Système de mgmt : conséquences

Conséquences du fait de travailler sur un système de

management
Travail transversal
Implication de l'ensemble des acteurs
De la direction générale
A l’accueil
En passant par les opérationnéls
Importance de l’écrit
Passage de la tradition orale à la tradition écrite
Dans certains cas, un effort culturel important
Peuvent être audités
Les processus seront constamment évalués

10 / 151
 Système de management : apports

Apports d’un système de management

Oblige à adopter de bonnes pratiques
Augmente donc la fiabilité de l’organisme dans la durée
De façon pérenne
Apporte la confiance aux parties prenantes
Parce qu'un système de management est auditable

Qui dit confiance dit business

11 / 151
 Système de mgmt : parties prenantes

Qui sont les parties prenantes ? (interested parties)

Les actionnaires
Les autorités de tutelle
Les clients
Les fournisseurs
Les partenaires
Le personnel
Le public
Les systèmes de management sont mis en place
A cause des parties prenantes
Pour les parties prenantes

12 / 151
 Système de management
Organisation

Système de Management
Partenaires
Formulent des
exigences Planification
Fournisseurs
Plan
Clients

Pouvoirs Satisfait les Action Correction

publics exigences Do Act

Services
Vérification
Check

13 / 151
 Normes de systèmes de management

Systèmes de management :
de la qualité (SMQ) : ISO 9001:2008
environnemental (SME) : ISO 14001:2004
de la santé et la sécurité au travail (SMSST) : OHSAS 18001:2007
de la sécurité de l'information (SMSI) : ISO/IEC 27001:2005
de la sécurité des denrées alimentaires (SMSDA) : ISO 22000:2005
des services informatiques des organismes : ISO 20000-1:2011
de la sureté pour la chaîne d'approvisionnement : ISO 28000:2005
…
de la continuité des activités (SMCA) : ISO 22301:2012

14 / 151
 Introduction à l'ISO22301

Système de
management ISO 22301

Point
sur les
ISO 22313
normes

Continuité
d'activité ISO 27031

15 / 151
 Continuité d'Activité

Continuité d'Activité (Business Continuity)

et Maintien en Conditions Opérationelles (preparedness)
Ensemble de mesures visant à assurer, selon divers scénarios de
crises, y compris face à des chocs extrêmes, le maintien, le cas
échéant de façon temporaire selon un mode dégradé, des
prestations de services essentielles de l’entreprise puis la reprise
planifiée des activités (CRBF 2004/02)
Plan de Reprise d’Activité (PRA)
Ensemble de procédures qui permettent de repartir à partir d’un point
d’interruption donné (CCA)
« reprise » suppose qu’il y eut interruption […].

16 / 151
 Continuité d'Activité

Plan de Secours Informatique (PSI)

Ensemble des procédures et dispositions pour garantir à l’entreprise la
reprise de son système informatique en cas de sinistre.
Sous-ensemble du PCA qui couvre les moyens informatiques et
télécoms (AFNOR)
Appellé PTCA dans les normes : Préparation des TIC à la Continuité
d'Activité

17 / 151
 Continuité d'Activité

Élément stratégique de la gestion des risques

REACTION (conséquences) <> PROTECTION (causes)
Repose sur :
Processus de gestion de crise
Organisation de crise au niveau décisionnel et au niveau opérationnel
Procédures et moyens support en fonction des différentes phases de
la crise (veille, alerte et escalade, qualification et activation , pilotage,
clôture )
Plans de continuité métiers & fonctions supports
Plans de secours (moyens) : IT, immeuble/moyens généraux,
RH…

18 / 151
 Introduction à l'ISO22301

Système de
management ISO 22301

Point
sur les
ISO 22313
normes

Continuité
d'activité ISO 27031

19 / 151
 Normes ISO

ISO : Agence des nations-unies

Organisation internationale de normalisation
International Organisation for Standardization
163 pays représentés par leur agence de normalisation
En France : AFNOR Normalisation
TC223 : sécurité sociétale
Créé en 2001
TC262 : management du risque
Créé en 2011
JTC1 : informatique
Cas particulier : comité joint entre l'ISO et l'IEC créé en 1987
JTC1/SC27 : sécurité
Créé en 1991
20 / 151
 Normes ISO

Norme = consensus entre les acteurs

De la société en général
Du marché
Des pays
Norme = processus d'élaboration formel et rigoureux
Commentaires traités et justifiés
Autres organismes de normalisation
HL7
IEEE
UIT/ITU
IETF
IEC
21 / 151
 Normes en continuité d'activité

ISO 22301:2014: Preparedness and Continuity Management

Systems - Requirements
Business Continuity Management System, BCMS
Système de Management de la Continuité d'Activité, SMCA
Exigences pour des systèmes de management de la continuité
d'activité et du maintien en condition opérationnelle

ISO 22313:2012 : Guideline for incident preparedness and

operational continuity management
Réintègre la norme britannique BS25599-1
Guide de mise en œuvre de l'ISO 22301

22 / 151
 Normes en continuité d'activité

ISO 27031:2011 : Guidelines for ICT (Information and

Communications Technologies) Readiness for Business
Continuity (IRBC)

Partie système d'information d'un SMCA (ISO 22301) en utilisation

conjointe avec un SMSI (ISO 27001)

ISO 24762:2008 : Guidelines for information and

communications technology disaster recovery services

Plan de recouvrement informatique

Réintègre la norme singapourienne SS507

Environnement, gestion des actifs, confidentialité, conditions
d'activation, contrat, environnement partagé
Service d'infrastructure liés au recouvrement de sinistre
Capacité de reprise de service : niveau de service, bascule
opérationnelle, accès, tests, plan de réponse d'urgence, formation, ...
Guide de sélection des sites de recouvrement
23 / 151
 Introduction à l'ISO 22301

Système de
management ISO 22301

Point
sur les
ISO 22313
normes

Continuité
d'activité ISO 27031

24 / 151
 ISO 22301

Tout types d'organismes visés (IS 22301 1)

Exigences de la norme génériques (1)

Applicables à tout type d’organisation indépendamment
Type
Taille
Nature de l'activité
Mise en oeuvre des moyens dépendant
Environnement opérationnel
Complexité de l'organisation
Afin d'être proportionnés

25 / 151
 ISO 22301

Objectif général de la norme (1) Pour

Se protéger contre
Spécifier les exigences pour Réduire la probabilité
Définir d'occurence d'
Etablir Se préparer à
Mettre en oeuvre Répondre à
Exploiter Recouvrir d'
Surveiller un incident perturbateur
Réexaminer
Maintenir
Améliorer
un SMCA documenté

26 / 151
 ISO 22301

Norme utile pour (1)

Etablir, mettre en oeuvre, maintenir et améliorer un SMCA
Assurer la conformité avec la politique de continuité d'activité
Démontrer cette conformité à des tiers
Certifier son SMCA par un organisme de certification accrédité
Autoévaluer et autodéclarer sa conformité

27 / 151
 ISO 22301 : PDCA (0.2)

Attentes et
exigences Modèle PDCA : Plan-Do-Check- Continuité
en terme de Act effective
continuité fournie
Partenaires Partenaires
Planification
Plan
Fournisseurs Fournisseurs

Clients Clients
Action Correction
Do Act
Pouvoirs Pouvoirs
publics publics

Services Vérification Services

Check

28 / 151
 ISO 22301 : PDCA (0.3)

Plan
0.3
4) Contexte, besoin, périmètre
5) Engagement de la direction, politique
6) Planification
7) Gestions des moyens

Act Do

8) Exploitation, BIA, Gestion des risques,

10) Amélioration plans, tests

Check

9) Réexamens, audits, revue de direction

29 / 151
 ISO 22301

Phase PLAN (0.2)

Compréhension du contexte (4.1)
Compréhension des besoins et des exigences des tiers (4.2)
Périmètre du SMCA (4.3)
Engagement de la direction (5.2)
Politique (5.3)
Organisation, rôles et responsabilités (5.4)

30 / 151
 ISO 22301

Phase PLAN (0.2)

Détermination des objectifs stratégiques et principes directeurs du
SMCA dans son ensemble
Détermination des orientations pour aborder les risques et les
opportunités (6.1)
Détermination des objectifs et des moyens pour atteindre ceux-ci
(6.2)

31 / 151
 ISO 22301

Phase PLAN (0.2)

Gestion des moyens (7)
Ressources (7.1)
Compétences (7.2)
P o litiq u e e t o b je c tifs d u S M C A
Formation

Sensibilisation (7.3)
Communication (7.4)
Interne et externe
Documentation (7.5)
Couvre tout ce que demande la norme et tout ce que l'organisme
jugera nécessaire pour le SMCA
Contribue à la conformité aux exigences légales, réglementaires et
contractuelles
Fournit des preuves

32 / 151
 ISO 22301

Phase DO (0.2)
Exploitation (8) ou gestion opérationelle (8.1)
Nécessaire à la réalisation des actions planifiées au 6

33 / 151
 ISO 22301

Phase DO (0.2)
Analyse des impacts métier (Business Impact Analysis) (8.2.2)
Identification des activités critiques en évaluant les impacts
(conséquences) d'une indisponibilité pour l'organisme
Détermination des exigences métier en matière de continuité pour
priorisation
Identification des dépendances (ressources et moyens) nécessaires aux
activités critiques
Appréciation des risques (Risk Assement) (8.2.3)
Identification des risques d'indisponibilité et des actifs concernés :
métiers, ressources et moyens supports aux processus métier (RH, IT,
bâtiments...)
Analyse des scénarios, et évaluation des risques d'indisponibilité
Identification des traitements proportionés
Tenant compte des objectifs de continuité d'activité
Conformément à l'appétit du risque de l'organisme
34 / 151
 ISO 22301

Phase DO (0.2)
Stratégies de Continuité (8.3)
Moyens de maîtrise des risques et des impacts métier
Détermination et choix des solutions de continuité (8.3.1)
à partir des résultats issus étape 8.2 (BIA et AP)
conformes aux exigences et aux objectifs de continuité
Identification des ressources et moyens supports (8.3.2)pour la mise en
œuvre des solutions retenues
Protection et rétablissement des activités prioritaires (8.3.3)
Mise en place des actions pour réduire la probabilité de survenance
et la durée de la perturbation, et, in fine, limiter les conséquences

35 / 151
 ISO 22301

Phase DO (0.2)
Gestion des incidents perturbateurs (8.4.1, 8.4.2, 8.4.3)
Structure générale des documents (8.4.1)
Mise en place d'une structure de gestion des incidents (8.4.2)
Avertissement et communication (8.4.3)
Dispositif d'alerte et escalade

Plans et procédures de continuité (8.4.4)

Plan de gestion de crise, plan de secours informatique, plan de
relocalisation, etc

36 / 151
 ISO 22301

Phase DO (0.2)
Tests et exercices (8.5)
Cohérents avec la stratégie
Basés sur des scénarios significatifs
Menés régulièrement
Valident le caractère opérationnel des plans de continuité et solutions
associées

37 / 151
 ISO 22301

Phase CHECK (0.2)

Réexamen périodique (9.1)
Audit interne (9.2)
À intervalles planifiés
Sur la base de
Documents
Traces ou enregistrements
Tests techniques
Conduit à
Constatation que les moyens ne réduisent pas de façon effective les risques
ou n'atteignent pas les objectifs pour lesquels ils ont été mis en place
Identification de nouveaux besoins
Tout autre type d'inadaptation de ce qui est mis en place
Revue de direction (9.3)
Au moins une fois par an
38 / 151
 Surveillance du SMCA

9.1
Résultats d’audits
de conformité

Incidents Corriger
passés, manqués,
Réexamen
fausses alertes périodique

Prévenir
Mesures SMCA
de performance
Indicateurs

Améliorer

Evaluation
des procédures
de continuité
39 / 151
 Surveillance du SMCA
Suivi de la revue précédente
Changements intervenus
État des actions correctives
Surveillance et Indicateurs
Audits
Risques et problèmes
incorrectement adressés
Opportunités d'amélioration
40 / 151
9.3 Variation du périmètre
du SMCA (9.3.a)
Amélioration de l'efficacité
du SMCA (9.3.b)
MAJ du BIA, de l'appréciation des
risques, des plans de continuité (9.3.c)
Revue de
direction
du SMCA MAJ des procédures
et des moyens (9.3.d)
Exigences de sécurité
Obligations légales
Critères d'acceptation des risques
Ressources
Financement et budget
Mesures d'efficacité (9.3.e)
 ISO 22301
Phase ACT (0.2)
Non conformité et actions correctives (10.1)

Si constatation de non-conformité : actions correctives ou préventives

Actions entreprises immédiatement
Planification d'actions sur le moyen et long terme
Amélioration continue (10.2)
Continuellement améliorer le SMCA
Pertinence
Adéquation
Efficacité
S'appuyer sur
Engagement de la direction
Planification
Evaluation des performances

41 / 151
 Introduction à l'ISO 22301

Système de
management ISO 22301

Point
sur les ISO 22313
normes

Continuité
d'activité ISO 27031

42 / 151
 ISO 22313
Guide opérationnel, indispensable pour la mise en œuvre du
SMCA
Reprend largement les directives de la norme britannique BS 25999
Reprend les 10 chapitres de l'ISO22301
Est aligné sur le SMCA, suit le cycle PDCA
Fournit des compléments d'informations pour la traduction
opérationnelle des exigences 22301 :
Rappelle les contraintes
Explicite les actions à mener
Souligne les points d'attention
Propose des modes opératoires issus des bonnes pratiques

43 / 151
 ISO 22301 par rapport à ISO 22313

ISO 22301 ISO 22313

Description
pour
10 Chapitres chaque
d'exigences chapitre de
moyens de
mise en
oeuvre

44 / 151
 ISO 22301 par rapport à ISO 22313

ISO 22301 ISO 22313

Exigences pour être organisé
sous forme de système de
management
Usage du verbe
SHALL
Volumétrie
Nombre total de pages
32
Notes préliminaires  8 pages
Chapitres 4 à 10 15 pages
Certification possible
Guide de mise en oeuvre des
clauses de l'ISO22301
Usage du verbe
SHOULD
Volumétrie
Nombre total de pages
60
Notes préliminaires  10 pages
Moyens de mise en oeuvre 
47 pages
Pas de certification possible

45 / 151
 Introduction à l'ISO 22301

Système de
management ISO 22301

Point
sur les
ISO 22313
normes

Continuité
d'activité ISO 27031

46 / 151
 ISO 27031
Directives liées à la continuité des activités IT alignées sur le
SMCA
TIC : Technologies de l'Information et de la Communication
« IT »
PTCA : Préparation des TIC pour la Continuité d'Activité (4)
ICT readiness for Business Continuity
PSI : Plan de Secours Informatique
Référence les normes :
ISO 27001 : Système de Management de la Sécurité de l'Information
ISO 27002 : Mesures de sécurité
ISO 27005 : Gestion des risques en sécurité de l'information
ISO 27035 : Gestion des incidents liés à la sécurité de l'information
47 / 151
 ISO 27031
Développée et publiée avant l'ISO 22301 et l'ISO 22313
Référence MCA développé par le TC223 à la place de SMCA
Permet d'assurer la continuité des activités métiers critiques
prises en charge par de l'IT
ISO27031 5.1

48 / 151
 ISO 27031
Objectifs :
Améliorer la
détection des
incidents
Eviter les
défaillances
Permettre un
mode dégradé
Réduire le délai
de reprise
Réduire l'impact
business

49 / 151
 ISO 27031
PTCA soutient le reprise d'un sinistre TIC

50 / 151
 ISO 27031
Phases PDCA du PTCA

51 / 151
Vision processus
du SMCA
 Processus du SMCA

Chaque processus
Est caractérisé par :
Des objectifs
Un responsable et des acteurs (RACI)
Des entrées/sorties
Des activités
Interagit avec les autres processus du SMCA
Est décrit dans un document
Est révisé régulièrement
Est auditable et audité → prévoir les contrôles des activités
Est complété par des annexes : plans, procédures, politiques, modèles
de documents ... → les lister
Génère des enregistrements → les identifier
53 / 151
 Éléments des stratégies de continuité

Dispositif organisationnel ou
technique permettant de
Réduire les risques
Sites Vraisemblance et durée de la
Procédures manuelles perturbation
Impacts
Assurer la continuité d'activité
Personnel Gérer l'incident
Poursuivre les activités
Matériels & logiciels
Données

Finalité de la discipline
Réseaux « Continuité d'activité »

54 / 151
 Gestion des stratégies de continuité
Quelles stratégies de
continuité sont mises en
œuvre ou en projet ?
 Protection
 Secours et Reprise d'activité

Gestion
Quelles activités sont
des
Stratégies
associées à ces stratégies ?
de
continuité
Qui est responsable de ces
activités ?
Ces stratégies sont elles
 Adéquates ?
 Proportionnées ?
 Efficientes ?
55 / 151
 Gestion de la documentation

Les stratégies de continuité

sont elles documentées dans
des plans ou procédures ?
La documentation est-elle
gérée ?
Gestion
des
Stratégies
de
Gestion de la
Documentation
Comment sont gérés les
continuité et des
Enregistrements
enregistrements ?

56 / 151
 Ressources, Compétences et
Sensibilisation
Les ressources mises en œuvre
pour l'exploitation des stratégies
de continuité sont elles
adéquates ?

Gestion
Les opérationnels en charge de
des
Stratégies
la mise en œuvre et du maintien
de
continuité
Gestion de la
Documentation des stratégies ont-ils les
et des
Enregistrements compétences nécessaires ?
Gestion des
Ressources, des
Compétences et
de la
Sensibilisation Le personnel est il sensibilisé à
la continuité d'activité ?

57 / 151
 Surveillance et réexamen

Les stratégies de continuité

font-elles l'objet d'une
surveillance pendant leur
exploitation ?
Les stratégies sont elles
évaluées régulièrement :
Gestion
des
Stratégies
Gestion de la
Atteinte des objectifs de
de
continuité Documentation
et des
continuité d'activité
Enregistrements
Efficience
Gestion des
Gestion de la Ressources, des
Surveillance et
du Réexamen
Compétences et
de la
Conformité à la documentation
Sensibilisation ou aux exigences
Les stratégies font-elles l'objet
d'exercices et de tests ?
58 / 151
 Gestion des Actions correctives et
préventives
L'amélioration continue est
elle mise en œuvre ?
Est-ce que j'ai un suivi
Plans de traitement des risques
Plans de mise en œuvre des
Gestion stratégies de continuité
des
Gestion des
Stratégies
Gestion de la
Actions de
Documentation
Correctives et continuité et des
Préventives Enregistrements

Gestion des
Gestion de la Ressources, des
Surveillance et Compétences et
du Réexamen de la
Sensibilisation

59 / 151
 Gestion de la conformité obligatoire

Est-ce que je connais les

obligations légales,
Gestion
réglementaires et
de la
Conformité contractuelles applicables
obligatoire
dans mon contexte ?
Suis-je capable de les énoncer
Gestion
des
Stratégies
sous forme de :
de
continuité  Exigences de continuité
 Délais de reprise

60 / 151
 Gestion des impacts sur l'activité

Sais-je quels sont mes

activités métiers critiques ?
Gestion
des
Impacts
Gestion
de la Sais-je quelles seraient les
sur Conformité
l'activité obligatoire conséquences en cas d'arrêt
de mes activités critiques ?
Gestion
des
Stratégies
de
continuité
Sous quels délais suis-je
capable de reprendre mon
activité ?
Quelles sont les ressources
qui supportent l'exécution de
mes activités critiques ?

61 / 151
 Gestion des risques

Sais-je de quoi a peur ma

direction ?
Gestion
des Gestion Gestion Sais-je quels événements
de la des
Impacts
sur Conformité
obligatoire
Risques pourraient nuire à mes
l'activité
processus métiers ?
Est-ce que je connais les
Gestion
des moyens de m'en prémunir ou
Stratégies
de d'en réduire les conséquences ?
continuité
Est-ce que j'arbitre les moyens à
mettre en œuvre en fonction :
 De mes ressources
 Des contraintes opérationnelles

62 / 151
 Gestion des incidents perturbateurs

Sais-je détecter les

événements portant atteinte à
Gestion
des Gestion Gestion
la continuité de mes activités ?
Impacts de la des
sur Risques
l'activité
Conformité
obligatoire Ai-je mis en place les moyens
pour
Gestion  Gérer l'incident perturbateur ?
des
Stratégies
de  Communiquer auprès des
continuité
parties prenantes ?
 Poursuivre ou rétablir mes
Gestion des activités dans un délai
Incidents
perturbateurs prédéterminé ?
Ai-je réfléchi aux moyens pour
apprendre de mon
63 / 151
expérience ?
 Pilotage de la continuité d'activité
Direction

Mes processus de gestion

Pilotage du SMCA sont-ils applicables à toutes
Gestion Gestion
mes activités ?
des de la Gestion
Impacts des
sur
l'activité
Conformité
obligatoire Risques Mes activités sont-elles
coordonnées ?
Gestion
des
Est-ce que je rends compte
Gestion des
Actions
Stratégies
de Gestion de la à ma direction de
Documentation
Correctives et
Préventives
continuité
et des
Enregistrements
l'organisation et l'efficacité
Gestion des
de la continuité d'activité ?
Gestion de la
Ressources, des
Surveillance et
du Réexamen
Gestion des
Incidents
Compétences et
de la
L'efficacité de ma gestion
Sensibilisation
perturbateurs
de la continuité s'améliore-t-
elle dans le temps ?

64 / 151
 SMCA
Direction

Si la réponse à la plupart de
Pilotage du SMCA ces question est « oui »
Gestion Gestion  J'exploite un SMCA!
des Gestion
de la
Impacts des
sur Conformité
obligatoire Risques
l'activité

Pour certifier ce SMCA selon

Gestion la norme ISO 22301 :
des
Gestion des
Actions
Stratégies
de
Gestion de la  Mettre en place les activités
Documentation
Correctives et
Préventives
continuité et des
Enregistrements
manquantes
Gestion des  Appliquer le principe PDCA sur
Gestion de la
Surveillance et
Gestion des
Ressources, des
Compétences et toutes les activités
du Réexamen de la
Incidents
perturbateurs
Sensibilisation  Formaliser certaines activités et
les documents associés exigés
par la norme

65 / 151
 PDCA

66 / 151