Académique Documents
Professionnel Documents
Culture Documents
NORME
Licence pour utilisateur unique,copie et mise en réseau interdite.
ISO
INTERNATIONALE 22313
Deuxième édition
2020-02
Numéro de référence
ISO 22313:2020(F)
© ISO 2020
Accordé sous licence par l'INNORPI à la Société BIT
Bon de commande N°01/2020 du 09/10/2020
ISO 22313:2020(F)
Licence pour utilisateur unique,copie et mise en réseau interdite.
Sommaire Page
Avant-propos.................................................................................................................................................................................................................................v
Introduction................................................................................................................................................................................................................................. vi
1 Domaine d’application.................................................................................................................................................................................... 1
2 Références normatives.................................................................................................................................................................................... 1
3 Termes et définitions........................................................................................................................................................................................ 1
4 Contexte de l’organisme................................................................................................................................................................................. 2
4.1 Compréhension de l’organisme et de son contexte.................................................................................................. 2
4.2 Comprendre les besoins et attentes des parties intéressées........................................................................... 3
4.2.1 Généralités............................................................................................................................................................................. 3
4.2.2 Exigences réglementaires et juridiques........................................................................................................ 3
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité............................................................................................................................................................................. 4
4.3.1 Généralités............................................................................................................................................................................. 4
4.3.2 Domaine d’application du système de management de la continuité d’activité........ 4
4.3.3 Exclusions du domaine d’application............................................................................................................. 5
4.4 Système de management de la continuité d’activité............................................................................................... 5
5 Leadership................................................................................................................................................................................................................... 6
5.1 Leadership et engagement............................................................................................................................................................ 6
5.1.1 Généralités............................................................................................................................................................................. 6
5.1.2 Direction générale........................................................................................................................................................... 6
5.1.3 Autres rôles de management................................................................................................................................. 6
5.2 Politique......................................................................................................................................................................................................... 7
5.2.1 Établissement de la politique de continuité d’activité..................................................................... 7
5.2.2 Communication de la politique de continuité d’activité................................................................. 7
5.3 Rôles, responsabilités et autorités.......................................................................................................................................... 8
6 Planification............................................................................................................................................................................................................10
6.1 Actions face aux risques et opportunités....................................................................................................................... 10
6.1.1 Détermination des risques et opportunités........................................................................................... 10
6.1.2 Gestion des risques et opportunités............................................................................................................. 10
6.2 Objectifs de continuité d’activité et planification pour les atteindre..................................................... 10
6.2.1 Établissement des objectifs de continuité d’activité....................................................................... 10
6.2.2 Détermination des objectifs de continuité d’activité...................................................................... 11
6.3 Planification des modifications au système de management de la continuité d’activité...... 11
7 Support......................................................................................................................................................................................................................... 12
7.1 Ressources................................................................................................................................................................................................ 12
7.1.1 Généralités.......................................................................................................................................................................... 12
7.1.2 Ressources du SMCA.................................................................................................................................................. 12
7.2 Compétences........................................................................................................................................................................................... 12
7.3 Sensibilisation (prise de conscience)................................................................................................................................ 14
7.4 Communication.................................................................................................................................................................................... 15
7.5 Informations documentées........................................................................................................................................................ 16
7.5.1 Généralités.......................................................................................................................................................................... 16
7.5.2 Création et mise à jour.............................................................................................................................................. 17
7.5.3 Maîtrise des informations documentées................................................................................................... 17
8 Fonctionnement..................................................................................................................................................................................................18
8.1 Planification et maîtrise opérationnelles....................................................................................................................... 18
8.1.1 Généralités.......................................................................................................................................................................... 18
8.1.2 Management de la continuité d’activité..................................................................................................... 19
8.1.3 Maintien de la continuité d’activité............................................................................................................... 20
8.2 Bilan d’impact sur l’activité et appréciation du risque...................................................................................... 21
8.2.1 Généralités.......................................................................................................................................................................... 21
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO 22313:2012) qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— modification de la structure et du contenu pour aligner le présent document sur la dernière édition
de l’ISO 22301;
— ajout de lignes directrices supplémentaires expliquant les concepts et termes clés;
— suppression du contenu de 8.4, qui figurera dans l’ISO/TS 22332 (en cours d’élaboration).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/f r/members.html.
Introduction
0.1 Généralités
Le présent document fournit des lignes directrices, lorsque c’est opportun, applicables aux exigences
spécifiées dans l’ISO 22301. Il n’est pas prévu que le présent document fournisse des lignes directrices
sur tous les aspects de la continuité d’activité.
Le présent document comprend les mêmes rubriques que l’ISO 22301 sans toutefois répéter les
exigences ou les termes et définitions qui s’y rapportent.
Ces lignes directrices ont pour vocation d’expliquer et de clarifier la signification et le but des exigences
de l’ISO 22301 et d’aider à la résolution de tout problème lié à leur interprétation. D’autres Normes
internationales et Spécifications techniques apportant des lignes directrices supplémentaires, et
citées dans le présent document, sont l’ISO/TS 22317, l’ISO/TS 22318, l’ISO 22322, l’ISO/TS 22330,
l’ISO/TS 22331 et l’ISO 22398. Le domaine d’application de ces documents peut s’étendre au-delà des
exigences de l’ISO 22301. Il convient donc que les organismes fassent systématiquement référence à
l’ISO 22301 afin de vérifier quelles exigences sont à satisfaire.
Le présent document comprend plusieurs figures permettant de donner des éclaircissements et des
explications sur certains points clés. Ces figures ne sont fournies qu’à titre d’exemple, et c’est le texte
associé faisant partie du corps du texte du présent document qui a la priorité.
Un système de management de la continuité d’activité (SMCA) insiste sur l’importance:
— d’établir une politique et des objectifs de de continuité d’activité qui correspondent aux objectifs de
l'organisation;
— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin
d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;
— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.
À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:
a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation de la performance;
5) la revue de direction;
6) l’amélioration continue;
d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de
réaliser l’évaluation de la performance.
En général, la continuité d’activité est spécifique à un organisme. Néanmoins, sa mise en œuvre peut
avoir des implications pouvant s’étendre à une plus large communauté et à d’autres tiers. Un organisme
est susceptible d’avoir des organismes externes dont il dépend et d’autres qui dépendent de lui. Par
conséquent, une continuité d’activité efficace contribue à une société plus résiliente.
La Figure 1 montre comment le SMCA prend les exigences des parties intéressées comme éléments
d’entrée pour le management de la continuité d’activité et, par l’intermédiaire des actions et des
processus requis, produit des résultats en matière de continuité d’activité (c’est-à-dire une continuité
d’activité managée) qui satisfont à ces exigences.
Tableau 2 (suite)
Composante PDCA Article concernant la composante PDCA
Vérifier L’Article 9 («Évaluation de la performance») donne la base pour améliorer le SMCA
(Surveiller et passer en par le mesurage et pour évaluer sa performance.
revue)
Réagir L’Article 10 («Amélioration») couvre les actions correctives pour faire face aux non-
(Maintenir et améliorer) conformités identifiées par l’évaluation de la performance.
1 Domaine d’application
Le présent document donne des lignes directrices et recommandations relatives à l’application des
exigences pour le système de management de la continuité d’activité (SMCA) de l’ISO 22301. Ces lignes
directrices et recommandations sont basées sur la bonne pratique internationale.
Le présent document s’applique aux organismes qui:
a) mettent en œuvre, maintiennent et améliorent un SMCA;
b) cherchent à assurer la conformité à la politique de continuité d’activité déclarée;
c) ont besoin d’être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau
de capacité acceptable et préalablement défini durant une perturbation;
d) cherchent à améliorer leur résilience à travers l’application efficace du SMCA.
Les lignes directrices et recommandations s’appliquent à toute taille et tout type d’organismes, qu’ils
soient grands, moyens ou petits et qu’ils fonctionnent dans les secteurs industriels, commerciaux,
publics ou à but non lucratif. L’approche adoptée dépend de l’environnement et de la complexité de
fonctionnement de l’organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300, l’ISO 22301 ainsi que
les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https://w ww.iso.org/obp
— IEC Electropedia: disponible à l’adresse http://w ww.electropedia.org/
3.1
management de la continuité d’activité
processus de mise en œuvre et de maintien de la continuité d’activité
4 Contexte de l’organisme
— les voies de communication internes utilisées pour l’échange d’informations au sein du personnel
(par exemple: les réseaux sociaux).
4.2.1 Généralités
L’application du présent document présuppose une sensibilisation (prise de conscience) aux exigences
réglementaires et juridiques applicables.
Les exigences peuvent être implicites, déclarées ou obligatoires. Il convient que les informations
relatives à ces exigences soient documentées et maintenues à jour. Il convient que les nouvelles
exigences ou les changements aux exigences existantes soient communiqués aux employés affectés et
aux autres parties intéressées.
Il convient que l’organisme démontre qu’il a accès aux exigences réglementaires et juridiques en cours et
imminentes, qui sont pertinentes pour son fonctionnement, et comment ces exigences sont satisfaites.
Les exigences peuvent inclure:
a) la réponse aux incidents: incluant la gestion des urgences et autre législation pertinente;
b) la continuité d’activité: ce qui peut spécifier le domaine d’application du programme ou l’étendue ou
la rapidité du rétablissement;
c) le risque: les exigences définissant le domaine d’application ou les méthodes de management des
risques;
d) les dangers (par exemple: les exigences opérationnelles relatives aux matières dangereuses
stockées sur le lieu).
Les organismes fonctionnant sur des lieux multiples peuvent avoir besoin de satisfaire aux exigences de
juridictions différentes.
4.3.1 Généralités
La détermination du domaine d’application du SMCA a pour objet d’identifier ses limites et son
applicabilité afin d’assurer la couverture de tous les produits et services, lieux d’activité, ressources,
fournisseurs et autres dépendances qui sont pertinents.
Il convient que le domaine d’application couvre les questions identifiées en 4.1, les exigences des parties
intéressées déterminées en 4.2, ainsi que la mission, les objectifs et obligations de l’organisme.
Il convient que l’organisme prépare une déclaration qui définit le domaine d’application du SMCA, d’une
façon et dans des termes appropriés à la taille, la nature et la complexité de l’organisme. Il convient que
cette déclaration soit mise à la disposition de toutes les parties intéressées.
Le domaine d’application détermine les lieux, les produits et services, les activités et les ressources
auxquels le SMCA s’applique. Il s’ensuit que toutes les dépendances font partie du domaine d’application,
même si elles n’ont pas été identifiées de manière explicite dans la déclaration propre au domaine
d’application. Par exemple, si une entreprise de fabrication inclut un produit dans le domaine
d’application de son SMCA, l’approvisionnement en matières premières, le traitement, la livraison et
toute fonction de support (comme le traitement des données, les achats, les ressources humaines) sur
n’importe quel lieu participant, directement ou indirectement, à sa livraison au client seront inclus.
Il convient que les exclusions ne nuisent pas à la capacité de l’organisme à satisfaire à ses exigences de
continuité d’activité, telles que déterminées par le bilan d’impact sur l’activité (voir 8.2.2). Les activités,
ressources et chaînes d’approvisionnement nécessaires à la livraison des produits et la fourniture des
services relevant du domaine d’application ne peuvent pas être exclues.
Il convient que les exclusions du domaine d’application du SMCA soient documentées et dûment
justifiées.
Si le SMCA est intégré dans un système de management existant, il convient que l’organisme s’assure
que tous les éléments du SMCA sont inclus.
5 Leadership
5.1.1 Généralités
Il convient que tous les niveaux de management dans l’ensemble de l’organisme fassent preuve de
leadership et d’engagement dès lors que cela s’applique à leurs domaines de responsabilité.
Il convient que les autres niveaux de management démontrent leur leadership et engagement:
a) en établissant des objectifs de continuité d’activité qui sont compatibles avec les objectifs
stratégiques de l’organisme (voir 6.2);
b) en intégrant les exigences du SMCA dans les processus d’activité de l’organisme (voir 8.1);
c) en démontrant leur sensibilisation (prise de conscience) aux obligations légales, réglementaires et
autres exigences (voir 4.2.2);
d) en établissant les rôles, responsabilités et compétences du SMCA (voir 5.3 et 7.2);
e) en atteignant les résultats escomptés du SMCA;
f) en prenant activement part au programme d’exercices (voir 8.5);
g) en conduisant des audits internes du SMCA (voir 9.2);
h) en conduisant des revues de direction efficaces du SMCA (voir 9.3);
i) en orientant et en soutenant l’amélioration du SMCA (voir Article 10).
L’engagement du management peut également être démontré par:
— l’implication opérationnelle dans des groupes de pilotage;
— l’inclusion de la continuité d’activité en tant que point permanent des réunions de direction.
5.2 Politique
Il convient que la direction générale définisse la politique de continuité d’activité en matière d’objectifs
et d’obligations de l’organisme, et qu’elle s’assure que cette politique:
a) est une déclaration concise et de haut niveau sur les intentions et l’orientation de la direction
générale pour le SMCA;
b) est appropriée à l’objet de l’organisme (compte tenu de sa taille, de sa nature et de sa complexité, et
afin de refléter sa culture, ses dépendances et son environnement opérationnel);
c) donne un cadre à la définition des objectifs;
d) inclut un engagement clair de satisfaire aux exigences applicables, y compris les obligations
réglementaires et juridiques;
e) inclut l’engagement d’amélioration continue du SMCA.
Il convient que la politique:
— spécifie le domaine et les limites d’application de la continuité d’activité de l’organisme, notamment
les limitations et les exclusions (voir 4.3);
— identifie les autorités et délégations exigées, y compris la ou les personnes responsables du SMCA de
l’organisme (voir 5.3);
— fasse référence aux normes, lignes directrices, réglementations ou politiques qu’il convient que
le SMCA prenne en considération ou avec lesquelles il convient qu’il soit en conformité.
La politique peut comporter les éléments suivants:
— un engagement de financement;
— des références à d’autres politiques en rapport;
— une exigence de mettre en œuvre la continuité d’activité;
— un engagement à s’exercer et à maintenir la continuité d’activité.
Pour les organismes ayant déjà des systèmes de management, il peut être approprié d’intégrer la
politique de SMCA à celles concernant d’autres systèmes de management.
Il convient que des dispositions adéquates soient prises pour approuver la politique, conserver les
informations documentées correspondantes et la passer en revue périodiquement (par exemple:
annuellement) et chaque fois que se produisent des changements significatifs à des facteurs internes
ou externes (par exemple: un changement à la direction générale, l’introduction d’une nouvelle
réglementation). L’adéquation de telles dispositions dépendra de la taille, de la complexité, de la nature
et de l’étendue de l’organisme.
Suivant la taille de l’organisme, les rôles et responsabilités présentés dans le Tableau 3, pourraient être
organisés différemment. L’important est de s’assurer que toutes les responsabilités font partie d’un rôle
et ont un propriétaire.
Il convient que tous les rôles, responsabilités et autorités pour le SMCA soient définis, documentés et
soumis à audit.
Tableau 3 (suite)
Rôle Responsabilités
Manager de la — Être responsable du SMCA
continuité d’activité
— Établir et démontrer l’engagement pour une politique de continuité d’activité
— S’assurer que les audits internes et les revues de direction sont réalisés à temps
— Maintenir des relations avec les fonctions et assurer la liaison durant les
perturbations
— S’assurer que les plans d’actions correctives sont mis en œuvre en temps utile
— Confirmer que les plans de continuité des fournisseurs sont soumis à essai et
maintenus
6 Planification
Il convient que l’organisme planifie les actions nécessaires pour gérer ces risques et opportunités, de
sorte à:
— prévenir les effets non intentionnels;
— tirer parti de toute opportunité d’amélioration du SMCA;
— réaliser une intégration dans le processus du SMCA (voir 8.1);
— s’assurer que les informations documentées sont disponibles afin d’évaluer si les actions ont bien
été efficaces (voir 9.1).
Il convient que l’organisme établisse les objectifs de mise en œuvre et de maintenance du management
de la continuité d’activité (voir Article 8). Il convient que ces objectifs soient en ligne avec les objectifs
globaux de l’organisme, et qu’ils comprennent l’identification des responsabilités et l’établissement
d’objectifs appropriés et réalistes pour leur réalisation. Il convient que la planification soit communiquée
à travers l’organisme. Il convient que l’avancement de sa mise en œuvre soit surveillé et documenté.
Au fur et à mesure de l’avancement du SMCA, il convient que ce plan soit revu régulièrement, et mis à
jour si besoin.
Lors de la détermination de ses objectifs de continuité d’activité, il convient que l’organisme spécifie
clairement:
a) ce qui sera fait;
b) les ressources qui seront nécessaires;
c) qui sera responsable;
d) les dates d’achèvement;
e) comment les résultats seront évalués.
Les exemples suivants d’objectifs de continuité d’activité peuvent, dans certaines circonstances,
satisfaire aux exigences spécifiées dans l’ISO 22301:
— «La direction générale allouera les ressources nécessaires pour assurer qu’un SMCA, cohérent avec
l’ISO 22301, est établi d’ici au date pour tous les produits et services»;
— «Le Directeur A collaborera avec les Consultants XXX pour obtenir la certification à l’ISO 22301 d’ici
au date pour les produits et services nommés.»;
— «La direction générale utilisera les ressources existantes pour s’assurer, d’ici au date, que nous aurons
mis en place une continuité d’activité conforme à l’ISO 22301 afin de satisfaire à nos obligations à
l’égard des clients nommés»;
— «Le directeur des services informatiques travaillera avec nos fournisseurs pour raccourcir de 10 %
le délai de rétablissement des activités soutenant les produits et services nommés. Cela sera réalisé
d’ici au date.»;
— «Sans utiliser de ressources supplémentaires, le responsable de la production mettra en place,
d’ici au date, un management de la continuité d’activité satisfaisant aux exigences de l’ISO 22301 et
couvrant les produits et services nommés.».
7 Support
7.1 Ressources
7.1.1 Généralités
Lors de l’identification des ressources exigées pour le SMCA, il convient que l’organisme prenne les
dispositions adéquates pour:
a) le personnel et les ressources liées au personnel, notamment:
1) le temps nécessaire pour remplir les rôles et responsabilités SMCA;
2) la formation continue, la formation de base, la sensibilisation (prise de conscience) et les
exercices;
3) la gestion du personnel dédié au SMCA;
b) les installations, y compris des lieux de travail et des infrastructures appropriés;
c) les systèmes de technologies de l’information et de la communication (TIC), notamment les
applications prenant en charge la gestion efficace et efficiente des programmes;
d) la gestion et la maîtrise de toutes les formes d’information documentée;
e) la communication avec les parties intéressées (voir Figure 4);
f) le financement et le budget.
Il convient de passer en revue périodiquement les ressources et leur allocation afin de s’assurer de leur
adéquation. Il peut être approprié d’impliquer la direction générale dans ce passage en revue.
7.2 Compétences
Il convient que l’organisme établisse un système approprié et efficace pour gérer les compétences des
personnes réalisant un travail de SMCA sous son contrôle.
Il convient que le management détermine les compétences requises pour tous les rôles et responsabilités
SMCA, ainsi que pour la sensibilisation (prise de conscience), les connaissances, la compréhension,
les compétences techniques et l’expérience nécessaires pour y parvenir. Il convient que toutes les
personnes de l’organisme ayant un rôle fassent preuve des compétences requises et aient reçu la
formation continue, la formation de base, les développements et tout autre support nécessaires pour
y parvenir. Cela peut être référencé comme un programme de développement des compétences et peut
comprendre:
— une appréciation des compétences en vue du ou des rôles à entreprendre;
— la discussion de la continuité d’activité dans les bulletins d’information, les séances de briefing,
le programme d’introduction ou le magazine de l’organisme (y compris le dossier d’accueil des
nouveaux embauchés);
— l’inclusion de la continuité d’activité dans les pages internet pertinentes;
— l’inclusion du management de la continuité d’activité comme sujet des réunions d’équipe du
personnel et du management;
— la publication sélective de rapports post-incidents à la suite d’incidents;
— des séances de briefing à l’intention de la direction générale;
— des visites de lieux alternatifs désignés (par exemple, un site de rétablissement);
— des communications régulières avec les fournisseurs pour s’assurer qu’ils comprennent les exigences
de continuité d’activité de l’organisme et peuvent démontrer leur capacité à répondre aux exigences
de continuité convenues.
Les changements dans l’environnement de l’activité et les opérations affectent l’approche et la manière
de planifier, concevoir et mettre en œuvre les activités de continuité d’activité. L’organisme peut
démontrer sa sensibilisation (prise de conscience) aux tendances du management de la continuité
d’activité, par exemple en participant activement aux activités relatives à la continuité d’activité du
secteur, pouvant comprendre:
— l’adhésion à un groupe d’intérêt du secteur;
— l’adhésion à un comité d’organisation de conférences;
— des présentations lors de conférences et de séminaires;
— la participation à des conférences locales ou internationales sur la continuité d’activité.
7.4 Communication
Il convient que l’organisme détermine les communications pertinentes pour le SMCA:
Les communications pertinentes pour le SMCA permettent à l’organisme de répondre aux besoins et
attentes des parties intéressées (voir 4.2). Pour que la communication soit efficace, il convient que
l’organisme détermine et, le cas échéant, établisse des critères pour déterminer:
a) sur quoi il communiquera: la communication concernant le SMCA peut s’avérer nécessaire, suivant
la nature de l’organisme et de la situation. Certains organismes, par exemple, ont des obligations
réglementaires ou juridiques à communiquer;
b) quand il convient que la communication ait lieu: il peut y avoir des seuils au-delà desquels il devient
impératif que l’organisme communique, et le contexte de l’organisme peut imposer la fréquence à
laquelle il convient que la communication ait lieu;
c) avec qui il communiquera: toutes les parties intéressées exigeront de communiquer de temps à
autre; il est donc important de déterminer, pour chacune des parties intéressées, les circonstances
dans lesquelles la communication sera nécessaire et les priorités de communication;
d) les moyens de communication: déterminer à l’avance les méthodes, outils et voies de communication,
y compris alternatifs, permettra à l’organisme de communiquer efficacement;
e) les personnes qui effectuent la communication: il convient que l’organisme identifie des porte-
parole pour représenter l’organisme, et désigne des personnes spécifiques comme points de contact
pour la communication.
L’organisme peut inclure des références à son SMCA et des dispositions en matière de continuité
d’activité dans les bulletins et séances de briefing de ses clients et fournisseurs.
Il convient que l’organisme fournisse une communication externe efficace dans le cadre de
son programme de sensibilisation (prise de conscience) (voir 7.3) et lors de la réponse à un
incident (voir 8.4.4).
7.5.1 Généralités
Les informations documentées requises par ISO 22301 fournissent la preuve de la conformité aux
exigences et du fonctionnement efficace du système de management.
Le terme de «procédure» désigne une manière spécifiée d’effectuer une activité ou de dérouler
un processus. Une «procédure documentée» signifie qu’il convient que la procédure soit établie et
maintenue sur un support approprié.
Un seul document peut traiter des exigences relatives à une ou plusieurs procédures documentées.
L’exigence relative à une procédure documentée peut être couverte par plus d’un document.
Les informations documentées comprennent:
— la compréhension de l’organisme et de son contexte (voir 4.1);
— les exigences réglementaires et juridiques (voir 4.2.2);
— le domaine d’application du SMCA et toutes les exclusions (voir 4.3);
— la politique (voir 5.2);
— les objectifs de continuité d’activité et la planification pour les atteindre (voir 6.2);
— les compétences (voir 7.2);
— le bilan d’impact sur l’activité et l’appréciation du risque (voir 8.2);
— les stratégies et solutions de continuité d’activité (voir 8.3);
— les plans et procédures de continuité d’activité (voir 8.4);
— le programme d’exercices (voir 8.5);
— la surveillance, le mesurage, l’analyse et l’évaluation (voir 9.1);
— les audits internes (voir 9.2);
— la revue de direction (voir 9.3);
— les non-conformités et actions correctives (voir 10.1).
De plus, des informations documentées couvrant les informations suivantes peuvent être requises pour
assurer l’efficacité du SMCA:
— contrats commerciaux avec les clients et niveaux de service;
— résultats des bilans d’impact sur l’activité;
— résultats des appréciations de risque;
— détermination et sélection de solutions de continuité d’activité;
— vue d’ensemble de la réponse aux incidents;
— programme de sensibilisation (prise de conscience);
— communications sur le SMCA et les incidents, avec le personnel et les parties intéressées, telles que
bulletins d’information, notes de réunion et alertes;
— programmes de formation pour l’organisme et les individus;
— planning d’exercices;
— contrats et accords sur les niveaux de services avec les fournisseurs;
— politique et plans de continuité d’activité des contractants et fournisseurs, y compris des preuves du
suivi de risque de leurs fournisseurs, et des preuves que les plans de continuité de leurs fournisseurs
sont maintenus et appliqués;
— notification des contractants et fournisseurs et procédures de réponse;
— preuve des inspections, de la maintenance et de l’étalonnage;
— rapports post-incidents et quasi-incidents;
— notes de réunion de la revue du SMCA.
Afin de se conformer aux exigences pour la création et la mise à jour des informations documentées:
— il convient que toutes les informations documentées soient clairement identifiables (par exemple:
nom, numéro de référence, description, date, auteur, version);
— il convient que l’organisme spécifie les formats qui soient acceptables (par exemple: langue, version
de logiciel, graphiques) et les supports pouvant être utilisés pour le stockage des informations
documentées (par exemple: papier, électronique);
— il convient que le format et les supports utilisés soient revus et approuvés en matière d’adéquation
et de pertinence.
L’étendue des informations documentées pour le SMCA peut varier d’un organisme à l’autre en raison
des facteurs suivants:
— la taille de l’organisme, ses produits et services, ainsi que le type d’activités qu’elle exerce;
— la complexité des activités et leurs interactions;
— les compétences des personnes.
dans le cas de solutions de continuité d’activité ayant trait aux perturbations internes du travail, ou
lorsque les plans et procédures de continuité d’activité contiennent des informations sensibles sur le
plan de la concurrence.
Il convient qu’une procédure documentée soit établie afin de définir les moyens de maîtrise
nécessaires pour:
— distribuer les informations documentées;
— leur donner accès (l’accès comprend, par exemple, les permissions et autorité pour consulter ou
modifier les informations documentées);
— approuver les documents quant à leur pertinence avant leur émission;
— passer en revue et mettre à jour lorsque nécessaire, et approuver de nouveau les documents;
— s’assurer que les changements et l’état de révision en cours des documents sont identifiés;
— assurer la disponibilité sur les lieux d’utilisation des versions pertinentes de tous les documents
applicables;
— s’assurer que les documents restent lisibles et facilement identifiables;
— s’assurer que les documents d’origine externe, considérés par l’organisme comme nécessaires à la
planification et au fonctionnement du SMCA, sont identifiés et que leur diffusion est maîtrisée;
— prévenir l’utilisation non intentionnelle de documents obsolètes, et les identifier de manière
adéquate s’ils sont conservés dans un but quelconque;
— établir des paramètres de conservation et d’archivage des documents;
— assurer la protection et la non-divulgation des informations confidentielles.
Il convient que les organismes assurent l’intégrité des informations documentées en les rendant
inviolables, en les sauvegardant en toute sécurité, en les rendant accessibles au seul personnel autorisé
et en les protégeant contre les dommages, détériorations et pertes.
Il convient que l’organisme démontre une sensibilisation (prise de conscience) à toutes les
réglementations et obligations juridiques pertinentes concernant la conservation des informations
documentées et qu’il conserve les preuves de conformité.
8 Fonctionnement
8.1.1 Généralités
Il convient que l’organisme détermine, planifie, mette en œuvre et maîtrise les processus nécessaires
pour établir et maintenir le management de la continuité d’activité qui satisfasse aux exigences
applicables (voir Article 4) et qu’il mette en œuvre les actions définies en 6.1.
Il convient d’intégrer ces processus aux processus d’activité de l’organisme afin d’assurer qu’ils sont
gérés de façon appropriée et que leur efficacité est maintenue.
Il convient que l’organisme établisse des mécanismes de maîtrise comprenant ce qui suit:
a) décider comment définir, planifier, mettre en œuvre et maîtriser ces processus (par exemple, en
établissant un plan de mise en œuvre et en convenant d’une méthodologie convenable de mise en
œuvre et de maintenance du management de la continuité d’activité);
b) assurer que les moyens de maîtrise de ces processus sont mis en œuvre en accord avec les décisions
prises, par exemple en définissant des jalons de projet et en spécifiant les livrables requis;
c) conserver les informations documentées pour démontrer que les processus ont bien été réalisés
comme prévu.
Il convient que l’organisme assure que les changements planifiés sont maîtrisés, que les changements
non intentionnels sont passés en revue et qu’une action appropriée est mise en place.
Il convient que l’organisme s’assure que les processus externalisés et la chaîne d’approvisionnement
sont maîtrisés (voir 8.3.4.9).
Les éléments du management de la continuité d’activité, tels qu’illustrés à la Figure 5, sont les suivants:
a) planification et maîtrise opérationnelles (voir 8.1): l’efficacité de la planification et de la maîtrise
opérationnelles est au cœur du management de la continuité d’activité. Il convient que cet élément
soit piloté par une personne responsable, nommée par la direction générale;
b) bilan d’impact sur l’activité et appréciation du risque (voir 8.2): le bilan d’impact sur l’activité
permet à l’organisme d’apprécier l’impact qu’une perturbation des activités aurait sur la livraison
des produits et la fourniture des services. Il permet à l’organisme de définir un ordre de priorité
pour la reprise des activités.
La compréhension des risques de perturbation sur ces activités prioritaires permet à l’organisme
de les gérer.
Le résultat du bilan d’impact sur l’activité et de l’appréciation du risque permet à l’organisme de
définir les paramètres appropriés pour ses stratégies et solutions de continuité d’activité;
c) stratégies et solutions de continuité d’activité (voir 8.3): l’identification et l’évaluation d’une
gamme de stratégies de continuité d’activité permettent à l’organisme d’identifier des solutions
pour réduire les risques, d’atténuer l’impact d’une interruption des activités prioritaires, et de faire
face à toute perturbation ayant lieu. Les solutions de continuité d’activité sélectionnées assureront
la reprise de la livraison des produits et de la fourniture des services avec une capacité acceptable
(niveau de production ou de service) et dans les délais convenus;
d) plans et procédures de continuité d’activité (voir 8.4): les plans et procédures de continuité d’activité
permettent à l’organisme de gérer une perturbation et de poursuivre les activités sur la base de ses
exigences de continuité d’activité. Il convient de disposer d’une structure de réponse définie qui
identifie les équipes ayant la responsabilité de répondre aux perturbations (voir 8.4.2). Il convient
que l’organisme établisse et mette en œuvre des plans et des procédures pour l’avertissement et la
communication (voir 8.4.3), la réponse aux incidents (voir 8.4.4.2.2), et le rétablissement (retour à
la normale; voir 8.4.5);
e) programme d’exercices (voir 8.5): un programme d’exercices permet à l’organisme de valider
l’efficacité des solutions, plans et procédures mis en place. Il offre également à l’organisme des
opportunités pour:
1) promouvoir la sensibilisation (prise de conscience) du personnel et le développement des
compétences;
2) s’assurer que ses plans et procédures de continuité d’activité sont complets, actuels et
appropriés;
3) améliorer sa continuité d’activité;
f) évaluation de la documentation et des capacités de continuité d’activité (voir 8.6): il convient que
l’organisme évalue son management de la continuité d’activité pour s’assurer qu’il est efficace et
qu’il lui permet d’atteindre ses objectifs de continuité d’activité.
8.2.1 Généralités
Un organisme atteint son but lorsqu’il livre ses produits et fournit ses services à ses clients. Il est donc
important de créer une compréhension de l’impact négatif dans le temps qu’une perturbation sur la
livraison de ces produits et la fourniture de ces services (et des activités qui les supportent) aurait sur
l’organisme et les parties intéressées. Il est également important de comprendre les interrelations et
les exigences de ressources des activités qui supportent les produits et services, ainsi que les menaces
auxquelles elles sont soumises.
Il convient que l’organisme mette en œuvre et maintienne des processus permettant d’analyser
systématiquement les impacts sur l’activité (voir 8.2.2) et d’apprécier les risques de perturbation
(voir 8.2.3); les résultats de ces processus permettent à l’organisme d’identifier les stratégies et
solutions de continuité d’activité (voir 8.3). Il convient que le bilan d’impact sur l’activité et l’appréciation
du risque soient passés en revue à des intervalles planifiés et lorsque des changements significatifs
interviennent au sein de l’organisme ou dans le contexte dans lequel il opère.
Il appartient à l’organisme de déterminer l’ordre dans lequel le bilan d’impact sur l’activité et l’appréciation
du risque sont effectués, à condition que les risques pour ses activités prioritaires (voir 8.2.3) soient
appréciés.
Un bilan d’impact sur l’activité permet à l’organisme de définir des priorités pour la reprise des
activités qui ont été perturbées. Il a pour principal objet de permettre à l’organisme d’identifier et de
classer comme «prioritaires» toutes les activités pouvant nécessiter une action urgente quand elles
ont été perturbées, car le manque d’une reprise rapide pourrait entraîner des niveaux d’impact négatif
inacceptables. Il est possible que des activités, autres que celles demandant un rétablissement rapide,
nécessitent d’être priorisées. Par exemple, une activité qui ne nécessite pas d’être reprise pendant six
mois, mais dont la reprise prend au minimum huit mois, devrait être priorisée. Les activités prioritaires
peuvent donc également être considérées comme des activités exigeant la mise en œuvre de solutions
de continuité d’activité avant d’être perturbées (voir 8.3.5).
Le présent document utilise le terme «activité prioritaire» mais les organismes peuvent utiliser leurs
propres termes, délais ou ordres de priorité. «Critique», «essentiel», «vital» et «clé» sont des exemples
de termes. «0 à 2 heures», «0 à 1 jour» et «1 à 3 jours» sont des exemples de délais. «Haute», «moyenne»
et «faible» ou «1ère», «2ème» et «3ème» sont des exemples de priorités.
Chaque organisme décrit comment il fonctionne à sa manière. Par exemple, un organisme peut décrire
ses activités comme étant des tâches ou ensembles de tâches réalisées par l’organisme dans le but de
produire ou livrer ses produits et fournir ses services (voir Figure 6). D’autres organismes peuvent
choisir de décrire les produits et services comme étant créés par des processus composés d’activités.
Il convient que le bilan couvre toutes les activités relevant du domaine d’application du SMCA. Il est
admis de réaliser ce bilan sur des groupes d’activités, par exemple concernant des produits et services
spécifiques (voir Figure 6).
Lors de la conduite du bilan d’impact sur l’activité, il convient que la terminologie utilisée reflète la
manière dont l’organisme décrit ses propres activités.
L’ISO/TS 22317 contient des lignes directrices supplémentaires sur la conduite d’un bilan d’impact sur
l’activité. Il s’agit d’une Spécification technique qui présente une démarche par étapes afin de satisfaire
aux exigences de l’ISO 22301.
Le bilan d’impact sur l’activité permet à l’organisme de déterminer les impacts défavorables que des
perturbations pourraient avoir sur ses opérations et de préparer, en conclusion, une déclaration et une
justification des exigences de continuité d’activité.
Le bilan permet également à l’organisme:
— d’obtenir une compréhension de ses produits et services et des activités qui permettent de les livrer/
fournir;
— de déterminer des priorités et des délais pour la reprise de la livraison des produits et de la fourniture
des services;
— d’identifier les ressources susceptibles d’être exigées pour la continuité et le rétablissement;
— d’identifier les dépendances (à la fois internes et externes).
Il convient que le processus de bilan d’impact sur l’activité soit utilisé pour déterminer les priorités et
les exigences de continuité d’activité.
Il convient que le processus comprenne la définition de critères d’évaluation pour le bilan d’impact sur
l’activité, y compris les types d’impact et les délais à prendre en considération. Il convient que ces deux
éléments soient basés sur le contexte, les objectifs d’activité et les buts de l’organisme, et prennent en
considération les besoins des parties intéressées. Il convient que les critères d’évaluation soient passés
en revue régulièrement, et plus fréquemment pendant les périodes de changement.
Les types d’impact (pouvant aussi être appelés «catégories d’impact») peuvent comprendre, par
exemple, ceux du Tableau 4.
La durée au bout de laquelle les impacts deviennent inacceptables peut varier de quelques secondes à
plusieurs mois. Les délais dépendront de la sensibilité au temps des produits et services de l’organisme.
Par exemple, il peut être nécessaire que les délais se mesurent en minutes ou en heures pour être
compatibles avec les produits ayant une importante sensibilité au temps. Des délais plus longs seraient
appropriés pour des organismes dont les produits et services sont moins sensibles au temps.
Une perturbation des activités peut avoir un impact indirect sur la livraison des produits et la fourniture
des services. Par exemple, la perte de l’aptitude au paiement des fournisseurs peut porter atteinte
à la réputation de l’organisme et amener les fournisseurs à refuser de fournir des marchandises, ce
qui empêche ensuite de fabriquer les produits ou de fournir les services. Les produits et services sont
également soumis à des variations quotidiennes suivant la demande et peuvent être de nature cyclique.
Il y a souvent des variations saisonnières et des niveaux d’activité plus élevés en lien avec des délais
hebdomadaires, mensuels ou annuels, ou avec des dates de livraison de projets. En tenant compte
des conséquences indirectes et en partant de l’hypothèse que les perturbations se produisent au plus
mauvais moment, on s’assure que les impacts potentiels maximaux sont appréciés.
Il appartient à la direction générale de l’organisme de déterminer les seuils d’impact qui sont
inacceptables pour l’organisme. La durée au terme de laquelle les impacts deviennent inacceptables
peut être désignée sous l’appellation de «durée maximale tolérable de perturbation (DMTP)», «durée
maximale tolérable» ou «délai maximal d’interruption acceptable (DMIA)». Le niveau minimal de
produit ou de service acceptable pour l’organisme peut s’exprimer par «l’objectif minimal de continuité
d’activité (OMCA)».
Il convient que le bilan d’impact sur l’activité comprenne également l’identification des dépendances des
activités prioritaires, permettant à l’organisme de s’assurer qu’elles sont incluses dans l’appréciation du
risque (voir 8.2.3) et sont disponibles pour la détermination des stratégies et des solutions de continuité
d’activité (voir 8.3).
Il convient que l’organisme soit prudent lors de la détermination des exigences de ressources des
activités prioritaires (voir 8.3.4) avant de sélectionner des solutions de continuité (voir 8.3.3), parce
que les dépendances des activités prioritaires peuvent ne pas être pertinentes pour les solutions de
continuité sélectionnées.
Il convient que le processus de bilan d’impact sur l’activité comprenne:
a) la définition des critères d’évaluation pertinents pour le contexte de l’organisme, y compris:
1) les types d’impact;
2) les délais;
b) l’identification des activités qui supportent la livraison des produits et la fourniture des services de
l’organisme;
c) l’utilisation des critères d’évaluation pour apprécier les impacts anticipés dans le temps, résultant
de la perturbation de ces activités;
d) l’estimation de la durée au cours de laquelle les impacts d’une non-reprise des activités
deviendraient inacceptables;
e) l’établissement de délais au cours de la durée identifiée en d) ci-dessus pour la reprise des activités,
aux capacités minimales acceptables spécifiées (voir Figures 2 et 3);
f) l’identification des activités prioritaires;
g) l’identification des dépendances des activités prioritaires, y compris les personnes (voir 8.3.4.2), les
informations et données (voir 8.3.4.3), les bâtiments, espaces de travail et installations associées
(voir 8.3.4.4), les équipements et consommables (voir 8.3.4.5), les systèmes TIC (voir 8.3.4.6), le
transport et la logistique (voir 8.3.4.7), les aspects financiers (voir 8.3.4.8), ainsi que les partenaires
et la chaîne d’approvisionnement (voir 8.3.4.9);
h) l’identification des interdépendances entre les activités prioritaires (par exemple: les achats
dépendent du déblocage de fonds par le service financier).
Dans le présent document, le délai de reprise d’une activité [voir e) ci-dessus] est désigné par le terme
«objectif de délai de rétablissement (RTO)» d’une activité. L’établissement du RTO d’une activité peut
également nécessiter de prendre en compte:
— les dépendances par rapport aux activités associées;
— la complexité du processus de rétablissement.
Pour les organismes ayant des processus de rétablissement complexes, il peut être approprié de fixer
des RTO multiples pour une gamme de capacités acceptables.
Pour la prise en considération de la dépendance des activités par rapport aux informations et aux
données, il convient que l’organisme s’assure que les informations et données requises pour la reprise
d’une activité soient à jour. L’organisme peut utiliser le terme «objectif de point de rétablissement (OPR)»
à cette fin. L’OPR est le point à partir duquel les informations et données utilisées par une activité
sont restaurées afin de permettre son fonctionnement à la reprise. L’OPR peut également servir à
déterminer la fréquence des sauvegardes nécessaires pour éviter une perte inacceptable de données et
d’informations, ainsi que d’autres tâches en cours, susceptible d’empêcher la reprise d’une activité.
L’ISO/IEC 27031 donne des lignes directrices supplémentaires pour assurer l’actualité des données
conservées sous forme électronique. L’ISO/IEC 27002 donne des lignes directrices sur la manière
d’assurer la confidentialité, l’intégrité et la disponibilité permanentes des données.
Il convient que le bilan d’impact sur l’activité soit documenté, y compris:
— l’identification des exigences (obligations) réglementaires, juridiques et contractuelles et de leur
effet sur les exigences de continuité d’activité (voir 4.2.2);
— l’entérinement ou la modification du domaine d’application du SMCA de l’organisme (voir 4.3);
— l’évaluation des impacts sur l’organisme dans le temps, comme justification pour les exigences de
continuité d’activité (temps et capacité);
— l’identification des relations entre les produits et services, les activités et les ressources;
— l’identification des ressources de support dont les activités prioritaires dépendent;
— l’identification des dépendances vis-à-vis des autres activités, chaînes d’approvisionnement,
partenaires et autres parties intéressées.
Ces informations peuvent provenir:
— d’entretiens;
— de questionnaires;
— d’ateliers;
— d’autres sources internes et externes.
L’objectif de l’appréciation du risque est de permettre à l’organisme d’apprécier les risques que les
activités prioritaires soient interrompues, de manière qu’il puisse engager les actions appropriées pour
faire face à ces risques.
Il convient que l’organisme mette en œuvre et maintienne un processus formel d’appréciation du risque,
qui identifie, analyse et évalue systématiquement le risque de perturbation des activités prioritaires
de l’organisme et des processus, systèmes, informations, personnes, actifs, fournisseurs et autres
ressources les supportant.
L’appréciation du risque est un processus structuré pour l’analyse des risques en matière de
vraisemblance et de conséquences avant de décider du futur traitement pouvant être exigé. Ce processus
structuré vise à répondre à un certain nombre de questions fondamentales, telles que les suivantes:
— Que peut-il se passer?
— Quelle est la vraisemblance que cela se produise?
— Quelles pourraient être les conséquences?
— Existe-il quelque chose qui puisse en réduire les conséquences ou la vraisemblance?
Il convient que le processus prenne en considération le contexte de l’organisme et les besoins et attentes
des parties intéressées (voir 4.1 et 4.2).
Il convient que l’organisme ait la compréhension des menaces et vulnérabilités relatives aux ressources
exigées par les activités de l’organisme, notamment:
— les ressources requises par les activités identifiées comme hautement prioritaires;
— lorsque le délai de remplacement pour la ressource est supérieur à l’objectif de délai de rétablissement
de l’activité.
Il convient que l’organisme sélectionne une méthode appropriée pour l’identification, l’analyse et
l’évaluation des risques pouvant conduire à une perturbation. L’ISO 31000 définit les principes du
management des risques et les recommandations associées. Les éléments typiques qu’il convient
d’inclure dans le contexte du présent document sont les suivants:
a) l’identification des risques: les sources potentielles de risque concernant les activités prioritaires
de l’organisme et des processus, systèmes, données, personnes, actifs, fournisseurs et autres
ressources les supportant. Celles-ci peuvent provenir:
1) de menaces spécifiques, pouvant à un certain point perturber les activités et les ressources
(par exemple: incendie, inondations, panne d’électricité, perte de personnel, absentéisme du
personnel, virus informatiques, pannes matérielles);
2) de perturbations pouvant être imputées à des vulnérabilités au sein des ressources (par
exemple: points de défaillance uniques, inadéquations dans la protection anti-incendie,
manque de résilience électrique, niveaux d’effectifs inadéquats, mauvaise sécurité, résilience
informatiques);
b) l’analyse des risques: une compréhension du risque pour qu’il puisse être évalué, et que le traitement
le plus adapté puisse être déterminé. Il convient que l’analyse implique:
1) la prise en considération des causes et sources du risque, de la vraisemblance des conséquences
aussi bien positives que négatives, et de l’effet que les autres facteurs pourraient avoir sur la
vraisemblance;
2) la détermination des risques, basée principalement sur leur vraisemblance et les conséquences
anticipées, mais également la prise en compte de l’efficacité et de l’efficience des moyens de
maîtrise existants.
Un paramètre clé de l’analyse est la vraisemblance, et il convient donc que la confiance en sa validité
(basée sur la divergence d’opinion entre les experts, l’incertitude, la disponibilité, la qualité, la
quantité et la pertinence permanente des informations, ou les limites des modélisations) soit prise
en considération et portée à l’attention des décideurs et autres parties intéressées.
L’analyse peut être qualitative, semi-quantitative ou quantitative;
c) l’évaluation des risques: une évaluation déterminant quels risques liés à une perturbation doivent
être traités. Il convient de mettre l’accent sur les ressources exigées par les activités à priorité
élevée ou ayant un délai de remplacement significatif.
Il convient que l’organisme ait conscience de toutes les obligations financières, juridiques/réglementaires
ou gouvernementales exigeant la communication de ces résultats. De plus, certains besoins sociétaux
peuvent également justifier un partage de ces informations à un niveau de détail approprié.
8.3.1 Généralités
Les stratégies de continuité d’activité sont les voies possibles pour que l’organisme satisfasse à ses
exigences de continuité d’activité.
— Il convient que les stratégies de continuité d’activité comprennent au moins une solution de
continuité d’activité, mais elles peuvent exiger plusieurs solutions pour satisfaire aux exigences de
continuité d’activité.
— Les solutions de continuité d’activité comprennent les approches, dispositions, méthodes,
procédures, traitements et actions pouvant être mis en place pour appliquer les stratégies d’activité.
Les solutions peuvent être utilisées pour plus d’une stratégie.
Les stratégies et solutions de continuité d’activité:
a) permettent à l’organisme de reprendre les opérations d’activité dans les délais requis et avec une
capacité acceptable;
b) identifient les capacités que l’organisme peut mettre en œuvre et améliorer dans la durée pour
atténuer les risques liés aux perturbations.
Il convient que l’identification des stratégies de continuité d’activité et la sélection de solutions de
continuité d’activité soient basées sur le bilan d’impact sur l’activité (voir 8.2.2) et l’appréciation du
risque (voir 8.2.3), en prenant en considération les coûts associés.
Il convient que l’organisme ait en place des procédures pour identifier et sélectionner les stratégies
et solutions de continuité d’activité, comprenant le passage en revue et l’approbation des solutions
recommandées. Il convient que l’organisme considère des options pouvant être mises en œuvre avant,
pendant et après une perturbation.
8.3.2.1 Généralités
La plupart des stratégies exigent une ou plusieurs solutions mais, pour certaines activités de
l’organisme, l’absence d’action ou le report de la reprise peuvent être des stratégies acceptables.
Par exemple, une stratégie de relocalisation pour la reprise des activités peut être composée d’un
certain nombre de solutions comprenant le «transport d’urgence», le «réacheminement du réseau»
L’établissement de RTO pour la reprise des activités prioritaires à la capacité convenue permet à
l’organisme d’identifier les stratégies pour raccourcir la période d’interruption, réduire les impacts et
permettre le rétablissement en temps utile des activités prioritaires.
Pour s’assurer que les activités prioritaires peuvent reprendre dans leurs RTO, il convient que des RTO
compatibles soient également définis pour les dépendances et les ressources de support. Il convient que
les organismes déterminent également les capacités auxquelles il est nécessaire que les dépendances et
ressources de support soient reprises. Lors de la définition de ces RTO, l’organisme peut avoir besoin de
considérer:
— la possibilité de fournir un service différent, jusqu’au point où la reprise complète est exigée;
— de s’assurer que les employés sont mobilisés de manière efficace;
— d’offrir ses encouragements et son soutien aux employés retournant au travail au moment nécessaire;
— les contournements (tels que les processus manuels) qui diffèrent le besoin pour reprendre la
dépendance vis-à-vis de ressources de support;
— les retards et le temps nécessaire pour rétablir les informations perdues;
— la complexité et l’ampleur des exigences de rétablissement, ou le besoin d’équipements spécialisés
s’accompagnant d’un long délai de livraison.
Les stratégies de continuité d’activité peuvent comprendre ce qui suit:
a) la relocalisation d’activité: transfert de tout ou partie des activités, soit en interne vers une autre
partie de l’organisme, soit à l’extérieur vers une tierce partie, indépendamment ou via un accord
d’assistance réciproque ou mutuel. Lors de la détermination des lieux où reprendre l’activité,
il convient que les sites endommagés/affectés et des sites alternatifs non endommagés soient
considérés;
b) la relocalisation ou la réallocation de ressources: ressources, notamment du personnel, transférées
vers un autre site ou une autre activité au sein de l’organisme, ou à l’extérieur vers une tierce partie;
c) les processus alternatifs et la capacité de réserve: établissement de processus alternatifs ou
création de capacité de redondance/réserve dans les processus et/ou les stocks;
d) la solution provisoire de contournement: certaines activités peuvent adopter une manière de
travailler différente, donnant des résultats acceptables pendant un temps limité. Il est probable que
la solution de contournement prendra plus de temps et demandera plus de travail (par exemple:
une opération manuelle par rapport à un système automatisé). C’est pourquoi les solutions de
contournement ne conviennent généralement que pour de courtes périodes de temps ou pour
différer un retour à la normale.
Des exemples de stratégies comprennent:
— la fourniture d’une capacité de réserve de production sur un lieu alternatif;
— la fourniture d’une capacité de travail à distance pour le personnel clé.
Les stratégies pour atténuer les impacts d’une perturbation, y répondre et les gérer peuvent comprendre
ce qui suit.
a) L’assurance: l’achat d’une assurance peut fournir une compensation financière pour certaines
pertes, mais ne remboursera pas tous les frais (par exemple: les risques non assurés, la marque,
la réputation, la valeur des parties intéressées, la part de marché, les conséquences humaines). Un
dispositif financier ne suffira pas à lui seul à complètement protéger l’organisme et satisfaire les
attentes des parties intéressées. La couverture d’assurance est plus vraisemblablement à utiliser
en association avec d’autres solutions.
b) La restauration des actifs: passation de contrat pour des services d’astreinte de sociétés spécialisées
dans le nettoyage ou la réparation d’actifs après un dommage.
c) La gestion de la réputation: développer une capacité efficace d’avertissement et de
communication (voir 8.4.3) et établir des procédures de communication efficaces sur les
incidents (voir 8.4.4.5).
Pour les risques identifiés exigeant un traitement et en ligne avec l’attitude globale face au risque, il
convient que l’organisme considère des moyens de réduire la vraisemblance, raccourcir la durée et
limiter les impacts d’une perturbation.
S’il y a un danger spécifique sur lequel l’organisme n’a pas de maîtrise et qui pourrait entraîner des
perturbations significatives pour cet organisme (par exemple: tremblement de terre ou inondation), il
convient que l’organisme, le cas échéant:
— identifie des stratégies et mette en œuvre des solutions pour limiter son impact potentiel;
— identifie l’organisme extérieur responsable de la surveillance du danger;
— contacte l’organisme extérieur pour comprendre ses protocoles de notification;
— analyse les protocoles de notification pour déterminer s’ils sont en ligne avec les besoins de
l’organisme.
Il convient que la sélection des stratégies de continuité d’activité soit basée sur la mesure dans
laquelle elles:
a) permettent de reprendre les activités prioritaires à la capacité convenue, dans les délais identifiés
lors du bilan d’impact sur l’activité (voir 8.2.2);
b) se rapportent au niveau et au type de risque que l’organisme peut prendre ou non;
c) procurent des avantages à des coûts gérables et raisonnables.
Il convient que l’organisme réexamine toutes les solutions lorsque des changements sont apportés au
fonctionnement de l’organisme.
Les solutions de continuité d’activité pour stabiliser, poursuivre, reprendre et rétablir une activité
prioritaire peuvent souvent représenter un coût prohibitif. Si l’organisme estime que c’est le cas, il
convient soit de sélectionner des solutions alternatives qui sont acceptables et satisfont aux objectifs
de continuité d’activité, soit de traiter les produits et services affectés en les excluant du domaine
d’application du SMCA, conformément à 4.3.3.
Lorsque l’organisme estime qu’une menace est extrêmement improbable ou que le coût de protection
d’une activité prioritaire est démesurément élevé, il peut choisir d’accepter le risque et de le réévaluer
dans le cadre de son évaluation de la performance du SMCA actuel (voir Article 9). L’acceptation du
risque peut également exiger le retrait des produits ou services en question du domaine d’application
du SMCA.
8.3.4.1 Généralités
Il convient que l’organisme détermine les exigences applicables aux ressources pour mettre en œuvre
les solutions sélectionnées.
Il convient que l’organisme établisse:
— des équipes appropriées ou, pour les organismes plus petits, des individus ayant l’autorité appropriée
pour superviser l’état de préparation, de réponse et de rétablissement en ce qui concerne les
incidents;
— des capacités et des procédures logistiques pour localiser, acquérir, stocker, distribuer, maintenir,
soumettre à essai et prévoir les services, le personnel, les ressources, les matériels et les installations
produits ou donnés;
— les procédures financières, logistiques et administratives pour supporter les dispositions en matière
de continuité d’activité avant, pendant et après un incident. Il convient que ces procédures:
— assurent que les décisions financières peuvent être accélérées;
— soient en accord avec les niveaux d’autorité, la gouvernance et les principes comptables établis;
— les objectifs de gestion des ressources pour les temps de réponse, le personnel, les équipements,
la formation, les installations, le financement, les assurances, le contrôle de la responsabilité, la
connaissance d’expertise, les matériels et les délais au bout desquels chaque élément sera nécessaire
de la part des ressources de l’organisme et des fournisseurs;
— les procédures pour l’assistance d’une partie intéressée, les communications, les alliances
stratégiques et l’aide réciproque ou mutuelle.
8.3.4.2 Personnel
8.3.4.2.1 Généralités
Il convient que l’organisme dispose de personnes possédant les compétences pour répondre aux
incidents et les gérer, ainsi que pour participer à la reprise des activités prioritaires.
Il convient que l’organisme nomme du personnel chargé de la réponse aux incidents, doté de la
responsabilité, de l’autorité et des compétences nécessaires pour gérer un incident.
Il convient que le personnel chargé de la réponse aux incidents forme un groupe qui ait la responsabilité
de gérer toute perturbation ayant un impact significatif ou ayant potentiellement un tel impact sur
l’organisme.
Le personnel peut être affecté aux équipes selon la compétence dont il a fait preuve, comme par exemple:
— gestion d’incident/management stratégique (voir 8.4.4.4);
— communications (voir 8.4.4.5);
— sécurité des personnes et bien-être (voir 8.4.4.6);
— sauvetage et sécurité (voir 8.4.4.7);
— reprise des activités (voir 8.4.4.8);
— rétablissement des systèmes TIC (voir 8.4.4.9).
Il convient que tout le personnel faisant partie de ces groupes ait des responsabilités et des autorités
clairement définies qui s’appliquent avant, pendant et après une perturbation.
Les formations appropriées pour le personnel chargé de la réponse aux incidents et du rétablissement
de l’activité comprennent:
— l’appréciation d’incident;
— l’évacuation et la gestion des abris en place, si cela relève du domaine d’application;
— les dispositions sur les sites de travail alternatifs;
— les techniques de traitement efficace des communications internes et externes;
— le traitement des aspects humains (voir ISO/TS 22330).
Il convient que les aptitudes et les compétences en matière de réponse dans l’ensemble de l’organisme
soient développées au moyen de formations pratiques, y compris la participation active aux exercices.
Il convient que les équipes de réponse et de rétablissement reçoivent une formation initiale et une
formation continue sur leurs responsabilités et leurs devoirs, y compris les interactions avec les
premiers intervenants et les autres parties intéressées. Il convient que les équipes soient formées à
intervalles réguliers et que les nouveaux membres soient formés lorsqu’ils rejoignent la structure
de réponse. Il convient aussi que ces équipes reçoivent une formation à la prévention des incidents
susceptibles d’escalade générant des crises.
Il convient que l’organisme identifie les mesures appropriées en vue de maintenir et d’élargir la
disponibilité des compétences et savoirs clés pour permettre la reprise des activités avec une réduction
du personnel disponible. Il est possible que le personnel ne réponde pas comme prévu lors d’un incident,
et ait besoin d’être encouragé, rassuré et soutenu. Il convient que les employés, les contractants et les
autres parties intéressées possédant de larges compétences et savoirs spécialisés soient inclus. Les
techniques pour protéger ou soutenir ces compétences peuvent inclure:
— une liste de spécialistes compétents en réserve et un plan d’appel;
— une formation polyvalente du personnel et des contractants;
— une séparation des compétences clés pour réduire l’impact d’un incident, y compris la séparation
physique du personnel ayant des compétences clés sur plusieurs lieux;
— le recours à des tierces parties;
— la planification de la succession;
— la documentation des processus et des autres formes de conservation et de gestion des connaissances.
Les procédures qui reposent sur la relocalisation de personnel après un incident peuvent avoir besoin
de prendre en considération:
— le transport de personnel sur un autre lieu;
— les besoins du personnel sur le site alternatif, tels que:
— hébergement;
— services de restauration;
— engagements personnels et familiaux;
— formation à des équipements différents;
— les problèmes posés par le travail à domicile.
Les rôles de spécialistes peuvent comprendre:
— la sécurité;
— la logistique de transport;
— le bien-être et les urgences.
Pour encourager et rassurer le personnel qui sera requis pour répondre à une perturbation, il convient
que l’organisme offre, par exemple, des conseils pratiques, une sensibilisation (prise de conscience) aux
risques, des solutions de transport et un soutien aux familles.
L’ISO/TS 22330 donne des lignes directrices supplémentaires sur les aspects humains de la continuité
d’activité.
Les termes «informations» et «données» sont employés indifféremment dans l’usage courant. Dans
le présent document, le terme «informations» désigne des données qui ont été traitées, organisées
et corrélées pour produire du sens. Les informations sont ainsi créées à partir de données, qui
comprennent, par exemple, les faits, les statistiques et les nombres conservés manuellement et sous
forme électronique qui peuvent être stockés et utilisés sur un ordinateur.
Il est possible que des informations soient recréées à partir de données durant une perturbation, mais
le temps nécessaire pour cela peut être considérable, et les moyens d’y parvenir peuvent ne pas être
disponibles. Il convient donc que les organismes prennent en considération les exigences des activités
en matière à la fois d’informations et de données. Si des informations ou des données exigées par une
activité (pas seulement une activité prioritaire) sont définitivement perdues, il peut s’avérer impossible
de reprendre l’activité.
Il convient que les informations vitales pour le fonctionnement de l’organisme soient protégées et
rétablissables dans les délais identifiés durant le bilan d’impact sur l’activité. Il convient que l’organisme
ait conscience des exigences juridiques applicables pour la détermination des dispositions de stockage
et de rétablissement des données.
Il convient que toute information ou donnée exigée pour permettre la réponse et le rétablissement de
l’organisme ait:
— une confidentialité appropriée (par exemple, si l’activité est déplacée sur un autre site);
— une intégrité appropriée: les informations et les données sont fiables et dignes de foi;
— une disponibilité appropriée: les informations et les données sont disponibles dès que requis par
l’activité (c’est-à-dire dans le RTO de l’activité); les informations et les données requises pendant la
réponse peuvent être requises immédiatement alors que d’autres informations et données peuvent
ne pas être requises jusqu’après l’incident;
— une actualisation appropriée: aussi à jour qu’exigé pour permettre à l’activité de fonctionner
(voir 8.2.2), bien que l’information perdue dans l’incident puisse nécessiter une reconstitution et
que les données puissent avoir besoin d’être restaurées.
Lorsque les informations et les données sont copiées, différentes méthodes peuvent être utilisées,
y compris les formats virtuels (électroniques) (par exemple: disque, cloud, bande) et physiques (copies
papier) (par exemple: microfiche, photocopies, création de doubles au moment de la production).
Il convient de documenter les solutions d’informations et de données pour rétablir les informations et
les données n’ayant pas encore été copiées ou sauvegardées en lieu sûr.
Si les informations ou les données copiées sont stockées trop près de l’original, la perturbation pourrait
compromettre leur intégrité ou en empêcher l’accès. Néanmoins, une longue distance peut empêcher
que les informations/données soient disponibles lorsque cela est nécessaire. Il serait approprié d’avoir
une preuve écrite sur la méthode choisie pour résoudre ces problèmes contradictoires.
Les informations et les données visées par le présent paragraphe peuvent comporter:
— les informations de contact;
— les fournisseurs, les parties intéressées et les détails sur les parties intéressées;
— les documents juridiques (par exemple: contrats, polices d’assurance, titres de propriété);
— les autres documents sur des services (par exemple: contrats, accords sur les niveaux de services);
— les métadonnées (c’est-à-dire des informations permettant de décrire les contenus audiovisuels et
la nature des données dans un format défini);
— les messages de notification et d’alerte diffusés en tant que mesure de réponse à un incident;
— les lignes directrices et les critères concernant qui a autorité pour lancer les procédures.
Les solutions des sites de travail peuvent varier significativement et il peut exister un vaste choix
d’options. Différents types d’incidents ou de menaces peuvent exiger la mise en œuvre d’options
de sites de travail différentes ou multiples. La tactique appropriée sera déterminée en partie par la
taille de l’organisme, le secteur et l’étalement des activités, par les parties intéressées et par la base
géographique. Par exemple, les autorités publiques auront besoin de maintenir un service d’intervention
dans leurs communautés, tandis que certains organismes pourront opérer à partir d’un pays ou d’un
continent différent.
Il convient que l’organisme définisse une solution qui réduise l’impact de la non-disponibilité de son ou
ses sites normaux de travail. Cela peut inclure un ou plusieurs des éléments suivants:
— emplacements alternatifs (lieux) au sein de l’organisme, avec déplacement d’autres activités;
— emplacements alternatifs fournis par d’autres organismes (avec ou sans accords de réciprocité);
— centres de commandement;
— emplacements alternatifs fournis par des tierces parties spécialistes;
— travail à domicile ou sur des sites à distance;
— autres emplacements adéquats convenus;
— utilisation d’une main d’œuvre alternative dans un site établi.
Il convient de sélectionner soigneusement les emplacements alternatifs en tenant compte du fait qu’une
zone géographique peut être affectée par le même incident. Un incident tel qu’une catastrophe naturelle
peut causer des dommages dans des zones étendues et affecter des services essentiels tels qu’électricité,
gaz, eau et communications. Si un tel risque est prévu, il convient que les emplacements alternatifs
soient à distance d’une telle zone potentiellement affectée.
Si le personnel doit être transféré sur des emplacements alternatifs, il convient de dûment considérer de:
— s’assurer que les emplacements ne soient pas proches au point d’être susceptibles d’être affectés par
le même incident;
— s’assurer que les emplacements soient suffisamment proches pour que le personnel soit disposé à
s’y rendre et en mesure de le faire;
— prendre en compte les difficultés éventuelles qui peuvent être causées par l’incident.
Il convient que le recours à des emplacements alternatifs dans un but de continuité soit soutenu par
une déclaration faisant savoir clairement si les ressources exigées dans les emplacements alternatifs
sont à l’usage exclusif de l’organisme. En cas de partage des emplacements alternatifs avec d’autres
organismes, il est recommandé de développer et de documenter un plan destiné à atténuer la non-
disponibilité de ces emplacements.
Dans certains cas (par exemple: une chaîne de production, un centre d’appels ou si le RTO est court), il
peut être approprié de déplacer la charge de travail plutôt que le personnel. Cela peut exiger de mettre
à disposition une capacité de réserve sur le site alternatif, du personnel supplémentaire (au moyen
d’heures supplémentaires ou par l’embauche) ou d’autres ressources.
Il convient que l’organisme identifie et maintienne un inventaire des fournitures essentielles nécessaires
à ses activités prioritaires.
Il peut être difficile et très coûteux d’acquérir certaines installations et machines (exigeant de longs
délais pour les autorisations). Les délais d’approvisionnement peuvent également être longs. Les
solutions pour fournir de telles ressources peuvent avoir besoin de prendre en compte ces questions.
Un changement des pratiques d’activité, telles que le contrôle de stock ou la gestion d’immeuble, peut
apporter des solutions.
À cet effet, les techniques applicables peuvent être les suivantes:
— stockage de fournitures supplémentaires sur un autre lieu;
— dispositions convenues avec des tierces parties pour la fourniture de stocks avec de faibles délais de
préavis;
— déviation des livraisons juste-à-temps vers d’autres sites;
— maintien des matériels dans les entrepôts ou sur les sites d’expédition;
— transfert d’opérations de montage de sous-ensembles vers un lieu alternatif qui dispose de
fournitures;
— identification de fournitures alternatives/de substitution;
— identification d’installations et d’équipements, et planification multi-options par phases.
Lorsque les activités dépendent de fournitures spéciales, il convient que l’organisme identifie les
fournisseurs dont les activités prioritaires dépendent, particulièrement dans le cas d’une source unique
d’approvisionnement. Des solutions de management de la continuité des approvisionnements peuvent
comprendre:
— d’augmenter le nombre de fournisseurs;
— d’encourager les fournisseurs à avoir une continuité d’activité ou l’exiger;
— des accords contractuels et/ou sur les niveaux de services avec les fournisseurs;
— l’identification de fournisseurs alternatifs ayant des capacités.
Lorsque des activités sont relocalisées, il convient de vérifier que les fournisseurs sont capables de
livrer leurs produits ou fournir leurs services efficacement sur le site alternatif.
Dans de nombreux organismes, les activités ne peuvent pas être réalisées sans systèmes de TIC et il faut
les remettre en marche avant de pouvoir reprendre les activités. Dans la mesure du possible et partout
où c’est faisable, l’organisme peut avoir besoin de mettre en œuvre des solutions de contournement
manuelles pendant que ses systèmes TIC sont remis en marche.
Les options technologiques dépendront de la nature de la technologie utilisée et de ses relations avec
les activités, mais seront généralement une combinaison des éléments ci-après:
— mesures prises au sein de l’organisme;
— services fournis à l’organisme par une tierce partie;
— services externes auxquels l’organisme est abonné.
Les techniques pour fournir les systèmes TIC exigés par les activités prioritaires peuvent comprendre:
— le fait de les répartir géographiquement (par exemple, en maintenant la même technologie sur
différents lieux qui ne seront pas affectés par la même perturbation);
— le maintien des équipements anciens pour servir de remplacement ou de rechange en cas d’urgence;
Il convient que l’organisme détermine des options pour s’assurer que le financement nécessaire soit
disponible pendant et après une perturbation. Cela peut comprendre:
— le fait de prévoir des fonds pour les achats d’urgence tels que nourriture, hébergement, installations,
consommables et transport;
— le remboursement des dépenses du personnel;
— les dépenses importantes, par exemple pour la location ou l’achat de bâtiments et d’équipements.
Pour se protéger contre les risques d’abus ou faciliter les déclarations de sinistres auprès des assurances,
il peut être nécessaire de démontrer que sont en place des contrôles financiers efficaces, par exemple en
prévoyant un enregistrement formel des dépenses pendant et après une perturbation.
Il convient de mettre en œuvre les solutions sélectionnées et de les maintenir au fil du temps.
Après la sélection de solutions de continuité d’activité, il convient d’impliquer le management dans
la sélection des ressources nécessaires à la continuité d’activité (par exemple: espace de travail,
personnel, équipements, fournitures). Il convient de prendre soin de s’assurer que ces ressources soient
disponibles au moment de l’incident.
Pour s’assurer de la faisabilité de ses stratégies de reprise et d’atténuation, il convient que l’organisme
définisse et mette en œuvre l’ensemble des solutions qui ont besoin d’être en place avant une
perturbation. Si les délais d’activation d’une solution dépassent les exigences de continuité d’activité, il
convient que l’organisme mette en œuvre la solution sélectionnée avant l’apparition de la perturbation.
8.4.1 Généralités
Il convient que l’organisme possède une structure de réponse soutenue par des plans et procédures de
continuité d’activité pour:
— maîtriser la réponse à la perturbation;
— communiquer de manière efficace avec les parties intéressées;
— utiliser des solutions de continuité d’activité pour reprendre les activités dans leurs RTO.
Un plan comprend une ou plusieurs procédures. Il convient que les plans et procédures, collectivement:
— identifient les mesures immédiates à prendre et aident à la prise de décision en temps utile;
— soient suffisamment flexibles pour s’adapter à des menaces non anticipées et des situations
changeantes;
— se concentrent sur les impacts anticipés des perturbations;
— soient en ligne avec les solutions de continuité d’activité sélectionnées par l’organisme pour
minimiser les impacts;
— identifient clairement les rôles et attribuent les responsabilités pour toutes les tâches à entreprendre.
8.4.2.1 Objet
Une structure de réponse efficace permet aux organismes de détecter les événements, d’identifier les
incidents et de déterminer s’ils sont susceptibles, ou non, d’entraîner une perturbation. Il convient que
l’organisme développe une structure de réponse aux incidents qui fournira une réponse efficace aux
perturbations, quelle qu’en soit la cause. En l’absence de structure convenue et documentée en place,
il est vraisemblable que l’organisme sera incapable de répondre efficacement à une perturbation, et ne
pourra pas reprendre ses activités interrompues dans les délais nécessaires.
8.4.2.2 Conception
8.4.3.1 Généralités
Traiter efficacement les communications initiales dès l’apparition d’une perturbation peut faire une
différence considérable sur l’efficacité de la réponse de l’organisme. Une communication efficace
n’est possible que si l’organisme est au clair sur quoi, quand, avec qui et comment communiquer. Il
convient donc que l’organisme établisse des procédures documentées pour les actions relatives aux
avertissements et à la communication suivantes, et qu’il identifie qui sera responsable de leur exécution:
— communiquer en interne entre les différents niveaux et fonctions au sein de l’organisme, y compris
au sein de la structure de réponse;
— alerter les parties intéressées, recevoir et documenter les communications qu’elles émettent et y
répondre (cela peut comprendre les contacts d’urgence des employés);
Dans certaines circonstances, les parties intéressées peuvent être affectées par une perturbation
en cours ou imminente. Par exemple, les perturbations touchant un organisme qui entreprend des
opérations dangereuses ou stocke des produits toxiques peuvent mettre en danger les riverains. Il
convient que de tels organismes considèrent les mesures suivantes:
— établir des procédures qui permettraient la surveillance des dangers;
— déterminer à l’avance les informations d’avertissement du public qu’il peut être nécessaire de
fournir pendant une perturbation;
— identifier les zones géographiques vers lesquelles il peut être nécessaire d’envoyer les informations
d’avertissement du public;
— évaluer scientifiquement les niveaux potentiels de gravité des dangers;
— définir des critères reposant sur des bases scientifiques pour l’émission d’avertissements et
s’assurer que des procédures sont en place pour transmettre les informations d’avertissement aux
organismes responsables des avertissements au public;
— établir des relations avec les organismes externes responsables des zones potentiellement touchées.
Il peut également être nécessaire que ces organismes:
— établisse une relation avec un organisme externe responsable des avertissements au public;
— s’assure que les riverains comprennent comment les alarmes sont émises et comment y répondre.
Il convient que les procédures d’avertissement et de communication fassent l’objet d’exercices dans le
cadre du programme d’exercices de l’organisme (voir 8.5).
8.4.4.1 Généralités
Les plans de continuité d’activité présentent la manière dont les équipes vont répondre aux
perturbations et reprendre les activités dans le cadre du SMCA.
Étant donné que la terminologie varie selon les organismes et que, dans beaucoup d’instances, des
termes spécifiques sont utilisés de façon interchangeable, il est essentiel que les rôles et responsabilités
des équipes soient clairement indiqués, et que les procédures documentées venant en support indiquent
clairement leur objet, leur domaine d’application et leurs objectifs (voir Tableau 5).
8.4.4.2 Couverture
8.4.4.2.1 Généralités
Il convient que les plans de continuité d’activité traitent, collectivement, de tous les aspects de la
réponse à un incident et qu’ils soient spécifiques aux équipes qui les appliqueront. Il peut donc être
bénéfique:
— d’impliquer une partie importante du personnel, y compris les équipes spécialisées, dans le
développement des plans de continuité d’activité;
— d’utiliser le retour d’expérience des exercices et de s’appuyer sur les enseignements tirés des
perturbations.
Il convient que les délais et les niveaux de performance se basent sur les informations recueillies
pendant le bilan d’impact sur l’activité (voir 8.2.2) et la sélection de stratégies et solutions de continuité
d’activité (voir 8.3.3).
Lors du traitement d’un incident, il peut être nécessaire de prendre en considération un grand nombre
d’actions. Il convient que ces actions soient incluses dans des procédures documentées et incluent:
a) la réponse à l’incident et son appréciation, qui incluent:
1) de déterminer ce qui s’est passé et comment;
2) d’identifier quelles parties de l’organisme et quelles parties intéressées ont été affectées ou ont
pu l’être;
3) d’essayer d’anticiper la durée de l’incident et ses impacts potentiels;
4) d’apprécier si l’incident sera géré par les dispositions de gestion habituelles;
5) de juger, grâce à des seuils prédéfinis, si l’incident peut entraîner une perturbation;
b) la gestion des conséquences immédiates de l’incident, en tenant dûment compte du bien-être des
personnes affectées (y compris les membres de l’équipe) et de l’impact sur l’environnement, et en
considérant les options de réponse à l’incident et de prévention des pertes ou dommages futurs;
c) l’évaluation de l’appréciation de l’incident par rapport à des critères d’activation pour chacune des
procédures;
d) la déclaration d’incident et l’activation des procédures quand les critères d’activation sont satisfaits;
e) la mobilisation du personnel de réponse aux incidents pour les équipes chargées des activités de
stabilisation, de continuité et de rétablissement;
f) l’établissement d’un site central utilisé par l’équipe chargée de la gestion et de la maîtrise de
l’incident (centre de commandement);
g) l’établissement de priorités pour les problèmes et activités à entreprendre pour gérer l’incident et
ses impacts;
h) la maîtrise et la coordination de toutes les procédures activées;
i) l’activation ou l’établissement de sites alternatifs pour restaurer les TIC ou les autres capacités
d’infrastructures, ainsi que pour le fonctionnement temporaire des activités de l’organisme;
j) la surveillance de l’évolution de l’incident;
k) la revue et l’adaptation des plans en réponse à des circonstances changeantes;
l) la désescalade, la démobilisation et le retour aux opérations de routine dès qu’une capacité durable
a été rétablie;
m) la conduite d’une séance de débriefing et l’identification d’opportunités d’apprentissage;
n) l’assurance de la bonne gouvernance, du collationnement et de la sécurité de la documentation
générée durant la gestion et le rétablissement après l’incident.
Pour assurer la reprise en temps utile de la livraison des produits et de la fourniture des services par
l’organisme, il convient que les procédures documentées pour la reprise de chaque activité:
— satisfassent le RTO propre à l’activité qui supporte ce produit ou service;
— soient suffisamment fiables.
Ceci peut être obtenu par:
— la propriété ou la maîtrise des moyens et ressources permettant de lancer la procédure;
— des contrats, des accords ou des niveaux de services conclus avec des tierces parties.
8.4.4.3.1 Généralités
Il convient que chaque plan de continuité d’activité identifie son objet, son domaine d’application et ses
objectifs sous une forme qui est clairement compréhensible par les équipes qui l’utilisent. Il convient
que les relations avec d’autres procédures documentées ou documents requis ou pertinents soient
clairement indiquées et que la méthode pour les obtenir ou y accéder soit décrite. Il convient que le plan
de continuité d’activité comprenne également:
— les critères d’activation et procédures;
— les procédures de mise en œuvre;
— les exigences et procédures de communication;
— les interdépendances internes et externes, et les interactions;
— les exigences de ressources;
— les exigences de reporting;
— le flux d’informations et les processus de documentation.
Comme pour toute autre forme d’informations documentées (voir 7.5.3), il convient que l’organisme
s’assure que les plans de continuité d’activité sont utilisables et disponibles quand et où ils sont
nécessaires. Pour s’assurer que la perturbation ne nuit pas au fonctionnement des plans de continuité
d’activité, il peut être nécessaire que l’organisme prenne des précautions (par exemple: en séparant
sur de multiples lieux les équipes et les systèmes TIC rétablis). Il n’est cependant pas toujours possible
d’effectuer une séparation totale pour toutes les tailles et tous les types de perturbations, et il peut être
nécessaire d’identifier les limitations et d’en convenir avec la direction générale. Les limitations peuvent
être exprimées en termes de distance, d’effectif minimum ou de sévérité, et peuvent être influencées
par la réponse des organismes publics à des perturbations sévères ou étendues.
La gestion d’incident a pour but d’assurer que la réponse de l’organisme à une perturbation est efficace
au niveau stratégique.
Il convient que les procédures comprennent la base pour gérer toutes les questions possibles se posant
à l’organisme lors d’un incident, y compris celles qui sont liées aux parties intéressées. Il convient, en
outre, que les procédures couvrent toutes les installations dont l’équipe gérant l’incident et les autres
équipes de réponse pourraient avoir besoin.
8.4.4.5 Communication
Les procédures de communication peuvent être incluses dans les procédures de gestion d’incident
ou dans les procédures de réponse d’une autre équipe. S’il y a plusieurs équipes, il convient qu’elles
travaillent en étroite collaboration.
Il convient que les communications émises et reçues durant l’incident soient gérées et coordonnées. Il
convient que les procédures contiennent:
a) des détails relatifs à la manière et aux circonstances de la communication de l’organisme avec les
employés et leurs familles, les autres parties intéressées et les contacts d’urgence;
b) des détails sur la réponse de l’organisme aux médias à la suite d’un incident, qui peuvent
comprendre:
1) la stratégie de communication sur l’incident;
2) l’interface préférentielle avec les médias;
3) les lignes directrices et modèles pour rédiger des déclarations pour les médias;
4) le nombre approprié de porte-parole formés et compétents, autorisés à communiquer les
informations aux médias.
Il est important que le timing et le contenu des communications internes et externes soient cohérents.
Les communications internes sont une priorité pour renforcer la confiance et la motivation.
Les informations préparées à l’avance peuvent être particulièrement utiles dans les premiers
moments d’un incident. Elles permettent à l’équipe de donner des détails sur l’organisme et ses
activités professionnelles, tandis que les informations détaillées sur l’incident sont encore en cours
d’établissement.
Il peut être approprié:
— d’établir un endroit convenable pour assurer la liaison avec les médias, ou avec d’autres groupes de
parties intéressées;
— d’établir un nombre approprié de personnes compétentes et formées pour répondre aux demandes
téléphoniques des médias;
— d’utiliser tous les canaux de communication ouverts à l’organisme, y compris les réseaux sociaux;
— de préparer une documentation de fond sur l’organisme et son fonctionnement (il convient qu’un
pré-accord soit donné pour la communication de cette information).
Il peut également être nécessaire de considérer les groupes de pression ou les groupes d’action de
communautés ayant collectivement du pouvoir ou de l’influence sur l’organisme.
Il convient de prévoir un processus d’identification et de priorisation des communications avec les
autres parties intéressées clés. Il peut être nécessaire de développer une procédure séparée pour la
gestion des parties intéressées, de fournir des critères pour établir les priorités et de prévoir d’affecter
des personnes pour s’occuper de chaque partie prenante ou groupe de parties prenantes.
Les organismes ont un devoir de diligence envers leurs employés, contractants, visiteurs et clients
lorsqu’un incident représente un risque direct pour la vie, la subsistance et le bien-être des personnes.
Une attention spéciale devra être portée à tous les groupes souffrant de handicaps physiques et
d’apprentissage ou ayant d’autres besoins spécifiques (par exemple: femmes enceintes, handicap
temporaire en raison d’une blessure). Une planification à l’avance destinée à satisfaire à ces exigences
peut réduire le risque et rassurer les personnes affectées. Les impacts à long terme des incidents ne
peuvent pas être sous-estimés. Il convient que l’organisme développe des solutions appropriées, prenant
notamment en considération les aspects sociaux et culturels pertinents, afin d’assurer le rétablissement
physique et psychologique au sein de l’organisme.
Il convient d’inclure les éléments de réponse suivants relatifs au bien-être:
— évacuation du site (y compris des activités internes de type «abri sur site») et points de
rassemblement;
— mobilisation des équipes de sécurité des personnes, de premiers secours et d’assistance à
l’évacuation;
— localisation et comptage de ceux qui étaient sur le site ou à proximité immédiate.
Il pourra également être inclus ce qui suit:
— services de traduction;
— assistance au transport, y compris orientation, si exigé;
— liaisons désignées et informations de contact pour les services de secours, les agences appropriées
et les premiers intervenants;
— localisation de la main d’œuvre ou des contractants en déplacement;
— gestion des lignes téléphoniques d’assistance;
— rééducation physique et soutien psychologique.
Il convient que les ressources exigées soient identifiées de manière spécifique. Il convient qu’une
ressource soit disponible en temps utile et qu’elle ait la capacité de faire ce pour quoi elle est prévue.
Il convient que les procédures de reprise des activités identifient les systèmes TIC sur lesquels la reprise
repose et qu’elles référencent toutes les procédures de continuité TIC existantes.
Il convient que les procédures de continuité TIC, le cas échéant, traitent au minimum:
— l’appel à la réponse TIC requise et au déploiement de personnel TIC;
— l’accès aux données de sauvegarde et l’acquisition de prestations de services alternatives;
8.4.5 Rétablissement
Il convient que l’organisme détermine à l’avance comment revenir à la normale suite à une perturbation,
et qu’il dispose de procédures documentées pour restaurer les activités et retirer les mesures
temporaires adoptées pendant un incident. Il convient que ces procédures satisfassent un audit
pertinent et les exigences de gouvernance de l’entreprise.
Le rétablissement a pour objet de ré-établir les activités professionnelles pour permettre un
fonctionnement normal à la suite d’une perturbation. Le retour à la normale peut s’obtenir:
— en réparant les dommages causés par l’incident;
— en déplaçant des opérations des emplacements temporaires vers les lieux d’activité primaires
restaurés;
— en déménageant vers un nouveau lieu.
La meilleure manière de revenir à la normale dépendra de la sévérité du dommage causé par l’incident
et des estimations de la durée pour établir les installations nécessaires.
Il convient que les procédures documentées prévoient une appréciation détaillée de la situation et de
son impact, la détermination des tâches et des étapes du rétablissement. Pendant le rétablissement,
l’organisme peut devoir:
— établir des ressources et une infrastructure de rétablissement;
— opérer depuis des installations de rétablissement;
— restaurer les installations endommagées;
— sécuriser les approvisionnements et les financements pour les situations d’urgence;
— assurer le sauvetage des équipements dans les installations endommagées;
— se retourner contre les polices d’assurance existantes;
— obtenir du personnel supplémentaire pour soutenir l’effort de rétablissement;
— sélectionner des options pour la restauration et le retour à la normale;
— migrer des opérations vers les installations de rétablissement;
— rétablir les informations documentées perdues;
— communiquer avec les parties intéressées pertinentes à des fréquences appropriées;
— normaliser les opérations sur les installations restaurées;
— conduire une revue après rétablissement;
— procéder avec diligence sur les exigences d’audit et de gouvernance de l’entreprise.
Il convient que les procédures documentées pour le rétablissement comprennent des dispositions
pour la reprise de toutes les activités et non pas seulement pour celles identifiées comme activités
prioritaires. Cela signifie que les activités ayant une priorité plus faible doivent reprendre à un certain
point et qu’elles ont des exigences de ressources qui doivent être satisfaites (voir 8.3.4).
8.5.1 Généralités
Les procédures et dispositions de continuité d’activité d’un organisme ne peuvent pas être considérées
comme fiables tant qu’elles n’ont pas fait l’objet d’exercices et que leur actualité n’est pas maintenue. Les
exercices développent le travail en équipe, la compétence, la confiance et les connaissances. Il convient
qu’ils comprennent les personnes qui pourraient être amenées à utiliser ces procédures.
Des exercices robustes et réalistes permettent d’identifier les aspects à améliorer, même dans le cas de
procédures bien conçues. Il convient que l’organisme conçoive un programme d’exercices qui valide,
dans la durée, l’efficacité de ses stratégies, solutions, plans et procédures de continuité d’activité.
L’établissement d’un programme d’exercices permet une démarche coordonnée pour la construction,
l’évolution et la maturation des capacités de l’organisme. Il convient que le programme couvre les plans
individuels, le personnel (y compris celui d’organismes externes), les capacités et les ressources qui
contribuent aux objectifs stratégiques de l’organisme.
Il convient que la direction générale s’assure que les objectifs du programme d’exercices sont définis
et qu’une personne compétente est désignée pour gérer le programme d’exercices. Il convient que le
domaine d’application d’un programme d’exercices soit basé sur la taille et la nature de l’organisme
effectuant les exercices et le domaine d’application, la fonctionnalité, la complexité et le niveau de
maturité des plans et capacités soumis à exercice. Aux tous premiers stades de maturité, les exercices
et tests peuvent se limiter à des listes de contrôle (checklists), des exercices d’entraînement et des
exercices de sensibilisation (prise de conscience). À mesure que le programme monte en maturité, il
peut s’enrichir d’exercices sur table et de simulations grandeur nature.
Il convient que le programme d’exercices soit flexible, en prenant en considération les changements
au sein de l’organisme et les résultats des exercices précédents. Un changement significatif dans
l’organisme peut déclencher la planification d’un exercice afin d’examiner les dispositions révisées.
Il convient que le programme d’exercices considère les rôles de toutes les parties, y compris des
tiers prestataires, des fournisseurs et autres parties devant normalement participer aux activités de
rétablissement. Un organisme peut inviter de telles parties dans ses exercices et peut participer aux
exercices que ces parties organisent.
Pour s’assurer que les exercices sont conduits avec efficacité et efficience dans les délais spécifiés, il
convient que le programme d’exercices comprenne:
— une analyse des besoins;
— l’approbation de la direction générale;
— des objectifs clairs;
— l’étendue, le nombre, les types, la durée, les lieux et les plannings des exercices;
— le personnel adapté pour venir en appui du programme;
— les ressources et le budget nécessaires;
— les processus de traitement de la confidentialité, la sécurité des informations, la santé et la sécurité
des personnes, et autres questions similaires.
Il convient que le programme d’exercices assure dans la durée que la réponse globale de l’organisme
sera efficace. Il convient que le programme lorsqu’il est mis en œuvre:
— exerce les aspects techniques, logistiques, administratifs, procéduraux et autres aspects
opérationnels des procédures;
— exerce toutes les personnes ayant des responsabilités dans le cadre des procédures, y compris celles
d’organismes externes;
— exerce les dispositions et infrastructures de continuité d’activité (y compris, par exemple, les
centres de commandement et les zones de travail);
— valide le rétablissement de la technologie et des télécommunications, y compris la disponibilité et le
transfert du personnel;
— exerce les équipes de réponse dans la gestion des impacts causés par une perturbation de la chaîne
d’approvisionnement.
Il convient que l’organisme surveille et mesure la mise en œuvre du programme d’exercices pour
s’assurer que ses objectifs sont atteints. Il convient que le programme d’exercices fasse l’objet d’une
revue pour identifier des améliorations.
Les exercices, y compris les tests, sont des activités conçues pour examiner l’aptitude de l’organisme à
répondre aux incidents, à rétablir son activité et à continuer d’assurer les fonctions qui lui sont assignées
de façon efficace lorsqu’il est confronté à des scénarios spécifiques de perturbation. Il convient que
l’organisme utilise les exercices et les résultats documentés des exercices pour s’assurer que les plans
de continuité d’activité sont efficaces et prêts à être activés.
Il convient que les buts et objectifs de chaque exercice ou test soient clairement définis et basés sur un
scénario approprié pour pouvoir les satisfaire.
Les exercices peuvent:
— anticiper un résultat prédéterminé (par exemple: être planifiés et prévus à l’avance);
— permettre à l’organisme de développer des solutions innovantes.
Il convient que les exercices soient réalistes, soigneusement planifiés et convenus avec les parties
pertinentes, de manière qu’ils génèrent un risque minimal de perturbation des activités et d’incident
survenant en tant que conséquence directe de l’exercice. Cela peut s’obtenir en effectuant l’exercice au
sein d’un environnement maîtrisé et isolé, à la condition que cela ne vienne pas nuire à l’intégrité des
objectifs à soumettre à essai.
Il convient que l’organisme conçoive des scénarios d’exercice qui satisfont aux objectifs de l’exercice.
Ils peuvent utiliser des menaces identifiées dans l’appréciation du risque ou des informations issues de
perturbations précédentes.
L’efficacité de certains aspects de la continuité d’activité exigera que des individus particuliers ou
que ceux qui occupent des positions spécifiques aient une connaissance, des qualifications et des
compréhensions particulières. Il convient que celles-ci soient acquises avant un exercice pour permettre
aux participants de les appliquer aux scénarios et simulations pertinents.
Il convient que les exercices soient conçus et conduits de manière à fournir un ou plusieurs des résultats
suivants:
— vérification que les RTO d’activité (voir 8.2.2) et les RTO pour les dépendances et les ressources de
support des activités prioritaires (voir 8.3.2.3) sont réalisables;
— confiance dans le fait que les informations et données requises par les activités sont bien à jour (voir
8.3.4.3);
— meilleure compréhension des dépendances par rapport à la continuité d’activité des fournisseurs et
des autres parties intéressées;
— meilleure sensibilisation (prise de conscience) au contexte et aux priorités de l’organisme;
Dans le cadre d’un exercice, il convient de programmer un passage en revue avec l’ensemble des
participants pour discuter des questions et du retour d’expérience. Il convient que cette information
soit documentée et que des mises à jour soient apportées aux procédures selon les besoins.
Il convient que l’organisme effectue un débriefing après exercice et une analyse portant sur l’atteinte
des buts et objectifs de l’exercice. Il convient qu’un rapport post-exercice soit produit, contenant des
recommandations et un calendrier pour leur mise en œuvre.
Il convient que les leçons issues des exercices et des incidents réels expérimentés soient réexaminées
lors de futurs exercices. Il convient que les exercices montrant de graves déficiences ou imprécisions
dans les procédures soient refaits après apport des actions correctrices correspondantes.
8.6.1 Généralités
Il convient que l’organisme conduise des évaluations de son bilan d’impact sur l’activité, son appréciation
du risque, ses stratégies et solutions, ainsi que de ses plans et procédures de continuité d’activité afin
de s’assurer qu’ils sont en permanence convenables, adéquats et efficaces.
Il convient que les évaluations portent sur le besoin possible d’apporter des changements à la politique,
aux objectifs et aux autres éléments du SMCA à la lumière, par exemple, des résultats des exercices, des
revues post-incidents et des changements de situation de l’organisme.
Les évaluations peuvent prendre la forme d’audits internes ou externes, ou d’auto-évaluations. La
fréquence et le timing de ces revues peuvent être influencés par les réglementations et obligations
juridiques, par la taille, la nature ou le statut légal de l’organisme. Ils peuvent également être influencés
par les exigences de parties intéressées.
Il convient que les évaluations vérifient que:
— tous les produits et services ainsi que les activités et ressources qui les supportent ont été identifiés
et inclus dans les solutions de continuité d’activité de l’organisme;
— la politique de continuité d’activité, les solutions et les procédures de continuité d’activité de
l’organisme reflètent précisément ses exigences en matière de priorités et d’activité;
— les compétences des personnes et la continuité d’activité de l’organisme sont efficaces et adaptées
au but poursuivi, et permettront la gestion, le commandement, la maîtrise et la coordination de la
réponse de l’organisme à une perturbation;
— les solutions de continuité d’activité de l’organisme sont efficaces, à jour et adaptées au but poursuivi;
— les programmes d’exercice et de maintenance de l’organisme ont été mis en œuvre efficacement;
— les solutions et procédures de continuité d’activité incorporent les améliorations identifiées lors
d’incidents et d’exercices et dans le programme de maintenance;
— l’organisme dispose d’un programme permanent de formation et de sensibilisation (prise de
conscience) à la continuité d’activité;
— les procédures de continuité d’activité ont été communiquées efficacement au personnel pertinent,
et ce personnel comprend ses rôles et responsabilités;
— les dispositions de continuité d’activité que les fournisseurs et partenaires ont mis en place pour les
dépendances des activités prioritaires sont appropriées et adéquates;
— l’organisme est suffisamment conforme aux exigences réglementaires et juridiques applicables et
aux meilleures pratiques de son secteur; et il est en conformité avec la politique et les objectifs de
continuité d’activité;
— les processus de maîtrise du changement sont en place et fonctionnent efficacement.
Il convient que le mesurage de l’efficacité des plans, procédures et capacités de continuité d’activité
comprenne les dispositions de continuité d’activité pour les activités externalisées et la continuité
d’activité des fournisseurs et partenaires dont les activités prioritaires dépendent.
On trouvera ci-après des exemples de métriques pouvant être utilisées pour mesurer l’efficacité:
— les données de sauvegarde sont suffisamment récentes pour permettre la reprise des activités et
des ressources dans les RTO spécifiés;
— les emménagements et équipements requis sont disponibles dans le(s) site(s) alternatif(s) afin de
permettre le rétablissement et la reprise des activités;
— les compétences requises pour la reprise des activités prioritaires dans le RTO spécifié ont été
démontrées;
— les compétences requises pour répondre aux incidents et les gérer ont été démontrées.
Lorsque l’organisme est touché par une perturbation, il convient qu’une revue soit entreprise. Celle-ci
peut inclure:
— l’identification de la nature et de la cause de la perturbation;
— l’appréciation de l’adéquation de la réponse du management;
— l’appréciation de l’efficacité de l’organisme à satisfaire ses RTO;
— l’appréciation de l’adéquation des dispositions en matière de continuité d’activité concernant la
préparation des employés à un incident;
— l’identification d’améliorations à apporter aux dispositions en matière de continuité d’activité;
— la comparaison des impacts réels avec ceux considérés au cours du bilan d’impact sur
l’activité (voir 8.2.2);
— l’obtention d’un retour des parties intéressées et de ceux qui ont participé à la réponse.
8.6.3 Résultats
Les résultats révélateurs de plans, procédures et capacités de continuité d’activité efficaces peuvent
comprendre:
— une capacité de gestion des incidents est installée et apporte une réponse efficace;
— la compréhension qu’a l’organisme de lui-même et de ses relations avec les autres organismes, les
autorités de régulation ou les services gouvernementaux pertinents, les autorités locales et les
services de secours est convenablement développée, documentée et comprise;
— des exercices réguliers assurent que le personnel est formé pour répondre efficacement à une
perturbation;
— les exigences des parties intéressées sont comprises et peuvent être satisfaites;
9 Évaluation de la performance
9.1.1 Généralités
Il convient que l’organisme conserve les informations documentées appropriées de chaque évaluation
périodique, ainsi que leurs résultats.
Il convient que l’organisme utilise des indicateurs de performance pour évaluer la performance
et l’efficacité du SMCA et de ses résultats, afin d’identifier les succès et les domaines exigeant des
corrections ou améliorations. Les données obtenues peuvent être utilisées pour identifier les modèles
et pour permettre à l’organisme d’obtenir des informations relatives à la performance du SMCA.
9.2.1 Généralités
Il convient que l’organisme conduise des audits internes à des intervalles planifiés afin d’apprécier la
performance du SMCA.
Les audits internes du SMCA offrent un mécanisme capable de mesurer à quel point le SMCA atteint
ses objectifs, est conforme aux dispositions prévues et a été correctement mis en œuvre et maintenu,
ainsi que d’identifier les opportunités d’amélioration. Il convient que les audits internes du SMCA soient
conduits à des intervalles planifiés pour déterminer et fournir des informations à la direction générale
quant à l’adéquation et l’efficacité du SMCA, ainsi que pour constituer une base pour établir les objectifs
pour une amélioration continue de la performance du SMCA.
Il convient que l’organisme établisse un programme d’audits (voir ISO 19011) pour orienter la
planification et la conduite des audits, et pour identifier les audits nécessaires pour atteindre les objectifs
du programme. Il convient que le programme soit basé sur la nature des activités de l’organisme, en
matière d’appréciation du risque et de bilan d’impact sur l’activité, sur les résultats des audits passés et
sur les autres facteurs pertinents.
Il convient que les programmes d’audit interne soient basés sur la totalité du domaine d’application
du SMCA. Cependant, chaque audit peut ne pas couvrir le système complet en une fois. Les audits
peuvent être découpés en plus petites parties, dans la mesure où le programme d’audits assure que
toutes les unités, fonctions, activités, éléments de système de l’organisme, ainsi que la totalité du
domaine d’application du SMCA soient audités dans le cadre du programme d’audits et dans la période
d’audit désignée par l’organisme.
Les résultats d’un audit interne du SMCA peuvent être donnés sous la forme d’un rapport et servir
à corriger ou prévenir les non-conformités spécifiques, et à constituer les éléments d’entrée pour
conduire la revue de direction.
Les audits internes du SMCA peuvent être réalisés par des membres du personnel au sein de l’organisme,
ou par des personnes externes sélectionnées par l’organisme et qui agissent en son nom. Dans les deux
cas, il convient que les personnes qui conduisent l’audit soient compétentes et en mesure de le faire de
manière impartiale et objective. Dans les organismes de plus petite taille, l’indépendance de l’auditeur
peut être démontrée par le fait que l’auditeur est libre de toute responsabilité en ce qui concerne
l’activité en cours d’audit.
9.3.1 Généralités
Il convient que la direction générale passe en revue le SMCA de l’organisme, selon des intervalles de
temps planifiés, afin de s’assurer qu’il est toujours pertinent, adéquat et efficace, y compris au niveau du
fonctionnement efficace de ses procédures et capacités de continuité.
Il convient qu’une revue de direction débouche sur des améliorations apportées à l’efficience, la
performance et l’efficacité du SMCA. Elle peut déboucher sur les changements suivants:
— variations du domaine d’application;
— mises à jour des stratégies et solutions de continuité d’activité;
— changements apportés aux moyens de maîtrise et à la manière de mesurer leur efficacité.
Il convient que l’organisme conserve les informations documentées comme preuves des résultats des
revues de direction, et qu’il:
— communique les résultats de la revue de direction aux parties intéressées pertinentes;
— prenne les mesures appropriées concernant ces résultats.
10 Amélioration
10.1.1 Généralités
Il convient que l’organisme détermine les opportunités d’amélioration du SMCA et mette en œuvre les
actions nécessaires pour atteindre les résultats escomptés.
Il convient que l’organisme identifie les non-conformités, qu’il prenne des mesures pour les maîtriser,
les contenir et les corriger, qu’il s’occupe de leurs conséquences et qu’il évalue le besoin d’agir pour en
éliminer les causes.
Il convient que l’organisme établisse des procédures efficaces pour assurer l’identification:
— du non-respect d’une exigence;
— d’une approche de planification inefficace;
— de faiblesses associées au SMCA.
Une fois que l’identification faite, il convient d’agir en temps utile pour empêcher que la situation ne se
reproduise, et pour identifier et traiter les causes profondes. Il convient que les procédures permettent
en continu la détection, l’analyse et l’élimination des causes des non-conformités réelles et potentielles.
Il convient d’identifier les non-conformités et de les traiter en temps utile, tout comme les actions
correctives qui les concernent. Les actions correctives peuvent provenir d’une déclaration de non-
conformité bien définie, qui établit clairement le problème et est bien comprise.
En cas d’identification d’une non-conformité, il convient de conduire une enquête pour en déterminer
la cause profonde, puis de développer un plan d’action corrective pour traiter immédiatement le
problème. Il convient que le plan d’actions soit conçu pour atténuer toutes les conséquences et identifier
les changements à apporter pour corriger la situation, restaurer le fonctionnement normal et éliminer
la ou les causes afin d’éviter que le problème ne se reproduise. Il convient que la nature et le timing
des actions soient appropriés à l’ampleur et à la nature de la non-conformité et de ses conséquences
potentielles.
Il convient que l’organisme améliore la performance et l’efficacité du SMCA, même en l’absence de
preuve de non-conformité. Ces améliorations peuvent comprendre des corrections, actions correctives,
innovations et réorganisations.
Le fait d’établir des procédures pour traiter les non-conformités réelles et potentielles et pour prendre
des actions correctives sur une base continue aide à assurer la fiabilité et l’efficacité du SMCA. Il
convient que les procédures définissent les responsabilités, l’autorité et les étapes nécessaires lors de
la planification et de la réalisation des actions correctives. Il convient que la direction générale s’assure
que des actions correctives soient mises en œuvre et qu’il y ait un suivi systématique afin d’en évaluer
l’efficacité.
Bibliographie
[1] ISO 19011, Lignes directrices pour l'audit des systèmes de management
[2] ISO/IEC 20000 (toutes les parties), Technologies de l’information — Gestion des services
[3] ISO/TS 22317, Sécurité sociétale — Systèmes de management de la continuité d'activité — Lignes
directrices pour l'analyse d'impact sur l'activité
[4] ISO/TS 22318, Sécurité sociétale — Systèmes de management de la continuité en affaires — Lignes
directrices pour la continuité de la chaîne d'approvisionnement
[5] ISO/TS 22330, Sécurité et résilience — Systèmes de gestion de la poursuite des activités — Lignes
directrices concernant les aspects humains de la poursuite des activités
[6] ISO/TS 22331, Sécurité et résilience — Systèmes de management de la continuité des activités —
Lignes directrices relatives à la stratégie de continuité d'activité
[7] ISO 22398, Sécurité sociétale — Lignes directrices pour exercice
[8] ISO/IEC 27002, Technologies de l'information — Techniques de sécurité — Code de bonne pratique
pour le management de la sécurité de l'information
[9] ISO/IEC 27031, Technologies de l'information — Techniques de sécurité — Lignes directrices pour
la préparation des technologies de la communication et de l'information pour la continuité d'activité
[10] ISO 31000, Management du risque — Lignes directrices