Management de la continuité d'activité

iSO 22301

Le Système de Management de la Continuité d’Activité prévu par la norme iSO 22301 (qui a succédé en 2012 à la norme BS 25999… ayant elle-même remplacé en 2007 la norme BS PAS56 en vigueur depuis 2003) est la matérialisation documentée de la démarche permettant à l'entreprise

  • de se protéger des incidents perturbateurs,
  • de réduire leur probabilité de survenance,
  • de s'y préparer,
  • d'y répondre,
  • de s’en rétablir lorsqu'ils surviennent.
il présente notamment l'avantage de
  • formaliser en interne
  • démontrer à l’Assureur
  • démontrer aux Donneurs d’Ordres
... du point de vue de konseï il constitue donc la base permettant de définir & de faire évoluer un programme d'assurance.

.

Son amélioration continue permet de passer

  • d'une exigence pour une continuité d'activité
  • à une continuité d'activité gérée.

Méthodologique du Système de Management de la Continuité d'Activités

Un Système de Management de la Continuité d'Activités est une démarche documentée permettant de prévenir les risques majeurs auxquels est exposée une organisation selon les scénarii suivants:

  • indisponibilité de site ou de l'outil de travail (incendie, explosion, foudre, évènement naturel, …)
  • indisponibilité des systèmes d'informations (arrêt de système, maliciel, cyberattaque,…)
  • indisponibilité des ressources humaines (mouvement social, pandémie)
  • indisponibilité de fournisseurs stratégiques (énergie, télécom, matière, sous-traitant, …)

il a pour objectif de maintenir les processus vitaux de l’organisation en toute circonstance et de minimiser les Pertes d’Exploitation.

Le SMCA dispose de sa norme internationale iSO 22301 qui est auditable & certifiable par un organisme accrédité tel que BSi, Dekra, DNV GL, intertek, LCiE Bureau Veritas, LRQA, SGS iCS, TÜV Rheinland, ...

Ses avantages

  • Réponse prévisible et pertinente aux crises
  • Protection des personnes
  • Maintien des activités vitales de l’organisme
  • Une meilleure vision des risques
  • Investissements de sécurité réfléchis
  • Respect des parties intéressées
  • Protection de la réputation et de la marque
  • Confiance des clients
  • Avantage compétitif
  • Conformité légale, règlementaire & contractuelle
  • Baisse de la fréquence des risques
  • Réduction de l’intensité & de la durée des pertes d’exploitation

Le SMCA est en relation avec des thèmes tels que

  • gestion des risques
  • gestion des urgences
  • reprise iT après incident
  • gestion des immeubles
  • chaine d'approvisionnements
  • gestion de la qualité
  • gestion de l’environnement
  • sante et securité au travail
  • gestion de crise
  • ressources humaines
  • communication & relations publiques

ÉLABORATiON

  • Cartographie des risques opérationnels (ou mise à jour)
  • Évaluation des activités critiques
  • Estimation des impacts sur les activités
  • Proposition de solutions de continuité (technique, logistique, informatique, moyens généraux, et ressources humaines)
  • Définition de la cellule de management de crise
  • Protocole d’alerte en cas de crise
  • Constats & recommandations
  • Comité de pilotage, de validation & définition de la stratégie de continuité selon les scénarios

MiSE EN ŒUVRE

  • Étude de faisabilité des scenarii aux plans logistiques, techniques & organisationnels
  • Procédures de gestion de crise (approche par scenarii) & passeport de crise
  • Recommandations pour la mise en œuvre des solutions de repli
  • Définition des astreintes
  • en option : élaboration du schéma directeur du Plan de Reprise d'Activités iT

FORMATiON

  • Formation gestion de crise de la cellule de crise et des suppléants
  • Exercice sur table
  • Exercice de mise sous tension
  • Maintenance
  • en option : Plan de Continuité Informatique

L’implémentation d’un SMCA dans une organisation permet d’obtenir :

  • une analyse des risques
  • un Bilan d’impact sur les Affaires en cas d’indisponibilité des processus critiques
  • une stratégie de continuité en cas de crise et de survenance d’un risque majeur
  • la mise en œuvre d’un plan de gestion de crise
  • des solutions de continuité en cas de survenance d’un risque majeur
  • une formation de la cellule de crise pour faire face à des scénarios majorants
  • un test de continuité au travers d’un exercice de simulation de crise