La vision de Cyber Academy
ISO 22301 est la norme internationale pour les systèmes de management de la continuité d'activité (SMCA). Elle spécifie les exigences pour planifier, exploiter, surveiller et améliorer un SMCA permettant de rétablir les opérations critiques après une interruption. Elle est de plus en plus exigée par les régulateurs financiers depuis DORA, et par les autorités de supervision NIS 2 pour les opérateurs de services essentiels.
ISO 22301 est la norme d'exigences pour un système de management de la continuité d'activité, un SMCA. Elle définit ce qu'une organisation doit faire pour maintenir ses opérations critiques pendant une perturbation.
Ce qu'ISO 22301 demande réellement
Le mot système compte. ISO 22301 n'est pas un plan que l'on rédige une fois puis que l'on classe. C'est un cycle géré.
Ce cycle comporte quatre parties :
- Comprendre ce que fait votre organisation.
- Décider quelles activités vous ne pouvez pas vous permettre de perdre longtemps.
- Construire la capacité à les maintenir, ou à les rétablir rapidement.
- Garder cette capacité fiable grâce aux exercices, aux revues et à l'amélioration.
Parce qu'il s'agit d'une norme d'exigences, un organisme accrédité peut vous auditer et vous certifier au regard de celle-ci. Cela donne à un client ou à un régulateur quelque chose de concret en quoi avoir confiance.
Une structure partagée avec d'autres normes ISO
ISO 22301 suit la structure de haut niveau, comme ISO 27001 et les autres normes ISO modernes de système de management. Elle partage donc le même squelette :
- Contexte de l'organisation
- Leadership
- Planification
- Support
- Fonctionnement
- Évaluation des performances
- Amélioration
Le tout fonctionne sur une boucle Plan-Do-Check-Act. C'est un atout si vous exploitez déjà un système de management de la sécurité de l'information. Vous réutilisez la même gouvernance, le même langage du risque et la même mécanique d'audit interne. Vous greffez la continuité par-dessus au lieu de bâtir une structure parallèle.
Le travail derrière le certificat
Trois activités sont au cœur d'un programme. Un praticien y passe l'essentiel de son temps, pas sur la documentation.
Analyse d'impact sur l'activité
Le BIA identifie vos activités prioritaires. Il détermine la vitesse à laquelle chacune doit être rétablie.
C'est ce qui produit les objectifs de temps de reprise. Ces objectifs guident chaque décision ultérieure. Sans un BIA défendable, votre stratégie de continuité relève de la conjecture.
Appréciation des risques
Ici, vous examinez ce qui pourrait perturber ces activités prioritaires. Les exemples incluent :
- Une attaque par rançongiciel
- La défaillance d'un fournisseur
- Un centre de données inondé
Ainsi, votre stratégie répond à des menaces réelles, et non à une liste de contrôle générique.
Stratégie et plans de continuité
Vous utilisez maintenant le BIA et le tableau des risques. Vous choisissez comment protéger et rétablir chaque activité. Puis vous rédigez et dotez en ressources les procédures que les personnes suivent réellement quand tout s'arrête.
Pourquoi les régulateurs s'y réfèrent de plus en plus
ISO 22301 était autrefois une norme discrète de résilience opérationnelle. Les organisations matures l'adoptaient par choix. Cela a changé.
Les régulateurs financiers s'appuient désormais sur DORA. Les superviseurs font respecter NIS 2. Les deux attendent maintenant une capacité de continuité démontrable pour les opérations critiques. ISO 22301 est le moyen le plus reconnu d'en apporter la preuve.
La norme ne nomme aucune réglementation précise. Mais sa discipline correspond clairement à ce que ces régimes exigent :
- Activités prioritaires
- Objectifs de reprise définis
- Plans testés
- Dépendances cartographiées
Se certifier au regard de celle-ci vous permet de répondre à un superviseur par une attestation indépendante, et non par une auto-évaluation.
Comment elle se rattache à ISO 27001
Un point de confusion fréquent est le lien avec ISO 27001. Ce sont des normes sœurs, pas des substituts.
- ISO 27001 gouverne la sécurité de l'information. Elle protège la confidentialité, l'intégrité et la disponibilité de l'information.
- ISO 22301 gouverne la continuité. Elle maintient l'entreprise en fonctionnement pendant une perturbation.
La disponibilité est le pont entre les deux. Une organisation sérieuse sur la résilience exploite souvent les deux. Elle les certifie ensemble pour mutualiser les audits et les revues de direction.
La continuité est la réponse à une question que la sécurité seule ne peut résoudre. Que se passe-t-il quand la prévention échoue et que vous devez tout de même délivrer ?
Frequently asked questions
01ISO 22301 est-elle une certification ou simplement un guide ?
C'est une norme d'exigences certifiable. Un organisme de certification accrédité peut auditer votre système de management de la continuité d'activité selon celle-ci et délivrer un certificat, ce qui la rend utile pour répondre aux clients et aux régulateurs.
02Quelle est la différence entre ISO 22301 et un plan de reprise après sinistre ?
La reprise après sinistre concerne surtout la restauration des systèmes informatiques. ISO 22301 couvre l'ensemble de l'organisation, personnes, locaux, fournisseurs et processus, et demande si vous pouvez continuer à fournir des produits et services critiques pendant que la reprise technique est en cours. Le DR est une composante de la continuité, pas l'ensemble de celle-ci.
03Ai-je besoin d'ISO 22301 si je détiens déjà ISO 27001 ?
Pas automatiquement, mais elles se complètent. ISO 27001 protège l'information ; ISO 22301 maintient l'entreprise en activité lorsque quelque chose défaille. Parce que toutes deux suivent la même High-Level Structure, de nombreuses organisations les exploitent et les certifient ensemble pour mutualiser gouvernance et audits.
04Quel est le rôle de l'analyse d'impact sur l'activité ?
Le BIA identifie vos activités prioritaires et la rapidité avec laquelle chacune doit être rétablie. Il produit les objectifs de temps de rétablissement qui orientent toute votre stratégie de continuité, de sorte qu'un BIA solide est le fondement d'un SMCA crédible.
05DORA ou NIS 2 exigent-ils ISO 22301 ?
Ni l'un ni l'autre ne nomment la norme, mais tous deux attendent une continuité et une résilience opérationnelle démontrables pour les activités critiques. La certification ISO 22301 est un moyen largement reconnu d'apporter la preuve de cette capacité à un superviseur avec une assurance indépendante plutôt qu'une auto-évaluation.