Qu’est-ce que le cadre de gestion de la continuité des activités ISO 22301 ?

La continuité des activités est un élément important du fonctionnement normal de toute organisation. L’existence d’un plan détaillé contribue grandement à rationaliser et à faciliter les processus de reprise après les cyberattaques et les catastrophes naturelles, en particulier dans les grandes organisations. Toutefois, en raison du nombre de situations potentielles, il peut être difficile de prévoir et d’imaginer toutes les situations possibles, d’où la nécessité d’introduire une sorte de norme à utiliser comme modèle pour chaque situation.

C’est là qu’intervient la norme ISO 22301, une norme internationale dont l’objectif principal est de servir de cadre aux entreprises en termes de préparation, de réponse et de récupération après toutes sortes d’incidents, qu’il s’agisse de violations de données, de catastrophes naturelles, de pannes d’électricité, etc.

Cet article ne se contente pas de couvrir la norme ISO 22301, mais l’intègre également dans le contexte des solutions de sauvegarde et de récupération. Les solutions de sauvegarde et de récupération font partie intégrante du maintien de la continuité des activités, car elles garantissent que les données vitales peuvent être restaurées rapidement en cas de perte de données ou de défaillance du système.

En raison du réchauffement climatique, de la montée des tensions géopolitiques, des ransomwares et d’autres menaces, la sauvegarde et la récupération sont devenues encore plus essentielles que jamais dans le domaine de la continuité des activités. La conformité à la norme ISO 22301 indiquerait qu’une solution de sauvegarde et de récupération prend en charge une approche structurée de la gestion des risques, des stratégies de récupération et de l’atténuation de la perte de données, s’alignant sur les objectifs plus larges de la continuité des activités et de la planification de la reprise après sinistre.

Nous y reviendrons plus loin dans ce blog. Cependant, notre première étape serait de définir la nature et l’objectif de l’ISO 22301 de manière plus détaillée, mais nous aimerions également couvrir les avantages, les étapes de certification et les lacunes potentielles de l’ISO 22301.

Qu’est-ce que l’ISO 22301 et la gestion de la continuité des activités ?

ISO 22301:2019 « Sécurité et résilience – Systèmes de management de la continuité des activités – Exigences » est la norme mondiale pour les BCMS – Systèmes de management de la continuité des activités, développée par l’Organisation internationale de normalisation. Il s’agit d’un cadre complet qui aide les entreprises à élaborer des stratégies de continuité des activités tout en identifiant les menaces potentielles et en évaluant leur impact potentiel dans le processus.

L’objectif premier de la norme ISO 22301 est d’aider les entreprises à créer et à améliorer leurs systèmes de gestion de la continuité des activités. Investir dans un plan solide de gestion de la continuité des activités peut offrir de multiples avantages, notamment une meilleure résilience des données et une réduction considérable de l’impact de la plupart des événements perturbateurs sur le bien-être de l’entreprise.

Principaux principes de la norme ISO 22301

La norme ISO 22301 permet de créer et d’améliorer les plans de continuité des activités existants. Cette norme s’appuie sur plusieurs principes fondamentaux pour formuler des recommandations à l’intention des entreprises :

1. L’évaluation des risques est le premier élément important de cette norme, en identifiant les problèmes potentiels et les moyens de les atténuer ou de les résoudre. Une compréhension claire de tous les risques et problèmes potentiels de l’entreprise devrait permettre de réorganiser les ressources de manière efficace afin d’être prêt à faire face aux problèmes les plus importants à l’avance.
2. BIA, ou Business Impact Analysis, est la partie nécessaire du processus d’évaluation des risques qui permet à l’entreprise d’identifier ses fonctions métier afin d’évaluer leur criticité et leurs coûts de maintenance. Ces deux valeurs doivent permettre d’évaluer le degré de perturbation qu’entraînerait une interruption soudaine de chacune de ces fonctions (et la rapidité avec laquelle une organisation peut rétablir la fonction en question dans son état de fonctionnement).
3. Le plan de continuité des activités est élaboré en tenant compte des résultats de l’AIB et de l’évaluation des risques. Ainsi, une stratégie de continuité des activités pourrait expliquer comment une entreprise maintiendrait ou rétablirait chacune de ses fonctions critiques pendant et après une catastrophe – les systèmes de sauvegarde, les plans de communication de crise et les lieux de travail alternatifs n’étant que quelques exemples de mesures potentielles.
4. Les stratégies de réponse aux incidents jouent également un rôle important dans l’ISO 22301 et ses efforts de continuité des activités, en créant un schéma bien défini de la façon dont une entreprise prévoit de détecter, de répondre et de gérer divers problèmes ou incidents affectant l’entreprise. Un protocole de réponse aux incidents clair et défini devrait permettre de minimiser l’impact d’une perturbation potentielle, voire de l’atténuer complètement.
5. La révision et l’amélioration continue sont toutes deux nécessaires pour garantir la pertinence d’un plan de continuité d’activité défini par l’ISO 22301. Des audits et des tests réguliers des plans et stratégies existants devraient permettre de mettre en évidence les problèmes potentiels et les domaines à améliorer à l’avenir.

Le respect des exigences de la norme ISO 22301 est un excellent moyen de développer une stratégie de continuité d’activité résiliente qui offre de multiples avantages à ses utilisateurs, notamment des améliorations en matière de conformité, de résilience des données, etc.

Le modèle PCDA dans les exigences de la norme ISO 22301

La structure de la norme ISO 22301

La norme ISO 22301, en tant que document réglementaire, peut être acquise à titre onéreux sous forme physique ou électronique. Elle est divisée en dix clauses principales :

1. Champ d’application
2. Références normatives
3. Termes et définitions
4. Contexte de l’organisation
5. Leadership
6. Planification
7. Soutien
8. Opération
9. Evaluation des performances
10. Amélioration

Les clauses 1, 2 et 3 servent respectivement à définir le champ d’application, les références normatives et les définitions du document. Les clauses 4 à 10, quant à elles, décrivent le processus permettant d’atteindre un certain niveau de compétence en matière de création de plans de continuité des activités.

La norme ISO 22301 et le PCDA

Il convient de noter que la norme ISO 22301, comme toute autre norme ISO, sert à expliquer ce qu’une entreprise doit être en mesure de réaliser pour atteindre les compétences minimales prévues par la norme – sans décrire en détail comment y parvenir (puisqu’il s’agit avant tout de recommandations).

Elle suit également le modèle Planifier-Faire-Vérifier-Agir, qui est une approche cyclique expliquant l’amélioration continue en quatre étapes fondamentales :

• Plan – analyse des risques, identification des objectifs et établissement de procédures pour des éléments distincts du BCMS.
• Do – mise en œuvre du plan de continuité des activités à l’aide des processus élaborés à l’étape précédente.
• Check – surveillance des processus et mesures des résultats, ainsi qu’évaluation des performances par rapport aux politiques et objectifs existants.
• Agir – diverses actions correctives basées sur les résultats recueillis au cours de l’étape précédente.

Comme vous pouvez le constater, cette séquence d’événements est également similaire à la sélection des grands principes que nous avons mentionnée précédemment à propos de la norme ISO 22301. Elle commence également par les processus de planification et d’analyse avant de plonger dans la mise en œuvre réelle et de se terminer par un cycle de révisions et d’audits réguliers à des fins d’amélioration.

ISO 22301 continuité des activités et solutions de sauvegarde

En tant qu’une des pratiques primaires de la continuité des affaires, les processus de sauvegarde et de récupération et les logiciels qui les fournissent sont tous traités comme des éléments importants des processus de continuité des affaires avec un certain nombre d’avantages substantiels.

L’un des cas d’utilisation les plus fondamentaux d’un système de sauvegarde est la capacité de protéger les données contre de nombreuses situations où elles pourraient être corrompues ou compromises d’une manière ou d’une autre, que ce soit par le biais d’une cyberattaque, d’une panne matérielle, d’une catastrophe naturelle, etc. La même logique peut être appliquée aux processus de récupération en tant qu’élément indissociable de la combinaison de fonctionnalités « sauvegarde et récupération », offrant des capacités de restauration de données rapides et polyvalentes afin d’améliorer les temps de récupération et de minimiser les temps d’arrêt.

Certaines sauvegardes peuvent même aller plus loin et utiliser la fonction d’immutabilité en tant que fonction optionnelle, fournissant une couche de sécurité supplémentaire contre diverses cybermenaces afin d’empêcher tout utilisateur non autorisé d’interagir avec des données immuables. En outre, les sauvegardes sont souvent utilisées comme un élément indissociable pour la plupart des cadres de conformité en raison de la capacité à répondre aux exigences des cadres réglementaires ou autres avec un stockage sécurisé des données.

Pour en revenir aux exigences de la norme ISO 22301 – une stratégie de sauvegarde compétente devrait toujours être intégrée au plan de continuité des activités pour atteindre les objectifs nécessaires en termes de résilience des données. Les systèmes de sauvegarde peuvent également être surveillés et améliorés, fonctionnant comme une autre exigence qui a été satisfaite pour ISO 22301.

Quels sont les avantages de l’ISO 22301 – la norme de continuité des activités ?

ISO 22301 en tant que norme peut non seulement offrir un degré de normalisation à un environnement, mais aussi fournir un certain nombre d’autres avantages, dont la plupart peuvent même servir de motivation pour que d’autres entreprises obtiennent également la certification de cette norme. Dans cette optique, nous allons maintenant passer en revue les avantages les plus notables de la norme ISO 22301 en tant que norme de continuité des activités :

• Les améliorations de la gestion des risques permettent de réduire ou d’atténuer les risques opérationnels, financiers ou de réputation de l’entreprise à la suite d’événements perturbateurs.
• Une meilleure résilience opérationnelle pour améliorer les chances d’une entreprise de traverser des événements perturbateurs avec un minimum de dommages.
• La conformité réglementaire sous la forme d’un engagement de l’entreprise en faveur de la continuité des activités aide à répondre aux exigences réglementaires (ce qui, en soi, peut constituer un avantage concurrentiel dans certains secteurs et domaines d’activité).
• La confiance accrue des parties prenantes est rendue possible par l’engagement d’une entreprise à créer un BCMS détaillé et flexible afin de démontrer sa résilience et son niveau de préparation à diverses catastrophes.

Le processus de certification ISO 22301

Une fois qu’une entreprise a décidé de suivre le processus de certification pour cette norme ISO, elle doit passer par une séquence modérément complexe d’événements et d’actions, y compris :

1. Mettre en place un système de gestion de la continuité des activités (BCMS) efficace conformément à tous les processus mentionnés ci-dessus :
   1. Analyse des risques.
   2. Mise en œuvre du plan.
   3. Audit interne approfondi.
2. Présentation des résultats d’un audit et d’autres détails du plan BCMS à la direction générale de l’organisation afin d’identifier les domaines à améliorer et de discuter de l’affectation des ressources.
3. Demander un audit externe auprès d’un organisme de certification indépendant et accrédité. L’audit proprement dit comprend
   1. Vue d’ensemble de l’état du système.
   2. Une vue d’ensemble de la documentation.
   3. Un audit détaillé sur site pour confirmer la conformité à la norme.
   4. Évaluation de la mise en œuvre du BCMS et de son efficacité.
4. Si l’audit parvient à trouver des non-conformités qui rendent impossible la présentation de la certification, l’entreprise doit traiter tous ces problèmes et fournir la preuve de leur résolution avant que la décision finale ne soit prise.
5. L’examen complet de tous les résultats de l’audit externe afin d’évaluer si le certificat ISO 22301 peut être accordé.
6. La conformité continue doit être assurée par des audits de surveillance réguliers (une fois par an dans la plupart des cas). L’ensemble de la procédure doit être repris à zéro tous les trois ans en vue du renouvellement de la certification.

La rigueur du processus d’évaluation fait qu’il faut généralement plusieurs mois pour l’achever, en fonction du niveau de préparation de l’entreprise, de sa taille et d’autres facteurs, les cas où une seule évaluation prend une année entière étant assez fréquents dans les environnements vastes et complexes.

L’ISO 22301 et sa corrélation avec d’autres normes

Les normes telles que l’ISO 22301 n’existent pratiquement jamais seules et ont toujours un certain chevauchement avec d’autres normes ou exigences dans différentes industries. Dans cette section, nous aimerions présenter les normes les plus remarquables qui se recoupent avec l’ISO 22301 d’une manière ou d’une autre.

ISO 27001

L’ISO 27001 – Gestion de la sécurité de l’information – présente un chevauchement substantiel avec l’ISO 22301 en termes de gestion des risques et de réponse aux incidents en tant qu’éléments actifs de la planification de la continuité des activités. La plus grande différence entre l’ISO 22301 et l’ISO 27001 réside dans le fait que cette dernière est beaucoup plus spécifique dans son domaine cible, travaillant spécifiquement dans le domaine de la sécurité de l’information, qui est l’un des nombreux domaines d’intérêt de l’ISO 22301.

ISO 31000

La norme ISO 31000 – Gestion des risques – présente un niveau modéré de chevauchement avec la norme ISO 22301 du fait que les deux normes couvrent la gestion des risques en tant que sujet. La norme ISO 22301 peut cependant fournir une couverture beaucoup plus large de ce domaine, et ISO 31000 peut servir de cadre détaillé pour la maîtrise des risques dans de multiples situations (y compris la création d’un BCSM).

ISO 9001

L’ISO 9001 est une norme de gestion de la qualité qui présente un certain niveau de chevauchement avec l’ISO 22301. En fait, l’approche générale de l’ISO 22301 sous la forme d’améliorations continues et d’approches basées sur les processus est exactement ce que couvre l’ISO 9001, améliorant la gestion de la qualité tout en renforçant la résilience d’une organisation.

ISO 22313

Comme indiqué précédemment, la norme ISO 22301 fournit un cadre sous la forme de multiples exigences qui doivent être satisfaites pour obtenir la certification, sans mentionner les étapes exactes qui doivent être suivies dans le processus. La raison principale en est l’existence de l’ISO 22313, qui est une norme sur les systèmes de gestion de la continuité des activités – Lignes directrices, offrant un ensemble détaillé d’instructions sur la manière dont le SGCA devrait être mis en œuvre, pour commencer.

NFPA 1600

NFPA 1600 est une norme sur la gestion de la continuité, des urgences et des crises, dont la structure est très proche de celle de la norme ISO 22301. Les plus grandes différences entre les deux sont le fait que la norme ISO 22301 est internationale et que la norme NFPA 1600 est orientée vers l’Amérique du Nord, ainsi que le fait que la norme NFPA 1600 contient un ensemble d’instructions plus détaillées pour la gestion des urgences (ce qui en fait une option préférable dans certaines industries).

Défis potentiels liés à la mise en œuvre de l’ISO 22301

La norme ISO 22301 peut servir de base à la création de politiques détaillées de continuité des activités, avec des améliorations continues. En même temps, la norme en question est modérément complexe et tend à rencontrer de nombreux défis en cours de route, dont certains sont présentés ci-dessous :

• Développement et maintenance d’une documentation actualisée. L’introduction d’un logiciel dédié à la gestion des plans et à la documentation dès le début du développement du BCMS devrait réduire la gravité de ce défi.
• Un équilibre judicieux entre les ressources disponibles et la portée potentielle du BCMS. Limiter le champ d’application du plan dès le début afin de permettre une expansion potentielle à l’avenir.
• L’obtention des ressources et l’engagement de la direction à l’égard du plan de continuité des activités. S’assurer que la direction générale est consciente des plans et des processus de continuité des activités dès le début afin d’atténuer les effets de ce problème.
• Assurer une sensibilisation complète et un pourcentage élevé de participation à la réalisation de la stratégie. Investir dans des programmes de formation et de sensibilisation afin d’offrir suffisamment d’informations à toutes les personnes concernées.
• Réaliser des évaluations de l’impact sur l’environnement et des évaluations détaillées des risques. Recourir à l’aide et aux conseils de professionnels et de consultants certifiés pour résoudre le problème.

L’ISO 22301 dans le contexte de la sauvegarde et de la restauration

Comme mentionné précédemment dans l’article, les systèmes de sauvegarde et de récupération sont généralement une partie essentielle de l’obtention de la certification ISO 22301. Cependant, seules certaines solutions de sauvegarde satisfont ou dépassent les exigences de la certification. Un exemple de solution complète qui dépasse toutes les exigences du point de vue de la sauvegarde et de la récupération est Bacula Enterprise.

Bacula Enterprise peut jouer un rôle essentiel pour les organisations visant à obtenir la certification ISO 22301 en fournissant des solutions de sauvegarde et de récupération robustes qui soutiennent directement la gestion de la continuité des activités (BCM). L’un des aspects clés de la norme ISO 22301 est de s’assurer que les données et les systèmes critiques peuvent être restaurés rapidement après un incident afin de minimiser les perturbations. La fonction bare metal recovery de Bacula Enterprise est essentielle dans ce contexte, car elle permet aux entreprises de récupérer des systèmes entiers à partir de zéro, même en cas de défaillance totale du matériel. Cette capacité est conforme à la norme ISO 22301, qui exige que les fonctions essentielles soient restaurées efficacement en cas de catastrophe ou de panne de système, afin de garantir la continuité des opérations. Bien sûr, il est important pour une solution de sauvegarde de disposer d’une capacité de restauration Bare Metal, mais il est essentiel que cette solution puisse être intégrée dans l’environnement informatique d’une organisation. Bacula est particulièrement fort à cet égard, avec un niveau de flexibilité qui dépasse celui de ses pairs.

Au-delà de la récupération Bare Metal, les capacités avancées de reporting et de monitoring de Bacula fournissent aux organisations un aperçu détaillé de l’état des sauvegardes, des tests de récupération et des vulnérabilités potentielles. La norme ISO 22301 met l’accent sur les audits réguliers et l’amélioration continue des processus de continuité d’activité, et les outils de reporting de Bacula offrent une visibilité claire sur l’état des opérations de sauvegarde ainsi que des outils de recherche prodigieusement puissants pour tous les médias sauvegardés par Bacula. Ces rapports peuvent être utilisés pour vérifier que les objectifs de restauration sont atteints et pour fournir des preuves de conformité lors des audits de certification ISO 22301. Cela garantit que les stratégies de sauvegarde d’une organisation sont non seulement opérationnelles, mais aussi alignées sur les exigences de la certification en matière de préparation et de responsabilité.

La sécurité est un autre élément crucial de l’ISO 22301 et de Bacula Enterprise. Bacula offre des niveaux de sécurité élevés, y compris le chiffrement des données en transit et au repos, ce qui est fondamental pour protéger les informations commerciales critiques contre les accès non autorisés ou les violations. La norme ISO 22301 exige que les organisations protègent leurs données pendant les interruptions, et les fonctions de sécurité de Bacula aident à répondre à ces normes en garantissant que les données sauvegardées restent sécurisées, même lorsqu’elles sont restaurées après un incident. L’architecture modulaire de Bacula offre également aux architectes informatiques diverses options sur la manière et l’emplacement de la mise en œuvre de Bacula, ce qui augmente encore son potentiel de sécurité. À l’heure où nous écrivons ces lignes, la plus grande organisation de défense de l’Occident s’appuie sur Bacula pour sauvegarder et restaurer ses données et applications critiques. Dans l’ensemble, les capacités susmentionnées font de Bacula une solution complète pour les organisations qui cherchent à obtenir et à maintenir la certification ISO 22301, tout en garantissant un cadre de continuité des activités solide et résilient.

Conclusion

En raison de la nature actuelle de l’environnement commercial, être capable de maintenir l’accès à vos informations en continu face à diverses perturbations est un élément crucial de la réussite de toute entreprise. La norme ISO 22301 est un cadre normalisé pour les plans de continuité des activités qui montre comment le strict minimum d’un BCMS devrait fonctionner du début à la fin.

Même si le guide étape par étape n’est pas inclus dans la norme, il reste une pierre angulaire importante des efforts de continuité des activités en raison de sa nature normalisée. La possibilité d’être certifié selon cette norme apporte également un certain nombre d’avantages utiles, notamment une meilleure résilience des données, une évaluation plus précise des risques, une confiance accrue des actionnaires et même un avantage concurrentiel potentiel dans certains domaines.

La création d’une stratégie globale de continuité des activités dans le respect de la norme ISO 22301 n’est plus seulement une recommandation – de nombreuses industries exigent une telle approche dès le départ, ce qui la rend pratiquement obligatoire dans de nombreuses situations. L’existence de plans de continuité des activités peut également être considérée comme une étape stratégique pour assurer l’avenir de votre environnement professionnel à long terme, ce qui explique pourquoi l’utilisation de normes telles que l’ISO 22301 est si fortement recommandée de nos jours.