ISO 22301, la norme de Management de la Continuité d’Activité
Les analystes affirment que deux entreprises sur cinq qui subissent une catastrophe risquent la faillite dans les cinq ans qui suivent l’événement.
La capacité d’une organisation à se remettre d’une catastrophe est directement liée au degré de planification de la continuité de l’activité qui se déroulait normalement avant la catastrophe.
Toutes les organisations quelle que soit leur taille devraient aujourd’hui s’engager dans un processus de continuité et de récupération des activités complet et systématique.
Une norme internationale de référence
ISO 22301, la première norme internationale de gestion de continuité des activités a été développée pour aider les organisations à minimiser les risques liés à une situation de crise. L’ISO a ainsi lancé en 2012 la norme ISO 22301, « Sécurité sociétale – Systèmes de Gestion de la Continuité des Activités – Exigences », qui est devenu le nouveau standard pour la gestion de la continuité des activités. Cette norme présente des dispositifs à mettre en place pour permettre d'améliorer la situation en matière de continuité d'activité.
Planifier, mettre en œuvre, exploiter, améliorer…
ISO 22301 spécifie les exigences pour planifier, déployer, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer en permanence un système de gestion documenté pour permettre de réduire les risques liés à un événement désastreux, s’y préparer, intervenir et récupérer à la suite de la survenance d’incidents perturbateurs quels qu’ils soient.
Les exigences spécifiées dans la norme ISO 22301 sont génériques et prévues pour s’appliquer à toutes les organisations, indépendamment du type, de la taille et de la nature de l’organisation.
Où le PDCA (cycle de Deming) prend toute sa signification
La norme ISO 22301 s’inscrit dans un cycle d'amélioration continue. C'est le PDCA (Plan Do Check Act):
• P : Plan ou prévoir ce que l'on veut faire pour la période N°n.
• D : Do ou faire, déployer, passer à l'acte : cela se traduit par des plans d'actions divers qui permettent d'améliorer la situation.
• C : Check : faire des essais, des exercices, contrôler, vérifier ce qui marche ou pas.
• A : Pour ce qui ne marche pas, ou pourrait marcher mieux, réagir par des corrections.
Enfin, recommencer en haut de la liste à la lettre P avec n+1.
Un processus de gestion globale
Le SMCA (Système de Management de la Continuité d’Activités) est un processus de gestion globale qui identifie les menaces potentielles pour l’organisation et les impacts de ces menaces sur les opérations commerciales. Ce système de management vise à préserver les intérêts de ses principales parties prenantes, sa réputation, sa marque et la valeur qu’elle génère.
L'exigence première et fondatrice est que la Direction générale doit commencer par dire ce qu'elle veut faire en matière de continuité dans tel ou tel corpus de bonnes pratiques, attribuer des responsabilités dans son organisation et suivre ce qui est fait pour corriger. Elle doit aussi prévoir le nécessaire en matière de support, d'assistance compétente et de traitement des difficultés.
RPCA, un rôle clé pour le bon déroulement du Plan de Continuité d’Activités
Le manque de vision d’ensemble et l’absence de suivi dans le temps sont souvent des écueils que l’on rencontre dans les PCA des entreprises. Ces situations se développent progressivement et subrepticement essentiellement par défaut de prise en charge d'une responsabilité transverse.
Cette responsabilité transverse est celle du RPCA (Responsable du Plan de Continuité d’activités) dont les missions premières sont :
• assurer la vision d'ensemble, à partir de visions locales héritées de choix locaux qu'il faut comprendre et structurer ;
• tenir et faire tenir à jour les PRA et PCA par ceux qui en sont responsables ;
• rappeler les fins au-delà des moyens en portant en permanence la vision des processus essentiels de l'entreprise.