ISO 22301 : l’escrow agreement au service de la résilience opérationnelle

Posté par: continew

ISO 22301 : l’escrow agreement au service de la résilience opérationnelle

La norme ISO 22301 – Systèmes de management de la continuité d’activité – est une norme internationale élaborée pour aider les organisations à renforcer leur résilience face aux incidents et à assurer la continuité de leurs activités en cas de perturbations. Publiée par l’Organisation internationale de normalisation (ISO), cette norme fournit un cadre complet pour établir, mettre en œuvre, maintenir et améliorer un Système de Management de la Continuité d’Activité (SMCA).

Comprendre les risques…

La norme ISO 22301 repose sur un principe fondamental : celui de comprendre les risques potentiels qui pourraient perturber les opérations d’une organisation, qu’il s’agisse de catastrophes naturelles, de cyberattaques, de pannes de réseau, ou d’autres incidents majeurs. Elle encourage les entreprises à développer des plans de continuité d’activité robustes, à identifier les processus essentiels, et à mettre en place des mesures préventives et correctives.

… pour mieux les anticiper

L’adoption de la norme ISO 22301 offre plusieurs avantages, notamment la capacité à minimiser l’impact des interruptions, à maintenir la confiance des parties prenantes, et à respecter les obligations légales et réglementaires. De plus, la norme favorise une approche proactive envers la gestion des risques en intégrant la continuité d’activité dans la culture organisationnelle.

Grâce à la mise en place d’une politique de continuité d’activité (PCA)

Pour se conformer à la norme ISO 22301, une organisation doit établir une politique de continuité d’activité, identifier et évaluer les risques, définir des objectifs de continuité, et élaborer des plans de réponse aux incidents. La norme recommande également des tests réguliers et des exercices pour garantir l’efficacité du PCA.

La relation client-fournisseur au coeur du dispositif

Aujourd’hui, une part croissante d’applications logicielles spécifiques achetées en dehors de l’entreprise se trouve au cœur de ses processus de production et de gestion. Or l’entreprise doit être consciente que tout nouvel actif numérique spécifique acheté à l’extérieur porte avec lui une relation de dépendance client-fournisseur à risque pour son activité. 

Connaître et maîtriser les risques liés à ses actifs numériques spécifiques est un besoin vital pour la Direction, la fonction Achat et pour les Métiers au sein de l’entreprise. Dans la pratique, pérenniser la détection et le traitement des risques consiste à mettre en place un processus continu d’analyse, de traitement et de retours d’expérience auprès des acteurs concernés (acheteurs familles, acheteurs leader, Direction achats, Direction métier, Direction technique, Direction juridique…). En cela, cette pratique s’intègre totalement dans le processus de gestion de la continuité des activités de la norme ISO 22301.

Pourquoi intégrer l’escrow agreement au plan de continuité d’activité (PCA) ?

Prévenir et anticiper une situation de crise liée à l’arrêt du support d’une application ou la disparition du fournisseur est capital pour la bonne marche de l’entreprise. L’enjeu pour l’organisation, au travers de ses contrats, processus d’achat et bonnes pratiques métier, est d’étendre le cercle de contrôle sur les actifs numériques spécifiques achetés à l’extérieur. 

C’est là que l’escrow agreement appelé aussi entiercement logiciel entre en jeu. Solution à la fois technique et contractuelle, il permet à un industriel de faire déposer l’ensemble du dossier technique de l’équipement ou des sources du logiciel qu’il achète ou fait développer à son ou ses partenaires auprès d’un tiers de confiance spécialisé.

Le contrat d’escrow agreement/entiercement prévoit contractuellement un accès aux sources, notamment en cas de défaillance du fournisseur, d’arrêt du support de l’application ou de l’application elle-même. Dans le cadre du contrat signé entre le fournisseur et son client, et lorsque les clauses libératoires sont avérées, le client peut avoir accès aux sources (mises à jour à chaque évolution du logiciel, du produit ou de l’équipement), de manière à pouvoir continuer à l’utiliser et en assurer la maintenance corrective ou évolutive.

En offrant une solution proactive pour atténuer les risques et assurer la continuité d’activité, l’escrow agreement/entiercement s’aligne parfaitement avec l’objectif de la norme, renforçant ainsi la résilience opérationnelle. Son intégration dans une approche globale de gestion des risques contribue à créer un environnement technique et commercial plus robuste.