La norme ISO 22301 sur la continuité d’activité

ISO 22301 : définition

L’ISO 22301 est une norme internationale de système de management de la continuité d’activité pour une entreprise, un organisme d’État ou une collectivité. Elle a été créée en 2012 par l’Organisation Internationale de Normalisation (ISO) pour aider les entreprises à minimiser les risques liés à une situation de crise.

Son appellation complète est : norme ISO 22301, « Sécurité sociétale – Systèmes de Gestion de la Continuité des Activités – Exigences ».

A quoi sert la norme ISO 22301 ?

Lorsqu’une entreprise a subi un événement catastrophique (souvent lié à la perte de données ou à une cyberattaque), il n’est pas rare qu’elle ne parvienne pas à s’en remettre, faute d’avoir anticipé ce type de risque.

La CNIL indique ainsi avoir reçu en 2021 près de 2150 notifications d’attaques par rançongiciel (demande de rançon suite à un piratage de données), en augmentation de 70% par rapport à l’année précédente (source CNIL).

Pour se prémunir contre ce type de risques, les entreprises doivent mettre en place un système de management de la continuité d’activité, leur permettant de détecter et prévenir les menaces.

La norme ISO 22301 détermine quels moyens mettre en oeuvre pour définir, planifier, appliquer, maintenir et améliorer en continu ce système de management.

En quoi la norme ISO 22301 est-elle importante pour une entreprise ?

Face à une menace pouvant être existentielle, une entreprise ne peut réagir sans s’être organisée au préalable. Il faut savoir rapidement qui doit intervenir, de quelle manière et avec quels outils.

La norme ISO 22301 est très importante pour s’assurer que le risque lié à l’interruption d’activité est correctement pris en compte par l’entreprise. Une entreprise normalisée ISO 22301 peut ainsi rassurer ses partenaires et ses clients sur sa robustesse face à un environnement de plus en plus agressif.

La crise sanitaire de la Covid-19 a mis en évidence toute l’importance pour un organisme de pouvoir assurer une continuité de ses activités. Afin d’assister les entreprises dans leur volonté de se protéger face à la multiplication des menaces, l’État a ainsi publié un guide pour réaliser un Plan de Continuité d’Activité (PCA).

Le Plan de continuité des activités

Pour définir correctement les processus à déclencher, il faut avoir répondu à un cahier des charges précis, souvent consigné dans un plan de continuité des activités (PCA).

L’interlocuteur en charge de créer et de gérer ce plan est le Responsable du Plan de Continuité des Activités (RPCA).

Ce plan doit être audité par des spécialistes et soumis à la certification ISO 22301 dans le but d’en valider la qualité.

Objectifs du plan de continuité des activités

• Identifier les activités essentielles
• Identifier les scénarios de risque
• Identifier les moyens techniques et organisationnels pour réduire l’interruption des activités
• Limiter la perte de chiffre d’affaires.
• Limiter l’atteinte à l’image de l’entreprise.

La première mission du RPCA est de s’appuyer sur le RSSI afin d’identifier les outils et les processus protégeant l’entreprise contre la cybercriminalité et d’évaluer les conséquences potentielles d’une interruption d’activité des différents services de l’entreprise. Le RPCA doit également travailler de concert avec le RPO pour une évaluation similaire des répercussions d’une perte ou d’un vol de données personnelles.

Ces évaluations vont permettre de construire le PCA en étudiant des scénarios d’interruption des activités et en évaluant avec le plus de précision possible leurs conséquences, tant sur le chiffre d’affaires de l’entreprise que sur son image de marque.

Comment lister les menaces potentielles dans le PCA ?

Une bonne approche consiste à établir une liste des risques afin de réaliser une grille d’évaluation de leurs impacts et des moyens de vous en protéger. Pour les menaces les plus graves, DIGITEMIS vous recommande d’établir un scénario d’intervention.

Pensez à définir des indicateurs pour chaque type de risque. Ainsi, une menace peut avoir de fortes conséquences (ex : destruction d’un serveur par le feu), mais avec une probabilité d’apparition faible (salle serveur sécurisée anti-incendie).

Les risques de type « pertes de données » peuvent avoir pour origine :

• L’erreur humaine (suppression accidentelle de données).
• Les pannes de matériel (obsolescence, absence de mise à jour).
• Les accidents matériels (chute, inondation, foudre, incendie…).
• La malveillance informatique (saturation des accès, vol de données, rançongiciel).

Quelles mesures prendre pour limiter les durées d’interruption d’activité ?

Chaque mesure doit être adaptée au risque concerné, d’où l’intérêt d’imaginer des scénarios correspondants. Ainsi, un serveur-miroir peut être une excellente mesure pour limiter ou même supprimer une interruption d’activité d’un site web, à condition que ce serveur de secours soit dans un autre site.

Cela peut sembler tomber sous le sens, et pourtant…

Lors de l’incendie du centre d’OVH Cloud à Strasbourg le 10 mars 2021, des milliers d’entreprises ont connu des interruptions de service de plusieurs heures. Certains serveurs de backup se trouvaient, hélas, à un étage supérieur qui a également été détruit par le feu. Des clients ont perdu définitivement leurs données. Certains ont dû mettre la clé sous la porte…

Mesures préventives

L’entreprise doit s’assurer de disposer de suffisamment de compétences internes pour assurer la continuité de son activité, ou faire appel à des prestataires. Attention donc à ne pas concentrer tous les savoirs sur une seule personne dont l’absence pourrait provoquer une rupture dans la fourniture de services clés.

De même, ne dispersez pas vos besoins en assistance externe sur trop de prestataires. Les statistiques montrent que plus les prestataires sont nombreux, plus le risque de perte de données augmente.

Mesures curatives

La mesure la plus basique consiste à prévoir une sauvegarde informatique régulière des données nécessaires à la continuité d’activité de votre entreprise. Ces copies de données doivent être vérifiées à intervalles réguliers et (vous l’avez lu dans l’exemple d’OVH Cloud) redondées à des endroits différents.

Il faut également définir quel acteur devra intervenir pour chaque type de crise et prévoir différents niveaux d’escalade selon les cas de figure.  Cela implique de revoir tout le système de management de l’entreprise. On le voit, les mesures curatives sont étroitement dépendantes des mesures préventives pour chacun des scénarios de crise pouvant survenir.

Comment réduire le temps d’absence des activités

Si les mesures concernant le matériel informatique paraissent assez évidentes, il faut par ailleurs penser à définir des stratégies d’intervention afin de réduire le temps d’absence des activités vitales pour l’entreprise. C’est le cas par exemple des flux de données provenant de prestataires extérieurs.

Que faire si le service d’un de vos prestataires est interrompu ? Avez-vous pensé à définir une solution contractuelle couvrant ce risque avec votre prestataire ? Par exemple demander à ce prestataire de fournir une solution de secours, même dégradée, qui réduira le temps d’absence de ce service.

Comment limiter la perte de chiffre d’affaires ?

L’un des volets du PCA comporte une analyse d’impact permettant d’étudier et de chiffrer les effets de chaque type de risque sur le chiffre d’affaires de l’entreprise. Il faut définir des hypothèses estimant la durée d’arrêt de l’activité et donc le chiffre d’affaires qui ne pourra être réalisé et trouver des palliatifs pour en limiter l’importance.

Cela passe par exemple dans la préparation de services minimums qui pourront tout de même être facturés au client s’il a opté pour cette option dans son abonnement. Ce type de prestations peut même devenir un atout pour l’entreprise :

Ainsi, une entreprise proposant de l’hébergement de type Cloud pourra mettre en avant des indicateurs de SLO (niveau de disponibilité dans le temps des serveurs), de SLI (métriques de niveau de service) et proposer un niveau contractuel de SLA (mesures prises en cas d’interruption de service).

Il est important de souligner que les pertes de données coûtent beaucoup plus cher aux entreprises que les durées d’indisponibilité de leurs services.

Comment réduire l’impact sur l’image de l’entreprise ?

La perte d’image de marque d’une entreprise sera bien entendu proportionnelle à l’impact de la perte d’activité sur sa clientèle. La perte définitive de données d’un client conduit généralement à la perte du client dont la confiance a été trahie.

Avec l’omniprésence des médias, il devient très difficile pour un organisme de cacher au public les impacts d’une perte d’activité. D’où l’importance d’avoir anticipé ces risques, y compris en prévoyant des processus de communication précis pour informer les médias lors d’une crise.

Toutes ces mesures sont bien évidemment chronophages et doivent être définies avec précision. C’est pourquoi DIGITEMIS se tient à votre disposition pour vous accompagner dans la validation ISO 22301 et votre PCI (Plan de Continuité Informatique).

Contactez DIGITEMIS

Les bénéfices apportés par la norme ISO 22301

La norme ISO 22301 permet d’homogénéiser les mesures prises par chaque organisme concerné tout en lui laissant la liberté nécessaire pour s’adapter selon sa propre configuration et son système de management.

Confronté à la sauvegarde du niveau de qualité imposé par cette norme internationale, un RPCA va gérer des actions régulières auprès des collaborateurs sous sa responsabilité :

• Plans de formation.
• Veille technologique.
• Tests de conformité (si nécessaire, avec le RSSI et le RPO).
• Demandes d’évolution et d’investissement.
• Communication de crise.

Tout cela pour viser un seul et même objectif : maintenir l’activité quelle que soit la menace rencontrée. La norme ISO 22301 participe donc à l’amélioration du niveau de prospérité des entreprises nationales, ainsi que des organismes privés ou d’État.

Elle permet également à des prestataires spécialisés comme DIGITEMIS de fournir des services adaptés et ciblés sur chacune des composantes de cette norme.

Je partage