Accéder au guide maj PCA ISO 22301 Banques
GUIDE ADENIUM
BUSINESS CONTINUITY
2015
Mettre à jour son PCA selon le
cadre de référence ISO 22301
dans le secteur bancaire
Adenium SAS
www.adenium.fr
+33 (0)1 40 33 76 88
adenium@adenium.fr
Février 2015
Mettre à jour son PCA selon le cadre de référence ISO 22301 dans le secteur bancaire
2 sur 16
Copyright 2015 © ADENIUM
Sommaire
Introduction ..................................................................................................................... 3
Une norme : l’ISO 22301 ................................................................................................... 5
Mettre à jour son PCA ....................................................................................................... 6
I. Initialisation du projet ........................................................................................................ 6
Compréhension de l’organisation et de son contexte ............................................. 6
Définition d’un périmètre ........................................................................................ 6
Obtenir l’implication et l’engagement de la Direction ............................................ 6
Politique et objectifs du PCA.................................................................................... 7
Mise à disposition des ressources ........................................................................... 7
Compétences ........................................................................................................... 7
Contrôle et gestion documentaire ........................................................................... 7
II. Synthèse des besoins en continuité .................................................................................. 8
Cartographie des risques ......................................................................................... 8
Business Impact Analysis (BIA) ................................................................................. 8
III. Mise en œuvre du PCA ..................................................................................................... 9
Gestion de crise et stratégies de continuité ............................................................ 9
Stratégies de traitement des risques ..................................................................... 10
Plan de continuité d’activités ................................................................................. 10
IV. Amélioration continue.................................................................................................... 11
Exercices et test ..................................................................................................... 11
Mesure, surveillance et évaluation du SMCA ........................................................ 11
Révision du SMCA .................................................................................................. 11
Audit interne .......................................................................................................... 12
Amélioration continue ........................................................................................... 12
Se préparer à l’audit de certification ............................................................................... 13
I. Processus de certification ............................................................................................ 13
Préalables à l’audit ................................................................................................. 13
Les étapes de l’audit .............................................................................................. 13
II. Les avantages de la certification ISO 22301 ................................................................. 13
Présentation Adenium .................................................................................................... 15
Qui sommes-nous ? ............................................................................................... 15
Notre valeur ajoutée .............................................................................................. 16
Contacts utiles ........................................................................................................ 16
Février 2015
Mettre à jour son PCA selon le cadre de référence ISO 22301 dans le secteur bancaire
3 sur 16
Copyright 2015 © ADENIUM
Introduction
Depuis une dizaine d’années, le secteur bancaire a mis en place des systèmes de gestion de
ses risques encadrés par les directives Bâle II, Bâle III ainsi que par le CRBF 97-02. La
préparation de solutions de continuité en cas de crise majeure par le déploiement d’un
ensemble de politiques, procédures et mesures a été développée avec la mise en place de
Plans de Continuité d’Activités (PCA).
Initialement encadrée par la norme anglaise BS 25999-2, la méthodologie des PCA a évolué
en 2012 avec la parution d’une norme ISO 22301 donnant une plus grande importance aux
objectifs, au suivi de la performance et aux indicateurs.
La norme ISO 22301 vient également détailler certains sujets de la BS 25999 : plusieurs
clauses concernent le BIA, les plans de reconstruction…
« Le PCA est un ensemble de procédures documentées servant de guide aux organisations
pour répondre, rétablir, reprendre et retrouver un niveau de fonctionnement prédéfini à la
suite d’une perturbation »
ISO 22301 – Business continuity management systems
Les normes « Business Continuity » décrivent le cycle de vie continu d’un Système de
Management de la Continuité d’Activité (SMCA) ou Business Continuity Management System
(BCMS), le définissant comme un programme continuellement en évolution (cf. schéma).
Elles appliquent le cycle PDCA (Plan-Do-Check-Act) pour définir, mettre en œuvre, contrôler,
maintenir et améliorer le système de management de continuité d’activités de
l’organisation.
Le management de la continuité d’activités implique la gestion de la reprise d’activités, en
cas d’interruption, et la gestion du processus dans son ensemble par la formation des
acteurs concernés, des exercices et des révisions, assurant l’opérationnalité et la mise à jour
du PCA.
Février 2015
Mettre à jour son PCA selon le cadre de référence ISO 22301 dans le secteur bancaire
4 sur 16
Copyright 2015 © ADENIUM
Le PCA doit permettre, pour les acteurs du secteur bancaire, de limiter les conséquences
d’un évènement majeur exceptionnel et de garantir leurs obligations réglementaires et
commerciales.
Il couvre le risque d’indisponibilité partielle ou totale de l’environnement de travail, le risque
d’indisponibilité du personnel et le risque de perte d’un fournisseur stratégique.
Il intègre également le risque d’indisponibilité du système d’information ainsi que les
solutions de secours informatique.
La conduite d’une démarche PCA permet d’avoir une vision globale sur les processus de
l’entreprise, les ressources et les moyens qui leurs sont nécessaires ainsi que leurs
contributions aux résultats financiers.
Les différents scenarios imaginés devront ramener l’impact des conséquences d’un choc
majeur dans le domaine de l’acceptable et, lors du retour à une situation normale, les causes
du sinistre devront être explicitées et traitées au niveau de la gestion des risques
opérationnels.
Un projet de mise à jour du PCA selon la norme de référence ISO 22301 doit s’appuyer sur :
Une compréhension des besoins d’identification des évolutions des risques liés à la
continuité d’activité
Une identification des responsables de l’identification des besoins, des mises à jour
des politiques, procédures et plans
Un contrôle périodique et permanent des mises à jour
Une démarche de tests, d’exercices et d’amélioration continue
L’intérêt de mettre à jour son PCA selon le cadre de référence ISO 22301 est :
De s’assurer qu’un PCA mis en place avant la publication de la norme respecte bien la
méthodologie requise pour mettre en place la stratégie de continuité de l’entreprise
en conformité avec les exigences réglementaires.
D’identifier notamment les interactions entre services et avec les partenaires et de
s’assurer que les stratégies de reprise des différentes parties respectent les besoins
liés à leurs activités
De mettre en place un cadre permettant d’identifier et d’organiser les moyens du
maintien en condition opérationnel
De préparer son activité à la certification et éventuellement de mettre en place un
Système de Management Intégré
Février 2015
Mettre à jour son PCA selon le cadre de référence ISO 22301 dans le secteur bancaire
5 sur 16
Copyright 2015 © ADENIUM
Une norme : l’ISO 22301
La norme ISO 22301 est une norme de Système de Management pour la gestion de la
Continuité d’Activité.
Elle reprend les bases du standard britannique BS 25999 et intègre des notions d’objectifs, le
suivi des performances et d’indicateurs pour le Système de Management de la Continuité
d’Activité (SMCA). Avec l’insertion de ces aspects, la norme garantit le maintien en
condition opérationnelle de la démarche de Continuité d’Activité.
Il s’agit, aujourd’hui, du premier standard sur le Management de la Continuité d’Activité
reconnu au niveau international.
En outre, la mise en place d’un SMCA sur la base de l’ISO 22301 permet :
D’être en conformité vis-à-vis des différentes réglementations. Pour les acteurs du
secteur bancaire, la mise en place de ce standard assure la conformité de la
démarche de Continuité d’Activité par rapport aux exigences de Bâle II
L’assurance d’une réaction efficiente en cas de crise par la mise en place de
procédures spécifiques
La réduction des impacts en cas de crise réelle grâce à l’adoption d’une démarche
structurée et la mise en place d’outils adaptés
De protéger l’ensemble des actifs de la société
De démontrer le niveau de résilience général de la société aux différentes parties
intéressées
Enfin, le standard adopte les lignes directrices de l’ISO/Guide 83 qui définit la nouvelle
architecture des futures normes de management (ISO 9001, ISO 14001,…), ce qui permet
d’implémenter le SMCA dans le cadre d’un Système de Management Intégré (SMI).
Au regard des éléments précédents, mettre à jour son PCA selon le cadre de référence ISO
22301 peut s’avérer un choix, notamment sur les aspects suivants :
- Vérifier la conformité aux exigences réglementaires (Bâle II, CRBF 97-02),
- Légitimer et positionner la continuité des activités dans l’organisation,
- Rassurer la Direction Générale sur l’efficacité, l’efficience, le degré de maturité, la qualité
du PCA,
- Vérifier l’appropriation du PCA par les acteurs concernés,
- Valider le PCA comme « système de management ». Cela permet ainsi de l’intégrer aux
autres systèmes de management déjà présents dans l’organisation.
6
7
8
9
10
11
12
13
14
15
16
1
/
16
100%
