Le contexte actuel est propice aux situations de crise au sein des entreprises. Les risques sont multiples avec d'une part des évènements naturels et climatiques de plus en plus nombreux (incendies, inondations, etc.), et d'autre part des phénomènes liés à des facteurs humains, comme par exemple des accidents industriels importants (Fukushima, Lubrizol), ou les erreurs techniques telles que celles qu'a pu rencontrer Boeing avec son 737 Max, ou encore les mouvements sociaux et attentats. Des phénomènes qui sont devenus de plus en plus prégnants depuis le début du siècle, et auxquels il convient désormais d'ajouter les crises sanitaires et les cyber-attaques. C'est dans ce cadre que les entreprises doivent mettre en œuvre des solutions pour prévenir les risques et garantir la continuité de l'activité.
S'adapter pour garantir la pérennité de l'entreprise
La gestion du facteur risque est primordiale pour préserver le patrimoine de l'entreprise, ses données, ses clients ou encore son savoir-faire. Sans oublier l'image de marque. La sécurisation de ce patrimoine est donc indispensable pour éviter les pertes d'information en cas d'attaque, et afin d'être en mesure de redémarrer l'activité après une crise.
"En notre qualité d'organisme certificateur, nous nous appuyons sur nos domaines d'expertise pour apporter des réponses à ces problématiques. La gestion des risques est un élément crucial dans toutes les organisations. Et toutes les normes de système de management que nous allons déployer par la suite sont supportées par la norme ISO 31000" déclare Philippe Roudier, Responsable Technique et d'Audit chez Lloyd's Register.
Cette gestion passe par l'identification, l'évaluation des impacts et l'éventuelle récurrence des risques. S'il n'est pas possible d'éviter immédiatement une crise sanitaire telle que celle que traverse le monde aujourd'hui, les entreprises peuvent néanmoins y palier ou en diminuer les conséquences en s'y préparant. Conçue pour gérer les risques et garantir le fonctionnement de l'entreprise, la norme ISO 31000 n'est pas certifiable, mais elle s'avère nécessaire pour toute certification. "Accéder à une certification ISO 9001 incite à identifier les risques, à gérer les infrastructures et équipements ou encore à identifier et sécuriser ses "connaissances organisationnelles". Cette nouvelle notion, inscrite dans la norme en 2015, correspond en fait au patrimoine immatériel qu'il faut préserver pour être capable de survivre à une situation critique ou à une crise majeure" ajoute Philippe Roudier.
Anticiper les risques via la certification
Si on s'intéresse aux systèmes d'information, d'autres normes certifiables sont dédiées à la sécurité des systèmes d'information de l'entreprise, et notamment la norme ISO 27001. Celle-ci impose évidement l’identification puis l’analyse des risques, avant de proposer 114 mesures de sécurisation pour assurer la sécurisation des systèmes d’information. La norme ISO 22301 est, elle, destinée à garantir la continuité d’activité "Il peut s'agir de la sécurisation des données en cas d'incendie avec un back-up offsite par exemple, ou de s'assurer que les équipes disposent de tout le nécessaire pour travailler à distance, aussi bien en termes de matériel que de remote access" précise Philippe Roudier, "il s'agit d'être préparé si le pire des scénarios se réalisait"
Pour s'en assurer, l'ISO27001 exige notamment de réaliser des simulations pour s'assurer que tout fonctionne correctement, notamment au niveau de la sauvegarde des informations avec des backups réguliers des logiciels, des applications ou encore des bases de données. De plus, ces copies devront être conservées et sécurisées. Philippe Roudier raconte ainsi qu'"il est fondamental de vérifier la sauvegarde pour éviter le pire au moment de la restauration, avec un support vide ou illisible par exemple". Il en va de même pour le plan de continuité d’activité qui doit également être testé en conditions réelles : "nous avons déjà rencontré le cas d'une entreprise qui avait répliqué ses installations sur un second site mais celui-ci était fermé et personne n'avait les clefs lors d'un exercice d'incendie".
La certification ISO 27001 avec Lloyd's Register
Basé en Angleterre, Lloyd's Register s'appuie sur le National Cyber Security Center, l'équivalent de l'ANSSI en France. Celui-ci a établi un document sur les dix étapes vers la cybersécurité, dans lequel se retrouvent d’ailleurs les principales exigences de l’ISO 27001. Notamment avec la sécurisation des postes de travail, la gestion des accès des employés ou encore la sécurisation des échanges et la gestion des incidents. Lloyd's Register accompagne ses clients de plusieurs façons. "Nous pouvons les former aux normes ou à l'audit des normes, et nous les aidons à monter en compétence par rapport à ces problèmes de cybersécurité" déclare Philippe Roudier. Lloyd's Register propose en outre un outil d'auto-diagnostic en ligne qui permet à l'entreprise d'avoir une première évaluation de son organisation et d'identifier les points à améliorer dans le cadre d'un processus de certification. Enfin, Lloyd's Register propose également des Gap Analysis, un audit d'évaluation du niveau de maturité de l'entreprise par rapport aux exigences d'une norme comme ISO 27001.
"Lors des audits de certification, l’auditeur vérifie que l'entreprise a bien pris en compte toutes les exigences de la norme ou qu'elle justifie pourquoi le cas échéant. Puis, c'est à l'organisme de certification d'analyser les informations remontées par l'auditeur afin de délivrer le certificat. Par la suite, nous réalisons des vérifications régulières afin de nous assurer que les dispositions sont suivies et mises en œuvre en permanence. Nos interventions n’ont pas pour objectif de sanctionner, mais de faire progresser les organisations certifiées" conclut Philippe Roudier.
Car, à l'instar du contrôle technique dans le monde de l'automobile, les systèmes de management se doivent d'être entretenus en permanence pour conserver leur certification. Car la situation et les risques d'hier ne sont pas forcément ceux d'aujourd'hui.