---

---

Le mandat de la norme ISO 27031:2025 : la résilience au-delà de la technologie

La norme ISO 27031:2025 marque un changement essentiel dans la gestion de la continuité des activités (BCM). Elle reconnaît que la fiabilité technologique totale est une illusion et met l'accent sur la capacité opérationnelle d'une organisation en cas de défaillance technologique.

La clause 6.6a est au cœur de cette réorientation. Elle stipule sans ambiguïté que si les technologies de l'information et de la communication (TIC) ne peuvent pas respecter les délais de reprise (Recovery Time Objective – RTO) ou les délais de restauration (Recovery Point Objective – RPO) requis par l'activité, l'organisation doit décrire dans son plan de continuité des activités (BCP) des solutions de contournement permettant de poursuivre l'activité pendant la durée de cette interruption sans TIC. 

Cette exigence est complétée par la clause 10.4, qui définit les « solutions de contournement temporaires » comme une solution. Il s'agit de processus manuels ou partiellement manuels qui permettent de poursuivre les processus commerciaux urgents avec une efficacité potentiellement moindre jusqu'à ce que les services informatiques soient à nouveau disponibles. La norme impose ainsi une réflexion honnête sur l'écart entre les exigences commerciales et les capacités réelles, souvent limitées par le budget, des TIC.

Un aspect crucial qui conduit souvent à des malentendus dans la pratique est la distinction nécessaire entre les objectifs de reprise des activités commerciales et ceux de l'informatique. Le RTO défini par l'entreprise (Business-RTO) indique quand un processus métier doit être relancé. Pour que cela soit possible, l'infrastructure TIC sous-jacente doit nécessairement être restaurée plus tôt. Le RTO des TIC (RTO TIC) doit donc être nettement plus court que le RTO commercial afin de créer une marge pour le redémarrage des processus commerciaux, la validation des données et la communication. Mais le temps de reprise réel (Recovery Time Actual, RTA) est encore plus important. Contrairement au RTO, qui est une valeur cible, le RTA est la valeur mesurée lors d'un test ou d'une simulation afin de déterminer les performances en cas d'urgence. Le RTA est donc le test de réalité ultime pour tout PCA.

Le fossé entre la théorie et la pratique : pourquoi les principes connus échouent

Bien que les principes de la norme ISO soient connus des experts, il existe un écart dangereux entre la théorie et la mise en œuvre. Les raisons en sont systémiques et peuvent souvent être attribuées à des erreurs d'appréciation fondamentales :

• Un fossé organisationnel apparaît, car la responsabilité du maintien des activités commerciales est souvent considérée à tort comme une tâche purement informatique. Les services spécialisés définissent leurs besoins, le service informatique fournit ce que le budget permet. La solution manuelle pour contourner un processus commercial tombe dans le vide de responsabilité entre ces deux silos. Aucune des deux parties ne se sent responsable du financement, du développement et des tests.

• Le syndrome du « plan sur papier » décrit le phénomène selon lequel de nombreux BCP n'existent que pour répondre aux exigences d'audit. Ils sont souvent obsolètes, non testés et irréalistes. Les processus manuels, en particulier, sont rarement testés sur le plan fonctionnel, car cela demande beaucoup d'efforts opérationnels. Un test théorique ne suffit pas pour valider la résilience d'un processus manuel en situation de stress.

• Cependant, des incidents récents tels que la panne de CrowdStrike en 2024 ont montré que le redémarrage et la restauration peuvent prendre des jours et nécessiter des interventions manuelles massives. Un processus manuel non durable peut rapidement générer un retard incontrôlable en raison d'une inefficacité massive et d'une forte probabilité d'erreurs, entraînant ainsi une crise indépendante encore plus grave.

Ces défaillances systémiques ne sont pas de simples lacunes opérationnelles. Elles se traduisent par des pertes financières directes et souvent dévastatrices. Pour illustrer l'ampleur de ces risques, une étude réalisée en 2024 par Information Technology Intelligence Consulting fournit les chiffres suivants : Pour 90 % des entreprises, une seule heure d'indisponibilité coûte plus de 300 000 dollars américains, 41 % des entreprises déclarant même des coûts compris entre 1 et 5 millions de dollars américains par heure. Cela souligne la nécessité économique de créer la résilience opérationnelle exigée par la norme ISO et de justifier le budget alloué aux mesures correspondantes.

La méthodologie décisive : l'analyse des écarts

Le processus consistant à comparer les exigences de l'entreprise (Business-RTO) avec les capacités avérées de l'informatique (mesurées en RTA) est appelé « analyse des écarts ». Cette analyse n'est pas un examen superficiel, mais une étude approfondie et multicouche de l'ensemble de la chaîne technologique. Elle commence par l'infrastructure de base, telle que l'alimentation électrique et la climatisation du centre de données, passe par les composants réseau, les serveurs et les systèmes de stockage, puis les bases de données et enfin l'application elle-même, qui fournit le service commercial.

Chacune de ces couches a ses propres caractéristiques de restauration et ses propres dépendances. Seule une analyse aussi granulaire permet au service informatique de se prononcer de manière réaliste et honnête sur son temps de reprise réel (RTA - déterminé en testant les différents composants). Le résultat de cette analyse des écarts sert de base à la décision stratégique : soit investir dans la technologie pour combler l'écart, soit développer une solution manuelle. 

Un cadre d'action pour des solutions de contournement efficaces

Afin de répondre aux exigences de la norme et de combler le fossé entre la théorie et la pratique, une approche structurée est nécessaire :

• Une attribution claire des responsabilités est essentielle. La responsabilité du développement et de la maintenance des solutions de contournement manuelles doit être explicitement attribuée aux responsables des processus métier, et non au service informatique.

• L'allocation de budgets est indispensable. Créez des postes budgétaires dédiés aux ressources nécessaires aux solutions de contournement manuelles, notamment le temps de formation des employés, le matériel informatique, les frais d'impression des formulaires d'urgence et la réalisation de tests réalistes avec, si nécessaire, une aide externe. La quantification et le signalement des risques sont indispensables. Réalisez une analyse transparente des lacunes et une modélisation quantitative des lacunes potentielles.

• La quantification et la communication des risques sont indispensables. Réalisez une analyse transparente des lacunes et une modélisation quantitative du retard commercial potentiel en cas de panne. L'argumentaire commercial en faveur de l'investissement dans des solutions de contournement doit être fondé sur la réduction du risque financier résiduel, et non sur le simple facteur coût.

• Il est fondamental d'instaurer une culture du test. Mettez en place un programme de test obligatoire et progressif qui va au-delà des tests simples et impose des exercices fonctionnels réguliers pour ces solutions de contournement. Encouragez une culture dans laquelle les vulnérabilités découvertes lors des tests sont considérées comme des informations précieuses et non comme des échecs.

Prochaine étape : passer de la planification à la résilience active

La mise en œuvre de ces tâches exigeantes, de l'analyse des lacunes à l'élaboration de solutions de contournement robustes, nécessite des connaissances spécialisées. Les responsables IRBC et BCM doivent devenir des moteurs internes et expliquer la nécessité stratégique à la direction. Une expertise externe peut accélérer considérablement ce processus. Agissez dès maintenant, car il ne s'agit pas d'un simple exercice de conformité, mais d'un investissement stratégique dans la viabilité et la résilience de votre entreprise.