L'ISO/IEC 24762:2008, Technologies de l'information – Techniques de sécurité – Lignes directrices pour les services de secours en cas de catastrophe dans les technologies de l'information et des communications, propose des orientations sur les technologies de l’information et des communications (TIC) et les services associés, qui sont indispensables en cas de sinistre, dans le cadre de la gestion de continuité opérationnelle. Ces lignes directrices aideront à bien exploiter un système de management de la sécurité de l'information (SMSI), en abordant les aspects de sécurité et de disponibilité de l'information lorsque l’on gère la continuité opérationnelle en temps de crise.
Un plan de continuité opérationnelle comprend les stratégies mises en place par une organisation en prévision de crises susceptibles de se déclarer au niveau national, régional ou local, et de mettre en péril sa capacité à poursuivre sa mission centrale, ainsi que sa stabilité sur le long terme.
Selon l'ISO/IEC 24762:2008, la gestion de continuité opérationnelle fait partie intégrante de tout processus holistique de gestion du risque et implique :
- l'identification des menaces susceptibles d’avoir des impacts négatifs sur les activités de l'organisation, et des risques associés ;
- la mise en place d’un cadre pour assurer la résilience des opérations de l'entreprise ;
- la mise à disposition de capacités, installations, processus, listes de tâches, etc., pour apporter des réponses efficaces en cas de sinistre ou de défaillance.
Grâce à cette nouvelle norme, les organisations pourront incorporer la résilience dans leur infrastructure TIC, qui est essentielle pour leurs activités centrales. Cette démarche complétera leur initiative de gestion de continuité opérationnelle (pour mieux gérer les risques susceptibles d'interrompre leurs activités) et leur initiative de gestion de la sécurité de l'information (pour protéger avec efficacité la confidentialité, l'intégrité et la disponibilité de l'information).
M. Philip Sy, rédacteur de projet pour l'ISO/IEC 24762:2008, commente: «cette norme de nouvelle génération prend en compte les développements technologiques contemporains pour ramener au minimum, du point de vue de la sécurité de l'information et des communications, les dommages subis dans une situation de crise.
Les dispositifs de secours incorporés dans la norme constitueront une aide lors de périodes d’interruptions de service mineures et, plus important, joueront un rôle essentiel pour garantir la disponibilité de l'information et des services lors d'un sinistre ou d'une défaillance et pour une reprise complète des activités à long terme. Cet aspect est particulièrement important de nos jours car les organisations sont de plus en plus vulnérables dans le monde aux menaces de terrorisme, de catastrophe naturelle, de piraterie et autres crises», conclut M. Sy.
La norme comprend des lignes directrices pour la mise en œuvre, l'essai et le déploiement des secours. Elle est applicable aux fournisseurs internes et externes d’installations et de services de secours TIC. Elle fournit des indications pour :
- la mise en œuvre, le fonctionnement, la surveillance et la maintenance des installations et services nécessaires pour les secours en cas de sinistre (par exemple un système d'alerte publique pour inviter le personnel à quitter un bâtiment, ou l’exigence que toutes les portes électroniques puissent aussi s’ouvrir manuellement de l'intérieur) ;
- le soutien au redémarrage et à la récupération des systèmes TIC de l'organisation ;
- les capacités indispensables aux fournisseurs extérieurs de services de secours TIC et les pratiques à suivre pour fournir des environnements d'exploitation de base sûrs et faciliter les efforts de reprise des organisations ;
- le choix d'un centre informatique de secours (en tenant compte de facteurs comme la stabilité environnementale, la bonne infrastructure, etc.), et
- l’exigence d’une amélioration continue des fournisseurs de services de secours TIC.
L'ISO/IEC 24762:2008 est une initiative de l'ISO et de la Commission électrotechnique internationale (IEC), dans le cadre du comité technique mixte ISO/IEC JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de sécurité.
Cette Norme internationale est complétée par deux autres normes communes ISO/IEC qui donnent, pour réduire encore plus les risques, des objectifs pour la maîtrise des aspects de sécurité de l'information en gestion de continuité opérationnelle :
- ISO/IEC 27001:2005, Technologies de l'information – Techniques de sécurité – Systèmes de gestion de la sécurité de l'information – Exigences, et
- ISO/IEC 27002:2005, Technologies de l'information – Techniques de sécurité – Code de bonne pratique pour la gestion de la sécurité de l'information.
L'ISO/IEC 24762:2008, Technologies de l'information – Techniques de sécurité – Lignes directrices pour les services de secours en cas de catastrophe dans les technologies de l'information et des communications, est disponible, au prix de 164 francs suisses, auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées) et du Secrétariat central de l'ISO par l'intermédiaire de l'ISO Store ont en contactant le département Marketing & Communication (voir colonne de droite).
