ISO/TS 22318:2021

SPÉCIFICATION ISO/TS
TECHNIQUE 22318
Deuxième édition
2021-12
Sécurité et résilience — Systèmes
de management de la continuité
d'activité — Lignes directrices pour
le management de la continuité de la
chaîne d'approvisionnement
Security and resilience — Business continuity management systems
— Guidelines for supply chain continuity management
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 1
4 La valeur du management de la continuité de la chaîne d’approvisionnement (SCCM) .2
4.1 La chaîne d’approvisionnement . 2
4.1.1 Généralités . 2
4.1.2 Modèle de la chaîne d’approvisionnement . 2
4.2 Management de la continuité de la chaîne d’approvisionnement (SCCM) . 4
4.2.1 Généralités . 4
4.2.2 Intégration du management de la continuité de la chaîne
d’approvisionnement (SCCM). 4
4.2.3 Bénéfices et opportunités . 5
4.3 Propriété du risque . 6
4.4 Propriété du management de la continuité de la chaîne d’approvisionnement
(SCCM). 6
5 Prérequis du système de management de la continuité d’activité (SMCA) pour le
management de la continuité de la chaîne d’approvisionnement (SCCM) .7
5.1 Généralités . 7
5.2 Obtenir l’engagement de la direction générale . 7
5.2.1 Responsabilité . 7
5.2.2 Ressources pour le management de la continuité de la chaîne
d’approvisionnement (SCCM). 7
5.2.3 Cadre du management de la continuité de la chaîne d’approvisionnement
(SCCM) . 7
5.2.4 Programme d’évaluation de la performance . 8
5.3 Promulguer les principes de continuité d’activité dans l’ensemble de la chaîne
d’approvisionnement . 8
5.4 Analyser les exigences de continuité et apprécier le risque . 8
5.4.1 Généralités . 8
5.4.2 Exigences de continuité . 9
5.4.3 Appréciation du risque . 9
6 Un management de la continuité de la chaîne d’approvisionnement (SCCM) efficace .10
6.1 Généralités . 10
6.2 Identifier les stratégies et les solutions . 10
6.2.1 Généralités . 10
6.2.2 Option 1 — Réduire la dépendance et l’impact . 11
6.2.3 Option 2 — S’appuyer sur les stratégies et solutions de continuité d’activité
de l’organisme .12
6.2.4 Option 3 — S’appuyer sur les stratégies et solutions de continuité d’activité
du fournisseur . 13
6.2.5 Option 4 — Ne rien faire et conserver le risque par décision informée .13
6.3 Évaluer la conformité des fournisseurs en matière de continuité .13
6.4 Établir des obligations contractuelles . 14
6.4.1 Généralités . 14
6.4.2 Principes pour établir les exigences de continuité dans le contrat. 14
6.4.3 Exigences de continuité . . 14
6.5 Revue et mise à jour . 16
7 Maintien, performance et amélioration continue .16
7.1 Généralités . 16
7.2 Maintien . 16
iii
7.3 Évaluation de la performance . 17
7.4 Amélioration continue . 17
Annexe A (informative) Exemple de questions générales à envoyer aux fournisseurs
prioritaires .19
Annexe B (informative) Management des perturbations de fournisseurs prioritaires .21
Annexe C (informative) Exemples d’exercices conjoints avec les fournisseurs .22
Bibliographie .23
iv
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO/TS 22318:2015), qui a fait l’objet
d’une révision technique. Les principales modifications sont les suivantes:
— le document a été mis à jour afin de refléter les modifications apportées à l’ISO 22301:2019;
— les relations amont et aval au sein de la chaîne d’approvisionnement ont été clarifiées;
— le titre a été mis à jour;
— les «points clés» ont été supprimés, car leurs concepts sont inclus dans les articles et paragraphes;
— de nouveaux schémas ont été ajoutés;
— des annexes ont été ajoutées.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
Introduction
Le présent document se focalise sur l’établissement de niveaux de continuité appropriés au sein de
la chaîne d’approvisionnement d’un organisme. Il suppose que l’organisme qui cherche à établir un
management de la continuité de la chaîne d’approvisionnement (SCCM) a conscience des principes
de la continuité d’activité. Il est destiné à être utile aux personnes responsables de la continuité de
la chaîne d’approvisionnement pour les ressources requises par l’organisme pour produire et livrer
ses produits et fournir ses services. Les lignes directrices données dans le présent document sont
également pertinentes lorsque l’organisme est le fournisseur, car il peut alors se préparer à satisfaire
aux attentes de ses clients en matière de continuité et prendre en considération les vulnérabilités qui
peuvent survenir lorsqu’il dépend d’un unique client.
Le présent document prend en considération les implications en matière de continuité pour l’organisme
si ses fournisseurs n’ont pas mis en place une continuité adéquate.
Les organismes s’attendent à ce que les ressources soient livrées dans les délais et au prix et à la qualité
convenus. Il s’agit, par exemple, des matériaux, de la main-d’œuvre, des informations et des données, du
lieu de travail, des installations et des services publics associés, des équipements, des consommables,
des systèmes de technologies de l’information et de la communication (TIC), du transport, de la
logistique, des finances et d’autres services nécessaires pour soutenir les activités de l’organisme. C’est
ce qu’on appelle «l’amont».
Les organismes s’attendent également à être en mesure de livrer leurs produits et fournir leurs services
à leurs clients, qu’ils soient le prochain maillon de la chaîne d’approvisionnement ou le client final. La
fourniture des produits et des services (par exemple: le transport, la logistique, les services de mise
en œuvre, les services d’installation de machines) est effectuée par l’organisme ou par un tiers sous la
responsabilité de l’organisme. C’est ce qu’on appelle «l’aval».
Un organisme a besoin de reconnaître l’impact potentiel d’une non-reprise des activités dans un délai
acceptable en raison d’une perturbation de la chaîne d’approvisionnement. L’incapacité d’un fournisseur
à fournir des ressources, dans les délais et au niveau de qualité et au prix convenus, peut entraîner
une perturbation de l’activité. Il est nécessaire pour l’organisme de prendre en considération et de
gérer des objectifs contradictoires tels que la réduction du coût de la chaîne d’approvisionnement en
réduisant les temps de cycle ou les stocks tampons et la gestion du risque pour la continuité de la chaîne
d’approvisionnement provenant d’une source unique et d’approches d’approvisionnement en juste-à-
temps. L’organisme a besoin de trouver un juste équilibre entre les risques et les mesures de continuité.
La criticité des fournisseurs et le délai de rétablissement requis sont déterminés lors de la phase du
bilan d’impact sur l’activité (BIA) (voir l’ISO/TS 22317) du système de management de la continuité
d’activité (SMCA). Les fournisseurs prioritaires sont ceux qui soutiennent les activités prioritaires
et sont identifiés comme ayant l’impact le plus important s’ils échouent à livrer les ressources, ce qui
impacte l’aptitude de l’organisme à livrer ses propres produits ou à fournir ses services.
Le «rang du fournisseur» définit la relation du fournisseur avec l’organisme. Un fournisseur sous
contrat (Rang 1) a une relation directe avec l’organisme, tandis qu’un fournisseur indirect (Rang 2
et au-delà) fournit des ressources à un fournisseur sous contrat et, par conséquent, est plus difficile
à maîtriser. Il convient que les fournisseurs soient encouragés à mettre en œuvre le SCCM au sein de
leur propre chaîne d’approvisionnement, ce qui améliorera la continuité de l’ensemble de la chaîne
d’approvisionnement.
Le présent document exclut expressément:
— les questions liées à la gestion de la clientèle, telles que la fidélisation et l’impact résultant de la
perte de clients ou de l’arrivée de nouveaux clients;
— les activités de la chaîne d’approvisionnement au sein de l’organisme; il convient que les fournisseurs
internes relevant du domaine d’application du SMCA soient identifiés comme des dépendances ou
des interdépendances et il convient que leur capacité à poursuivre leurs livraisons fasse partie du
SMCA de l’organisme.
vi
Le respect des lignes directrices du présent document sera bénéfique à la chaîne d’approvisionnement.
Les fournisseurs peuvent également choisir de se conformer aux exigences de la famille de normes
ISO 28000 pour le management de la sûreté de la chaîne d’approvisionnement. La conformité
à ces normes confèrera aux organismes une confiance accrue dans la résilience de leur chaîne
d’approvisionnement et réduira potentiellement le risque de perturbation lors de l’achat de ressources.
vii
SPÉCIFICATION TECHNIQUE ISO/TS 22318:2021(F)
Sécurité et résilience — Systèmes de management
de la continuité d'activité — Lignes directrices
pour le management de la continuité de la chaîne
d'approvisionnement
1 Domaine d’application
Le présent document fournit des lignes directrices sur les méthodes permettant de comprendre et
d’étendre les principes de la continuité d’activité contenus dans l’ISO 22301 et l’ISO 22313 au management
des relations avec les fournisseurs. Il permet à un organisme de développer et de documenter la
stratégie pour être mieux préparé à manager la continuité de la chaîne d’approvisionnement.
Le présent document est générique et applicable à tous les organismes. Il s’applique aux fournisseurs de
produits, de services et de ressources, tant en amont qu’en aval.
Le management de la continuité de la chaîne d’approvisionnement (SCCM) prend spécifiquement en
considération les questions auxquelles est confronté un organisme qui s’appuie sur la continuité de
l’approvisionnement en ressources ainsi que sur la capacité à poursuivre la fourniture de ses produits
et services. L’objectif du SCCM est de protéger les activités commerciales de l’organisme contre les
perturbations de la chaîne d’approvisionnement.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d’activité — Exigences
ISO 22313, Sécurité et résilience — Systèmes de management de la continuité d’activité — Lignes directrices
sur l’utilisation de l’ISO 22301
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300, l’ISO 22301 et
l’ISO 22313 s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
4 La valeur du management de la continuité de la chaîne d’approvisionnement
(SCCM)
4.1 La chaîne d’approvisionnement
4.1.1 Généralités
Les chaînes d’approvisionnement sont de plus en plus longues et complexes. Un SCCM efficace exige de
l’organisme qu’il s’assure que chaque lien de sa chaîne d’approvisionnement a mis en place des mesures
de continuité efficaces.
Les chaînes d’approvisionnement s’étendent au-delà de la maîtrise directe de l’organisme, et de
nombreux facteurs déterminent le degré de maîtrise, dont la taille et l’influence relatives, la géographie
ainsi que le nombre et le type de fournisseurs.
Outre les perturbations directes de la chaîne d’approvisionnement, il convient que l’organisme
considère également les impacts sur l’offre et la demande provenant d’événements mondiaux ou locaux
ainsi que la dynamique du marché, qui peuvent générer:
— une demande excessive par rapport à l’offre, ce qui peut entraîner des contraintes sur les ressources;
— un excès généralisé de l’offre, qui peut provoquer un effondrement de la demande pour les produits
et les services que l’organisme fournit.
Les chaînes d’approvisionnement se sont allongées en raison:
— d’un accès mondial à un coût relativement faible grâce aux évolutions technologiques;
— d’un transport international économique;
— de la modification des obstacles au commerce international et de la libre circulation des capitaux;
— de la disponibilité de travailleurs qualifiés, compétents et relativement peu coûteux, dans le monde
entier.
Les organismes sont devenus plus interdépendants en raison de l’accent mis sur la valeur ajoutée des
activités de cœur de métier et la tendance est à l’externalisation des activités, telles que la logistique, la
distribution, la paie, la restauration, le nettoyage, la sécurité et l’informatique.
4.1.2 Modèle de la chaîne d’approvisionnement
Une vue d’ensemble de la chaîne d’approvisionnement inclut l’apport de ressources par les fournisseurs
à l’organisme (amont) et la fourniture de produits et de services de l’organisme à ses clients (aval). Cela
s’applique aux organismes de toute taille et de tout type. La Figure 1 illustre un modèle de la chaîne
d’approvisionnement simple et montre également les relations et l’influence directe de l’organisme qui
relèvent du domaine d’application du présent document.
Légende
relève du domaine d’application
ne relève pas du domaine d’application
Figure 1 — Modèle de la chaîne d’approvisionnement
NOTE 1 Les ressources incluent les matériaux, la main-d’œuvre, les informations et données, le lieu de travail,
les installations et les services publics associés, les équipements, les consommables, les systèmes des TIC, le
transport, la logistique, les finances et les autres services nécessaires aux activités de l’organisme.
NOTE 2 La fourniture des produits et des services inclut le transport, la logistique, la mise en œuvre, les
services d’installation de machines, etc. effectués par l’organisme ou par un tiers sous la responsabilité de
l’organisme.
Il est possible que l’utilisateur final ne soit pas le client immédiat des produits et des services. Dans
certaines situations, l’organisme a besoin de prendre en considération le fait que l’utilisation après la
livraison et les conséquences de la fourniture de ses produits et services, au-delà du client immédiat,
peuvent avoir un impact sur la marque et la réputation. L’organisme peut envisager de recourir à des
contrats pour maîtriser l’utilisation ultérieure ou mettre en œuvre des contrats d’utilisateur final afin
de limiter les transferts aval supplémentaires.
Une chaîne d’approvisionnement existe lorsque l’apport de ressources dépend d’autres organismes qui
ne sont pas sous la gestion ou la maîtrise directe de l’organisme.
Un organisme peut avoir différents types de relations:
— relations amont:
— à long terme pour les ressources régulières telles que les matières premières, le lieu de travail,
les services professionnels;
— ponctuelles pour l’acquisition de ressources occasionnelles telles que les projets spéciaux;
— associations professionnelles telles que les franchises, les associations de fournisseurs;
— relations aval:
— relations interentreprises (grossistes et détaillants);
— commerce grand public.
La base de toutes ces relations est l’engagement à satisfaire aux attentes des parties intéressées.
Ces engagements peuvent être explicites (par exemple: contrat ou bon de commande) ou implicites
(par exemple: ce qui peut raisonnablement être attendu).
Il convient que les organismes de la chaîne d’approvisionnement prennent en compte le fait que le degré
de flexibilité et la maîtrise associée sur les services essentiels et les fournisseurs fortement réglementés
peuvent être contraints, par exemple: les compagnies nationales d’électricité, les télécommunications,
les fournisseurs Internet.
NOTE Les types de relations ci-dessus sont donnés à titre d’exemple et ne sont pas exhaustifs.
4.2 Management de la continuité de la chaîne d’approvisionnement (SCCM)
4.2.1 Généralités
Le SCCM est un processus de management qui identifie les impacts potentiels pour un organisme
de la perturbation de sa chaîne d’approvisionnement et fournit une approche permettant de les
manager. La continuité de la chaîne d’approvisionnement est importante pour tous les organismes,
en leur permettant de livrer leurs produits et fournir leurs services. Une perturbation de la chaîne
d’approvisionnement peut avoir un impact sur l’organisme, ou même l’empêcher de fournir ces produits
et services, avec des effets négatifs conséquents sur ses revenus, sa part de marché et sa réputation.
Un SCCM efficace permet à l’organisme d’éviter ou de réduire au minimum les conséquences d’une
perturbation.
Il peut y avoir un conflit entre le SCCM et les objectifs du management de la chaîne d’approvisionnement,
tels que la nécessité de réduire les coûts, d’éviter les stocks excessifs et d’optimiser les délais. Il
convient que les organismes reconnaissent qu’un management efficace de l’approvisionnement en
ressources amènera à une maîtrise accrue et une meilleure efficacité de la chaîne d’approvisionnement,
et contribuera à éviter de graves perturbations.
Le SCCM cherche à identifier les fournisseurs qui peuvent avoir un impact significatif sur l’organisme
et à s’assurer que l’organisme a mis en place des stratégies et des solutions pour y faire face. Il convient
que des accords formels avec les fournisseurs assurent la prise de dispositions de continuité d’activité
appropriées, qui satisfont aux exigences de l’organisme. Pour certains fournisseurs, cela ne sera pas
possible, par exemple lorsqu’un fournisseur majeur insiste pour utiliser ses propres conditions
contractuelles standard, et dans ces cas, il convient que l’organisme développe des stratégies et des
solutions.
Les chaînes d’approvisionnement s’étendent au-delà de la maîtrise directe de l’organisme. L’organisme
peut être vulnérable aux perturbations chez les fournisseurs qui sont éloignés de la relation
contractuelle directe (c’est-à-dire aux Rangs 2, 3, etc.) et, par conséquent, le SCCM cherche à favoriser
des dispositions de continuité pour ces organismes qui sont au-delà de sa maîtrise directe.
Pour qu’il soit efficace, il est donc nécessaire que le SCCM soit intégré dans le management de la chaîne
d’approvisionnement de l’organisme, que les exigences de continuité soient comprises, que des stratégies
et des solutions soient définies et mises en œuvre, que des obligations contractuelles supplémentaires
soient convenues avec les fournisseurs et promues au-delà si nécessaire, que des vérifications soient
effectuées pour s’assurer que ces obligations sont respectées, et que tout cela soit surveillé et mis à jour
si nécessaire.
4.2.2 Intégration du management de la continuité de la chaîne d’approvisionnement (SCCM)
Pour que le SCCM soit réussi, il doit être efficacement intégré aux processus existants de l’organisme.
Les contrats des fournisseurs s’inscrivent dans un cycle de vie de mise en place, d’exploitation, de revue
et de renouvellement ou d’arrêt. L’entrée dans un nouveau contrat ou le renouvellement d’un contrat
existant offre à l’organisme l’opportunité d’influencer le comportement futur du fournisseur par des
changements dans le contrat et/ou le niveau de service. À l’inverse, des engagements contractuels à
long terme et des coûts élevés de changement de fournisseur peuvent modifier le rapport d’influence
entre l’organisme et ses fournisseurs, et créer une résistance au changement du comportement futur
des fournisseurs. L’analyse de la chaîne d’approvisionnement (voir 5.4) aidera à identifier les relations
de haute priorité ainsi que les exigences et les opportunités de mise en œuvre du SCCM. Voir Figure 2.
Figure 2 — Intégration du management de la continuité de la chaîne d’approvisionnement
(SCCM)
Pour intégrer le SCCM, les éléments suivants sont essentiels:
— prérequis:
— obtenir l’engagement de la direction générale à assurer que le SCCM fait partie intégrante
du SMCA (voir 5.2);
— promouvoir les principes de la continuité d’activité dans l’ensemble de la chaîne
d’approvisionnement afin de favoriser la sensibilisation et d’améliorer l’efficacité (voir 5.3);
— analyser les exigences de continuité, telles qu’obtenues lors du processus de BIA, et apprécier
les risques pour l’organisme (voir 5.4);
— application du SCCM:
— identifier les stratégies et solutions spécifiques au SCCM (voir 6.2);
— apprécier la conformité des fournisseurs prioritaires en matière de continuité et s’assurer que
leurs contrats reflètent les mesures de continuité convenues (voir 6.3);
— établir des obligations contractuelles qui satisfont aux exigences de l’organisme (voir 6.4);
— passer en revue et mettre à jour les exigences de continuité convenues avec chaque fournisseur
(voir 6.5).
4.2.3 Bénéfices et opportunités
Les bénéfices potentiels d’un SCCM efficace pour toutes les parties incluent:
— une meilleure compréhension de la chaîne d’approvisionnement et de l’impact des potentielles
perturbations;
— une gestion améliorée de la relation avec les fournisseurs afin de réduire l’impact d’une perturbation
de la chaîne d’approvisionnement;
— une amélioration de la réponse aux perturbations de la chaîne d’approvisionnement résultant d’une
collaboration efficace avec les fournisseurs;
— une identification et une atténuation des risques de la chaîne d’approvisionnement;
— une amélioration de la planification, la diligence nécessaire, de l’assurance et des relations de travail
avec les fournisseurs;
— un avantage concurrentiel sur les concurrents qui ne disposent pas d’un SCCM efficace.
Le SCCM offre plusieurs opportunités, comprenant:
— une meilleure aptitude à fournir au management des informations permettant de prendre des
décisions efficaces pour affecter le personnel et les ressources nécessaires au maintien du SCCM;
— l’intégration efficace des responsabilités du SCCM dans l’ensemble de l’organisme par le biais du
propriétaire du SCCM (voir 4.4);
— la compréhension des capacités de continuité des fournisseurs et de leurs exigences vis-à-vis de
l’organisme;
— l’établissement d’indicateurs de performance;
— l’engagement à améliorer la compréhension et la stratégie relatives aux fournisseurs au-delà
du Rang 1.
4.3 Propriété du risque
L’organisme a la propriété du risque de ne pas toujours être en mesure de fournir ses produits et
services à ses clients en raison d’une perturbation de sa chaîne d’approvisionnement et le conserve.
Il est responsable d’atténuer ce risque en étant préparé à répondre à une perturbation de la chaîne
d’approvisionnement. Les clients tiennent l’organisme, et non ses fournisseurs, pour responsable en cas
de défaillance à fournir des produits et services. Par exemple, la marque et la réputation d’un organisme
risquent d’être endommagées s’il y a un problème dans sa chaîne d’approvisionnement.
4.4 Propriété du management de la continuité de la chaîne d’approvisionnement
(SCCM)
Il convient que l’organisme identifie les personnes responsables du management des relations avec
les fournisseurs et de la sécurisation et de la surveillance de l’assurance de continuité de la chaîne
d’approvisionnement.
Il convient que la propriété du SCCM soit déléguée au personnel chargé des opérations de
contractualisation et d’achat. Il convient que cette responsabilité soit étroitement liée aux dispositions
plus larges en faveur de la continuité d’activité au sein de l’organisme.
Le propriétaire du SCCM est chargé de:
— nommer des représentants pour manager les tâches liées au SCCM;
— s’assurer que les exigences relatives au SCCM sont incluses dans les contrats, les bons de commandes
et autres accords contraignants;
— s’assurer que les fournisseurs respectent les conditions de leurs accords;
— s’assurer que les preuves de la conformité des fournisseurs sont appropriées et que toute action
corrective convenue est mise en œuvre dans les délais convenus.
5 Prérequis du système de management de la continuité d’activité (SMCA) pour
le management de la continuité de la chaîne d’approvisionnement (SCCM)
5.1 Généralités
Les prérequis du SMCA pour le SCCM sont illustrés à la Figure 2 (intégration du SCCM). Il s’agit:
— d’obtenir l’engagement de la direction générale (voir 5.2);
— de promouvoir les principes de continuité d’activité de l’organisme dans l’ensemble de la chaîne
d’approvisionnement (voir 5.3);
— d’analyser les exigences de continuité et d’apprécier le risque (voir 5.4).
5.2 Obtenir l’engagement de la direction générale
5.2.1 Responsabilité
Il convient que la direction générale attribue la responsabilité du SCCM comprenant :
— s’assurer que le SCCM est conforme à la politique de continuité d’activité;
— promouvoir la sensibilisation au SCCM dans l’ensemble de l’organisme (voir 5.3);
— assurer l’efficacité des processus mis en œuvre (voir l’Article 7);
— rendre compte de la performance du SCCM à la direction générale pour la revue et comme base pour
l’amélioration (voir 7.3 et 7.4).
5.2.2 Ressources pour le management de la continuité de la chaîne d’approvisionnement
(SCCM)
Il convient que la direction générale détermine et assure la disponibilité des ressources (par exemple:
personnes, installations, financement) nécessaires pour que le SCCM:
— atteigne ses objectifs;
— s’adapte à l’évolution des exigences de l’organisme;
— permette une communication efficace sur les questions liées au SCCM, en interne et en externe;
— assure le fonctionnement courant et l’amélioration continue du SCCM.
5.2.3 Cadre du management de la continuité de la chaîne d’approvisionnement (SCCM)
Il convient que la direction générale établisse un cadre pour manager l’impact des perturbations de
la chaîne d’approvisionnement et soutenir la continuité de la chaîne d’approvisionnement lorsqu’une
perturbation se produit. Cela inclut:
— le domaine d’application, les buts et les objectifs;
— l’analyse des exigences, l’appréciation du risque, les stratégies et les solutions (voir 5.4 et 6.2);
— un programme d’exercices et de tests;
— des clauses contractuelles spécifiques et des accords de niveau de service (SLA) appropriés avec les
fournisseurs;
— des procédures de notification des fournisseurs et de réponse aux incidents.
5.2.4 Programme d’évaluation de la performance
Il convient que la direction générale établisse un programme d’évaluation de la performance (voir 7.3)
guidant l’organisme pour l’établissement et le maintien d’une stratégie visant à construire une chaîne
d’approvisionnement plus résiliente en:
— intégrant le SCCM dans tous les processus applicables de l’organisme;
— interagissant avec les fournisseurs;
— s’assurant que les obligations contractuelles ont été satisfaites et sont surveillées;
— s’assurant de l’appréciation complète des risques pour la continuité de la chaîne d’approvisionnement
pour les nouveaux produits et services et les nouveaux fournisseurs.
Il convient que l’évaluation de la performance:
— spécifie ce qui est à évaluer;
— identifie comment, quand et par qui il convient que l’évaluation soit effectuée;
— définisse des indicateurs de performance, y compris des évaluations qualitatives et quantitatives;
— facilite l’analyse ultérieure des actions correctives, si nécessaire.
5.3 Promulguer les principes de continuité d’activité dans l’ensemble de la chaîne
d’approvisionnement
Il convient que l’organisme fasse la promotion de ses principes de continuité d’activité dans l’ensemble
de sa chaîne d’approvisionnement afin de favoriser la sensibilisation et d’améliorer l’efficacité. Cela peut
être atteint en:
— introduisant la conformité aux exigences de continuité dans les contrats des fournisseurs;
— établissant des niveaux requis de conformité des fournisseurs sur la base de l’impact d’une
perturbation sur ces derniers;
— développant des méthodologies pour surveiller la conformité;
— exigeant des fournisseurs de l’organisme qu’ils promeuvent également les principes de continuité
d’activité dans l’ensemble de leur propre chaîne d’approvisionnement.
5.4 Analyser les exigences de continuité et apprécier le risque
5.4.1 Généralités
Il convient que l’organisme détermine la continuité d’activité requise des fournisseurs pour satisfaire
aux exigences de continuité de l’organisme.
Les organismes ont généralement de nombreux fournisseurs, mais il n’est pas toujours nécessaire
d’effectuer une analyse détaillée de chacun d’entre eux. Il convient que l’organisme se focalise sur
l’analyse des seuls fournisseurs qui peuvent perturber les activités prioritaires de l’organisme. Pour les
fournisseurs sélectionnés, une approche structurée est nécessaire. Il convient que le BIA fournisse une
liste des fournisseurs qui soutiennent les activités prioritaires; cependant, il est possible qu’elle ne soit
pas complète ou à jour. Ce processus vise à assurer l’exactitude de la liste.
5.4.2 Exigences de continuité
Dans le SCCM, il convient que l’organisme:
a) réunisse la documentation pertinente disponible, comprenant le BIA, les appréciations du risque et
la liste des fournisseurs existants;
b) identifie les fournisseurs qui soutiennent les activités prioritaires de l’organisme, qui deviennent
les fournisseurs prioritaires; ceci peut être réalisé en obtenant une liste de fournisseurs auprès du
service achats et en:
1) utilisant les informations sur les dépendances externes issues du BIA;
2) sélectionnant les fournisseurs qui procurent des ressources critiques (par exemple: entreprises
de service public, fournisseurs de services de télécommunication);
c) apprécie, pour chaque fournisseur prioritaire:
1) la criticité des ressources apportées à l’organisme (amont) ou des services de livraison apportés
concernant les produits et services de l’organisme (aval);
2) s’il constitue une source unique;
3) la mesure dans laquelle il a déjà apprécié les risques de sa propre chaîne d’approvisionnement
(Rang 2 et au-delà);
4) le risque de perturbation de son aptitude continue à approvisionner l’organisme;
5) si des mesures efficaces de continuité d’activité sont en place;
6) la priorité que le fournisseur accorde à l’organisme sur sa liste de clients;
7) si son objectif de délai de rétablissement (RTO) est aligné sur celui de l’organisme pour l’activité
ou le processus qu’il soutient;
d) définisse les mesures à prendre au cas où un fournisseur ne satisferait pas aux exigences de
l’organisme;
e) identifie les stratégies et solutions existantes pour les fournisseurs prioritaires (voir 6.2);
f) apprécie là où les fournisseurs partagent des dépendances communes qui augmentent le risque
pour l’organisme;
EXEMPLE Si l’organisme a plusieurs fournisseurs du même produit mais qu’ils dépendent tous d’un
fournisseur d’un composant de ce produit (Rang 2 et au-delà) ou lorsque chaque fournisseur est implanté
dans la même zone géographique qui peut être affectée par un incident unique (par exemple: une inondation
touchant toute une région, des restrictions de circulation provenant de mesures de quarantaine).
g) produise une liste des fournisseurs prioritaires pour lesquels il n’y a pas de stratégie ou de solution
actuellement satisfaisante.
Ces fournisseurs prioritaires sont ensuite utilisés comme éléments d’entrée pour les stratégies et les
solutions (voir 6.2) afin de déterminer les approches que l’organisme souhaite adopter avec chacun
d’eux pour atténuer au mieux le risque pour l’organisme, y compris les obligations contractuelles du
fournisseur le cas échéant.
5.4.3 Appréciation du risque
Il convient de prendre en considération les risques lors de la sélection des fournisseurs et de
l’établissement des obligations contractuelles.
Il est nécessaire que le SCCM prenne en considération les risques applicables lors de l’évaluation d’un
fournisseur. Il convient que l’appréciation du risque de l’organisme prenne en considération à la fois les
risques pour l’organisme et les risques pour le fournisseur.
Les risques possibles pour l’organisme incluent une perte ou une diminution en termes de:
— respect des délais d’approvisionnement;
— qualité;
— flexibilité.
Les risques possibles pour le fournisseur tels que définis par l’appréciation de l’organisme incluent:
— la répartition des capacités du fournisseur;
— la solvabilité du fournisseur;
— les risques présentés par ses propres fournisseurs;
— les catastrophes naturelles et risques géopolitiques.
Si un fournisseur prioritaire ne considère pas l’organisme comme étant important, cela peut créer un
risque significatif. Il convient que l’organisme détermine la priorité que lui accorde le fournisseur en cas
de perturbation.
Une perturbation de l’organisme ou de ses fournisseurs (amont et aval) peut avoir un impact sur d’autres
parties de la chaîne d’approvisionnement et peut amplifier l’impact pour l’organisme. Il convient de
prendre cela en considération lors de l’appréciation du risque. L’organisme et les fournisseurs aval
peuvent identifier des opportunités pour des stratégies et solutions qui procurent un bénéfice
...