Digressions sur la cyber et les enjeux climatiques

Cet amendement[1], qui touche toutes les normes ISO (y compris 9001, 15189, 20000, etc.), établit en substance :
« L’organisme doit déterminer si des enjeux découlent des changements climatiques. »
(Il est bien entendu fait référence aux enjeux internes et externes du chapitre 4.1.)

Premier piège : cet amendement est mal énoncé dans la mesure où il est possible (tel qu’il est rédigé) de répondre qu’aucun des enjeux de l’organisation ne découle des changements climatiques. Dans les faits, les auditeurs reformulent la question qui devient : « Dans dix ans, avec 50 °C en été, quels enjeux de votre SMSI seront impactés ? ». Et si vous répliquez « Aucun », vous avez tout faux, non-conformité, mineure dans le meilleur des cas. La reformulation fait apparaître plusieurs aspects de la question, et notamment :
– La climatisation dans les datacenters, et tout ce qui va avec (alimentation en circuit d’eau, évacuation de la chaleur avec une efficacité énergétique moindre) ;
– Le télétravail des agents quand la canicule rendra impossible d’exercer son activité dans les bureaux non climatisés ;
– La montée des eaux pour les sites en zone inondable (quand il fait plus chaud, la mer monte, CQFD) ;
– Et ce que l’on n’a pas encore vu venir…

Une solution, satisfaisant les impératifs d’un SMSI, qui rendrait cette approche transparente vis-à-vis des parties intéressées (dont la DG) et rationaliserait la démarche sans la mettre sous le tapis (ce qui est toujours le pire) consisterait à prendre en compte les changements climatiques connus dans ses enjeux en les considérant comme des risques et opportunités (R&O) du SMSI, et donc en intégrant de base :
– L’évolution des risques environnementaux standards ;
– Les effets de l’accroissement des températures.

Ce qui consiste donc à :
– Ajouter des R&O dans les R&O existants (qui sont la réponse au § 6.1 et concernent en substance les risques non pas techniques, mais du SMSI lui-même) ;
– Réviser dans un chapitre spécifique de la revue de direction (§ 9.3) ces nouveaux R&O ;
– Décliner dans les actions correctives (à la fois techniques et du SMSI, souvent inventoriées dans deux listes distinctes) les éventuelles actions à mener en lien avec ces nouveaux R&O.
Cerise sur le gâteau, si par ailleurs sur les éléments d’entrée de la revue de direction on lance avec le portail www.georisques.gouv.fr une vérification systématique de l’évolution des menaces climatiques pesant sur les sites mentionnés dans le périmètre (essentiellement les DC), on a tout bon. Et avec l’évolution sur trois ans, c’est top.

Dans le fonctionnement tel que décrit :
– On détermine bien les enjeux climatiques ;
– On les connecte aux enjeux des parties intéressées et du SMSI lui-même ;
– On utilise des outils externes pour évaluer cette approche ;
– On révise pendant la revue de direction ;
– On liste les actions correctives issues de ces enjeux.
Ou, dit autrement, on boucle le PDCA.

Si l’on prend un peu de hauteur, on peut résumer par :
– L’organisation doit tenir compte du climat pour déterminer ses propres enjeux, rien de bien étrange ;
– L’organisation doit mettre en œuvre les actions qui en résultent ;
– L’organisation doit vérifier périodiquement son approche du sujet ;
– L’organisation doit corriger les éventuelles erreurs.

Et, résumé encore plus brièvement : l’organisation ne peut pas ne pas tenir compte des enjeux climatiques et ne peut pas ne pas mettre en place une démarche structurée pour ce faire.

En quoi est-ce compliqué ?