Objectif... Qualité Inc. Logo
Norme ISO 22301:2019 Continuité • résilience • crise
ISO 22301

La continuité qui se teste pas celle qu’on espère.

ISO 22301 met en place un Système de management de la continuité d’activité (SMCA) : activités critiques, BIA, scénarios, plans, exercices et amélioration continue. On vise la reprise réelle, pas le document.

Planifier un échange Ce que l’audit regarde
BIA
critique • dépendances • impacts
Plans
procédures • rôles • communications
Exercices
tests • écarts • correction
Objectif : protéger les activités critiques, même en cas de crise ou d’incident majeur.

Ce que la norme exige “en vrai”

  • Identifier les activités critiques (BIA) et leurs dépendances.
  • Définir des RTO/RPO réalistes et défendables.
  • Écrire des plans utilisables en situation de crise.
  • Tester, corriger, et prouver la capacité de reprise.
BIA RTO/RPO Plans Exercices
Livrable attendu
BIA + plans de continuité + calendrier d’exercices + registre d’amélioration et preuves.
Voir notre audit

Ce qu’on met en place

On construit une continuité opérationnelle : activités critiques, plans réalistes, exercices réguliers et amélioration démontrable.

BIA
Activités critiques, impacts, dépendances, priorités.
Scénarios
Cyberattaque, panne, indisponibilité, crise.
Plans
Rôles, procédures, communications, reprise.
Exercices
Tests, écarts, corrections, preuves.

Ce que l’audit regarde

L’audit vérifie la capacité de reprise : BIA cohérente, plans utilisables, exercices réalisés et amélioration prouvée.

Point clé
Critique → RTO/RPO → plans → tests → écarts → correction → preuve.
À surveiller en priorité
  • BIA “générique” sans priorités ni dépendances.
  • RTO/RPO irréalistes ou non justifiés.
  • Plans non testés (donc non fiables).
  • Exercices sans correction ni preuve d’amélioration.
Planifier un échange Voir l’analyse de risques

ISO 22301 - Détails

Résilience, gouvernance de crise, reprise et preuves.

ISO 22301 est la norme internationale de référence pour le management de la continuité d’activité. Elle vise à anticiper, gérer et se remettre de perturbations (cyberattaque, panne majeure, crise organisationnelle, sinistre).

Le cœur du SMCA : identifier ce qui est critique, définir des objectifs de reprise réalistes, et démontrer la capacité à les atteindre par des exercices.

  1. Protéger les activités critiques : priorités nettes et défendables.
  2. Réduire les temps d’arrêt : objectifs de reprise (RTO/RPO) réalistes.
  3. Clarifier les rôles : gestion de crise, escalades, communications.
  4. Maîtriser les dépendances : TI, fournisseurs, locaux, personnes clés.
  5. Tester avant la crise : exercices, écarts, corrections.
  6. Renforcer la crédibilité : clients, donneurs d’ordre, assureurs.

On démarre par le BIA (ce qui est critique et pourquoi), puis on construit des plans courts, opérationnels et testables. Ensuite : exercices réguliers, registre d’écarts, et preuves d’amélioration continue.

Positionnement : la continuité n’est pas un document, c’est une capacité testée.
Préférences de témoins