La norme ISO 22301:2019 fournit un cadre reconnu internationalement pour bâtir un système de management de la continuité d'activité (BCMS). Sa structure à haut niveau (HLS) facilite son intégration avec ISO 27001 et ISO 9001. Voici une méthode pragmatique en dix étapes pour conduire votre organisation vers la certification, ou simplement vers une résilience éprouvée.
Étape 1 : Contexte de l'organisation (clause 4)
Commencez par formaliser le contexte interne (activités, dépendances, gouvernance) et externe (clients, fournisseurs, régulateurs, parties intéressées). Définissez le périmètre du BCMS : sites, lignes métier, fonctions incluses. Un périmètre trop large paralyse le projet ; trop étroit, il prive le système de sa valeur. Documentez les exclusions avec justification.
Étape 2 : Leadership et engagement (clause 5)
La direction générale doit signer une politique de continuité alignée sur la stratégie, allouer les ressources (budget, temps, compétences) et nommer un responsable du BCMS disposant d'une autorité claire. Sans sponsorship visible, le projet s'enlise en comité. Les revues de direction deviennent le mécanisme de pilotage trimestriel.
Étape 3 : Planification des risques et opportunités (clause 6)
Identifiez les risques qui pourraient empêcher l'atteinte des objectifs du BCMS (perte de site, cyberattaque, indisponibilité de fournisseur critique). Définissez des objectifs mesurables : RTO (Recovery Time Objective), RPO (Recovery Point Objective), MTPD (Maximum Tolerable Period of Disruption). Associez à chaque objectif un plan d'action et un responsable.
Étape 4 : Support et ressources (clause 7)
Documentez les compétences requises, les ressources humaines, infrastructurelles et technologiques. Préparez le plan de communication interne et externe en mode crise : canaux, messages-types, porte-paroles. La sensibilisation doit toucher 100 % des collaborateurs ; la formation, les porteurs de plans.
Étape 5 : Analyse d'impact sur les activités (BIA)
Le BIA est le socle du BCMS. Pour chaque activité critique, mesurez :
- Les impacts financiers, réglementaires, réputationnels, humains d'une interruption
- La criticité dans le temps (1h, 4h, 24h, 72h, 1 semaine)
- Les ressources nécessaires à la reprise (personnes, systèmes, données, fournisseurs, locaux)
- Les dépendances internes et externes
Le BIA produit les RTO et RPO par processus, qui guident le dimensionnement des solutions de reprise.
Étape 6 : Appréciation des risques
Complétez le BIA par une analyse de risques sur les scénarios majeurs : sinistre majeur, pandémie, cyberattaque, indisponibilité fournisseur, crise sociale. Utilisez une méthode reconnue (ISO 31000, EBIOS RM) et reliez chaque risque à un plan de traitement : éviter, réduire, transférer, accepter.
Étape 7 : Stratégies et solutions de continuité
Choisissez les stratégies qui permettront de respecter les RTO/RPO : site de secours chaud/tiède/froid, redondance cloud, télétravail étendu, reroutage client, contrats de priorité fournisseur. Chaque stratégie doit faire l'objet d'un business case intégrant coût, délai de mise en œuvre et efficacité.
Étape 8 : Plans de continuité et plans de reprise
Rédigez les plans opérationnels : BCP (Business Continuity Plan) par activité, DRP (Disaster Recovery Plan) pour l'IT, IRP (Incident Response Plan) pour la cyber, PCO (Plan de Continuité des Opérations) transverse. Chaque plan suit la même structure : déclenchement, équipes, actions chronologiques, ressources, communication, retour à la normale. Les fiches réflexes synthétisent les 30 premières minutes.
Étape 9 : Exercices et tests (clause 8.5)
Aucun plan n'est crédible sans exercice. Planifiez sur trois ans :
- Exercices sur table (tabletop) : 2 à 4 par an, 2 à 4 heures
- Exercices de simulation partielle : 1 à 2 par an
- Exercices de bascule IT (DRP) : 1 à 2 par an
- Exercice complet multi-sites : 1 tous les deux ans
Chaque exercice donne lieu à un rapport avec écarts identifiés, actions correctives et délais.
Étape 10 : Évaluation des performances et amélioration (clauses 9 et 10)
Mettez en place le pilotage : indicateurs clés (taux de couverture BCP, taux d'exercice, temps moyen de détection, RTO effectif observé), audits internes annuels, revues de direction semestrielles. Les non-conformités déclenchent des actions correctives documentées. L'amélioration continue alimente le prochain cycle PDCA.
Synthèse : les facteurs clés de succès
| Facteur | Impact sur la certification |
|---|---|
| Sponsorship direction | Critique |
| BIA à jour et exhaustif | Très élevé |
| Exercices réalistes et documentés | Très élevé |
| Gestion documentaire rigoureuse | Élevé |
| Intégration avec ISO 27001 | Élevé |
Pour aller plus loin
ResiPlan accompagne la mise en conformité ISO 22301 de bout en bout : BIA collaboratifs, bibliothèque de plans types, planificateur d'exercices, tableaux de bord de maturité, preuves d'audit automatisées. Les 8 types de plans (BCP, BRP, DRP, IRP, ERP, CMP, CCP, SRP) sont préconfigurés selon la norme.
- Solution BCM et continuité d'activité
- Business Impact Analysis (BIA) : guide pratique
- 10 scénarios d'exercice de crise
- Tarifs et démonstration
Sources : ISO 22301:2019, ISO 22313:2020 (guide d'application), BCI Good Practice Guidelines 2023, publications AFNOR sur la continuité d'activité.