ISO 22301 et ISO 27001 sont souvent confondues. À tort. L'une maintient votre activité en marche ; l'autre protège votre information. Elles partagent la même structure de système de management, se recoupent, et la plupart des organisations matures ont besoin des deux.
En un coup d'œil
| ISO 22301 | ISO 27001 | |
|---|---|---|
| Discipline | Management de la continuité (SMCA) | Management de la sécurité de l'information (SMSI) |
| Question centrale | « Comment continuer malgré une perturbation ? » | « Comment protéger confidentialité, intégrité, disponibilité ? » |
| Cœur | BIA → RTO/RPO → stratégies → plans → exercices | Appréciation des risques → mesures Annexe A (93 en 2022) → SoA |
| Annexe A | Pas de catalogue de mesures | 93 mesures en 4 thèmes |
| Certifiable | Oui | Oui |
| Structure | HLS harmonisée (clauses 4-10) | HLS harmonisée (clauses 4-10) |
Ce que chacune fait
ISO 22301 (continuité). Part d'un Bilan d'Impact sur l'Activité : quels processus sont critiques, combien de temps tolérable hors service (RTO), quelle perte de données acceptable (RPO). On définit ensuite des stratégies, on rédige les plans PCA/PRA/PGC, et on les prouve par des exercices (clause 8.5). But : survie opérationnelle.
ISO 27001 (sécurité). Part d'une appréciation des risques sur l'information. On sélectionne et justifie des mesures de l'Annexe A (93 en 2022 : organisationnelles, personnes, physiques, technologiques), on documente une Déclaration d'Applicabilité, on opère le SMSI. But : protéger l'information.
Où elles se recoupent
Elles partagent le même socle de système de management (clauses 4-10 : contexte, leadership, planification, support, fonctionnement, évaluation, amélioration) — la mécanique SMSI/SMCA est donc réutilisable : périmètre, politique, audit interne, revue de direction, actions correctives.
Elles se rejoignent aussi aux bords :
- La disponibilité est une propriété de sécurité (27001) et l'objet de la continuité (22301).
- L'Annexe A de l'ISO 27001 inclut des mesures de continuité (A.5.29-A.5.30) — mais c'est dans l'ISO 22301 qu'on les construit vraiment.
- Un incident peut être à la fois un événement de sécurité et un déclencheur de continuité.
Laquelle vous faut-il ?
- ISO 27001 seule si votre moteur est purement la sécurité (ex. un SaaS qui prouve sa sécurité aux clients) — mais un minimum de continuité reste nécessaire.
- ISO 22301 seule si votre moteur est la résilience opérationnelle sans cert sécurité — rare en pratique.
- Les deux pour la plupart des organisations régulées ou matures. DORA et NIS2 exigent de fait les deux disciplines : gestion du risque de sécurité et continuité d'activité.
Un seul programme
Comme elles partagent la HLS, ne construisez pas deux silos. Utilisez un système de management avec :
- un périmètre, une structure de politiques, un cycle d'audit et de revue partagés,
- un registre des risques alimentant le traitement sécurité (27001) et la stratégie de continuité (22301),
- une cartographie inter-référentiels pour qu'une même mesure/preuve réponde à 22301, 27001, DORA et NIS2 à la fois.
Comment ResiPlan aide
ResiPlan opère les deux comme un seul SMCA/SMSI : continuité pilotée par le BIA (22301), appréciation des risques avec 36 méthodologies et Déclaration d'Applicabilité (27001), politiques et plans générés par IA, exercices, audit interne, et tableaux de bord inter-référentiels reliant une mesure à ISO 22301, ISO 27001, DORA et NIS2.
Essayez la checklist ISO 22301 et la checklist ISO 27001, puis demandez une démo.
L'ISO 27001 protège votre information. L'ISO 22301 maintient votre activité quand un incident survient malgré tout. Vous avez presque certainement besoin des deux — construits une fois, en un seul programme.