Spécialité — Continuité d’activité

ISO 22301 — Continuité d’activité

Système de Management de la Continuité d’Activité (SMCA / BCMS) — soyez capables de continuer à opérer en toutes circonstances.

L’ISO 22301 est la norme internationale du management de la continuité d’activité. Elle vous permet de structurer, mettre en œuvre et améliorer votre capacité à anticiper, répondre et vous rétablir face à une perturbation majeure — cyberattaque, panne, catastrophe naturelle, pandémie, défaillance fournisseur, crise géopolitique.

Pourquoi se certifier ISO 22301 ?

  • Résilience démontrable — Preuve formelle de votre capacité à maintenir vos activités critiques en situation dégradée. Argument fort en B2B, surtout pour les fournisseurs d’infrastructures critiques.
  • Réduction des pertes — Un incident sans plan de continuité coûte en moyenne 3 à 5 fois plus cher qu’avec un PCA structuré et testé.
  • Exigences contractuelles — De plus en plus de donneurs d’ordre (banques, gouvernements, intégrateurs) imposent la 22301 à leurs fournisseurs critiques.
  • Conformité réglementaire sectorielle — Indispensable pour les secteurs financier (DORA en Europe, OSFI au Canada), santé, énergie, télécoms.
  • Complémentarité 27001 — La 22301 traite la résilience opérationnelle, la 27001 traite la sécurité de l’information. Les deux ensemble couvrent l’essentiel du risque entreprise moderne.

Ce que la norme exige

  • Compréhension de l’organisation — contexte, parties intéressées, activités critiques, dépendances
  • Analyse d’impact sur l’activité (BIA) — pour chaque processus : quelle interruption maximale tolérable (RTO) ? quelles pertes de données acceptables (RPO) ?
  • Évaluation des risques de continuité — menaces, vulnérabilités, traitement
  • Stratégies de continuité — solutions de repli, sites de secours, prestataires alternatifs, équipes de crise
  • Plans documentés — Plan de Continuité d’Activité (PCA), Plan de Reprise d’Activité (PRA / DRP), procédures de gestion de crise
  • Exercices et tests réguliers — la 22301 exige que vos plans soient testés, pas juste écrits
  • Amélioration continue — retour d’expérience après tests et incidents réels

Notre approche en 6 étapes

  1. Diagnostic et cartographie des activités critiques — quelles activités sont vitales ? Quelle perte tolérable en heures, en revenus, en image ?
  2. Analyse d’impact (BIA) et analyse de risques — production des objectifs RTO/RPO, identification des menaces majeures.
  3. Définition des stratégies de continuité — sites de repli, sauvegardes, redondances, prestataires alternatifs, modes dégradés.
  4. Rédaction du PCA, PRA et procédures de gestion de crise — documents opérationnels, pas théoriques.
  5. Programme d’exercices et de tests — exercices sur table, simulations, tests techniques. Formation des équipes de crise.
  6. Audit interne, revue de direction et accompagnement à la certification avec un organisme accrédité (BSI, PECB, MSECB).

Pour qui ?

  • Banques, assurances, FinTechs (exigences DORA, OSFI)
  • Opérateurs d’infrastructures critiques : énergie, télécoms, eau, transport
  • Établissements de santé et services essentiels
  • Fournisseurs critiques de la chaîne logistique d’industriels et de gouvernements
  • SaaS et hébergeurs où l’interruption a un impact direct sur les clients
  • Toute organisation dont une interruption de plus de quelques heures aurait un impact financier ou opérationnel majeur

Combien de temps ? Combien ça coûte ?

Durée typique : 8 à 14 mois pour une première certification, incluant un cycle complet d’exercices documentés.
Tarification : au forfait pour la mission complète. Devis personnalisé sous 48 h selon le périmètre et la maturité de votre organisation.

Discuter de mon projet ISO 22301
Voir aussi ISO 27001:2022
Scroll to Top