La norme ISO 22301:2019 à le titre "Security and resilience — Business continuity management systems — Requirements"

C'est la référence internationale pour mettre en place un système de gestion de la continuité.

En plus avec l'intolérance des clients pour l'indisponibilité, la capacité de résilience opérationnelle est maintenant non négociable.

Les entreprises avec leur BCMS certifié ont remarqué une baisse des primes d'assurance (entre 15 % et 35 %).

Origines et évolution de la norme

La réflexion à l'origine d'ISO 22301 remonte aux attentats du 11 septembre, au SRAS 2003 et à divers désastres qui ont mis en lumière les limites des plans d'urgence improvisés.

Le Royaume-Uni a publié le premier standard, BS 25999, en 2007, retiré par la suite lorsque le comité ISO/TC 292 a publié ISO 22301:2012. En 2019, la norme est révisée et alignée sur la structure Annex SL (HLS) commune à ISO 9001, 14001, 27001.

À qui s'adresse typiquement la certification ISO 22301 ?

  • Entreprises de services financiers : banques, assurance, fintechs.
  • Opérateurs d'infrastructures critiques : énergie, télécommunications, transport, santé.
  • Entreprises manufacturières avec des chaînes d'approvisionnement tendues.
  • Fournisseurs technologiques : hébergeurs, infonuagique, gestionnaires de services TI.
  • Secteur public et municipalités.

Qu'est-ce qu'un BCMS ?

Le Business Continuity Management System (BCMS) est à la continuité d'affaires ce que le SGSI est à la sécurité : un ensemble de processus documentés basés sur la roue de Deming (Plan-Do-Check-Act) permettant de planifier, mettre en œuvre, surveiller et améliorer la capacité de survie de l'entreprise en cas de crise.

  1. Périmètre clair : sites, lignes d'affaires et actifs concernés.
  2. Analyse d'impact sur les activités (BIA) : quantification des pertes potentielles et détermination des RTO/RPO.
  3. Évaluation des risques : identification des menaces (inondation, cyberattaque, pandémie).
  4. Stratégies de continuité : redondance, externalisation, télétravail.
  5. Exercices et tests : table-top, reprises à blanc, tests de charge.

Quelques statistiques importantes

  1. 93 % des entreprises qui ont perdu leur centre de données pendant 10 jours ont fermé leurs portes dans l'année qui a suivi.
  2. 96 % des entreprises disposant d'un plan de sauvegarde fiable ont pu survivre aux attaques par rançongiciel.
  3. 75 % des petites entreprises n'ont pas de plan de reprise après sinistre en place.
  4. Le coût moyen d'une interruption informatique est de 5 600 $ par minute.
  5. 40 % des entreprises ne rouvrent pas après un sinistre.

ISO 27001 cherche à éviter les incidents de sécurité, tandis qu'ISO 22301 vise à limiter les dégâts quand ceux-ci se produisent.

Erreurs fréquentes observées lors des audits

  • Plan conservé uniquement dans SharePoint et inaccessible hors ligne.
  • Génératrice testée sans charge : le disjoncteur se déclenche lors du premier usage avec une vraie charge.
  • Analyse d'impact d'affaire (BIA) irréaliste : RTO de cinq minutes pour tout l'équipement, sans budget.
  • Personnel non formé : procédures inconnues au moment critique.