Quand on parle de continuité d'affaires en cybersécurité, la majorité des PME pensent immédiatement à des sauvegardes ou à un serveur redondant infonuagique.

Pourtant, ce n'est que la pointe de l'iceberg. La norme ISO/IEC 27031 existe depuis plus de 10 ans pour encadrer la continuité des technologies de l'information et des communications (TIC).

Et en mai 2025, cette norme a été mise à jour complètement.

Pour rappel 27031:2025 versus 22301:2019

ISO/IEC 27031 est une norme d'orientation (non certifiable) de la série 27000, qui explique comment bâtir un plan de continuité technologique concret.

ISO 22301, de son côté, est une norme de certification qui encadre la continuité globale des activités, incluant les volets humains, logistiques et opérationnels.

La norme 27031 rajoute des détails techniques aux deux normes :

  • Elle complète ISO/IEC 27001, en soutenant les contrôles A.5.29 et A.5.30 avec des méthodes pratiques.
  • Elle détaille le volet informatique d'ISO 22301, en fournissant les moyens de respecter les RTO/RPO, d'organiser la reprise informatique et de maintenir les actifs critiques opérationnels.

Qu'est-ce qui change dans la version 2025 ?

La version 2025 remplace officiellement celle de 2011 avec des changements majeurs :

Intégration au vocabulaire ISO/IEC 27000:2022

La norme est réécrite pour mieux s'aligner avec les autres normes de la série 27000.

Alignement avec ISO/IEC 27001:2022 et ISO 22301:2019

L'ancienne version était difficile à intégrer dans un SGSI ISO 27001. La nouvelle version facilite l'intégration directe dans la clause 6.1 et 8.2.

Approche par capacités (ICT Continuity Capabilities)

Le concept central est maintenant celui de capacité de continuité des TIC (ICTCC). C'est la capacité d'une organisation à absorber un choc informatique sans perdre ses opérations clés.

Information Communication Technology — Continuity Capability

Plus de clarté sur le rôle du plan de continuité TI

Alors que la version précédente parlait vaguement de « plans », la 2025 définit clairement ce qu'un ICT Continuity Plan doit contenir, qui doit le valider et comment le tester.

Structure de la norme ISO/IEC 27031:2025

  1. Introduction et principes fondamentaux
  2. Contexte de l'organisation
  3. Évaluation des exigences de continuité des TIC
  4. Développement des capacités de continuité
  5. Mise en œuvre et fonctionnement
  6. Surveillance, tests et amélioration continue

Comment utiliser ISO/IEC 27031 dans une PME ?

Étape 1 — Identifier les actifs critiques

Quels sont les actifs technologiques sans lesquels l'entreprise ne peut pas fonctionner pendant plus de quelques heures ?

Étape 2 — Déterminer l'impact (BIA)

Quel est l'impact si ces actifs tombent ? Cette analyse rejoint l'approche BIA (Business Impact Analysis) d'ISO 22301, mais au niveau TI.

Étape 3 — Définir les exigences de continuité (RTO/RPO)

  • RTO : Temps maximal acceptable d'interruption
  • RPO : Perte maximale acceptable de données

Étape 4 — Construire le plan de continuité TI

  • Les procédures de restauration
  • Les responsabilités (avec remplaçants)
  • Les communications en cas d'incident

Étape 5 — Tester, ajuster, former

Un plan non testé est un faux sentiment de sécurité. On fait des simulations, on documente les écarts, on ajuste.

Quelques pièges

Croire que les backups suffisent

Un backup sans test, sans processus de restauration, sans redondance réseau ni accès physique alternatif = aucune garantie.

Un plan TI uniquement

Le plan de continuité TI touche les finances, les RH, le service à la clientèle. Tous sont impliqués.

Ignorer les fournisseurs

Si vous êtes dépendants d'un hébergeur ou d'un fournisseur SaaS, votre plan doit intégrer leur propre plan. Exigez des engagements contractuels (SLA).