Organiser son plan de continuité d’activité selon la norme ISO 22301

La formalisation d’un plan de continuité d’activité (PCA) s’appuie sur différents documents censés cadrer le dispositif et garantir son bon niveau de formalisation, voire d’actualisation, comme le prévoit la norme ISO 22301 relative aux systèmes de management de la continuité d’activité.

Ces éléments de documentation peuvent être plus précis selon les scénarios comme l’illustre ce retour d’expérience d’un responsable PCA du secteur des services informatiques, interviewé en 2021 et ayant également la casquette de délégué à la protection des données (DPD) :

« Notre plan de continuité des services prévoit des documents précis par scénario, cela peut sembler complexe mais on a documenté dans chaque situation ce qu’il convient de faire. Dans le cas de scénario de violation de données, nous avons une procédure en cas d’attaque externe, une procédure en cas de faille ou négligence interne, une procédure de notification à la Cnil, une procédure d’urgence en cas de violation de données et une procédure de communication interne et externe. Nous avons mis en place une revue annuelle de cette documentation pour chaque scénario et cela est le rôle d’un chargé de gestion des risques de continuité dédié dans notre entreprise, qui compte 2 400 collaborateurs. Cette fonction à temps plein est nécessaire pour gérer la complexité. On ne prévoit jamais tous les scénarios mais notre boîte à outils est prête en cas de besoin et on l’adapte au fil de nos expériences. »