Organiser son plan de continuité d’activité selon la norme ISO 22301

13 mars 20235 min

Le présent article détaille les éléments structurant de la norme ISO 22301 relative à la continuité d’activité. Cette norme permet de structurer l’organisation d’un plan de continuité d’activité avec une logique d’amélioration continue.

Ceci est une légende Alt

Un plan de continuité d’activité suppose une démarche formalisée

La formalisation d’un plan de continuité d’activité (PCA) s’appuie sur différents documents censés cadrer le dispositif et garantir son bon niveau de formalisation, voire d’actualisation, comme le prévoit la norme ISO 22301 relative aux systèmes de management de la continuité d’activité.

Ces éléments de documentation peuvent être plus précis selon les scénarios comme l’illustre ce retour d’expérience d’un responsable PCA du secteur des services informatiques, interviewé en 2021 et ayant également la casquette de délégué à la protection des données (DPD) :

« Notre plan de continuité des services prévoit des documents précis par scénario, cela peut sembler complexe mais on a documenté dans chaque situation ce qu’il convient de faire. Dans le cas de scénario de violation de données, nous avons une procédure en cas d’attaque externe, une procédure en cas de faille ou négligence interne, une procédure de notification à la Cnil, une procédure d’urgence en cas de violation de données et une procédure de communication interne et externe. Nous avons mis en place une revue annuelle de cette documentation pour chaque scénario et cela est le rôle d’un chargé de gestion des risques de continuité dédié dans notre entreprise, qui compte 2 400 collaborateurs. Cette fonction à temps plein est nécessaire pour gérer la complexité. On ne prévoit jamais tous les scénarios mais notre boîte à outils est prête en cas de besoin et on l’adapte au fil de nos expériences. »

Le tableau ci-dessous détaille les éléments documentaires envisagés dans le cadre d’un PCA avec une vision par type de livrable.

Typologie des plans d’actions compris dans le PCA

Plan de gestion de crise. C’est une procédure décrivant le fonctionnement de la cellule de crise.

Plan de communication de crise. C’est un plan d’actions consistant à informer :

  • l’ensemble des collaborateurs du déclenchement du plan de continuité d’activité ;
  • chaque processus et direction/activité métier des mesures spécifiques ;
  • les partenaires, prestataires, autorités sur les mesures mises en œuvre et sur le déclenchement du PCA.

Plan de continuité d’activité « ressources humaines ». Ce plan d’actions prévoit :

  • les modalités de prise en charge du personnel après le sinistre (accueil post-sinistre, accompagnement des collaborateurs sur le site de repli) ;
  • l’adaptation et la communication sur des éléments de droit du travail et le contact avec les instances représentatives du personnel ;
  • les mesures d’accompagnement des collaborateurs impliqués dans la gestion de crise (écoute psychologique, défraiements, compensations financières, services de proximité) ;
  • les modalités d’information et de communication entrantes/sortantes avec les collaborateurs.

Plan de continuité d’activité « sécurité et moyens logistiques ». Le déclenchement de ce plan requiert la mise en œuvre de moyens logistiques pour :

  • garantir la disponibilité des moyens nécessaires à la poursuite des activités (provisionnement en fournitures, préparation du site de repli, restauration, etc.) ;
  • assurer la sécurité des biens (notamment l’accès au bâtiment sinistré) et des personnes.

Ce plan inclut généralement la mise à disposition d’un site de repli. Les reprises d’activités sur celui-ci sont définies par le bilan d’impact sur l’activité (BIA) de chaque service/ département, qui indique le nombre de positions nécessaires pendant la durée d’une crise.

Plan de continuité « métiers ». Pour chaque service prioritaire en termes de continuité d’activité, une procédure de fonctionnement dégradée est mise en oeuvre. Elle définit les modalités de travail avec ou sans outils informatiques, avec effectif restreint ou en dehors des locaux en cas de pertes de ces derniers.

Plan de repli des équipes collaborateurs. Le plan de repli des collaborateurs précise les modalités d’accès au site de repli, la répartition des collaborateurs et les activités prioritaires éligibles au site de repli, en tenant compte de celles pouvant être réalisées en télétravail.

Plan de secours logistique. Ce plan d’actions définit les mesures de secours et d’urgence à déclencher sur les fournisseurs de flux (électricité, gaz, eau). Il prévoit également, dans le cadre des entreprises ayant plusieurs sites de production, des mesures de continuité logistique avec la possibilité de transférer tout ou partie de la production en usine sur un ou plusieurs autres sites en cas de perte de l’un des sites. Le recours à des sous-traitants de débordement ou à des entreprises du même secteur, bien que concurrentes, est également possible temporairement afin de garantir la continuité de service et de production.

Plan de secours informatique. Ce plan est élaboré par la DSI (direction des systèmes d’information). Il contient les procédures permettant la mise en oeuvre sous 48 à 72 heures des solutions de secours sur les différents composants informatiques du système d’information : serveurs, infrastructure réseaux, postes de travail, internet et sites de l’entreprise.

On ne prévoit jamais tous les scénarios mais notre boîte à outils est prête en cas de besoin et on l’adapte au fil de nos expériences.

Un responsable PCA du secteur des services informatiques

Une approche structurée

Le tableau ci-dessous illustre pour chaque axe de la norme les thèmes associés et les éléments de mise en œuvre opérationnels à envisager, permettant de structurer la démarche de continuité d’activité.


Article extrait du n° 590 de Face au Risque : « Contrôle d’accès, mener son projet » (mars 2023).

Nicolas Dufour

Nicolas Dufour

Docteur en sciences de gestion, professeur des universités associé au CNAM, Nicolas Dufour est également Risk Manager dans le secteur de l’assurance.
Ses domaines de spécialisation concernent la mise en œuvre des politiques de maîtrise des risques, la gestion de la fraude et l’intégration des normes dans les organisations.

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.