CA-05 · Normes ISO

ISO 22301

Documentation des processus critiques, des durées maximales d'interruption admissibles (MTPD) et des plans de continuité et de reprise. Se complète avec ISO 27001.

NormeISO 22301:2019
LivrableBIA + plan de continuité
Testsexercice annuel

ISO 22301 oblige les organisations à documenter leurs processus critiques, leurs durées maximales d'interruption admissibles (MTPD) ainsi que leurs plans de continuité et de reprise. Toute entreprise ayant vécu un incident grave en prend conscience : incendie, cyberattaque, absence d'un collaborateur clé, rupture fournisseur.

Le cœur du travail est l'analyse d'impact sur l'activité (BIA) : quels processus ne peuvent s'arrêter, pendant combien de temps et avec quelles ressources minimales ils pourraient fonctionner en mode dégradé. Sur cette base sont construits la stratégie de continuité — réplication, redondance, contrats fournisseurs, équipe de réponse — et le plan de reprise.

Il se complète naturellement avec ISO 27001 lorsque le risque principal est informatique. Et avec l'ENS lorsque le client est un organisme public ou vend au secteur public.

Le processus ISO 22301.

Le processus · quatre étapes
01

BIA

Analyse d'impact : processus critiques, MTPD.

02

Stratégie

Réplication, redondance, contrats.

03

Plan

Continuité et reprise.

04

Exercices

Annuels au minimum.

Ce qui est inclus

Ce qu'inclut ISO 22301.

Le détail opérationnel : ce que nous livrons dans le cadre de la mission et ce que nous maintenons actif par la suite.

  • BIA · analyse d'impact sur l'activité

    Processus critiques, MTPD, ressources en mode dégradé.

  • Stratégie de continuité

    Décisions sur la redondance et la réplication.

  • Plan opérationnel de continuité

    Ce qu'il faut faire pendant l'incident.

  • Plan opérationnel de reprise

    Comment revenir à la normale.

  • Tests et exercices

    Annuels au minimum. Tabletop, fonctionnel, pleine échelle.

  • Revue post-incident

    Retours d'expérience formalisés.

Cluster Summum

Comment il s'articule avec les services connexes.

ISO 22301 avec ISO 27001 lorsque le risque est informatique, avec l'ENS lorsque le client relève du secteur public.

Questions fréquentes sur ISO 22301.

Quand cela vaut-il la peine ?

Après un incident, sous pression réglementaire, ou lorsqu'un client l'exige.

Avons-nous déjà un plan ?

Nous l'exploitons. ISO 22301 le structure et le teste.

Exercices ?

Exercice annuel complet. Sessions tabletop trimestrielles.

Vous accompagnons-nous dans la démarche ?