GRC Cybersécurité · Continuité d'activité ISO 22301

Un dispositif de continuité qui tient
un exercice surprise.

La question n'est pas de savoir si un incident majeur surviendra, mais si votre organisation y survivra en bon ordre. Je construis et entretiens votre dispositif de continuité selon ISO 22301 : BIA, stratégies, plans PCA et PRA, et surtout des exercices.

L'accompagnement

Ce que couvre la mission.

BIA : savoir ce qui compte

Identification des activités critiques, impacts d'interruption dans le temps, objectifs de reprise (RTO) et de perte de données (RPO) validés par les métiers et la direction.

Stratégies et plans PCA / PRA

Modes dégradés, sites et moyens de repli, plan de reprise IT aligné sur les RTO et RPO du BIA, sauvegardes isolées face aux rançongiciels : des plans construits pour être joués, pas archivés.

Exercices et amélioration continue

Programme d'exercices annuel, scénarios réalistes, retours d'expérience tracés et actions correctives suivies : ce qu'ISO 22301 exige, et que les organisations oublient le plus volontiers.

Vers la certification, si vous la visez

Système de management complet, revues de direction, préparation et accompagnement de l'audit de certification ISO 22301 quand elle est exigée par vos clients ou votre secteur.

Cas particulier

La continuité ne survit pas toute seule à une opération M&A.

Un PCA hérité du groupe vendeur ne protège plus une entité devenue autonome : sites de repli mutualisés disparus, contrats de secours restés chez le vendeur, cellule de crise à recomposer. La redéfinition du dispositif de continuité fait partie du plan de séparation, et doit être testée avant le Day 1. C'est l'articulation naturelle avec mes programmes carve-out, et avec la gestion de crise cyber.

Certifié ISO 22301 Lead Auditor et Lead Implementer : le dispositif est construit selon la norme, avec ou sans objectif de certification.
Questions fréquentes

Ce qu'on me demande sur la continuité.

Par quoi commence la démarche ?

Par le BIA, le bilan d'impact sur l'activité : identifier les activités critiques, évaluer les conséquences de leur interruption dans le temps, et en déduire les objectifs de reprise (RTO) et de perte de données maximale (RPO). Sans BIA, un plan de continuité protège au hasard.

Faut-il viser la certification ISO 22301 ?

Pas nécessairement : la norme est un excellent cadre de travail même sans certification. La certification devient pertinente quand vos clients ou votre régulateur l'exigent, ou quand la continuité est un argument commercial de votre secteur.

À quelle fréquence tester les plans ?

Au minimum un exercice par an, en variant les formats : exercice sur table pour la cellule de décision, test technique de bascule pour l'IT, et périodiquement un exercice surprise. La valeur d'un dispositif se mesure à la date de son dernier exercice.

Ressource gratuite

Votre continuité tient-elle vraiment ?

6 piliers, 30 questions, 7 minutes. Repartez avec un aperçu de votre maturité ISO 22301 et de vos priorités.

Démarrer l'auto-évaluation

Votre continuité tiendrait-elle lundi matin ?

En un appel de 30 minutes, vous savez où sont vos angles morts et à quelles conditions les traiter.

Réserver un appel de qualification

Premier appel gratuit, sans engagement. Voir aussi la page GRC Cybersécurité.