La question n'est pas de savoir si un incident majeur surviendra, mais si votre organisation y survivra en bon ordre. Je construis et entretiens votre dispositif de continuité selon ISO 22301 : BIA, stratégies, plans PCA et PRA, et surtout des exercices.
Identification des activités critiques, impacts d'interruption dans le temps, objectifs de reprise (RTO) et de perte de données (RPO) validés par les métiers et la direction.
Modes dégradés, sites et moyens de repli, plan de reprise IT aligné sur les RTO et RPO du BIA, sauvegardes isolées face aux rançongiciels : des plans construits pour être joués, pas archivés.
Programme d'exercices annuel, scénarios réalistes, retours d'expérience tracés et actions correctives suivies : ce qu'ISO 22301 exige, et que les organisations oublient le plus volontiers.
Système de management complet, revues de direction, préparation et accompagnement de l'audit de certification ISO 22301 quand elle est exigée par vos clients ou votre secteur.
Un PCA hérité du groupe vendeur ne protège plus une entité devenue autonome : sites de repli mutualisés disparus, contrats de secours restés chez le vendeur, cellule de crise à recomposer. La redéfinition du dispositif de continuité fait partie du plan de séparation, et doit être testée avant le Day 1. C'est l'articulation naturelle avec mes programmes carve-out, et avec la gestion de crise cyber.
Par le BIA, le bilan d'impact sur l'activité : identifier les activités critiques, évaluer les conséquences de leur interruption dans le temps, et en déduire les objectifs de reprise (RTO) et de perte de données maximale (RPO). Sans BIA, un plan de continuité protège au hasard.
Pas nécessairement : la norme est un excellent cadre de travail même sans certification. La certification devient pertinente quand vos clients ou votre régulateur l'exigent, ou quand la continuité est un argument commercial de votre secteur.
Au minimum un exercice par an, en variant les formats : exercice sur table pour la cellule de décision, test technique de bascule pour l'IT, et périodiquement un exercice surprise. La valeur d'un dispositif se mesure à la date de son dernier exercice.
6 piliers, 30 questions, 7 minutes. Repartez avec un aperçu de votre maturité ISO 22301 et de vos priorités.
→Démarrer l'auto-évaluationEn un appel de 30 minutes, vous savez où sont vos angles morts et à quelles conditions les traiter.
→Réserver un appel de qualificationPremier appel gratuit, sans engagement. Voir aussi la page GRC Cybersécurité.