ISO 22313 2020 (F) - Character PDF Document

Accordé sous licence par l'INNORPI à la Société BIT
Bon de commande N°01/2020 du 09/10/2020
NORME
Licence pour utilisateur unique,copie et mise en réseau interdite.
ISO
INTERNATIONALE 22313
Deuxième édition
2020-02
Sécurité et résilience — Systèmes

de management de la continuité
d'activité — Lignes directrices sur
l'utilisation de l'ISO 22301
Security and resilience — Business continuity management systems
— Guidance on the use of ISO 22301
Numéro de référence
ISO 22313:2020(F)
© ISO 2020
ISO 22313:2020(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés

Licence pour utilisateur unique,copie et mise en réseau interdite. ISO 22313:2020(F)

Sommaire Page
Avant-propos.................................................................................................................................................................................................................................v
Introduction................................................................................................................................................................................................................................. vi
1 Domaine d’application.................................................................................................................................................................................... 1
2 Références normatives.................................................................................................................................................................................... 1
3 Termes et définitions........................................................................................................................................................................................ 1
4 Contexte de l’organisme................................................................................................................................................................................. 2
4.1 Compréhension de l’organisme et de son contexte.................................................................................................. 2
4.2 Comprendre les besoins et attentes des parties intéressées........................................................................... 3
4.2.1 Généralités............................................................................................................................................................................. 3
4.2.2 Exigences réglementaires et juridiques........................................................................................................ 3
4.3 Détermination du domaine d’application du système de management de la
continuité d’activité............................................................................................................................................................................. 4
4.3.1 Généralités............................................................................................................................................................................. 4
4.3.2 Domaine d’application du système de management de la continuité d’activité........ 4
4.3.3 Exclusions du domaine d’application............................................................................................................. 5
4.4 Système de management de la continuité d’activité............................................................................................... 5
5 Leadership................................................................................................................................................................................................................... 6
5.1 Leadership et engagement............................................................................................................................................................ 6
5.1.1 Généralités............................................................................................................................................................................. 6
5.1.2 Direction générale........................................................................................................................................................... 6
5.1.3 Autres rôles de management................................................................................................................................. 6
5.2 Politique......................................................................................................................................................................................................... 7
5.2.1 Établissement de la politique de continuité d’activité..................................................................... 7
5.2.2 Communication de la politique de continuité d’activité................................................................. 7
5.3 Rôles, responsabilités et autorités.......................................................................................................................................... 8
6 Planification............................................................................................................................................................................................................10
6.1 Actions face aux risques et opportunités....................................................................................................................... 10
6.1.1 Détermination des risques et opportunités........................................................................................... 10
6.1.2 Gestion des risques et opportunités............................................................................................................. 10
6.2 Objectifs de continuité d’activité et planification pour les atteindre..................................................... 10
6.2.1 Établissement des objectifs de continuité d’activité....................................................................... 10
6.2.2 Détermination des objectifs de continuité d’activité...................................................................... 11
6.3 Planification des modifications au système de management de la continuité d’activité...... 11
7 Support......................................................................................................................................................................................................................... 12
7.1 Ressources................................................................................................................................................................................................ 12
7.1.1 Généralités.......................................................................................................................................................................... 12
7.1.2 Ressources du SMCA.................................................................................................................................................. 12
7.2 Compétences........................................................................................................................................................................................... 12
7.3 Sensibilisation (prise de conscience)................................................................................................................................ 14
7.4 Communication.................................................................................................................................................................................... 15
7.5 Informations documentées........................................................................................................................................................ 16
7.5.1 Généralités.......................................................................................................................................................................... 16
7.5.2 Création et mise à jour.............................................................................................................................................. 17
7.5.3 Maîtrise des informations documentées................................................................................................... 17
8 Fonctionnement..................................................................................................................................................................................................18
8.1 Planification et maîtrise opérationnelles....................................................................................................................... 18
8.1.1 Généralités.......................................................................................................................................................................... 18
8.1.2 Management de la continuité d’activité..................................................................................................... 19
8.1.3 Maintien de la continuité d’activité............................................................................................................... 20
8.2 Bilan d’impact sur l’activité et appréciation du risque...................................................................................... 21
8.2.1 Généralités.......................................................................................................................................................................... 21
© ISO 2020 – Tous droits réservés iii

ISO 22313:2020(F)

8.2.2 Bilan d’impact sur l’activité.................................................................................................................................. 21

8.2.3 Appréciation du risque............................................................................................................................................. 25
8.3 Stratégies et solutions de continuité d’activité......................................................................................................... 26
8.3.1 Généralités.......................................................................................................................................................................... 26
8.3.2 Identification des stratégies et solutions.................................................................................................. 26
8.3.3 Sélection des stratégies et solutions............................................................................................................. 29
8.3.4 Exigences de ressources.......................................................................................................................................... 29
8.3.5 Mise en œuvre des solutions............................................................................................................................... 36
8.4 Plans et procédures de continuité d’activité............................................................................................................... 37
8.4.1 Généralités.......................................................................................................................................................................... 37
8.4.2 Structure de réponse.................................................................................................................................................. 37
8.4.3 Avertissement et communication................................................................................................................... 38
8.4.4 Plans de continuité d’activité.............................................................................................................................. 40
8.4.5 Rétablissement................................................................................................................................................................ 46
8.5 Programme d’exercices................................................................................................................................................................. 47
8.5.1 Généralités.......................................................................................................................................................................... 47
8.5.2 Conception du programme d’exercices...................................................................................................... 47
8.5.3 Exercices sur les plans de continuité d’activité................................................................................... 48
8.6 Évaluation de la documentation et des capacités de continuité d’activité........................................ 51
8.6.1 Généralités.......................................................................................................................................................................... 51
8.6.2 Mesurage de l’efficacité............................................................................................................................................ 52
8.6.3 Résultats................................................................................................................................................................................ 52
9 Évaluation de la performance...............................................................................................................................................................53
9.1 Surveillance, mesurage, analyse et évaluation.......................................................................................................... 53
9.1.1 Généralités.......................................................................................................................................................................... 53
9.1.2 Conservation des preuves...................................................................................................................................... 53
9.1.3 Évaluation de la performance............................................................................................................................. 53
9.2 Audit interne........................................................................................................................................................................................... 54
9.2.1 Généralités.......................................................................................................................................................................... 54
9.2.2 Programme(s) d’audit............................................................................................................................................... 54
9.3 Revue de direction............................................................................................................................................................................. 54
9.3.1 Généralités.......................................................................................................................................................................... 54
9.3.2 Éléments d’entrée de la revue de direction............................................................................................ 54
9.3.3 Éléments de sortie de la revue de direction .......................................................................................... 55
10 Amélioration...........................................................................................................................................................................................................56
10.1 Non-conformité et actions correctives............................................................................................................................. 56
10.1.1 Généralités.......................................................................................................................................................................... 56
10.1.2 Apparition de non-conformités........................................................................................................................ 56
10.1.3 Conservation des informations documentées...................................................................................... 56
10.2 Amélioration continue.................................................................................................................................................................... 57
Bibliographie............................................................................................................................................................................................................................ 58
iv © ISO 2020 – Tous droits réservés


Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO 22313:2012) qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— modification de la structure et du contenu pour aligner le présent document sur la dernière édition
de l’ISO 22301;
— ajout de lignes directrices supplémentaires expliquant les concepts et termes clés;
— suppression du contenu de 8.4, qui figurera dans l’ISO/TS 22332 (en cours d’élaboration).
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/f r/members.html.
© ISO 2020 – Tous droits réservés v

ISO 22313:2020(F)

Introduction
0.1 Généralités
Le présent document fournit des lignes directrices, lorsque c’est opportun, applicables aux exigences
spécifiées dans l’ISO 22301. Il n’est pas prévu que le présent document fournisse des lignes directrices
sur tous les aspects de la continuité d’activité.
Le présent document comprend les mêmes rubriques que l’ISO 22301 sans toutefois répéter les
exigences ou les termes et définitions qui s’y rapportent.
Ces lignes directrices ont pour vocation d’expliquer et de clarifier la signification et le but des exigences
de l’ISO 22301 et d’aider à la résolution de tout problème lié à leur interprétation. D’autres Normes
internationales et Spécifications techniques apportant des lignes directrices supplémentaires, et
citées dans le présent document, sont l’ISO/TS 22317, l’ISO/TS 22318, l’ISO 22322, l’ISO/TS 22330,
l’ISO/TS 22331 et l’ISO 22398. Le domaine d’application de ces documents peut s’étendre au-delà des
exigences de l’ISO 22301. Il convient donc que les organismes fassent systématiquement référence à
l’ISO 22301 afin de vérifier quelles exigences sont à satisfaire.
Le présent document comprend plusieurs figures permettant de donner des éclaircissements et des
explications sur certains points clés. Ces figures ne sont fournies qu’à titre d’exemple, et c’est le texte
associé faisant partie du corps du texte du présent document qui a la priorité.
Un système de management de la continuité d’activité (SMCA) insiste sur l’importance:
— d’établir une politique et des objectifs de de continuité d’activité qui correspondent aux objectifs de
l'organisation;
— du fonctionnement et de la maintenance des processus, capacités et structures de réponse afin
d’assurer que l’organisme survivra aux perturbations;
— de surveiller et passer en revue la performance et l’efficacité du SMCA;
— d’une amélioration continue sur la base de mesures qualitatives et quantitatives.
À l’instar de tout autre système de management, un SMCA comprend les composantes suivantes:
a) une politique;
b) des personnes compétentes ayant des responsabilités définies;
c) des processus de management concernant:
1) la politique;
2) la planification;
3) la mise en œuvre et le fonctionnement;
4) l’appréciation de la performance;
5) la revue de direction;
6) l’amélioration continue;
d) des informations documentées venant en support de la maîtrise opérationnelle et permettant de
réaliser l’évaluation de la performance.
En général, la continuité d’activité est spécifique à un organisme. Néanmoins, sa mise en œuvre peut
avoir des implications pouvant s’étendre à une plus large communauté et à d’autres tiers. Un organisme
est susceptible d’avoir des organismes externes dont il dépend et d’autres qui dépendent de lui. Par
conséquent, une continuité d’activité efficace contribue à une société plus résiliente.
vi © ISO 2020 – Tous droits réservés


0.2 Bénéfices d’un système de management de la continuité d’activité

Un SMCA améliore le niveau de préparation d’un organisme pour lui permettre de continuer à
fonctionner pendant des perturbations. Il permet également une meilleure compréhension des relations
internes et externes de l’organisme, une meilleure communication avec les parties intéressées, et la
création d’un environnement d’amélioration continue. Il y a un grand nombre d’avantages potentiels
supplémentaires à mettre en œuvre un SMCA conformément aux recommandations données dans le
présent document et en conformité avec les exigences de l’ISO 22301.
— Le respect des recommandations de l’Article 4 («Contexte de l’organisme») appelle l’organisme:
— à réviser ses objectifs stratégiques afin de s’assurer que le SMCA les supporte;
— à reconsidérer les besoins, les attentes et les exigences des parties intéressées;
— à avoir conscience des obligations réglementaires et juridiques, ainsi que des autres obligations
applicables.
— L’Article 5 («Leadership») appelle l’organisme:
— à reconsidérer les rôles et responsabilités du management;
— à promouvoir une culture d’amélioration continue;
— à répartir les responsabilités concernant la surveillance des performances et les rapports.
— L’Article 6 («Planification») appelle l’organisme:
— à réexaminer ses risques et opportunités, et à identifier les actions à mener pour y faire face et
en tirer parti;
— à établir une gestion efficace des changements.
— L’Article 7 («Support») appelle l’organisme:
— à établir une gestion efficace des ressources du SMCA, y compris la gestion des compétences;
— à renforcer la sensibilisation (prise de conscience) des employés vis-à-vis de questions
considérées comme importantes pour le management;
— à disposer de mécanismes efficaces pour les communications internes et externes;
— à gérer efficacement sa documentation.
— L’Article 8 («Fonctionnement») appelle l’organisme à considérer:
— les conséquences imprévues du changement;
— les priorités et exigences de continuité d’activité;
— les dépendances;
— les vulnérabilités du point de vue de leur impact;
— les risques de perturbations et à identifier la meilleure manière d’y faire face;
— les solutions alternatives pour poursuivre l’activité avec des ressources limitées;
— les structures et procédures efficaces pour faire face aux perturbations;
© ISO 2020 – Tous droits réservés vii

ISO 22313:2020(F)

— ses responsabilités envers la communauté et les autres parties intéressées.

— L’Article 9 («Évaluation de la performance») appelle l’organisme:
— à disposer de mécanismes efficaces de surveillance, de mesurage et d’évaluation de la
performance;
— à impliquer le management pour surveiller la performance et contribuer à l’efficacité du SMCA.
— L’Article 10 («Amélioration») appelle l’organisme:
— à disposer de procédures de surveillance de la performance et d’amélioration de l’efficacité;
— à tirer parti de l’amélioration continue de ses systèmes de management.
En conséquence, la mise en œuvre du SMCA peut:
a) protéger la vie, les biens et l’environnement;
b) protéger et accroître la réputation et la crédibilité de l’organisme;
c) contribuer à l’avantage compétitif de l’organisme en lui permettant de fonctionner durant les
perturbations;
d) réduire les coûts dus aux perturbations et améliorer la capacité de l’organisme à rester efficace
durant ces perturbations;
e) contribuer à la résilience organisationnelle globale de l’organisme;
f) renforcer la confiance des parties intéressées en la réussite de l’organisme;
g) réduire l’exposition juridique et financière de l’organisme;
h) démontrer la capacité de l’organisme à gérer les risques et à faire face aux vulnérabilités
opérationnelles.
0.3 Cycle «Planifier-Exécuter-Vérifier-Réagir» (Plan-Do-Check-Act, PDCA)
Le présent document applique le cycle «Planifier-Exécuter-Vérifier-Réagir» (PDCA) à la planification,
l’établissement, la mise en œuvre, le fonctionnement, la surveillance, la revue, la maintenance et
l’amélioration continue de l’efficacité du SMCA d’un organisme. Le cycle PDCA est expliqué dans le
Tableau 1.
Tableau 1 — Explication du cycle PDCA

Planifier Établir une politique de continuité d’activité, des objectifs, des moyens de maîtrise,
(Établir) des processus et des procédures pertinents pour améliorer la continuité d’activité
afin de fournir des résultats en ligne avec les politiques et objectifs généraux de
l’organisme.
Exécuter Mettre en œuvre et faire fonctionner la politique de continuité d’activité, les
(Mettre en œuvre et faire moyens de maîtrise, les processus et les procédures.
fonctionner)
Vérifier Surveiller et passer en revue la performance par rapport à la politique et aux
(Surveiller et passer en objectifs de continuité d’activité, rendre compte des résultats au management
revue) pour la revue de direction, déterminer et autoriser des actions de correction et
d’amélioration.
Réagir Maintenir et améliorer le SMCA en prenant des actions correctives, basées sur
(Maintenir et améliorer) les résultats de la revue de direction et en réévaluant le domaine d’application du
SMCA, la politique et les objectifs de continuité d’activité.
viii © ISO 2020 – Tous droits réservés


La Figure 1 montre comment le SMCA prend les exigences des parties intéressées comme éléments
d’entrée pour le management de la continuité d’activité et, par l’intermédiaire des actions et des
processus requis, produit des résultats en matière de continuité d’activité (c’est-à-dire une continuité
d’activité managée) qui satisfont à ces exigences.
Figure 1 — Cycle PDCA appliqué aux processus SMCA
0.4 Composantes du cycle PDCA dans le présent document

Le Tableau 2 montre la relation directe entre le contenu de la Figure 1 et les articles du présent
document.
Tableau 2 — Relation entre le cycle PDCA et les Articles 4 à 10

Composante PDCA Article concernant la composante PDCA
Planifier L’Article 4 («Contexte de l’organisme») définit ce qu’il convient que l’organisme
(Établir) fasse afin d’assurer que le SMCA satisfait aux exigences, en tenant compte de tous
les facteurs externes et internes pertinents, notamment:
— les besoins et attentes des parties intéressées;
— ses obligations réglementaires et juridiques;
— le domaine d’application exigé pour le SMCA.

L’Article 5 («Leadership») définit le rôle du management en matière de
démonstration d’engagement, de définition de politique et d’établissement des
rôles, responsabilités et autorités.
L’Article 6 («Planification») décrit les actions pour établir des objectifs stratégiques
et des principes d’orientation pour la mise en œuvre du SMCA.
L’Article 7 («Support») identifie les éléments du SMCA dont il convient de disposer,
à savoir: les ressources, les compétences, la sensibilisation (prise de conscience), la
communication et les informations documentées.
Exécuter L’Article 8 («Fonctionnement») identifie les processus pour établir et maintenir la
(Mettre en œuvre et faire continuité d’activité.
fonctionner)
© ISO 2020 – Tous droits réservés ix

ISO 22313:2020(F)

Tableau 2 (suite)
Composante PDCA Article concernant la composante PDCA
Vérifier L’Article 9 («Évaluation de la performance») donne la base pour améliorer le SMCA
(Surveiller et passer en par le mesurage et pour évaluer sa performance.
revue)
Réagir L’Article 10 («Amélioration») couvre les actions correctives pour faire face aux non-
(Maintenir et améliorer) conformités identifiées par l’évaluation de la performance.
0.5 Contenu du présent document

Ce n’est pas l’intention du présent document d’uniformiser la structure d’un SMCA, mais plutôt de
permettre à un organisme de concevoir un SMCA qui soit approprié à ses besoins et qui satisfasse
aux exigences des parties intéressées, particulièrement les clients et les employés. Ces besoins sont
conditionnés par les exigences réglementaires et juridiques, organisationnelles et industrielles, par les
produits et services, les processus employés, l’environnement dans lequel l’organisme fonctionne, la
taille et la structure de ce dernier et les exigences des parties intéressées.
Le présent document n’est pas destiné à être utilisé pour apprécier l’aptitude d’un organisme à satisfaire
ses propres besoins de continuité d’activité, ni les besoins de clients ou de nature réglementaire ou
juridique. Les organismes désireux de le faire peuvent utiliser les exigences de l’ISO 22301.
Les Articles 1 à 3 du présent document décrivent le domaine d’application, les références normatives et
les termes et définitions qui s’appliquent à l’utilisation du présent document. Les Articles 4 à 10 donnent
des lignes directrices relatives aux exigences de l’ISO 22301.
Dans le présent document, les formes verbales suivantes sont utilisées:
a) «il convient» est utilisé pour indiquer une recommandation;
b) «peut» («may» en anglais) est utilisé pour indiquer une autorisation;
c) «peut» («can» en anglais) est utilisé pour indiquer une possibilité ou une capacité.
0.6 Continuité d’activité
La continuité d’activité est la capacité de l’organisme à continuer de livrer des produits ou fournir des
services avec un niveau prédéfini de capacité acceptable à la suite d’une perturbation. Le management
de la continuité d’activité est le processus de mise en œuvre et de maintien de la continuité d’activité
(voir 8.1.2 et Figure 5) afin de prévenir les pertes et de se préparer à des perturbations, de les atténuer
et de les gérer.
L’établissement d’un SMCA permet à l’organisme de maîtriser, d’évaluer et de constamment améliorer
sa continuité d’activité.
Dans le présent document, le terme «activité» est utilisé comme un terme de portée générale englobant
les opérations et services accomplis par un organisme dans le cadre de ses objectifs, ses buts ou sa
mission. Il s’applique à la fois aux grands, moyens et petits organismes fonctionnant dans les secteurs
industriels, commerciaux, publics ou à but non lucratif.
Les perturbations peuvent potentiellement interrompre l’ensemble du fonctionnement de l’organisme
ainsi que sa capacité à livrer des produits et fournir des services. Néanmoins, le fait de mettre en œuvre
un SMCA avant qu’une perturbation ne se produise, plutôt que de répondre de manière non planifiée
après l’incident, permettra à l’organisme de reprendre son fonctionnement avant d’en arriver à des
niveaux d’impact inacceptables.
Le management de la continuité d’activité implique:
a) d’identifier les produits et services de l’organisme et les activités qui permettent de les fournir;
b) d’analyser les impacts d’une non-reprise des activités et les ressources dont ces dernières
dépendent;
x © ISO 2020 – Tous droits réservés


c) de comprendre le risque de perturbation;

d) de déterminer les priorités, délais, capacités et stratégies pour la reprise de la livraison des produits
et de la fourniture des services;
e) d’avoir des solutions et des plans en place de façon à reprendre les activités dans les délais requis à
la suite d’une perturbation;
f) de s’assurer que ces dispositions sont régulièrement passées en revue et mises à jour de manière à
être efficaces en toutes circonstances.
Il convient que la démarche de l’organisme pour le management de la continuité d’activité et
ses informations documentées soient appropriées à son contexte (par exemple: environnement
opérationnel, complexité, besoins et ressources).
La continuité d’activité peut être efficace pour traiter à la fois les perturbations soudaines (telles que
les explosions) et graduelles (telles que les pandémies).
Les activités peuvent être perturbées par une grande variété d’incidents, dont beaucoup sont difficiles
à prévoir ou à analyser. En se concentrant sur l’impact de la perturbation plutôt que sur sa cause, la
continuité d’activité permet à l’organisme d’identifier les activités essentielles pour pouvoir remplir
ses obligations. Par la continuité d’activité, un organisme peut reconnaître ce qu’il est nécessaire
de faire pour protéger ses ressources (par exemple: les personnes, les emplacements, la technologie
et l’information), sa chaîne d’approvisionnement, les parties intéressées et sa réputation avant la
survenance d’une perturbation. Ayant reconnu cela, l’organisme peut mettre en place une structure de
réponse lui permettant de gérer les impacts d’une perturbation en confiance.
La Figure 2 et la Figure 3 illustrent conceptuellement la manière dont la continuité d’activité peut être
efficace en atténuant les impacts dans certaines situations. La distance relative entre les différents
stades représentés sur chacun des schémas ne représente aucune échelle de temps particulière.
Figure 2 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation soudaine
© ISO 2020 – Tous droits réservés xi

ISO 22313:2020(F)

Figure 3 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation graduelle

(par exemple, l’approche d’une pandémie)
xii © ISO 2020 – Tous droits réservés

NORME INTERNATIONALE ISO 22313:2020(F)
Sécurité et résilience — Systèmes de management de la

continuité d'activité — Lignes directrices sur l'utilisation
de l'ISO 22301
1 Domaine d’application
Le présent document donne des lignes directrices et recommandations relatives à l’application des
exigences pour le système de management de la continuité d’activité (SMCA) de l’ISO 22301. Ces lignes
directrices et recommandations sont basées sur la bonne pratique internationale.
Le présent document s’applique aux organismes qui:
a) mettent en œuvre, maintiennent et améliorent un SMCA;
b) cherchent à assurer la conformité à la politique de continuité d’activité déclarée;
c) ont besoin d’être aptes à poursuivre la livraison de produits et la fourniture de services à un niveau
de capacité acceptable et préalablement défini durant une perturbation;
d) cherchent à améliorer leur résilience à travers l’application efficace du SMCA.
Les lignes directrices et recommandations s’appliquent à toute taille et tout type d’organismes, qu’ils
soient grands, moyens ou petits et qu’ils fonctionnent dans les secteurs industriels, commerciaux,
publics ou à but non lucratif. L’approche adoptée dépend de l’environnement et de la complexité de
fonctionnement de l’organisme.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
ISO 22301, Sécurité et résilience — Systèmes de management de la continuité d'activité — Exigences
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300, l’ISO 22301 ainsi que
les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https://w ww.iso.org/obp
— IEC Electropedia: disponible à l’adresse http://w ww.electropedia.org/
3.1
management de la continuité d’activité
processus de mise en œuvre et de maintien de la continuité d’activité
© ISO 2020 – Tous droits réservés 1

ISO 22313:2020(F)

4 Contexte de l’organisme
4.1 Compréhension de l’organisme et de son contexte

Le présent article fournit des recommandations pour la compréhension du contexte de l’organisme dans
le cadre du SMCA. Les recommandations pour l’établissement et le maintien de la continuité d’activité
sont traitées en 8.1.
Il convient que l’organisme évalue et comprenne les questions externes et internes (pouvant comprendre
des facteurs positifs et négatifs ou des conditions à considérer) pertinentes pour ses objectifs globaux,
pour ses produits et services, ainsi que pour le niveau et le type de risque qu’il peut prendre ou non. Il
convient de tenir compte de ces informations lors de la mise en œuvre et de la maintenance du SMCA de
l’organisme, et lors de l’attribution de priorités.
Le contexte externe de l’organisme contient, lorsque c’est pertinent, les éléments suivants:
— l’environnement politique, réglementaire et juridique, qu’il soit international, national, régional
ou local;
— les aspects sociaux et culturels;
— l’environnement financier, technologique, économique, naturel et concurrentiel, qu’il soit
international, national, régional ou local;
— les engagements et relations de la chaîne d’approvisionnement (voir également l’ISO/TS 22318);
— les moteurs (par exemple: risque, technologie) et tendances ayant un impact sur les objectifs et le
fonctionnement de l’organisme;
— les relations avec les parties intéressées externes à l’organisme, ainsi que leurs perceptions et leurs
valeurs;
— les voies de communication, y compris les réseaux sociaux, utilisées pour constater et former ces
relations.
Le contexte interne de l’organisme contient, lorsque c’est pertinent, les éléments suivants:
— les produits et services, activités, ressources, chaînes d’approvisionnement et relations avec les
parties intéressées;
— les aptitudes, en matière de ressources et de connaissances (par exemple: capital, temps, personnels,
processus, systèmes, technologies);
— les systèmes de management existants;
— les informations et données (stockées sous forme physique ou électronique) et les processus de
prise de décision (formels et autres);
— les parties intéressées au sein de l’organisme, y compris les fournisseurs internes [considération des
accords sur les niveaux de services (SLA), résilience appréciée et dispositions de rétablissement],
voir l’ISO/TS 22318;
— les politiques et objectifs et les stratégies d’activité mises en place pour les atteindre;
— les futures opportunités et priorités d’activité;
— les perceptions, les valeurs et la culture;
— les normes et modèles de référence adoptés par l’organisme;
— les structures (par exemple: gouvernance, rôles, responsabilités);
2 © ISO 2020 – Tous droits réservés


— les voies de communication internes utilisées pour l’échange d’informations au sein du personnel
(par exemple: les réseaux sociaux).
4.2 Comprendre les besoins et attentes des parties intéressées
4.2.1 Généralités
L’organisme a un devoir de diligence envers de nombreuses personnes dans l’organisme et en dehors

(voir également l’ISO/TS 22330). Lorsqu’il établit son SMCA, il convient que l’organisme s’assure que les
besoins et les exigences de toutes les parties intéressées sont bien pris en considération.
Il convient que l’organisme identifie toutes les parties intéressées qui sont pertinentes pour son
SMCA (voir Figure 4) et qu’il détermine leurs exigences sur la base de leurs besoins et attentes. Il est
important d’identifier non seulement les exigences obligatoires et déclarées, mais aussi toutes celles qui
sont implicites.
Lors de la planification et de la mise en œuvre du SMCA, il est important d’identifier les actions qui sont
appropriées vis-à-vis des parties intéressées, mais aussi de les différencier entre elles. Par exemple,
alors qu’il peut être approprié de communiquer avec toutes les parties intéressées à la suite d’une
perturbation, il peut ne pas être approprié de communiquer avec toutes les parties intéressées lors de
la mise en œuvre et de la maintenance du management de la continuité d’activité (voir 8.1.2).
Figure 4 — Exemples de parties intéressées dans les secteurs public et privé
4.2.2 Exigences réglementaires et juridiques
L’application du présent document présuppose une sensibilisation (prise de conscience) aux exigences
réglementaires et juridiques applicables.
Les exigences peuvent être implicites, déclarées ou obligatoires. Il convient que les informations
relatives à ces exigences soient documentées et maintenues à jour. Il convient que les nouvelles

ISO 22313:2020(F)

exigences ou les changements aux exigences existantes soient communiqués aux employés affectés et
aux autres parties intéressées.
Il convient que l’organisme démontre qu’il a accès aux exigences réglementaires et juridiques en cours et
imminentes, qui sont pertinentes pour son fonctionnement, et comment ces exigences sont satisfaites.
Les exigences peuvent inclure:
a) la réponse aux incidents: incluant la gestion des urgences et autre législation pertinente;
b) la continuité d’activité: ce qui peut spécifier le domaine d’application du programme ou l’étendue ou
la rapidité du rétablissement;
c) le risque: les exigences définissant le domaine d’application ou les méthodes de management des
risques;
d) les dangers (par exemple: les exigences opérationnelles relatives aux matières dangereuses
stockées sur le lieu).
Les organismes fonctionnant sur des lieux multiples peuvent avoir besoin de satisfaire aux exigences de
juridictions différentes.
4.3 Détermination du domaine d’application du système de management de la

continuité d’activité
La détermination du domaine d’application du SMCA a pour objet d’identifier ses limites et son
applicabilité afin d’assurer la couverture de tous les produits et services, lieux d’activité, ressources,
fournisseurs et autres dépendances qui sont pertinents.
Il convient que le domaine d’application couvre les questions identifiées en 4.1, les exigences des parties
intéressées déterminées en 4.2, ainsi que la mission, les objectifs et obligations de l’organisme.
Il convient que l’organisme prépare une déclaration qui définit le domaine d’application du SMCA, d’une
façon et dans des termes appropriés à la taille, la nature et la complexité de l’organisme. Il convient que
cette déclaration soit mise à la disposition de toutes les parties intéressées.
4.3.2 Domaine d’application du système de management de la continuité d’activité
Il convient que l’organisme:

a) établisse, en se référant aux produits et services, les parties de l’organisme incluses dans le domaine
d’application du SMCA ou celles qui en sont exclues, par exemple:
1) en n’incluant que la fourniture d’un produit particulier dans un pays ou une région;
2) en excluant un produit qui n’est plus économiquement viable ou n’a qu’une faible valeur pour
l’organisme;
3) en n’incluant qu’un sous-ensemble de produits et services;
b) identifie les produits et services de l’organisme d’une manière qui permette d’identifier toutes les
activités, ressources et chaînes d’approvisionnement concernées.
Le domaine d’application peut:
— comporter une indication du degré ou de l’ampleur de l’incident auquel le SMCA va faire face;
— identifier comment le SMCA s’intègre dans la stratégie d’activité de l’organisme et dans son approche
du management des risques.


4.3.3 Exclusions du domaine d’application
Le domaine d’application détermine les lieux, les produits et services, les activités et les ressources
auxquels le SMCA s’applique. Il s’ensuit que toutes les dépendances font partie du domaine d’application,
même si elles n’ont pas été identifiées de manière explicite dans la déclaration propre au domaine
d’application. Par exemple, si une entreprise de fabrication inclut un produit dans le domaine
d’application de son SMCA, l’approvisionnement en matières premières, le traitement, la livraison et
toute fonction de support (comme le traitement des données, les achats, les ressources humaines) sur
n’importe quel lieu participant, directement ou indirectement, à sa livraison au client seront inclus.
Il convient que les exclusions ne nuisent pas à la capacité de l’organisme à satisfaire à ses exigences de
continuité d’activité, telles que déterminées par le bilan d’impact sur l’activité (voir 8.2.2). Les activités,
ressources et chaînes d’approvisionnement nécessaires à la livraison des produits et la fourniture des
services relevant du domaine d’application ne peuvent pas être exclues.
Il convient que les exclusions du domaine d’application du SMCA soient documentées et dûment
justifiées.
Si le SMCA est intégré dans un système de management existant, il convient que l’organisme s’assure
que tous les éléments du SMCA sont inclus.
4.4 Système de management de la continuité d’activité

Ce paragraphe a pour but de souligner la nécessité pour l’organisme de mettre en œuvre et maintenir
les processus qui permettront au SMCA de satisfaire aux exigences de l’ISO 22301, y compris les
interactions entre les processus.
Pour déterminer les processus et leur application dans l’ensemble de l’organisme, il convient que
l’organisme:
a) détermine les éléments d’entrée requis et les éléments de sortie attendus pour ces processus;
b) détermine la séquence et l’interaction de ces processus;
c) détermine et applique les critères et les méthodes (y compris la surveillance, les mesures et les
indicateurs de performance associés) nécessaires pour assurer le fonctionnement et la maîtrise
efficaces de ces processus;
d) détermine les ressources nécessaires pour ces processus et s’assure de leur disponibilité;
e) attribue les responsabilités et autorités pour ces processus;
f) prenne en compte les risques et opportunités tels que déterminés en 6.1;
g) évalue ces processus et mette en œuvre tous les changements nécessaires pour s’assurer que ces
processus produisent les résultats attendus;
h) améliore les processus et le SMCA.
Autant que nécessaire, il convient que l’organisme:
— maintienne les informations documentées nécessaires au fonctionnement de ses processus;
— conserve les informations documentées pour avoir l’assurance que les processus sont mis en œuvre
comme prévu.

ISO 22313:2020(F)

5 Leadership
5.1 Leadership et engagement
Il convient que tous les niveaux de management dans l’ensemble de l’organisme fassent preuve de
leadership et d’engagement dès lors que cela s’applique à leurs domaines de responsabilité.
5.1.2 Direction générale
Il convient que la direction générale démontre un leadership et un engagement:

a) en attribuant les rôles de management et en s’assurant qu’ils sont remplis (voir 5.1.3);
b) en établissant une politique de continuité d’activité (voir 5.2);
c) en nommant une ou plusieurs personnes, ayant l’autorité et les compétences appropriées, pour
avoir la responsabilité du SMCA et de l’efficacité de son fonctionnement (voir 5.3);
d) en communiquant sur l’importance de la continuité d’activité et en se conformant aux exigences
du SMCA;
e) en assurant la disponibilité des ressources nécessaires, y compris les niveaux de financement
appropriés (voir 7.1);
f) en promouvant l’amélioration continue (voir 10.2);
g) en s’assurant que les résultats attendus du SMCA sont atteints;
h) en offrant un support aux autres niveaux de management afin de leur permettre de démontrer le
leadership et l’engagement applicables à leurs domaines de responsabilités.
5.1.3 Autres rôles de management
Il convient que les autres niveaux de management démontrent leur leadership et engagement:
a) en établissant des objectifs de continuité d’activité qui sont compatibles avec les objectifs
stratégiques de l’organisme (voir 6.2);
b) en intégrant les exigences du SMCA dans les processus d’activité de l’organisme (voir 8.1);
c) en démontrant leur sensibilisation (prise de conscience) aux obligations légales, réglementaires et
autres exigences (voir 4.2.2);
d) en établissant les rôles, responsabilités et compétences du SMCA (voir 5.3 et 7.2);
e) en atteignant les résultats escomptés du SMCA;
f) en prenant activement part au programme d’exercices (voir 8.5);
g) en conduisant des audits internes du SMCA (voir 9.2);
h) en conduisant des revues de direction efficaces du SMCA (voir 9.3);
i) en orientant et en soutenant l’amélioration du SMCA (voir Article 10).
L’engagement du management peut également être démontré par:
— l’implication opérationnelle dans des groupes de pilotage;
— l’inclusion de la continuité d’activité en tant que point permanent des réunions de direction.


5.2 Politique
5.2.1 Établissement de la politique de continuité d’activité
Il convient que la direction générale définisse la politique de continuité d’activité en matière d’objectifs
et d’obligations de l’organisme, et qu’elle s’assure que cette politique:
a) est une déclaration concise et de haut niveau sur les intentions et l’orientation de la direction
générale pour le SMCA;
b) est appropriée à l’objet de l’organisme (compte tenu de sa taille, de sa nature et de sa complexité, et
afin de refléter sa culture, ses dépendances et son environnement opérationnel);
c) donne un cadre à la définition des objectifs;
d) inclut un engagement clair de satisfaire aux exigences applicables, y compris les obligations
réglementaires et juridiques;
e) inclut l’engagement d’amélioration continue du SMCA.
Il convient que la politique:
— spécifie le domaine et les limites d’application de la continuité d’activité de l’organisme, notamment
les limitations et les exclusions (voir 4.3);
— identifie les autorités et délégations exigées, y compris la ou les personnes responsables du SMCA de
l’organisme (voir 5.3);
— fasse référence aux normes, lignes directrices, réglementations ou politiques qu’il convient que
le SMCA prenne en considération ou avec lesquelles il convient qu’il soit en conformité.
La politique peut comporter les éléments suivants:
— un engagement de financement;
— des références à d’autres politiques en rapport;
— une exigence de mettre en œuvre la continuité d’activité;
— un engagement à s’exercer et à maintenir la continuité d’activité.
Pour les organismes ayant déjà des systèmes de management, il peut être approprié d’intégrer la
politique de SMCA à celles concernant d’autres systèmes de management.
Il convient que des dispositions adéquates soient prises pour approuver la politique, conserver les
informations documentées correspondantes et la passer en revue périodiquement (par exemple:
annuellement) et chaque fois que se produisent des changements significatifs à des facteurs internes
ou externes (par exemple: un changement à la direction générale, l’introduction d’une nouvelle
réglementation). L’adéquation de telles dispositions dépendra de la taille, de la complexité, de la nature
et de l’étendue de l’organisme.
5.2.2 Communication de la politique de continuité d’activité
Il convient que la politique de continuité d’activité:

a) soit disponible et maintenue sous la forme d’une information documentée;
b) soit communiquée, comprise et appliquée au sein de l’organisme;
c) soit mise à la disposition des parties intéressées dans sa version approuvée par le management.

ISO 22313:2020(F)

5.3 Rôles, responsabilités et autorités

Il convient que la direction générale assure l’attribution et la communication des responsabilités et
autorités dans le cadre du SMCA.
Il convient qu’un membre de la direction générale ait la responsabilité générale et de rendre des
comptes pour le SMCA. La direction générale peut nommer d’autres instances (par exemple: un comité
de pilotage) pour surveiller la mise en œuvre et la surveillance permanente du SMCA. Il convient que
des représentants, indépendamment de leurs autres responsabilités, soient nommés avec des rôles,
responsabilités et autorité définis pour:
— s’assurer que le SMCA est conforme à la politique de continuité d’activité;
— rendre compte de la performance du SMCA à la direction générale pour faire la revue et pour servir
de base à l’amélioration (voir Articles 9 et 10);
— promouvoir la sensibilisation (prise de conscience) à la continuité d’activité dans l’ensemble de
l’organisme (voir 7.3);
— s’assurer de l’efficacité des procédures développées pour répondre aux incidents (voir 8.4.4.2.2).
Le représentant du management peut:
— avoir un titre spécifique (par exemple: «manager de la continuité d’activité», «directeur de la
continuité d’activité» ou «manager de la résilience»);
— détenir d’autres responsabilités au sein de l’organisme;
— venir de n’importe quel secteur de l’organisme.
Des représentants des fonctions ou lieux de l’organisme peuvent être identifiés pour aider à la mise
en œuvre du SMCA (par exemple: les personnes responsables des problèmes liés aux risques). Il
convient que leurs rôles, obligations de rendre compte, responsabilités et autorités soient intégrés
dans les descriptifs de poste, ce qui peut être renforcé en les incluant dans la politique d’évaluation, de
récompense et de reconnaissance au sein de l’organisme. Le Tableau 3 donne des exemples de rôles et
responsabilités du SMCA pouvant être appropriés.
NOTE Le Tableau 5 donne des exemples d’équipes et de rôles et responsabilités possibles pouvant être
adaptés à la réponse aux incidents et à la reprise des activités (voir 8.4.4).
Suivant la taille de l’organisme, les rôles et responsabilités présentés dans le Tableau 3, pourraient être
organisés différemment. L’important est de s’assurer que toutes les responsabilités font partie d’un rôle
et ont un propriétaire.
Il convient que tous les rôles, responsabilités et autorités pour le SMCA soient définis, documentés et
soumis à audit.
Tableau 3 — Exemples de rôles et responsabilités du SMCA

Rôle Responsabilités
Représentant — Rendre compte du SMCA
de la direction
générale — Représenter le management de la continuité d’activité aux revues de direction


Tableau 3 (suite)
Rôle Responsabilités
Manager de la — Être responsable du SMCA
continuité d’activité
— Établir et démontrer l’engagement pour une politique de continuité d’activité
— Conduire toutes les activités du programme et assurer la coordination avec d’autres

fonctions
— Nommer les membres de l’équipe avec l’ancienneté, l’autorité et les compétences

appropriées
— Faciliter l’approbation des solutions, des procédures et des programmes d’exercices
— Soumettre les recommandations de l’équipe aux réunions de revue de direction

Équipe de — Mettre en œuvre le management de la continuité d’activité à travers l’organisme
management de la
continuité d’activité — Maintenir la documentation
— S’assurer que les revues du programme sont conduites en temps utile
— Apprécier l’adéquation de la continuité d’activité pour les fonctions individuelles
— Organiser et coordonner les programmes de sensibilisation (prise de conscience) à

la continuité d’activité
— Créer des programmes d’exercices et demander l’approbation des autorités

appropriées
— Conduire les séances de briefing et débriefing des exercices
— Tenir les parties intéressées informées du programme
— S’assurer que les exercices ont lieu conformément au programme d’exercices
— S’assurer que les audits internes et les revues de direction sont réalisés à temps
— Maintenir des relations avec les fonctions et assurer la liaison durant les
perturbations
— S’assurer que les plans d’actions correctives sont mis en œuvre en temps utile
— Faciliter les efforts des représentants/coordinateurs des fonctions

Représentants — Maintenir les procédures de continuité d’activité
des fonctions
— Informer le manager de la continuité d’activité de l’état de préparation
— Réaliser les activités du programme comme spécifié et en faire rapport
— Confirmer que les plans de continuité des fournisseurs sont soumis à essai et
maintenus
— Coordonner la participation du personnel aux exercices
— Maintenir les enregistrements des exercices de continuité d’activité
— Tenir l’équipe informée des changements susceptibles d’affecter la continuité

d’activité
— Assurer le suivi des actions correctives en temps utile
— Tenir le manager de la continuité d’activité informé de l’avancement des actions

correctives

ISO 22313:2020(F)

6 Planification
6.1 Actions face aux risques et opportunités

NOTE Les lignes directrices du présent paragraphe se rapportent à l’efficacité du SMCA. Les lignes
directrices ayant trait aux risques des activités prioritaires lors de perturbations sont données en 8.2.3.
6.1.1 Détermination des risques et opportunités
La détermination et la gestion des risques et opportunités permettent à l’organisme:

a) d’obtenir l’assurance que le SMCA peut atteindre les résultats escomptés;
b) de prévenir ou de limiter les effets indésirables;
c) de parvenir à une amélioration continue.
Il convient que l’organisme détermine les actions destinées à faire face aux questions identifiées en 4.1,
aux besoins et attentes des parties intéressées identifiés en 4.2, et aux exigences réglementaires et
juridiques identifiées en 4.2.2.
Il convient que cette détermination prenne en considération les risques et les opportunités, ainsi que leur
impact potentiel sur l’efficacité du SMCA. Les risques et opportunités peuvent découler de ce qui suit:
— un manque de leadership et d’engagement de la part de la direction générale;
— un financement insuffisant du SMCA entraînant une réponse inefficace;
— des informations faiblement documentées;
— un manque de personnel aux compétences démontrées;
— un processus de revue de direction inadéquat;
— une incapacité à s’imposer sur de nouveaux marchés où la continuité d’activité est une exigence.
6.1.2 Gestion des risques et opportunités
Il convient que l’organisme planifie les actions nécessaires pour gérer ces risques et opportunités, de
sorte à:
— prévenir les effets non intentionnels;
— tirer parti de toute opportunité d’amélioration du SMCA;
— réaliser une intégration dans le processus du SMCA (voir 8.1);
— s’assurer que les informations documentées sont disponibles afin d’évaluer si les actions ont bien
été efficaces (voir 9.1).
6.2 Objectifs de continuité d’activité et planification pour les atteindre
6.2.1 Établissement des objectifs de continuité d’activité
Il convient que l’organisme établisse les objectifs de mise en œuvre et de maintenance du management
de la continuité d’activité (voir Article 8). Il convient que ces objectifs soient en ligne avec les objectifs
globaux de l’organisme, et qu’ils comprennent l’identification des responsabilités et l’établissement
d’objectifs appropriés et réalistes pour leur réalisation. Il convient que la planification soit communiquée
à travers l’organisme. Il convient que l’avancement de sa mise en œuvre soit surveillé et documenté.


Au fur et à mesure de l’avancement du SMCA, il convient que ce plan soit revu régulièrement, et mis à
jour si besoin.
6.2.2 Détermination des objectifs de continuité d’activité
Lors de la détermination de ses objectifs de continuité d’activité, il convient que l’organisme spécifie
clairement:
a) ce qui sera fait;
b) les ressources qui seront nécessaires;
c) qui sera responsable;
d) les dates d’achèvement;
e) comment les résultats seront évalués.
Les exemples suivants d’objectifs de continuité d’activité peuvent, dans certaines circonstances,
satisfaire aux exigences spécifiées dans l’ISO 22301:
— «La direction générale allouera les ressources nécessaires pour assurer qu’un SMCA, cohérent avec
l’ISO 22301, est établi d’ici au date pour tous les produits et services»;
— «Le Directeur A collaborera avec les Consultants XXX pour obtenir la certification à l’ISO 22301 d’ici
au date pour les produits et services nommés.»;
— «La direction générale utilisera les ressources existantes pour s’assurer, d’ici au date, que nous aurons
mis en place une continuité d’activité conforme à l’ISO 22301 afin de satisfaire à nos obligations à
l’égard des clients nommés»;
— «Le directeur des services informatiques travaillera avec nos fournisseurs pour raccourcir de 10 %
le délai de rétablissement des activités soutenant les produits et services nommés. Cela sera réalisé
d’ici au date.»;
— «Sans utiliser de ressources supplémentaires, le responsable de la production mettra en place,
d’ici au date, un management de la continuité d’activité satisfaisant aux exigences de l’ISO 22301 et
couvrant les produits et services nommés.».
6.3 Planification des modifications au système de management de la continuité

d’activité
La gestion des modifications est une considération importante pour tous les processus de management.
Il convient que les modifications apportées au SMCA, y compris celles identifiées en 10.1, soient
soigneusement planifiées pour s’assurer que l’objectif visé a été pleinement examiné et compris. Pour ce
faire, il convient notamment d’envisager les conséquences des changements proposés, de s’assurer que
les conséquences anticipées et non intentionnelles soient toutes prises en considération, et de s’assurer
que l’intégrité du SMCA est préservée.
Il convient également que l’organisme s’assure que des ressources appropriées et suffisantes soient
disponibles, et que les responsabilités et autorités soient attribuées ou réattribuées lorsque cela est
nécessaire.

ISO 22313:2020(F)

7 Support
7.1 Ressources
Il convient que l’organisme détermine et s’assure de la disponibilité des ressources nécessaires

au SMCA pour:
a) réaliser sa politique et ses objectifs de continuité d’activité;
b) prendre en compte les changements des exigences de l’organisme;
c) permettre une communication efficace sur les questions liées au SMCA, en interne et en externe;
d) assurer le fonctionnement régulier et l’amélioration continue du SMCA.
Il convient que les ressources soient disponibles en temps utile et de manière efficace.
7.1.2 Ressources du SMCA
Lors de l’identification des ressources exigées pour le SMCA, il convient que l’organisme prenne les
dispositions adéquates pour:
a) le personnel et les ressources liées au personnel, notamment:
1) le temps nécessaire pour remplir les rôles et responsabilités SMCA;
2) la formation continue, la formation de base, la sensibilisation (prise de conscience) et les
exercices;
3) la gestion du personnel dédié au SMCA;
b) les installations, y compris des lieux de travail et des infrastructures appropriés;
c) les systèmes de technologies de l’information et de la communication (TIC), notamment les
applications prenant en charge la gestion efficace et efficiente des programmes;
d) la gestion et la maîtrise de toutes les formes d’information documentée;
e) la communication avec les parties intéressées (voir Figure 4);
f) le financement et le budget.
Il convient de passer en revue périodiquement les ressources et leur allocation afin de s’assurer de leur
adéquation. Il peut être approprié d’impliquer la direction générale dans ce passage en revue.
7.2 Compétences
Il convient que l’organisme établisse un système approprié et efficace pour gérer les compétences des
personnes réalisant un travail de SMCA sous son contrôle.
Il convient que le management détermine les compétences requises pour tous les rôles et responsabilités
SMCA, ainsi que pour la sensibilisation (prise de conscience), les connaissances, la compréhension,
les compétences techniques et l’expérience nécessaires pour y parvenir. Il convient que toutes les
personnes de l’organisme ayant un rôle fassent preuve des compétences requises et aient reçu la
formation continue, la formation de base, les développements et tout autre support nécessaires pour
y parvenir. Cela peut être référencé comme un programme de développement des compétences et peut
comprendre:
— une appréciation des compétences en vue du ou des rôles à entreprendre;


— la création d’un programme de développement personnel identifiant formation continue, formation

de base, développement et autre support nécessaires pour accéder aux compétences voulues;
— la mise en place de dispositifs de formation et de mentorat, y compris la sélection de méthodes et de
supports adéquats;
— l’évaluation de la performance;
— le partage des connaissances;
— le partage de poste;
— l’embauche ou la contractualisation de personnes compétentes;
— la formation de groupes cibles;
— la documentation et la surveillance de la formation reçue;
— l’évaluation de la formation reçue par rapport aux besoins et exigences de formation définis, afin de
vérifier la conformité aux exigences de formation SMCA;
— l’amélioration du programme de développement en fonction des besoins.
Il convient que l’organisme dispose d’un processus d’identification et de fourniture des exigences
applicables à la formation de tous les participants à la continuité d’activité, et d’évaluation de l’efficacité
de sa prestation.
Les types de formation qui peuvent être appropriés à l’établissement, au management et à la
maintenance du SMCA sont les suivants:
— mise en place et pilotage du management de la continuité d’activité;
— conduite du bilan d’impact sur l’activité;
— conduite d’une appréciation du risque;
— compétences de communication;
— gestion de projet;
— développement et mise en œuvre d’une documentation sur la continuité d’activité;
— réalisation d’un programme d’exercices.
Les compétences peuvent être renforcées de l’une des manières suivantes:
— intégration de réalisations SMCA dans le processus de récompense et de reconnaissance de
l’organisme;
— intégration de réalisations SMCA dans le processus de performance et d’évaluation de l’organisme;
— intégration des rôles, obligations de rendre compte, responsabilités et pouvoirs SMCA au sein des
descriptifs de postes et de la définition des qualifications de l’organisme;
— participation active d’utilisateurs au titre de l’activité et de la direction générale à des répétitions,
des exercices et des tests.
Il convient que l’organisme exige des contractants travaillant pour son compte d’apporter la preuve que
la ou les personnes effectuant le travail sous leur contrôle ont les compétences requises pour le SMCA et
pour les rôles de réponse qu’elles seront amenées à exercer.

ISO 22313:2020(F)

7.3 Sensibilisation (prise de conscience)

Il convient que l’organisme s’assure que tous les employés travaillant sous son contrôle (par exemple: le
personnel, les contractants, les fournisseurs) aient conscience de la politique de continuité d’activité et
des objectifs de continuité d’activité de l’organisme, ainsi que des points suivants:
— la manière de réduire la vraisemblance des perturbations et leur rôle dans la détection des incidents,
leur réduction, l’autoprotection, l’évacuation, la réponse, la continuité et le rétablissement;
— l’importance de la conformité à la politique et aux procédures de continuité d’activité;
— les dépendances à l’égard des fournisseurs et partenaires externes et tout risque associé aux
objectifs d’activité;
— les implications des changements dans le fonctionnement de l’organisme;
— leur contribution à l’efficacité du SMCA, y compris les bénéfices d’une amélioration de la continuité
d’activité;
— leur rôle et leur responsabilité pour respecter la conformité à ces exigences.
Il convient que l’organisme construise, promeuve et enracine le management de la continuité d’activité
dans la culture de l’organisme pour que:
— il devienne partie intégrante des valeurs centrales et du management de l’organisme;
— les parties intéressées aient conscience de la politique de continuité d’activité et de leur rôle dans les
procédures associées.
Un organisme ayant un management de la continuité d’activité enraciné dans sa culture:
— développera la continuité d’activité plus efficacement;
— inspirera confiance à ses parties intéressées (notamment le personnel et les clients) dans sa capacité
à gérer des perturbations;
— augmentera sa résilience au fil du temps en assurant que les implications sur la continuité d’activité
sont considérées dans les décisions prises à tous les niveaux;
— réduira la vraisemblance et l’impact des perturbations.
L’enracinement du management de la continuité d’activité dans la culture de l’organisme est supporté par:
— l’implication de l’ensemble du personnel de l’organisme;
— un leadership réparti sur tout l’organisme;
— l’attribution de responsabilités;
— un mesurage basé sur des indicateurs de performance;
— l’intégration de la continuité d’activité dans les pratiques de management normales;
— une meilleure sensibilisation (prise de conscience);
— la formation aux compétences;
— les exercices sur les plans de continuité d’activité.
Un programme de sensibilisation (prise de conscience) peut comprendre:
— un processus de consultation du personnel dans tout l’organisme pour l’installation et le pilotage du
management de la continuité d’activité;


— la discussion de la continuité d’activité dans les bulletins d’information, les séances de briefing,
le programme d’introduction ou le magazine de l’organisme (y compris le dossier d’accueil des
nouveaux embauchés);
— l’inclusion de la continuité d’activité dans les pages internet pertinentes;
— l’inclusion du management de la continuité d’activité comme sujet des réunions d’équipe du
personnel et du management;
— la publication sélective de rapports post-incidents à la suite d’incidents;
— des séances de briefing à l’intention de la direction générale;
— des visites de lieux alternatifs désignés (par exemple, un site de rétablissement);
— des communications régulières avec les fournisseurs pour s’assurer qu’ils comprennent les exigences
de continuité d’activité de l’organisme et peuvent démontrer leur capacité à répondre aux exigences
de continuité convenues.
Les changements dans l’environnement de l’activité et les opérations affectent l’approche et la manière
de planifier, concevoir et mettre en œuvre les activités de continuité d’activité. L’organisme peut
démontrer sa sensibilisation (prise de conscience) aux tendances du management de la continuité
d’activité, par exemple en participant activement aux activités relatives à la continuité d’activité du
secteur, pouvant comprendre:
— l’adhésion à un groupe d’intérêt du secteur;
— l’adhésion à un comité d’organisation de conférences;
— des présentations lors de conférences et de séminaires;
— la participation à des conférences locales ou internationales sur la continuité d’activité.
7.4 Communication
Il convient que l’organisme détermine les communications pertinentes pour le SMCA:
Les communications pertinentes pour le SMCA permettent à l’organisme de répondre aux besoins et
attentes des parties intéressées (voir 4.2). Pour que la communication soit efficace, il convient que
l’organisme détermine et, le cas échéant, établisse des critères pour déterminer:
a) sur quoi il communiquera: la communication concernant le SMCA peut s’avérer nécessaire, suivant
la nature de l’organisme et de la situation. Certains organismes, par exemple, ont des obligations
réglementaires ou juridiques à communiquer;
b) quand il convient que la communication ait lieu: il peut y avoir des seuils au-delà desquels il devient
impératif que l’organisme communique, et le contexte de l’organisme peut imposer la fréquence à
laquelle il convient que la communication ait lieu;
c) avec qui il communiquera: toutes les parties intéressées exigeront de communiquer de temps à
autre; il est donc important de déterminer, pour chacune des parties intéressées, les circonstances
dans lesquelles la communication sera nécessaire et les priorités de communication;
d) les moyens de communication: déterminer à l’avance les méthodes, outils et voies de communication,
y compris alternatifs, permettra à l’organisme de communiquer efficacement;
e) les personnes qui effectuent la communication: il convient que l’organisme identifie des porte-
parole pour représenter l’organisme, et désigne des personnes spécifiques comme points de contact
pour la communication.
L’organisme peut inclure des références à son SMCA et des dispositions en matière de continuité
d’activité dans les bulletins et séances de briefing de ses clients et fournisseurs.

ISO 22313:2020(F)

Il convient que l’organisme fournisse une communication externe efficace dans le cadre de
son programme de sensibilisation (prise de conscience) (voir 7.3) et lors de la réponse à un
incident (voir 8.4.4).
7.5 Informations documentées
Les informations documentées requises par ISO 22301 fournissent la preuve de la conformité aux
exigences et du fonctionnement efficace du système de management.
Le terme de «procédure» désigne une manière spécifiée d’effectuer une activité ou de dérouler
un processus. Une «procédure documentée» signifie qu’il convient que la procédure soit établie et
maintenue sur un support approprié.
Un seul document peut traiter des exigences relatives à une ou plusieurs procédures documentées.
L’exigence relative à une procédure documentée peut être couverte par plus d’un document.
Les informations documentées comprennent:
— la compréhension de l’organisme et de son contexte (voir 4.1);
— les exigences réglementaires et juridiques (voir 4.2.2);
— le domaine d’application du SMCA et toutes les exclusions (voir 4.3);
— la politique (voir 5.2);
— les objectifs de continuité d’activité et la planification pour les atteindre (voir 6.2);
— les compétences (voir 7.2);
— le bilan d’impact sur l’activité et l’appréciation du risque (voir 8.2);
— les stratégies et solutions de continuité d’activité (voir 8.3);
— les plans et procédures de continuité d’activité (voir 8.4);
— le programme d’exercices (voir 8.5);
— la surveillance, le mesurage, l’analyse et l’évaluation (voir 9.1);
— les audits internes (voir 9.2);
— la revue de direction (voir 9.3);
— les non-conformités et actions correctives (voir 10.1).
De plus, des informations documentées couvrant les informations suivantes peuvent être requises pour
assurer l’efficacité du SMCA:
— contrats commerciaux avec les clients et niveaux de service;
— résultats des bilans d’impact sur l’activité;
— résultats des appréciations de risque;
— détermination et sélection de solutions de continuité d’activité;
— vue d’ensemble de la réponse aux incidents;
— programme de sensibilisation (prise de conscience);


— communications sur le SMCA et les incidents, avec le personnel et les parties intéressées, telles que
bulletins d’information, notes de réunion et alertes;
— programmes de formation pour l’organisme et les individus;
— planning d’exercices;
— contrats et accords sur les niveaux de services avec les fournisseurs;
— politique et plans de continuité d’activité des contractants et fournisseurs, y compris des preuves du
suivi de risque de leurs fournisseurs, et des preuves que les plans de continuité de leurs fournisseurs
sont maintenus et appliqués;
— notification des contractants et fournisseurs et procédures de réponse;
— preuve des inspections, de la maintenance et de l’étalonnage;
— rapports post-incidents et quasi-incidents;
— notes de réunion de la revue du SMCA.
7.5.2 Création et mise à jour
Afin de se conformer aux exigences pour la création et la mise à jour des informations documentées:
— il convient que toutes les informations documentées soient clairement identifiables (par exemple:
nom, numéro de référence, description, date, auteur, version);
— il convient que l’organisme spécifie les formats qui soient acceptables (par exemple: langue, version
de logiciel, graphiques) et les supports pouvant être utilisés pour le stockage des informations
documentées (par exemple: papier, électronique);
— il convient que le format et les supports utilisés soient revus et approuvés en matière d’adéquation
et de pertinence.
L’étendue des informations documentées pour le SMCA peut varier d’un organisme à l’autre en raison
des facteurs suivants:
— la taille de l’organisme, ses produits et services, ainsi que le type d’activités qu’elle exerce;
— la complexité des activités et leurs interactions;
— les compétences des personnes.
7.5.3 Maîtrise des informations documentées
7.5.3.1 Accès aux informations documentées
Il convient que toutes les informations documentées soient maîtrisées.

Le but de maîtriser la documentation est d’assurer que les organismes créent, maintiennent et protègent
les documents d’une manière appropriée et suffisante pour mettre en œuvre et faire fonctionner le
SMCA. Il convient que l’accent soit mis sur ce but plutôt que sur l’établissement d’un système de contrôle
documentaire complexe.
Des exemples de protection comprennent la prévention de la compromission des documents, de leur
modification sans autorisation appropriée et de leur destruction accidentelle.
Il existe divers niveaux d’accès et combinaisons pouvant être accordés (par exemple: «uniquement pour
consultation», «consultation et modification», «consultation restreinte»). Il peut également s’avérer
approprié que l’organisme classe ses informations documentées selon le niveau de sensibilité (par
exemple: restreint, confidentiel, protégé). Une telle classification peut, par exemple, être nécessaire

ISO 22313:2020(F)

dans le cas de solutions de continuité d’activité ayant trait aux perturbations internes du travail, ou
lorsque les plans et procédures de continuité d’activité contiennent des informations sensibles sur le
plan de la concurrence.
7.5.3.2 Types de moyens de maîtrise
Il convient qu’une procédure documentée soit établie afin de définir les moyens de maîtrise
nécessaires pour:
— distribuer les informations documentées;
— leur donner accès (l’accès comprend, par exemple, les permissions et autorité pour consulter ou
modifier les informations documentées);
— approuver les documents quant à leur pertinence avant leur émission;
— passer en revue et mettre à jour lorsque nécessaire, et approuver de nouveau les documents;
— s’assurer que les changements et l’état de révision en cours des documents sont identifiés;
— assurer la disponibilité sur les lieux d’utilisation des versions pertinentes de tous les documents
applicables;
— s’assurer que les documents restent lisibles et facilement identifiables;
— s’assurer que les documents d’origine externe, considérés par l’organisme comme nécessaires à la
planification et au fonctionnement du SMCA, sont identifiés et que leur diffusion est maîtrisée;
— prévenir l’utilisation non intentionnelle de documents obsolètes, et les identifier de manière
adéquate s’ils sont conservés dans un but quelconque;
— établir des paramètres de conservation et d’archivage des documents;
— assurer la protection et la non-divulgation des informations confidentielles.
Il convient que les organismes assurent l’intégrité des informations documentées en les rendant
inviolables, en les sauvegardant en toute sécurité, en les rendant accessibles au seul personnel autorisé
et en les protégeant contre les dommages, détériorations et pertes.
Il convient que l’organisme démontre une sensibilisation (prise de conscience) à toutes les
réglementations et obligations juridiques pertinentes concernant la conservation des informations
documentées et qu’il conserve les preuves de conformité.
8 Fonctionnement
8.1 Planification et maîtrise opérationnelles
Il convient que l’organisme détermine, planifie, mette en œuvre et maîtrise les processus nécessaires
pour établir et maintenir le management de la continuité d’activité qui satisfasse aux exigences
applicables (voir Article 4) et qu’il mette en œuvre les actions définies en 6.1.
Il convient d’intégrer ces processus aux processus d’activité de l’organisme afin d’assurer qu’ils sont
gérés de façon appropriée et que leur efficacité est maintenue.
Il convient que l’organisme établisse des mécanismes de maîtrise comprenant ce qui suit:
a) décider comment définir, planifier, mettre en œuvre et maîtriser ces processus (par exemple, en
établissant un plan de mise en œuvre et en convenant d’une méthodologie convenable de mise en
œuvre et de maintenance du management de la continuité d’activité);


b) assurer que les moyens de maîtrise de ces processus sont mis en œuvre en accord avec les décisions
prises, par exemple en définissant des jalons de projet et en spécifiant les livrables requis;
c) conserver les informations documentées pour démontrer que les processus ont bien été réalisés
comme prévu.
Il convient que l’organisme assure que les changements planifiés sont maîtrisés, que les changements
non intentionnels sont passés en revue et qu’une action appropriée est mise en place.
Il convient que l’organisme s’assure que les processus externalisés et la chaîne d’approvisionnement
sont maîtrisés (voir 8.3.4.9).
8.1.2 Management de la continuité d’activité
Les éléments du management de la continuité d’activité, tels qu’illustrés à la Figure 5, sont les suivants:
a) planification et maîtrise opérationnelles (voir 8.1): l’efficacité de la planification et de la maîtrise
opérationnelles est au cœur du management de la continuité d’activité. Il convient que cet élément
soit piloté par une personne responsable, nommée par la direction générale;
b) bilan d’impact sur l’activité et appréciation du risque (voir 8.2): le bilan d’impact sur l’activité
permet à l’organisme d’apprécier l’impact qu’une perturbation des activités aurait sur la livraison
des produits et la fourniture des services. Il permet à l’organisme de définir un ordre de priorité
pour la reprise des activités.
La compréhension des risques de perturbation sur ces activités prioritaires permet à l’organisme
de les gérer.
Le résultat du bilan d’impact sur l’activité et de l’appréciation du risque permet à l’organisme de
définir les paramètres appropriés pour ses stratégies et solutions de continuité d’activité;
c) stratégies et solutions de continuité d’activité (voir 8.3): l’identification et l’évaluation d’une
gamme de stratégies de continuité d’activité permettent à l’organisme d’identifier des solutions
pour réduire les risques, d’atténuer l’impact d’une interruption des activités prioritaires, et de faire
face à toute perturbation ayant lieu. Les solutions de continuité d’activité sélectionnées assureront
la reprise de la livraison des produits et de la fourniture des services avec une capacité acceptable
(niveau de production ou de service) et dans les délais convenus;
d) plans et procédures de continuité d’activité (voir 8.4): les plans et procédures de continuité d’activité
permettent à l’organisme de gérer une perturbation et de poursuivre les activités sur la base de ses
exigences de continuité d’activité. Il convient de disposer d’une structure de réponse définie qui
identifie les équipes ayant la responsabilité de répondre aux perturbations (voir 8.4.2). Il convient
que l’organisme établisse et mette en œuvre des plans et des procédures pour l’avertissement et la
communication (voir 8.4.3), la réponse aux incidents (voir 8.4.4.2.2), et le rétablissement (retour à
la normale; voir 8.4.5);
e) programme d’exercices (voir 8.5): un programme d’exercices permet à l’organisme de valider
l’efficacité des solutions, plans et procédures mis en place. Il offre également à l’organisme des
opportunités pour:
1) promouvoir la sensibilisation (prise de conscience) du personnel et le développement des
compétences;
2) s’assurer que ses plans et procédures de continuité d’activité sont complets, actuels et
appropriés;
3) améliorer sa continuité d’activité;
f) évaluation de la documentation et des capacités de continuité d’activité (voir 8.6): il convient que
l’organisme évalue son management de la continuité d’activité pour s’assurer qu’il est efficace et
qu’il lui permet d’atteindre ses objectifs de continuité d’activité.

ISO 22313:2020(F)

Figure 5 — Éléments de management de la continuité d’activité
8.1.3 Maintien de la continuité d’activité
Le maintien efficace de la continuité d’activité inclut:

— le fait d’assurer la pertinence permanente du domaine d’application, des rôles et des responsabilités
concernant la continuité d’activité;
— la promotion et l’enracinement du management de la continuité d’activité au sein de l’organisme et
des autres parties intéressées, le cas échéant;
— la gestion des coûts associés à la continuité d’activité;
— l’établissement et la surveillance de la gestion des changements et des régimes de gestion des
successions au sein du SMCA;
— la mise en place ou l’offre d’une formation et d’une sensibilisation (prise de conscience) appropriées
du personnel;
— la maintenance d’une documentation du programme appropriée à la taille et à la complexité de
l’organisme.
Il convient que chaque composante des dispositions de continuité d’activité de l’organisme, y compris
la documentation, soit régulièrement passée en revue, fasse l’objet d’exercices et soit mise à jour. Il
convient que ces dispositions soient également passées en revue et mises à jour à chaque changement
significatif dans l’environnement opérationnel de l’organisme, la structure, les lieux, le personnel, les
processus ou la technologie, ou lorsqu’un exercice ou un incident révèle des défaillances.
L’organisme peut adopter une méthode de gestion de projet reconnue afin d’assurer une gestion efficace
du management de la continuité d’activité.
Les techniques destinées à s’assurer que la continuité d’activité reste efficace comprennent:
— la mise en œuvre de bonnes pratiques;
— l’administration du programme d’exercices;


— la coordination de la revue et de la mise à jour régulières de la continuité d’activité, y compris la

revue ou le renouvellement du bilan d’impact sur l’activité et de l’appréciation du risque;
— l’assurance que les procédures de continuité d’activité restent appropriées aux besoins des équipes
de réponse.
8.2 Bilan d’impact sur l’activité et appréciation du risque
Un organisme atteint son but lorsqu’il livre ses produits et fournit ses services à ses clients. Il est donc
important de créer une compréhension de l’impact négatif dans le temps qu’une perturbation sur la
livraison de ces produits et la fourniture de ces services (et des activités qui les supportent) aurait sur
l’organisme et les parties intéressées. Il est également important de comprendre les interrelations et
les exigences de ressources des activités qui supportent les produits et services, ainsi que les menaces
auxquelles elles sont soumises.
Il convient que l’organisme mette en œuvre et maintienne des processus permettant d’analyser
systématiquement les impacts sur l’activité (voir 8.2.2) et d’apprécier les risques de perturbation
(voir 8.2.3); les résultats de ces processus permettent à l’organisme d’identifier les stratégies et
solutions de continuité d’activité (voir 8.3). Il convient que le bilan d’impact sur l’activité et l’appréciation
du risque soient passés en revue à des intervalles planifiés et lorsque des changements significatifs
interviennent au sein de l’organisme ou dans le contexte dans lequel il opère.
Il appartient à l’organisme de déterminer l’ordre dans lequel le bilan d’impact sur l’activité et l’appréciation
du risque sont effectués, à condition que les risques pour ses activités prioritaires (voir 8.2.3) soient
appréciés.
8.2.2 Bilan d’impact sur l’activité
Un bilan d’impact sur l’activité permet à l’organisme de définir des priorités pour la reprise des
activités qui ont été perturbées. Il a pour principal objet de permettre à l’organisme d’identifier et de
classer comme «prioritaires» toutes les activités pouvant nécessiter une action urgente quand elles
ont été perturbées, car le manque d’une reprise rapide pourrait entraîner des niveaux d’impact négatif
inacceptables. Il est possible que des activités, autres que celles demandant un rétablissement rapide,
nécessitent d’être priorisées. Par exemple, une activité qui ne nécessite pas d’être reprise pendant six
mois, mais dont la reprise prend au minimum huit mois, devrait être priorisée. Les activités prioritaires
peuvent donc également être considérées comme des activités exigeant la mise en œuvre de solutions
de continuité d’activité avant d’être perturbées (voir 8.3.5).
Le présent document utilise le terme «activité prioritaire» mais les organismes peuvent utiliser leurs
propres termes, délais ou ordres de priorité. «Critique», «essentiel», «vital» et «clé» sont des exemples
de termes. «0 à 2 heures», «0 à 1 jour» et «1 à 3 jours» sont des exemples de délais. «Haute», «moyenne»
et «faible» ou «1ère», «2ème» et «3ème» sont des exemples de priorités.
Chaque organisme décrit comment il fonctionne à sa manière. Par exemple, un organisme peut décrire
ses activités comme étant des tâches ou ensembles de tâches réalisées par l’organisme dans le but de
produire ou livrer ses produits et fournir ses services (voir Figure 6). D’autres organismes peuvent
choisir de décrire les produits et services comme étant créés par des processus composés d’activités.
Il convient que le bilan couvre toutes les activités relevant du domaine d’application du SMCA. Il est
admis de réaliser ce bilan sur des groupes d’activités, par exemple concernant des produits et services
spécifiques (voir Figure 6).
Lors de la conduite du bilan d’impact sur l’activité, il convient que la terminologie utilisée reflète la
manière dont l’organisme décrit ses propres activités.

ISO 22313:2020(F)

Figure 6 — Compréhension de l’organisme
L’ISO/TS 22317 contient des lignes directrices supplémentaires sur la conduite d’un bilan d’impact sur
l’activité. Il s’agit d’une Spécification technique qui présente une démarche par étapes afin de satisfaire
aux exigences de l’ISO 22301.
Le bilan d’impact sur l’activité permet à l’organisme de déterminer les impacts défavorables que des
perturbations pourraient avoir sur ses opérations et de préparer, en conclusion, une déclaration et une
justification des exigences de continuité d’activité.
Le bilan permet également à l’organisme:
— d’obtenir une compréhension de ses produits et services et des activités qui permettent de les livrer/
fournir;
— de déterminer des priorités et des délais pour la reprise de la livraison des produits et de la fourniture
des services;
— d’identifier les ressources susceptibles d’être exigées pour la continuité et le rétablissement;
— d’identifier les dépendances (à la fois internes et externes).
Il convient que le processus de bilan d’impact sur l’activité soit utilisé pour déterminer les priorités et
les exigences de continuité d’activité.
Il convient que le processus comprenne la définition de critères d’évaluation pour le bilan d’impact sur
l’activité, y compris les types d’impact et les délais à prendre en considération. Il convient que ces deux
éléments soient basés sur le contexte, les objectifs d’activité et les buts de l’organisme, et prennent en
considération les besoins des parties intéressées. Il convient que les critères d’évaluation soient passés
en revue régulièrement, et plus fréquemment pendant les périodes de changement.
Les types d’impact (pouvant aussi être appelés «catégories d’impact») peuvent comprendre, par
exemple, ceux du Tableau 4.


Tableau 4 — Exemples de type d’impact

Type Description
Financier Pertes dues à des amendes, des pénalités, des pertes de profits ou une
diminution de part de marché
Sur la réputation Opinion négative ou atteinte à l’image de marque
Opérationnel Étendue et durée des perturbations du flux de l’activité
Réglementaire et juridique Contentieux et retrait de licence d’exploitation
Contractuel Rupture de contrats ou d’obligations entre organismes
Sur les objectifs d’activité Échec à atteindre les objectifs ou à tirer parti des opportunités
La durée au bout de laquelle les impacts deviennent inacceptables peut varier de quelques secondes à
plusieurs mois. Les délais dépendront de la sensibilité au temps des produits et services de l’organisme.
Par exemple, il peut être nécessaire que les délais se mesurent en minutes ou en heures pour être
compatibles avec les produits ayant une importante sensibilité au temps. Des délais plus longs seraient
appropriés pour des organismes dont les produits et services sont moins sensibles au temps.
Une perturbation des activités peut avoir un impact indirect sur la livraison des produits et la fourniture
des services. Par exemple, la perte de l’aptitude au paiement des fournisseurs peut porter atteinte
à la réputation de l’organisme et amener les fournisseurs à refuser de fournir des marchandises, ce
qui empêche ensuite de fabriquer les produits ou de fournir les services. Les produits et services sont
également soumis à des variations quotidiennes suivant la demande et peuvent être de nature cyclique.
Il y a souvent des variations saisonnières et des niveaux d’activité plus élevés en lien avec des délais
hebdomadaires, mensuels ou annuels, ou avec des dates de livraison de projets. En tenant compte
des conséquences indirectes et en partant de l’hypothèse que les perturbations se produisent au plus
mauvais moment, on s’assure que les impacts potentiels maximaux sont appréciés.
Il appartient à la direction générale de l’organisme de déterminer les seuils d’impact qui sont
inacceptables pour l’organisme. La durée au terme de laquelle les impacts deviennent inacceptables
peut être désignée sous l’appellation de «durée maximale tolérable de perturbation (DMTP)», «durée
maximale tolérable» ou «délai maximal d’interruption acceptable (DMIA)». Le niveau minimal de
produit ou de service acceptable pour l’organisme peut s’exprimer par «l’objectif minimal de continuité
d’activité (OMCA)».
Il convient que le bilan d’impact sur l’activité comprenne également l’identification des dépendances des
activités prioritaires, permettant à l’organisme de s’assurer qu’elles sont incluses dans l’appréciation du
risque (voir 8.2.3) et sont disponibles pour la détermination des stratégies et des solutions de continuité
d’activité (voir 8.3).
Il convient que l’organisme soit prudent lors de la détermination des exigences de ressources des
activités prioritaires (voir 8.3.4) avant de sélectionner des solutions de continuité (voir 8.3.3), parce
que les dépendances des activités prioritaires peuvent ne pas être pertinentes pour les solutions de
continuité sélectionnées.
Il convient que le processus de bilan d’impact sur l’activité comprenne:
a) la définition des critères d’évaluation pertinents pour le contexte de l’organisme, y compris:
1) les types d’impact;
2) les délais;
b) l’identification des activités qui supportent la livraison des produits et la fourniture des services de
l’organisme;
c) l’utilisation des critères d’évaluation pour apprécier les impacts anticipés dans le temps, résultant
de la perturbation de ces activités;
d) l’estimation de la durée au cours de laquelle les impacts d’une non-reprise des activités
deviendraient inacceptables;

ISO 22313:2020(F)

e) l’établissement de délais au cours de la durée identifiée en d) ci-dessus pour la reprise des activités,
aux capacités minimales acceptables spécifiées (voir Figures 2 et 3);
f) l’identification des activités prioritaires;
g) l’identification des dépendances des activités prioritaires, y compris les personnes (voir 8.3.4.2), les
informations et données (voir 8.3.4.3), les bâtiments, espaces de travail et installations associées
(voir 8.3.4.4), les équipements et consommables (voir 8.3.4.5), les systèmes TIC (voir 8.3.4.6), le
transport et la logistique (voir 8.3.4.7), les aspects financiers (voir 8.3.4.8), ainsi que les partenaires
et la chaîne d’approvisionnement (voir 8.3.4.9);
h) l’identification des interdépendances entre les activités prioritaires (par exemple: les achats
dépendent du déblocage de fonds par le service financier).
Dans le présent document, le délai de reprise d’une activité [voir e) ci-dessus] est désigné par le terme
«objectif de délai de rétablissement (RTO)» d’une activité. L’établissement du RTO d’une activité peut
également nécessiter de prendre en compte:
— les dépendances par rapport aux activités associées;
— la complexité du processus de rétablissement.
Pour les organismes ayant des processus de rétablissement complexes, il peut être approprié de fixer
des RTO multiples pour une gamme de capacités acceptables.
Pour la prise en considération de la dépendance des activités par rapport aux informations et aux
données, il convient que l’organisme s’assure que les informations et données requises pour la reprise
d’une activité soient à jour. L’organisme peut utiliser le terme «objectif de point de rétablissement (OPR)»
à cette fin. L’OPR est le point à partir duquel les informations et données utilisées par une activité
sont restaurées afin de permettre son fonctionnement à la reprise. L’OPR peut également servir à
déterminer la fréquence des sauvegardes nécessaires pour éviter une perte inacceptable de données et
d’informations, ainsi que d’autres tâches en cours, susceptible d’empêcher la reprise d’une activité.
L’ISO/IEC 27031 donne des lignes directrices supplémentaires pour assurer l’actualité des données
conservées sous forme électronique. L’ISO/IEC 27002 donne des lignes directrices sur la manière
d’assurer la confidentialité, l’intégrité et la disponibilité permanentes des données.
Il convient que le bilan d’impact sur l’activité soit documenté, y compris:
— l’identification des exigences (obligations) réglementaires, juridiques et contractuelles et de leur
effet sur les exigences de continuité d’activité (voir 4.2.2);
— l’entérinement ou la modification du domaine d’application du SMCA de l’organisme (voir 4.3);
— l’évaluation des impacts sur l’organisme dans le temps, comme justification pour les exigences de
continuité d’activité (temps et capacité);
— l’identification des relations entre les produits et services, les activités et les ressources;
— l’identification des ressources de support dont les activités prioritaires dépendent;
— l’identification des dépendances vis-à-vis des autres activités, chaînes d’approvisionnement,
partenaires et autres parties intéressées.
Ces informations peuvent provenir:
— d’entretiens;
— de questionnaires;
— d’ateliers;
— d’autres sources internes et externes.


8.2.3 Appréciation du risque

NOTE Les lignes directrices de ce paragraphe se rapportent aux risques des activités prioritaires perturbées.
Le paragraphe 6.1 donne des lignes directrices relatives à l’efficacité du SMCA.
L’objectif de l’appréciation du risque est de permettre à l’organisme d’apprécier les risques que les
activités prioritaires soient interrompues, de manière qu’il puisse engager les actions appropriées pour
faire face à ces risques.
Il convient que l’organisme mette en œuvre et maintienne un processus formel d’appréciation du risque,
qui identifie, analyse et évalue systématiquement le risque de perturbation des activités prioritaires
de l’organisme et des processus, systèmes, informations, personnes, actifs, fournisseurs et autres
ressources les supportant.
L’appréciation du risque est un processus structuré pour l’analyse des risques en matière de
vraisemblance et de conséquences avant de décider du futur traitement pouvant être exigé. Ce processus
structuré vise à répondre à un certain nombre de questions fondamentales, telles que les suivantes:
— Que peut-il se passer?
— Quelle est la vraisemblance que cela se produise?
— Quelles pourraient être les conséquences?
— Existe-il quelque chose qui puisse en réduire les conséquences ou la vraisemblance?
Il convient que le processus prenne en considération le contexte de l’organisme et les besoins et attentes
des parties intéressées (voir 4.1 et 4.2).
Il convient que l’organisme ait la compréhension des menaces et vulnérabilités relatives aux ressources
exigées par les activités de l’organisme, notamment:
— les ressources requises par les activités identifiées comme hautement prioritaires;
— lorsque le délai de remplacement pour la ressource est supérieur à l’objectif de délai de rétablissement
de l’activité.
Il convient que l’organisme sélectionne une méthode appropriée pour l’identification, l’analyse et
l’évaluation des risques pouvant conduire à une perturbation. L’ISO 31000 définit les principes du
management des risques et les recommandations associées. Les éléments typiques qu’il convient
d’inclure dans le contexte du présent document sont les suivants:
a) l’identification des risques: les sources potentielles de risque concernant les activités prioritaires
de l’organisme et des processus, systèmes, données, personnes, actifs, fournisseurs et autres
ressources les supportant. Celles-ci peuvent provenir:
1) de menaces spécifiques, pouvant à un certain point perturber les activités et les ressources
(par exemple: incendie, inondations, panne d’électricité, perte de personnel, absentéisme du
personnel, virus informatiques, pannes matérielles);
2) de perturbations pouvant être imputées à des vulnérabilités au sein des ressources (par
exemple: points de défaillance uniques, inadéquations dans la protection anti-incendie,
manque de résilience électrique, niveaux d’effectifs inadéquats, mauvaise sécurité, résilience
informatiques);
b) l’analyse des risques: une compréhension du risque pour qu’il puisse être évalué, et que le traitement
le plus adapté puisse être déterminé. Il convient que l’analyse implique:
1) la prise en considération des causes et sources du risque, de la vraisemblance des conséquences
aussi bien positives que négatives, et de l’effet que les autres facteurs pourraient avoir sur la
vraisemblance;

ISO 22313:2020(F)

2) la détermination des risques, basée principalement sur leur vraisemblance et les conséquences
anticipées, mais également la prise en compte de l’efficacité et de l’efficience des moyens de
maîtrise existants.
Un paramètre clé de l’analyse est la vraisemblance, et il convient donc que la confiance en sa validité
(basée sur la divergence d’opinion entre les experts, l’incertitude, la disponibilité, la qualité, la
quantité et la pertinence permanente des informations, ou les limites des modélisations) soit prise
en considération et portée à l’attention des décideurs et autres parties intéressées.
L’analyse peut être qualitative, semi-quantitative ou quantitative;
c) l’évaluation des risques: une évaluation déterminant quels risques liés à une perturbation doivent
être traités. Il convient de mettre l’accent sur les ressources exigées par les activités à priorité
élevée ou ayant un délai de remplacement significatif.
Il convient que l’organisme ait conscience de toutes les obligations financières, juridiques/réglementaires
ou gouvernementales exigeant la communication de ces résultats. De plus, certains besoins sociétaux
peuvent également justifier un partage de ces informations à un niveau de détail approprié.
8.3 Stratégies et solutions de continuité d’activité
Les stratégies de continuité d’activité sont les voies possibles pour que l’organisme satisfasse à ses
exigences de continuité d’activité.
— Il convient que les stratégies de continuité d’activité comprennent au moins une solution de
continuité d’activité, mais elles peuvent exiger plusieurs solutions pour satisfaire aux exigences de
continuité d’activité.
— Les solutions de continuité d’activité comprennent les approches, dispositions, méthodes,
procédures, traitements et actions pouvant être mis en place pour appliquer les stratégies d’activité.
Les solutions peuvent être utilisées pour plus d’une stratégie.
Les stratégies et solutions de continuité d’activité:
a) permettent à l’organisme de reprendre les opérations d’activité dans les délais requis et avec une
capacité acceptable;
b) identifient les capacités que l’organisme peut mettre en œuvre et améliorer dans la durée pour
atténuer les risques liés aux perturbations.
Il convient que l’identification des stratégies de continuité d’activité et la sélection de solutions de
continuité d’activité soient basées sur le bilan d’impact sur l’activité (voir 8.2.2) et l’appréciation du
risque (voir 8.2.3), en prenant en considération les coûts associés.
Il convient que l’organisme ait en place des procédures pour identifier et sélectionner les stratégies
et solutions de continuité d’activité, comprenant le passage en revue et l’approbation des solutions
recommandées. Il convient que l’organisme considère des options pouvant être mises en œuvre avant,
pendant et après une perturbation.
8.3.2 Identification des stratégies et solutions
8.3.2.1 Généralités
La plupart des stratégies exigent une ou plusieurs solutions mais, pour certaines activités de
l’organisme, l’absence d’action ou le report de la reprise peuvent être des stratégies acceptables.
Par exemple, une stratégie de relocalisation pour la reprise des activités peut être composée d’un
certain nombre de solutions comprenant le «transport d’urgence», le «réacheminement du réseau»


et le «remplacement du personnel». Ces solutions peuvent également faire partie de la stratégie de

«prolongement des heures de travail».
De même, une stratégie de production pour protéger les activités prioritaires peut, par exemple, être
composée d’un certain nombre de solutions comprenant le «transfert de 30 % de la production du
Produit A du Site A au Site B» ou le «partage de la production du Produit A entre le Site C et le Site D».
Pour s’assurer que la perturbation ne nuit pas au fonctionnement des plans de continuité d’activité
(voir 8.4.4), il peut être nécessaire que l’organisme prenne des précautions, par exemple en séparant
sur de multiples lieux les équipes et les systèmes TIC rétablis. Il n’est cependant pas toujours possible
d’effectuer une séparation totale pour toutes les tailles et tous les types de perturbations, et il peut être
nécessaire d’identifier les limitations et d’en convenir avec la direction générale. Les limitations peuvent
être exprimées en termes de distance, d’effectif minimum ou de sévérité, et peuvent être influencées
par la réponse des organismes publics à des perturbations sévères ou étendues.
Il convient que l’organisme identifie les stratégies et les solutions appropriées pour:
— protéger les activités prioritaires;
— stabiliser, poursuivre, reprendre et rétablir les activités prioritaires;
— atténuer les impacts, y répondre et les gérer.
Il convient que l’organisme ait en place un mécanisme pour déterminer et sélectionner les stratégies
et les solutions de continuité d’activité, incluant l’approbation et la mise en œuvre des solutions
recommandées (voir 8.3).
L’ISO/TS 22331 donne des lignes directrices supplémentaires sur la détermination et la sélection de
stratégies et de solutions de continuité d’activité.
8.3.2.2 Protection des activités prioritaires
La protection des activités prioritaires peut être obtenue:

— en réduisant le risque que les activités soient impactées par une perturbation;
— en transférant les activités à une tierce partie (bien que la responsabilité reste au sein de l’organisme).
Sinon, il peut être possible de changer la manière de réaliser les activités si des alternatives viables sont
disponibles.
Lors de l’identification des stratégies et solutions pour protéger les activités prioritaires, il convient
que l’organisme considère:
— la vulnérabilité perçue pour l’activité et les impacts qui pourraient en résulter si l’activité devait
s’arrêter;
— le coût des mesures par rapport aux bénéfices escomptés;
— l’urgence de l’activité, dans la mesure où il y a moins de temps pour résoudre le problème;
— la faisabilité et l’adéquation globales.
8.3.2.3 Stabilisation, poursuite, reprise et rétablissement des activités prioritaires
L’établissement de RTO pour la reprise des activités prioritaires à la capacité convenue permet à
l’organisme d’identifier les stratégies pour raccourcir la période d’interruption, réduire les impacts et
permettre le rétablissement en temps utile des activités prioritaires.
Pour s’assurer que les activités prioritaires peuvent reprendre dans leurs RTO, il convient que des RTO
compatibles soient également définis pour les dépendances et les ressources de support. Il convient que
les organismes déterminent également les capacités auxquelles il est nécessaire que les dépendances et

ISO 22313:2020(F)

ressources de support soient reprises. Lors de la définition de ces RTO, l’organisme peut avoir besoin de
considérer:
— la possibilité de fournir un service différent, jusqu’au point où la reprise complète est exigée;
— de s’assurer que les employés sont mobilisés de manière efficace;
— d’offrir ses encouragements et son soutien aux employés retournant au travail au moment nécessaire;
— les contournements (tels que les processus manuels) qui diffèrent le besoin pour reprendre la
dépendance vis-à-vis de ressources de support;
— les retards et le temps nécessaire pour rétablir les informations perdues;
— la complexité et l’ampleur des exigences de rétablissement, ou le besoin d’équipements spécialisés
s’accompagnant d’un long délai de livraison.
Les stratégies de continuité d’activité peuvent comprendre ce qui suit:
a) la relocalisation d’activité: transfert de tout ou partie des activités, soit en interne vers une autre
partie de l’organisme, soit à l’extérieur vers une tierce partie, indépendamment ou via un accord
d’assistance réciproque ou mutuel. Lors de la détermination des lieux où reprendre l’activité,
il convient que les sites endommagés/affectés et des sites alternatifs non endommagés soient
considérés;
b) la relocalisation ou la réallocation de ressources: ressources, notamment du personnel, transférées
vers un autre site ou une autre activité au sein de l’organisme, ou à l’extérieur vers une tierce partie;
c) les processus alternatifs et la capacité de réserve: établissement de processus alternatifs ou
création de capacité de redondance/réserve dans les processus et/ou les stocks;
d) la solution provisoire de contournement: certaines activités peuvent adopter une manière de
travailler différente, donnant des résultats acceptables pendant un temps limité. Il est probable que
la solution de contournement prendra plus de temps et demandera plus de travail (par exemple:
une opération manuelle par rapport à un système automatisé). C’est pourquoi les solutions de
contournement ne conviennent généralement que pour de courtes périodes de temps ou pour
différer un retour à la normale.
Des exemples de stratégies comprennent:
— la fourniture d’une capacité de réserve de production sur un lieu alternatif;
— la fourniture d’une capacité de travail à distance pour le personnel clé.
8.3.2.4 Atténuer les impacts, y répondre et les gérer
Les stratégies pour atténuer les impacts d’une perturbation, y répondre et les gérer peuvent comprendre
ce qui suit.
a) L’assurance: l’achat d’une assurance peut fournir une compensation financière pour certaines
pertes, mais ne remboursera pas tous les frais (par exemple: les risques non assurés, la marque,
la réputation, la valeur des parties intéressées, la part de marché, les conséquences humaines). Un
dispositif financier ne suffira pas à lui seul à complètement protéger l’organisme et satisfaire les
attentes des parties intéressées. La couverture d’assurance est plus vraisemblablement à utiliser
en association avec d’autres solutions.
b) La restauration des actifs: passation de contrat pour des services d’astreinte de sociétés spécialisées
dans le nettoyage ou la réparation d’actifs après un dommage.
c) La gestion de la réputation: développer une capacité efficace d’avertissement et de
communication (voir 8.4.3) et établir des procédures de communication efficaces sur les
incidents (voir 8.4.4.5).


Pour les risques identifiés exigeant un traitement et en ligne avec l’attitude globale face au risque, il
convient que l’organisme considère des moyens de réduire la vraisemblance, raccourcir la durée et
limiter les impacts d’une perturbation.
S’il y a un danger spécifique sur lequel l’organisme n’a pas de maîtrise et qui pourrait entraîner des
perturbations significatives pour cet organisme (par exemple: tremblement de terre ou inondation), il
convient que l’organisme, le cas échéant:
— identifie des stratégies et mette en œuvre des solutions pour limiter son impact potentiel;
— identifie l’organisme extérieur responsable de la surveillance du danger;
— contacte l’organisme extérieur pour comprendre ses protocoles de notification;
— analyse les protocoles de notification pour déterminer s’ils sont en ligne avec les besoins de
l’organisme.
8.3.3 Sélection des stratégies et solutions
Il convient que la sélection des stratégies de continuité d’activité soit basée sur la mesure dans
laquelle elles:
a) permettent de reprendre les activités prioritaires à la capacité convenue, dans les délais identifiés
lors du bilan d’impact sur l’activité (voir 8.2.2);
b) se rapportent au niveau et au type de risque que l’organisme peut prendre ou non;
c) procurent des avantages à des coûts gérables et raisonnables.
Il convient que l’organisme réexamine toutes les solutions lorsque des changements sont apportés au
fonctionnement de l’organisme.
Les solutions de continuité d’activité pour stabiliser, poursuivre, reprendre et rétablir une activité
prioritaire peuvent souvent représenter un coût prohibitif. Si l’organisme estime que c’est le cas, il
convient soit de sélectionner des solutions alternatives qui sont acceptables et satisfont aux objectifs
de continuité d’activité, soit de traiter les produits et services affectés en les excluant du domaine
d’application du SMCA, conformément à 4.3.3.
Lorsque l’organisme estime qu’une menace est extrêmement improbable ou que le coût de protection
d’une activité prioritaire est démesurément élevé, il peut choisir d’accepter le risque et de le réévaluer
dans le cadre de son évaluation de la performance du SMCA actuel (voir Article 9). L’acceptation du
risque peut également exiger le retrait des produits ou services en question du domaine d’application
du SMCA.
8.3.4 Exigences de ressources
Il convient que l’organisme détermine les exigences applicables aux ressources pour mettre en œuvre
les solutions sélectionnées.
Il convient que l’organisme établisse:
— des équipes appropriées ou, pour les organismes plus petits, des individus ayant l’autorité appropriée
pour superviser l’état de préparation, de réponse et de rétablissement en ce qui concerne les
incidents;
— des capacités et des procédures logistiques pour localiser, acquérir, stocker, distribuer, maintenir,
soumettre à essai et prévoir les services, le personnel, les ressources, les matériels et les installations
produits ou donnés;

ISO 22313:2020(F)

— les procédures financières, logistiques et administratives pour supporter les dispositions en matière
de continuité d’activité avant, pendant et après un incident. Il convient que ces procédures:
— assurent que les décisions financières peuvent être accélérées;
— soient en accord avec les niveaux d’autorité, la gouvernance et les principes comptables établis;
— les objectifs de gestion des ressources pour les temps de réponse, le personnel, les équipements,
la formation, les installations, le financement, les assurances, le contrôle de la responsabilité, la
connaissance d’expertise, les matériels et les délais au bout desquels chaque élément sera nécessaire
de la part des ressources de l’organisme et des fournisseurs;
— les procédures pour l’assistance d’une partie intéressée, les communications, les alliances
stratégiques et l’aide réciproque ou mutuelle.
8.3.4.2 Personnel
8.3.4.2.1 Généralités
Il convient que l’organisme dispose de personnes possédant les compétences pour répondre aux
incidents et les gérer, ainsi que pour participer à la reprise des activités prioritaires.
8.3.4.2.2 Réponse aux incidents
Il convient que l’organisme nomme du personnel chargé de la réponse aux incidents, doté de la
responsabilité, de l’autorité et des compétences nécessaires pour gérer un incident.
Il convient que le personnel chargé de la réponse aux incidents forme un groupe qui ait la responsabilité
de gérer toute perturbation ayant un impact significatif ou ayant potentiellement un tel impact sur
l’organisme.
Le personnel peut être affecté aux équipes selon la compétence dont il a fait preuve, comme par exemple:
— gestion d’incident/management stratégique (voir 8.4.4.4);
— communications (voir 8.4.4.5);
— sécurité des personnes et bien-être (voir 8.4.4.6);
— sauvetage et sécurité (voir 8.4.4.7);
— reprise des activités (voir 8.4.4.8);
— rétablissement des systèmes TIC (voir 8.4.4.9).
Il convient que tout le personnel faisant partie de ces groupes ait des responsabilités et des autorités
clairement définies qui s’appliquent avant, pendant et après une perturbation.
Les formations appropriées pour le personnel chargé de la réponse aux incidents et du rétablissement
de l’activité comprennent:
— l’appréciation d’incident;
— l’évacuation et la gestion des abris en place, si cela relève du domaine d’application;
— les dispositions sur les sites de travail alternatifs;
— les techniques de traitement efficace des communications internes et externes;
— le traitement des aspects humains (voir ISO/TS 22330).


Il convient que les aptitudes et les compétences en matière de réponse dans l’ensemble de l’organisme
soient développées au moyen de formations pratiques, y compris la participation active aux exercices.
Il convient que les équipes de réponse et de rétablissement reçoivent une formation initiale et une
formation continue sur leurs responsabilités et leurs devoirs, y compris les interactions avec les
premiers intervenants et les autres parties intéressées. Il convient que les équipes soient formées à
intervalles réguliers et que les nouveaux membres soient formés lorsqu’ils rejoignent la structure
de réponse. Il convient aussi que ces équipes reçoivent une formation à la prévention des incidents
susceptibles d’escalade générant des crises.
8.3.4.2.3 Reprise des activités
Il convient que l’organisme identifie les mesures appropriées en vue de maintenir et d’élargir la
disponibilité des compétences et savoirs clés pour permettre la reprise des activités avec une réduction
du personnel disponible. Il est possible que le personnel ne réponde pas comme prévu lors d’un incident,
et ait besoin d’être encouragé, rassuré et soutenu. Il convient que les employés, les contractants et les
autres parties intéressées possédant de larges compétences et savoirs spécialisés soient inclus. Les
techniques pour protéger ou soutenir ces compétences peuvent inclure:
— une liste de spécialistes compétents en réserve et un plan d’appel;
— une formation polyvalente du personnel et des contractants;
— une séparation des compétences clés pour réduire l’impact d’un incident, y compris la séparation
physique du personnel ayant des compétences clés sur plusieurs lieux;
— le recours à des tierces parties;
— la planification de la succession;
— la documentation des processus et des autres formes de conservation et de gestion des connaissances.
Les procédures qui reposent sur la relocalisation de personnel après un incident peuvent avoir besoin
de prendre en considération:
— le transport de personnel sur un autre lieu;
— les besoins du personnel sur le site alternatif, tels que:
— hébergement;
— services de restauration;
— engagements personnels et familiaux;
— formation à des équipements différents;
— les problèmes posés par le travail à domicile.
Les rôles de spécialistes peuvent comprendre:
— la sécurité;
— la logistique de transport;
— le bien-être et les urgences.
Pour encourager et rassurer le personnel qui sera requis pour répondre à une perturbation, il convient
que l’organisme offre, par exemple, des conseils pratiques, une sensibilisation (prise de conscience) aux
risques, des solutions de transport et un soutien aux familles.
L’ISO/TS 22330 donne des lignes directrices supplémentaires sur les aspects humains de la continuité
d’activité.

ISO 22313:2020(F)

8.3.4.3 Informations et données
Les termes «informations» et «données» sont employés indifféremment dans l’usage courant. Dans
le présent document, le terme «informations» désigne des données qui ont été traitées, organisées
et corrélées pour produire du sens. Les informations sont ainsi créées à partir de données, qui
comprennent, par exemple, les faits, les statistiques et les nombres conservés manuellement et sous
forme électronique qui peuvent être stockés et utilisés sur un ordinateur.
Il est possible que des informations soient recréées à partir de données durant une perturbation, mais
le temps nécessaire pour cela peut être considérable, et les moyens d’y parvenir peuvent ne pas être
disponibles. Il convient donc que les organismes prennent en considération les exigences des activités
en matière à la fois d’informations et de données. Si des informations ou des données exigées par une
activité (pas seulement une activité prioritaire) sont définitivement perdues, il peut s’avérer impossible
de reprendre l’activité.
Il convient que les informations vitales pour le fonctionnement de l’organisme soient protégées et
rétablissables dans les délais identifiés durant le bilan d’impact sur l’activité. Il convient que l’organisme
ait conscience des exigences juridiques applicables pour la détermination des dispositions de stockage
et de rétablissement des données.
Il convient que toute information ou donnée exigée pour permettre la réponse et le rétablissement de
l’organisme ait:
— une confidentialité appropriée (par exemple, si l’activité est déplacée sur un autre site);
— une intégrité appropriée: les informations et les données sont fiables et dignes de foi;
— une disponibilité appropriée: les informations et les données sont disponibles dès que requis par
l’activité (c’est-à-dire dans le RTO de l’activité); les informations et les données requises pendant la
réponse peuvent être requises immédiatement alors que d’autres informations et données peuvent
ne pas être requises jusqu’après l’incident;
— une actualisation appropriée: aussi à jour qu’exigé pour permettre à l’activité de fonctionner
(voir 8.2.2), bien que l’information perdue dans l’incident puisse nécessiter une reconstitution et
que les données puissent avoir besoin d’être restaurées.
Lorsque les informations et les données sont copiées, différentes méthodes peuvent être utilisées,
y compris les formats virtuels (électroniques) (par exemple: disque, cloud, bande) et physiques (copies
papier) (par exemple: microfiche, photocopies, création de doubles au moment de la production).
Il convient de documenter les solutions d’informations et de données pour rétablir les informations et
les données n’ayant pas encore été copiées ou sauvegardées en lieu sûr.
Si les informations ou les données copiées sont stockées trop près de l’original, la perturbation pourrait
compromettre leur intégrité ou en empêcher l’accès. Néanmoins, une longue distance peut empêcher
que les informations/données soient disponibles lorsque cela est nécessaire. Il serait approprié d’avoir
une preuve écrite sur la méthode choisie pour résoudre ces problèmes contradictoires.
Les informations et les données visées par le présent paragraphe peuvent comporter:
— les informations de contact;
— les fournisseurs, les parties intéressées et les détails sur les parties intéressées;
— les documents juridiques (par exemple: contrats, polices d’assurance, titres de propriété);
— les autres documents sur des services (par exemple: contrats, accords sur les niveaux de services);
— les métadonnées (c’est-à-dire des informations permettant de décrire les contenus audiovisuels et
la nature des données dans un format défini);
— les messages de notification et d’alerte diffusés en tant que mesure de réponse à un incident;


— les lignes directrices et les critères concernant qui a autorité pour lancer les procédures.
8.3.4.4 Bâtiments, espaces de travail et installations associées
Les solutions des sites de travail peuvent varier significativement et il peut exister un vaste choix
d’options. Différents types d’incidents ou de menaces peuvent exiger la mise en œuvre d’options
de sites de travail différentes ou multiples. La tactique appropriée sera déterminée en partie par la
taille de l’organisme, le secteur et l’étalement des activités, par les parties intéressées et par la base
géographique. Par exemple, les autorités publiques auront besoin de maintenir un service d’intervention
dans leurs communautés, tandis que certains organismes pourront opérer à partir d’un pays ou d’un
continent différent.
Il convient que l’organisme définisse une solution qui réduise l’impact de la non-disponibilité de son ou
ses sites normaux de travail. Cela peut inclure un ou plusieurs des éléments suivants:
— emplacements alternatifs (lieux) au sein de l’organisme, avec déplacement d’autres activités;
— emplacements alternatifs fournis par d’autres organismes (avec ou sans accords de réciprocité);
— centres de commandement;
— emplacements alternatifs fournis par des tierces parties spécialistes;
— travail à domicile ou sur des sites à distance;
— autres emplacements adéquats convenus;
— utilisation d’une main d’œuvre alternative dans un site établi.
Il convient de sélectionner soigneusement les emplacements alternatifs en tenant compte du fait qu’une
zone géographique peut être affectée par le même incident. Un incident tel qu’une catastrophe naturelle
peut causer des dommages dans des zones étendues et affecter des services essentiels tels qu’électricité,
gaz, eau et communications. Si un tel risque est prévu, il convient que les emplacements alternatifs
soient à distance d’une telle zone potentiellement affectée.
Si le personnel doit être transféré sur des emplacements alternatifs, il convient de dûment considérer de:
— s’assurer que les emplacements ne soient pas proches au point d’être susceptibles d’être affectés par
le même incident;
— s’assurer que les emplacements soient suffisamment proches pour que le personnel soit disposé à
s’y rendre et en mesure de le faire;
— prendre en compte les difficultés éventuelles qui peuvent être causées par l’incident.
Il convient que le recours à des emplacements alternatifs dans un but de continuité soit soutenu par
une déclaration faisant savoir clairement si les ressources exigées dans les emplacements alternatifs
sont à l’usage exclusif de l’organisme. En cas de partage des emplacements alternatifs avec d’autres
organismes, il est recommandé de développer et de documenter un plan destiné à atténuer la non-
disponibilité de ces emplacements.
Dans certains cas (par exemple: une chaîne de production, un centre d’appels ou si le RTO est court), il
peut être approprié de déplacer la charge de travail plutôt que le personnel. Cela peut exiger de mettre
à disposition une capacité de réserve sur le site alternatif, du personnel supplémentaire (au moyen
d’heures supplémentaires ou par l’embauche) ou d’autres ressources.
8.3.4.5 Équipements et consommables
Il convient que l’organisme identifie et maintienne un inventaire des fournitures essentielles nécessaires
à ses activités prioritaires.

ISO 22313:2020(F)

Il peut être difficile et très coûteux d’acquérir certaines installations et machines (exigeant de longs
délais pour les autorisations). Les délais d’approvisionnement peuvent également être longs. Les
solutions pour fournir de telles ressources peuvent avoir besoin de prendre en compte ces questions.
Un changement des pratiques d’activité, telles que le contrôle de stock ou la gestion d’immeuble, peut
apporter des solutions.
À cet effet, les techniques applicables peuvent être les suivantes:
— stockage de fournitures supplémentaires sur un autre lieu;
— dispositions convenues avec des tierces parties pour la fourniture de stocks avec de faibles délais de
préavis;
— déviation des livraisons juste-à-temps vers d’autres sites;
— maintien des matériels dans les entrepôts ou sur les sites d’expédition;
— transfert d’opérations de montage de sous-ensembles vers un lieu alternatif qui dispose de
fournitures;
— identification de fournitures alternatives/de substitution;
— identification d’installations et d’équipements, et planification multi-options par phases.
Lorsque les activités dépendent de fournitures spéciales, il convient que l’organisme identifie les
fournisseurs dont les activités prioritaires dépendent, particulièrement dans le cas d’une source unique
d’approvisionnement. Des solutions de management de la continuité des approvisionnements peuvent
comprendre:
— d’augmenter le nombre de fournisseurs;
— d’encourager les fournisseurs à avoir une continuité d’activité ou l’exiger;
— des accords contractuels et/ou sur les niveaux de services avec les fournisseurs;
— l’identification de fournisseurs alternatifs ayant des capacités.
Lorsque des activités sont relocalisées, il convient de vérifier que les fournisseurs sont capables de
livrer leurs produits ou fournir leurs services efficacement sur le site alternatif.
8.3.4.6 Systèmes TIC
Dans de nombreux organismes, les activités ne peuvent pas être réalisées sans systèmes de TIC et il faut
les remettre en marche avant de pouvoir reprendre les activités. Dans la mesure du possible et partout
où c’est faisable, l’organisme peut avoir besoin de mettre en œuvre des solutions de contournement
manuelles pendant que ses systèmes TIC sont remis en marche.
Les options technologiques dépendront de la nature de la technologie utilisée et de ses relations avec
les activités, mais seront généralement une combinaison des éléments ci-après:
— mesures prises au sein de l’organisme;
— services fournis à l’organisme par une tierce partie;
— services externes auxquels l’organisme est abonné.
Les techniques pour fournir les systèmes TIC exigés par les activités prioritaires peuvent comprendre:
— le fait de les répartir géographiquement (par exemple, en maintenant la même technologie sur
différents lieux qui ne seront pas affectés par la même perturbation);
— le maintien des équipements anciens pour servir de remplacement ou de rechange en cas d’urgence;


— la fourniture contractualisée d’équipements ou de services de rétablissement.

En raison de la complexité des technologies qui les supportent, les systèmes TIC ont fréquemment
besoin de dispositions complexes pour s’assurer qu’ils puissent être rétablis dans un délai raisonnable.
Il convient donc de porter attention:
— à l’emplacement des sites technologiques et à la distance qui les sépare;
— à la répartition de la technologie sur des sites séparés;
— à la fourniture d’installations adéquates pour un nombre accru d’utilisateurs avec accès à distance;
— à la mise en place de sites comportant du personnel et de sites n’en comportant pas;
— à l’amélioration de la connectivité des télécommunications et à l’augmentation des niveaux de
routage redondant;
— à la fourniture d’un «basculement automatique» au lieu d’exiger une intervention manuelle pour
remettre les systèmes TIC en marche;
— à l’adaptation en cas d’obsolescence des systèmes TIC.
Si un organisme héberge ses systèmes TIC sur plus d’un site, cela peut être une opportunité de mettre
en œuvre une solution par laquelle chaque site est dimensionné pour supporter la capacité combinée
des systèmes TIC de plus d’un site.
Si un organisme utilise des technologies très spécialisées ou personnalisées avec des délais
d’approvisionnement très longs, il peut être nécessaire d’envisager d’augmenter la protection de ses
systèmes TIC en prenant des mesures spéciales de remplacement ou de restauration.
L’ISO/IEC 27031 donne des lignes directrices supplémentaires sur la préparation des TIC pour la
continuité d’activité.
8.3.4.7 Transport et logistique
Il peut être nécessaire d’effectuer un transport après un incident pour:

— que le personnel rentre chez lui si les moyens de transport normaux ne sont pas disponibles;
— que le personnel soit transféré sur un lieu de travail alternatif;
— les ressources nécessaires sur un lieu différent.
Il convient que l’organisme détermine à l’avance des options pour la fourniture de moyens de transport
alternatifs pouvant être exigés à la suite d’une perturbation. Ceux-ci peuvent inclure:
— l’identification de scénarios possibles de perturbations logistiques y compris celles causées
directement par un incident ou une situation inhabituelle;
— la mise en place de moyens de transport et d’itinéraires alternatifs pour faire face à des conditions
de circulation inhabituelles;
— les accords avec des prestataires de transport alternatifs.
8.3.4.8 Aspects financiers
Il convient que l’organisme détermine des options pour s’assurer que le financement nécessaire soit
disponible pendant et après une perturbation. Cela peut comprendre:
— le fait de prévoir des fonds pour les achats d’urgence tels que nourriture, hébergement, installations,
consommables et transport;
— le remboursement des dépenses du personnel;

ISO 22313:2020(F)

— les dépenses importantes, par exemple pour la location ou l’achat de bâtiments et d’équipements.
Pour se protéger contre les risques d’abus ou faciliter les déclarations de sinistres auprès des assurances,
il peut être nécessaire de démontrer que sont en place des contrôles financiers efficaces, par exemple en
prévoyant un enregistrement formel des dépenses pendant et après une perturbation.
8.3.4.9 Partenaires et chaîne d’approvisionnement
Les réseaux commerciaux et chaînes d’approvisionnement sont souvent larges, complexes et

interdépendants, avec des rangs multiples. Il est essentiel de comprendre la chaîne d’approvisionnement
et les risques qu’elle pose pour l’organisme. Lors du bilan d’impact sur l’activité (voir 8.2.2), il convient
que l’organisme entreprenne, en collaboration avec les fournisseurs pertinents, une analyse des chaînes
d’approvisionnement dont les activités prioritaires dépendent. Il convient d’exiger des fournisseurs
qu’ils transmettent (en cascade) à leur tour les analyses à leurs propres fournisseurs.
Il convient que l’analyse de la chaîne d’approvisionnement soit basée sur un ensemble de critères
développés par l’organisme, donnant une approche organisationnelle commune pour apprécier le
niveau de dépendance de la chaîne d’approvisionnement et des fournisseurs spécifiques qui en font
partie, et pour comprendre les temps nécessaires pour trouver des dispositions alternatives.
Les techniques destinées à s’assurer de la continuité d’activité des fournisseurs et partenaires, et à
l’évaluer peuvent comprendre:
— la spécification d’exigences de continuité d’activité dans les appels d’offres et les contrats;
— des audits périodiques des plans des fournisseurs;
— la revue des programmes d’exercices et de maintenance;
— la participation à des exercices conjoints de continuité d’activité.
En cas d’externalisation d’un produit, d’un service ou d’une activité, la responsabilité pour ce produit,
service ou activité reste du ressort de l’organisme.
Lorsque les activités prioritaires ou les solutions de continuité d’activité s’appuient sur les produits
et services provenant d’un fournisseur, il convient que l’organisme évalue la continuité d’activité du
fournisseur pour obtenir l’assurance que le fournisseur a mis en place des dispositions efficaces de
continuité d’activité pour ces produits et services, par exemple, en examinant les résultats des exercices.
L’organisme peut souhaiter concentrer ses efforts sur les fournisseurs dont la défaillance à livrer les
produits et fournir les services serait le plus rapidement de nature à perturber des activités prioritaires.
8.3.5 Mise en œuvre des solutions
Il convient de mettre en œuvre les solutions sélectionnées et de les maintenir au fil du temps.
Après la sélection de solutions de continuité d’activité, il convient d’impliquer le management dans
la sélection des ressources nécessaires à la continuité d’activité (par exemple: espace de travail,
personnel, équipements, fournitures). Il convient de prendre soin de s’assurer que ces ressources soient
disponibles au moment de l’incident.
Pour s’assurer de la faisabilité de ses stratégies de reprise et d’atténuation, il convient que l’organisme
définisse et mette en œuvre l’ensemble des solutions qui ont besoin d’être en place avant une
perturbation. Si les délais d’activation d’une solution dépassent les exigences de continuité d’activité, il
convient que l’organisme mette en œuvre la solution sélectionnée avant l’apparition de la perturbation.


8.4 Plans et procédures de continuité d’activité
Il convient que l’organisme possède une structure de réponse soutenue par des plans et procédures de
continuité d’activité pour:
— maîtriser la réponse à la perturbation;
— communiquer de manière efficace avec les parties intéressées;
— utiliser des solutions de continuité d’activité pour reprendre les activités dans leurs RTO.
Un plan comprend une ou plusieurs procédures. Il convient que les plans et procédures, collectivement:
— identifient les mesures immédiates à prendre et aident à la prise de décision en temps utile;
— soient suffisamment flexibles pour s’adapter à des menaces non anticipées et des situations
changeantes;
— se concentrent sur les impacts anticipés des perturbations;
— soient en ligne avec les solutions de continuité d’activité sélectionnées par l’organisme pour
minimiser les impacts;
— identifient clairement les rôles et attribuent les responsabilités pour toutes les tâches à entreprendre.
8.4.2 Structure de réponse
8.4.2.1 Objet
Une structure de réponse efficace permet aux organismes de détecter les événements, d’identifier les
incidents et de déterminer s’ils sont susceptibles, ou non, d’entraîner une perturbation. Il convient que
l’organisme développe une structure de réponse aux incidents qui fournira une réponse efficace aux
perturbations, quelle qu’en soit la cause. En l’absence de structure convenue et documentée en place,
il est vraisemblable que l’organisme sera incapable de répondre efficacement à une perturbation, et ne
pourra pas reprendre ses activités interrompues dans les délais nécessaires.
8.4.2.2 Conception
Il convient que la structure de réponse aux incidents identifie clairement:

— les équipes responsables de la réponse aux incidents et de la reprise des activités;
— la hiérarchie des équipes;
— les rôles et responsabilités des équipes.
Il convient que la structure de réponse soit simple et capable d’être formée rapidement. Il convient
également qu’elle offre des mécanismes assurant la communication en temps utile des informations et
des décisions.
Il n’existe pas de structure unique de réponse aux incidents qui soit adaptée à tous les organismes. Il
convient que chaque organisme conçoive sa propre structure, en tenant compte:
— de la structure de management existante;
— de la nature, de la culture, de l’échelle, de la complexité et des infrastructures de traitement de
l’organisme;
— des solutions de continuité d’activité sélectionnées;

ISO 22313:2020(F)

— des exigences de continuité d’activité de l’organisme;

— de toute menace perçue envers l’organisme.
Des organismes plus grands ou complexes peuvent avoir besoin d’établir des équipes séparées axant
leurs efforts sur différents aspects de l’incident. Dans des organismes plus petits, il peut être possible
pour une seule équipe de traiter un incident, mais il convient que ce traitement ne soit jamais la
responsabilité d’un seul individu.
8.4.2.3 Capacités des équipes
Il convient que les équipes soient collectivement capables:

— d’apprécier la nature et l’étendue de la perturbation ainsi que son impact potentiel;
— de mesurer les impacts potentiels de l’incident par rapport aux seuils d’impact prédéfinis afin de
déterminer si une réponse formelle est justifiée ou non;
— d’engager une réponse appropriée à une perturbation, d’activer les plans, de mobiliser les équipes
de réponse et de s’assurer de la disponibilité des ressources exigées;
— de planifier toutes les actions à réaliser;
— d’établir des priorités pour toutes les actions, en donnant la première priorité à la sécurité des
personnes;
— de surveiller l’évolution de l’incident et l’efficacité de la réponse de l’organisme face aux impacts et
aux conséquences;
— d’activer des solutions appropriées de continuité d’activité;
— d’assurer un commandement et une maîtrise efficaces de la réponse de l’organisme à l’incident et de
répondre aux changements au cours de l’évolution de la situation;
— de communiquer avec les parties intéressées, y compris, en particulier, le personnel, les membres de
la famille impliqués, les visiteurs, les autorités et les médias.
8.4.2.4 Composition des équipes et lignes directrices
Il convient que chaque équipe possède:

a) des membres et remplaçants identifiés avec la responsabilité, l’autorité et la compétence nécessaires
pour permettre à l’équipe de remplir son rôle et ses responsabilités;
b) des procédures documentées pour orienter les actions de l’équipe (voir 8.4.4).
8.4.3 Avertissement et communication
Traiter efficacement les communications initiales dès l’apparition d’une perturbation peut faire une
différence considérable sur l’efficacité de la réponse de l’organisme. Une communication efficace
n’est possible que si l’organisme est au clair sur quoi, quand, avec qui et comment communiquer. Il
convient donc que l’organisme établisse des procédures documentées pour les actions relatives aux
avertissements et à la communication suivantes, et qu’il identifie qui sera responsable de leur exécution:
— communiquer en interne entre les différents niveaux et fonctions au sein de l’organisme, y compris
au sein de la structure de réponse;
— alerter les parties intéressées, recevoir et documenter les communications qu’elles émettent et y
répondre (cela peut comprendre les contacts d’urgence des employés);


— s’assurer de la disponibilité des équipements et installations de communications;

— faciliter la communication structurée avec les intervenants d’urgence;
— gérer la réponse de l’organisme aux médias et s’assurer qu’elle est en ligne avec la stratégie de
communication de l’organisme;
— enregistrer les informations vitales sur l’incident, les actions effectuées et les décisions prises.
Il convient que l’organisme s’assure que des procédures et installations efficaces sont en place pour
la réception, la documentation et la réponse aux avertissements, alertes et communications externes
provenant de systèmes nationaux ou régionaux de conseil sur les risques ou de systèmes équivalents.
Il peut être nécessaire que certains organismes établissent des installations dédiées ou ad hoc, situées
suffisamment loin du site affecté, de sorte que leur fonctionnement ne soit pas entravé par l’incident.
Des dispositions spéciales peuvent être exigées pour les personnes ayant des besoins spécifiques
(par exemple: les personnes âgées et les personnes handicapées). Pour des lignes directrices sur la
diffusion des avertissements, y compris le contenu des informations et les voies de communication, voir
l’ISO 22322.
Les équipements de communications pouvant être affectés par des perturbations, il peut être nécessaire
d’avoir à disposition une variété de solutions alternatives, par exemple:
— haut-parleurs;
— systèmes de diffusion publique;
— téléphones portables de réserve;
— téléphones par satellite;
— terminaux radio bidirectionnels.
8.4.3.2 Alerte des parties intéressées
Dans certaines circonstances, les parties intéressées peuvent être affectées par une perturbation
en cours ou imminente. Par exemple, les perturbations touchant un organisme qui entreprend des
opérations dangereuses ou stocke des produits toxiques peuvent mettre en danger les riverains. Il
convient que de tels organismes considèrent les mesures suivantes:
— établir des procédures qui permettraient la surveillance des dangers;
— déterminer à l’avance les informations d’avertissement du public qu’il peut être nécessaire de
fournir pendant une perturbation;
— identifier les zones géographiques vers lesquelles il peut être nécessaire d’envoyer les informations
d’avertissement du public;
— évaluer scientifiquement les niveaux potentiels de gravité des dangers;
— définir des critères reposant sur des bases scientifiques pour l’émission d’avertissements et
s’assurer que des procédures sont en place pour transmettre les informations d’avertissement aux
organismes responsables des avertissements au public;
— établir des relations avec les organismes externes responsables des zones potentiellement touchées.
Il peut également être nécessaire que ces organismes:
— établisse une relation avec un organisme externe responsable des avertissements au public;
— s’assure que les riverains comprennent comment les alarmes sont émises et comment y répondre.
Il convient que les procédures d’avertissement et de communication fassent l’objet d’exercices dans le
cadre du programme d’exercices de l’organisme (voir 8.5).

ISO 22313:2020(F)

8.4.4 Plans de continuité d’activité
Les plans de continuité d’activité présentent la manière dont les équipes vont répondre aux
perturbations et reprendre les activités dans le cadre du SMCA.
Étant donné que la terminologie varie selon les organismes et que, dans beaucoup d’instances, des
termes spécifiques sont utilisés de façon interchangeable, il est essentiel que les rôles et responsabilités
des équipes soient clairement indiqués, et que les procédures documentées venant en support indiquent
clairement leur objet, leur domaine d’application et leurs objectifs (voir Tableau 5).
Tableau 5 — Exemples d’équipes et de rôles et responsabilités possibles

Équipe Rôle Responsabilités
Réponse d’urgence sur site Réponse d’urgence Sécurité de la vie des personnes
Management des installations Limitation des dommages
Sécurité
Appréciation des dommages Appréciation des dommages Appréciation des dommages
Gestion des incidents Gestion et maîtrise des incidents Gestion des incidents
Gestion de crise Prise de décision stratégique Management stratégique
Management senior Communication durant un Gestion de crise
incident
Communication
Relations publiques
Communication Communication durant un Communication
incident
Relations publiques
Rétablissement des TIC Rétablissement des systèmes et Rétablissement après sinistre TIC
infrastructures TIC NOTE Des lignes directrices sur les
procédures TIC peuvent être trouvées
dans l’ISO/IEC 27031.
Aspects financiers Administration générale Finance et administration
et financière
Administration
Ressources humaines Bien-être et besoins spéciaux Ressources humaines
Santé au travail Bien-être des parties intéressées Sécurité des personnes et bien-être
Sauvetage Sauvetage des installations, Sauvetage et sécurité
systèmes TIC et données
Sécurité
Sécurité
Installations
TIC
Continuité d’activité Reprise des activités Reprise coordonnée
interrompues
Gestion des ressources
8.4.4.2 Couverture
Il convient que les plans de continuité d’activité traitent, collectivement, de tous les aspects de la
réponse à un incident et qu’ils soient spécifiques aux équipes qui les appliqueront. Il peut donc être
bénéfique:
— d’impliquer une partie importante du personnel, y compris les équipes spécialisées, dans le
développement des plans de continuité d’activité;


— d’utiliser le retour d’expérience des exercices et de s’appuyer sur les enseignements tirés des
perturbations.
Il convient que les délais et les niveaux de performance se basent sur les informations recueillies
pendant le bilan d’impact sur l’activité (voir 8.2.2) et la sélection de stratégies et solutions de continuité
d’activité (voir 8.3.3).
8.4.4.2.2 Réponse aux incidents
Lors du traitement d’un incident, il peut être nécessaire de prendre en considération un grand nombre
d’actions. Il convient que ces actions soient incluses dans des procédures documentées et incluent:
a) la réponse à l’incident et son appréciation, qui incluent:
1) de déterminer ce qui s’est passé et comment;
2) d’identifier quelles parties de l’organisme et quelles parties intéressées ont été affectées ou ont
pu l’être;
3) d’essayer d’anticiper la durée de l’incident et ses impacts potentiels;
4) d’apprécier si l’incident sera géré par les dispositions de gestion habituelles;
5) de juger, grâce à des seuils prédéfinis, si l’incident peut entraîner une perturbation;
b) la gestion des conséquences immédiates de l’incident, en tenant dûment compte du bien-être des
personnes affectées (y compris les membres de l’équipe) et de l’impact sur l’environnement, et en
considérant les options de réponse à l’incident et de prévention des pertes ou dommages futurs;
c) l’évaluation de l’appréciation de l’incident par rapport à des critères d’activation pour chacune des
procédures;
d) la déclaration d’incident et l’activation des procédures quand les critères d’activation sont satisfaits;
e) la mobilisation du personnel de réponse aux incidents pour les équipes chargées des activités de
stabilisation, de continuité et de rétablissement;
f) l’établissement d’un site central utilisé par l’équipe chargée de la gestion et de la maîtrise de
l’incident (centre de commandement);
g) l’établissement de priorités pour les problèmes et activités à entreprendre pour gérer l’incident et
ses impacts;
h) la maîtrise et la coordination de toutes les procédures activées;
i) l’activation ou l’établissement de sites alternatifs pour restaurer les TIC ou les autres capacités
d’infrastructures, ainsi que pour le fonctionnement temporaire des activités de l’organisme;
j) la surveillance de l’évolution de l’incident;
k) la revue et l’adaptation des plans en réponse à des circonstances changeantes;
l) la désescalade, la démobilisation et le retour aux opérations de routine dès qu’une capacité durable
a été rétablie;
m) la conduite d’une séance de débriefing et l’identification d’opportunités d’apprentissage;
n) l’assurance de la bonne gouvernance, du collationnement et de la sécurité de la documentation
générée durant la gestion et le rétablissement après l’incident.

ISO 22313:2020(F)

Pour assurer la reprise en temps utile de la livraison des produits et de la fourniture des services par
l’organisme, il convient que les procédures documentées pour la reprise de chaque activité:
— satisfassent le RTO propre à l’activité qui supporte ce produit ou service;
— soient suffisamment fiables.
Ceci peut être obtenu par:
— la propriété ou la maîtrise des moyens et ressources permettant de lancer la procédure;
— des contrats, des accords ou des niveaux de services conclus avec des tierces parties.
8.4.4.3 Contenu et aptitude à l’utilisation
Il convient que chaque plan de continuité d’activité identifie son objet, son domaine d’application et ses
objectifs sous une forme qui est clairement compréhensible par les équipes qui l’utilisent. Il convient
que les relations avec d’autres procédures documentées ou documents requis ou pertinents soient
clairement indiquées et que la méthode pour les obtenir ou y accéder soit décrite. Il convient que le plan
de continuité d’activité comprenne également:
— les critères d’activation et procédures;
— les procédures de mise en œuvre;
— les exigences et procédures de communication;
— les interdépendances internes et externes, et les interactions;
— les exigences de ressources;
— les exigences de reporting;
— le flux d’informations et les processus de documentation.
8.4.4.3.2 Lignes directrices et informations de support
Il convient que chaque plan comprenne:

a) les rôles, responsabilités et autorités:
1) les rôles, responsabilités et autorités définis pour les personnes et les équipes qui vont utiliser
le plan;
2) les lignes directrices et critères concernant qui a autorité pour invoquer le plan et dans quelles
circonstances (cela peut comprendre des étapes d’escalade définies);
b) les critères d’activation:
1) un processus d’activation de la réponse de l’organisme à une perturbation, et dans le cadre
de chaque procédure documentée, ses critères et ses procédures d’activation (il peut s’avérer
pertinent de considérer si cela a lieu pendant ou en dehors des heures de travail normales);
2) les lieux de réunion avec des alternatives appropriées;
c) les paramètres de fonctionnement:
1) l’identification des actions et tâches à réaliser, en particulier en lien avec la manière dont
l’organisme poursuivra ou rétablira ses activités prioritaires dans des intervalles de temps
prédéfinis;


2) les exigences de ressources pertinentes (voir 8.3.4);

3) les moyens d’enregistrement des informations sur l’incident, les actions menées et les
décisions prises;
d) les informations de support pour l’action de coordination et communication:
1) les coordonnées des membres de l’équipe et autres ayant des rôles et des responsabilités. Il
convient que l’organisme ait conscience des exigences juridiques applicables relatives à la
protection des informations, et conserve des preuves de conformité;
2) les coordonnées des contacts et les détails de mobilisation pour toutes les agences,
organisations et ressources pertinentes pouvant être nécessaires;
e) critères de démobilisation:
1) les mécanismes de démobilisation une fois l’incident terminé;
2) les instructions à suivre.
8.4.4.3.3 Aptitude à l’utilisation
Comme pour toute autre forme d’informations documentées (voir 7.5.3), il convient que l’organisme
s’assure que les plans de continuité d’activité sont utilisables et disponibles quand et où ils sont
nécessaires. Pour s’assurer que la perturbation ne nuit pas au fonctionnement des plans de continuité
d’activité, il peut être nécessaire que l’organisme prenne des précautions (par exemple: en séparant
sur de multiples lieux les équipes et les systèmes TIC rétablis). Il n’est cependant pas toujours possible
d’effectuer une séparation totale pour toutes les tailles et tous les types de perturbations, et il peut être
nécessaire d’identifier les limitations et d’en convenir avec la direction générale. Les limitations peuvent
être exprimées en termes de distance, d’effectif minimum ou de sévérité, et peuvent être influencées
par la réponse des organismes publics à des perturbations sévères ou étendues.
8.4.4.4 Gestion d’incident/management stratégique
La gestion d’incident a pour but d’assurer que la réponse de l’organisme à une perturbation est efficace
au niveau stratégique.
Il convient que les procédures comprennent la base pour gérer toutes les questions possibles se posant
à l’organisme lors d’un incident, y compris celles qui sont liées aux parties intéressées. Il convient, en
outre, que les procédures couvrent toutes les installations dont l’équipe gérant l’incident et les autres
équipes de réponse pourraient avoir besoin.
8.4.4.5 Communication
Les procédures de communication peuvent être incluses dans les procédures de gestion d’incident
ou dans les procédures de réponse d’une autre équipe. S’il y a plusieurs équipes, il convient qu’elles
travaillent en étroite collaboration.
Il convient que les communications émises et reçues durant l’incident soient gérées et coordonnées. Il
convient que les procédures contiennent:
a) des détails relatifs à la manière et aux circonstances de la communication de l’organisme avec les
employés et leurs familles, les autres parties intéressées et les contacts d’urgence;
b) des détails sur la réponse de l’organisme aux médias à la suite d’un incident, qui peuvent
comprendre:
1) la stratégie de communication sur l’incident;
2) l’interface préférentielle avec les médias;

ISO 22313:2020(F)

3) les lignes directrices et modèles pour rédiger des déclarations pour les médias;
4) le nombre approprié de porte-parole formés et compétents, autorisés à communiquer les
informations aux médias.
Il est important que le timing et le contenu des communications internes et externes soient cohérents.
Les communications internes sont une priorité pour renforcer la confiance et la motivation.
Les informations préparées à l’avance peuvent être particulièrement utiles dans les premiers
moments d’un incident. Elles permettent à l’équipe de donner des détails sur l’organisme et ses
activités professionnelles, tandis que les informations détaillées sur l’incident sont encore en cours
d’établissement.
Il peut être approprié:
— d’établir un endroit convenable pour assurer la liaison avec les médias, ou avec d’autres groupes de
parties intéressées;
— d’établir un nombre approprié de personnes compétentes et formées pour répondre aux demandes
téléphoniques des médias;
— d’utiliser tous les canaux de communication ouverts à l’organisme, y compris les réseaux sociaux;
— de préparer une documentation de fond sur l’organisme et son fonctionnement (il convient qu’un
pré-accord soit donné pour la communication de cette information).
Il peut également être nécessaire de considérer les groupes de pression ou les groupes d’action de
communautés ayant collectivement du pouvoir ou de l’influence sur l’organisme.
Il convient de prévoir un processus d’identification et de priorisation des communications avec les
autres parties intéressées clés. Il peut être nécessaire de développer une procédure séparée pour la
gestion des parties intéressées, de fournir des critères pour établir les priorités et de prévoir d’affecter
des personnes pour s’occuper de chaque partie prenante ou groupe de parties prenantes.
8.4.4.6 Sécurité des personnes et bien-être
Les organismes ont un devoir de diligence envers leurs employés, contractants, visiteurs et clients
lorsqu’un incident représente un risque direct pour la vie, la subsistance et le bien-être des personnes.
Une attention spéciale devra être portée à tous les groupes souffrant de handicaps physiques et
d’apprentissage ou ayant d’autres besoins spécifiques (par exemple: femmes enceintes, handicap
temporaire en raison d’une blessure). Une planification à l’avance destinée à satisfaire à ces exigences
peut réduire le risque et rassurer les personnes affectées. Les impacts à long terme des incidents ne
peuvent pas être sous-estimés. Il convient que l’organisme développe des solutions appropriées, prenant
notamment en considération les aspects sociaux et culturels pertinents, afin d’assurer le rétablissement
physique et psychologique au sein de l’organisme.
Il convient d’inclure les éléments de réponse suivants relatifs au bien-être:
— évacuation du site (y compris des activités internes de type «abri sur site») et points de
rassemblement;
— mobilisation des équipes de sécurité des personnes, de premiers secours et d’assistance à
l’évacuation;
— localisation et comptage de ceux qui étaient sur le site ou à proximité immédiate.
Il pourra également être inclus ce qui suit:
— services de traduction;
— assistance au transport, y compris orientation, si exigé;


— liaisons désignées et informations de contact pour les services de secours, les agences appropriées
et les premiers intervenants;
— localisation de la main d’œuvre ou des contractants en déplacement;
— gestion des lignes téléphoniques d’assistance;
— rééducation physique et soutien psychologique.
Il convient que les ressources exigées soient identifiées de manière spécifique. Il convient qu’une
ressource soit disponible en temps utile et qu’elle ait la capacité de faire ce pour quoi elle est prévue.
8.4.4.7 Sauvetage et sécurité
L’organisme peut préparer des procédures documentées concernant le sauvetage et la sécurité, et y

inclure des lignes directrices:
— sur les priorités de sauvetage pour les installations, les équipements (y compris systèmes TIC)
et les informations documentées (en prenant en considération les exigences de sécurité et de
confidentialité des informations);
— sur la sécurité des emplacements après restitution par les services de secours.
L’organisme peut nommer des contractants spécialistes du sauvetage avant même l’incident. Le
sauvetage efficace des installations, des équipements et des informations documentées peut limiter les
impacts et permettre un retour plus rapide à la normale.
8.4.4.8 Reprise des activités prioritaires
Il convient d’avoir des procédures spécifiant:

— les activités prioritaires à reprendre;
— les délais au terme desquels elles doivent avoir repris;
— les capacités auxquelles les activités prioritaires doivent reprendre;
— les situations dans lesquelles la procédure peut être utilisée.
Il convient que chaque procédure détaille, le cas échéant, les ressources exigées aux différents moments
pour atteindre les objectifs. Celles-ci peuvent comprendre:
— des quantités de ressources;
— des compétences et qualifications;
— l’équipement technique;
— les installations de télécommunications;
— la disponibilité des ressources contractuelles, convenues via une aide mutuelle ou susceptibles
d’être disponibles.
8.4.4.9 Systèmes TIC
Il convient que les procédures de reprise des activités identifient les systèmes TIC sur lesquels la reprise
repose et qu’elles référencent toutes les procédures de continuité TIC existantes.
Il convient que les procédures de continuité TIC, le cas échéant, traitent au minimum:
— l’appel à la réponse TIC requise et au déploiement de personnel TIC;
— l’accès aux données de sauvegarde et l’acquisition de prestations de services alternatives;

ISO 22313:2020(F)

— la restauration des données, des services d’information, des communications et du support;

— le délai de disponibilité et les exigences de capacité permettant aux activités de satisfaire leurs RTO.
L’ISO/IEC 27031 donne des lignes directrices supplémentaires.
8.4.5 Rétablissement
Il convient que l’organisme détermine à l’avance comment revenir à la normale suite à une perturbation,
et qu’il dispose de procédures documentées pour restaurer les activités et retirer les mesures
temporaires adoptées pendant un incident. Il convient que ces procédures satisfassent un audit
pertinent et les exigences de gouvernance de l’entreprise.
Le rétablissement a pour objet de ré-établir les activités professionnelles pour permettre un
fonctionnement normal à la suite d’une perturbation. Le retour à la normale peut s’obtenir:
— en réparant les dommages causés par l’incident;
— en déplaçant des opérations des emplacements temporaires vers les lieux d’activité primaires
restaurés;
— en déménageant vers un nouveau lieu.
La meilleure manière de revenir à la normale dépendra de la sévérité du dommage causé par l’incident
et des estimations de la durée pour établir les installations nécessaires.
Il convient que les procédures documentées prévoient une appréciation détaillée de la situation et de
son impact, la détermination des tâches et des étapes du rétablissement. Pendant le rétablissement,
l’organisme peut devoir:
— établir des ressources et une infrastructure de rétablissement;
— opérer depuis des installations de rétablissement;
— restaurer les installations endommagées;
— sécuriser les approvisionnements et les financements pour les situations d’urgence;
— assurer le sauvetage des équipements dans les installations endommagées;
— se retourner contre les polices d’assurance existantes;
— obtenir du personnel supplémentaire pour soutenir l’effort de rétablissement;
— sélectionner des options pour la restauration et le retour à la normale;
— migrer des opérations vers les installations de rétablissement;
— rétablir les informations documentées perdues;
— communiquer avec les parties intéressées pertinentes à des fréquences appropriées;
— normaliser les opérations sur les installations restaurées;
— conduire une revue après rétablissement;
— procéder avec diligence sur les exigences d’audit et de gouvernance de l’entreprise.
Il convient que les procédures documentées pour le rétablissement comprennent des dispositions
pour la reprise de toutes les activités et non pas seulement pour celles identifiées comme activités
prioritaires. Cela signifie que les activités ayant une priorité plus faible doivent reprendre à un certain
point et qu’elles ont des exigences de ressources qui doivent être satisfaites (voir 8.3.4).


8.5 Programme d’exercices
Les procédures et dispositions de continuité d’activité d’un organisme ne peuvent pas être considérées
comme fiables tant qu’elles n’ont pas fait l’objet d’exercices et que leur actualité n’est pas maintenue. Les
exercices développent le travail en équipe, la compétence, la confiance et les connaissances. Il convient
qu’ils comprennent les personnes qui pourraient être amenées à utiliser ces procédures.
8.5.2 Conception du programme d’exercices
Des exercices robustes et réalistes permettent d’identifier les aspects à améliorer, même dans le cas de
procédures bien conçues. Il convient que l’organisme conçoive un programme d’exercices qui valide,
dans la durée, l’efficacité de ses stratégies, solutions, plans et procédures de continuité d’activité.
L’établissement d’un programme d’exercices permet une démarche coordonnée pour la construction,
l’évolution et la maturation des capacités de l’organisme. Il convient que le programme couvre les plans
individuels, le personnel (y compris celui d’organismes externes), les capacités et les ressources qui
contribuent aux objectifs stratégiques de l’organisme.
Il convient que la direction générale s’assure que les objectifs du programme d’exercices sont définis
et qu’une personne compétente est désignée pour gérer le programme d’exercices. Il convient que le
domaine d’application d’un programme d’exercices soit basé sur la taille et la nature de l’organisme
effectuant les exercices et le domaine d’application, la fonctionnalité, la complexité et le niveau de
maturité des plans et capacités soumis à exercice. Aux tous premiers stades de maturité, les exercices
et tests peuvent se limiter à des listes de contrôle (checklists), des exercices d’entraînement et des
exercices de sensibilisation (prise de conscience). À mesure que le programme monte en maturité, il
peut s’enrichir d’exercices sur table et de simulations grandeur nature.
Il convient que le programme d’exercices soit flexible, en prenant en considération les changements
au sein de l’organisme et les résultats des exercices précédents. Un changement significatif dans
l’organisme peut déclencher la planification d’un exercice afin d’examiner les dispositions révisées.
Il convient que le programme d’exercices considère les rôles de toutes les parties, y compris des
tiers prestataires, des fournisseurs et autres parties devant normalement participer aux activités de
rétablissement. Un organisme peut inviter de telles parties dans ses exercices et peut participer aux
exercices que ces parties organisent.
Pour s’assurer que les exercices sont conduits avec efficacité et efficience dans les délais spécifiés, il
convient que le programme d’exercices comprenne:
— une analyse des besoins;
— l’approbation de la direction générale;
— des objectifs clairs;
— l’étendue, le nombre, les types, la durée, les lieux et les plannings des exercices;
— le personnel adapté pour venir en appui du programme;
— les ressources et le budget nécessaires;
— les processus de traitement de la confidentialité, la sécurité des informations, la santé et la sécurité
des personnes, et autres questions similaires.
Il convient que le programme d’exercices assure dans la durée que la réponse globale de l’organisme
sera efficace. Il convient que le programme lorsqu’il est mis en œuvre:
— exerce les aspects techniques, logistiques, administratifs, procéduraux et autres aspects
opérationnels des procédures;

ISO 22313:2020(F)

— exerce toutes les personnes ayant des responsabilités dans le cadre des procédures, y compris celles
d’organismes externes;
— exerce les dispositions et infrastructures de continuité d’activité (y compris, par exemple, les
centres de commandement et les zones de travail);
— valide le rétablissement de la technologie et des télécommunications, y compris la disponibilité et le
transfert du personnel;
— exerce les équipes de réponse dans la gestion des impacts causés par une perturbation de la chaîne
d’approvisionnement.
Il convient que l’organisme surveille et mesure la mise en œuvre du programme d’exercices pour
s’assurer que ses objectifs sont atteints. Il convient que le programme d’exercices fasse l’objet d’une
revue pour identifier des améliorations.
8.5.3 Exercices sur les plans de continuité d’activité
Les exercices, y compris les tests, sont des activités conçues pour examiner l’aptitude de l’organisme à
répondre aux incidents, à rétablir son activité et à continuer d’assurer les fonctions qui lui sont assignées
de façon efficace lorsqu’il est confronté à des scénarios spécifiques de perturbation. Il convient que
l’organisme utilise les exercices et les résultats documentés des exercices pour s’assurer que les plans
de continuité d’activité sont efficaces et prêts à être activés.
Il convient que les buts et objectifs de chaque exercice ou test soient clairement définis et basés sur un
scénario approprié pour pouvoir les satisfaire.
Les exercices peuvent:
— anticiper un résultat prédéterminé (par exemple: être planifiés et prévus à l’avance);
— permettre à l’organisme de développer des solutions innovantes.
Il convient que les exercices soient réalistes, soigneusement planifiés et convenus avec les parties
pertinentes, de manière qu’ils génèrent un risque minimal de perturbation des activités et d’incident
survenant en tant que conséquence directe de l’exercice. Cela peut s’obtenir en effectuant l’exercice au
sein d’un environnement maîtrisé et isolé, à la condition que cela ne vienne pas nuire à l’intégrité des
objectifs à soumettre à essai.
Il convient que l’organisme conçoive des scénarios d’exercice qui satisfont aux objectifs de l’exercice.
Ils peuvent utiliser des menaces identifiées dans l’appréciation du risque ou des informations issues de
perturbations précédentes.
L’efficacité de certains aspects de la continuité d’activité exigera que des individus particuliers ou
que ceux qui occupent des positions spécifiques aient une connaissance, des qualifications et des
compréhensions particulières. Il convient que celles-ci soient acquises avant un exercice pour permettre
aux participants de les appliquer aux scénarios et simulations pertinents.
Il convient que les exercices soient conçus et conduits de manière à fournir un ou plusieurs des résultats
suivants:
— vérification que les RTO d’activité (voir 8.2.2) et les RTO pour les dépendances et les ressources de
support des activités prioritaires (voir 8.3.2.3) sont réalisables;
— confiance dans le fait que les informations et données requises par les activités sont bien à jour (voir
8.3.4.3);
— meilleure compréhension des dépendances par rapport à la continuité d’activité des fournisseurs et
des autres parties intéressées;
— meilleure sensibilisation (prise de conscience) au contexte et aux priorités de l’organisme;


— meilleure compréhension du contenu et de l’usage des procédures de continuité d’activité;

— meilleure confiance dans la réponse aux incidents;
— opportunité d’améliorer les capacités;
— appréciation de l’utilité et de l’applicabilité des solutions de continuité d’activité;
— évaluation de l’adéquation des capacités développées et des allocations de ressources;
— identification des exigences non documentées auparavant et des pratiques employées lors de la
gestion des perturbations;
— opportunité d’identifier toute autre inadéquation dans les procédures écrites de continuité d’activité
et leur mise en œuvre;
— assurance que les procédures de continuité d’activité peuvent être mises en œuvre quand c’est requis;
— amélioration de la confiance des parties intéressées quant à la préparation de l’organisme;
— moyen de remplir des exigences de conformité réglementaires, contractuelles ou de gouvernance de
l’organisme.
Les exercices peuvent avoir une variété de formats différents. La décision concernant l’adéquation du
type d’exercice dépendra de plusieurs facteurs, y compris:
— du contexte de l’organisme;
— des objectifs de l’exercice;
— de la maturité du programme d’exercices;
— de l’expérience des participants;
— du budget;
— de la disponibilité des participants;
— de la tolérance de l’organisme aux perturbations opérationnelles causées par la réalisation de
l’exercice.
Il convient que l’organisme agisse en fonction des résultats de ses exercices pour mettre en œuvre des
changements et améliorations approuvés.
Un grand nombre de noms différents sont attribués aux différents types d’exercices pouvant être
effectués, mais ils entrent généralement dans l’une des catégories suivantes.
— Discussion: les exercices basés sur les discussions sont destinés à familiariser les participants avec
les plans et les procédures de continuité d’activité dans un environnement à faibles contraintes;
— Simulation: les exercices basés sur le fonctionnement sont conçus pour être plus réalistes et difficiles.
Ils sont effectués dans l’environnement opérationnel normal, des emplacements alternatifs ou des
centres de commandement.
Des exemples sont donnés dans le Tableau 6.

ISO 22313:2020(F)

Tableau 6 — Exemples de descriptions des méthodes d’exercice

Catégorie Méthode Description
Revue de plan Les revues de plan sont des revues informelles de plans et de
procédures servant à familiariser les participants avec de nouveaux
contenus ou des contenus mis à jour. Elles constituent un point de
départ utile lorsque les plans et les procédures sont développés pour
la première fois ou quand ils font l’objet de révisions importantes. Une
revue de plan prend généralement de 1 à 2 heures.
Discussion Sur table (sur site) Les exercices sur table sur site utilisent des scénarios simples pour
familiariser les participants avec les plans et les procédures dans
un environnement à faibles contraintes. Ils peuvent également être
utilisés pour passer en revue les stratégies et solutions de continuité
d’activité pour validation et amélioration. Un exercice sur table sur
site est généralement le premier type d’exercice formel conduit par un
organisme, et prend généralement de 2 à 3 heures.
Sur table (hors site) Les exercices sur table hors site sont généralement conduits dans
emplacements alternatifs ou un centre de commandement dans le but
de passer en revue les plans et procédures de continuité d’activité.
L’exercice utilise généralement un scénario simple. La différence clé
par rapport à un exercice sur table sur site est que la revue a lieu en
dehors de l’environnement opérationnel normal. Un exercice sur table
hors site prend généralement de 2 à 3 heures, sans compter le temps
de transport.
Atelier (plans uniques Les ateliers basés sur plan ont généralement lieu hors site dans des
ou multiples) emplacements alternatifs au moyen de scénarios raisonnablement
complexes. Les participants aux exercices peuvent représenter
un plan unique ou des plans multiples, suivant le domaine
d’application de l’exercice. L’objectif est que les équipes s’entraînent
à travailler ensemble et à prendre des décisions dans des délais plus
contraignants. Un exercice d’atelier couvrant des plans multiples
prend généralement de 3 à 5 heures, suivant la complexité des plans et
du scénario.
Simulation Atelier (lieux uniques Les ateliers basés sur le lieu ont généralement lieu hors site dans des
ou multiples) emplacements alternatifs au moyen de scénarios ayant un impact
sur un ou plusieurs lieux. L’objectif de l’exercice est que des équipes
venant de lieux différents s’entraînent à travailler ensemble et à
prendre des décisions communes. Un exercice d’atelier couvrant des
lieux multiples prend généralement de 3 à 5 heures, suivant le nombre
de lieux en jeu et la complexité du scénario.
Atelier pour l’ensemble Les exercices en grandeur nature sont conçus pour préparer les
de l’organisme participants aux perturbations ayant un impact sur l’ensemble de
(grandeur nature) l’organisme, et exigent l’activation du plan de continuité d’activité. Il
s’agit d’exercices complexes et sous forte contrainte de stress qui sont
soigneusement planifiés et maîtrisés pour s’assurer qu’ils atteignent
leurs objectifs et ne causent pas de perturbation. Un exercice en
grandeur nature peut durer d’une demi-journée à une semaine,
suivant sa complexité et le nombre de personnes impliquées.
Dans le cadre d’un exercice, il convient de programmer un passage en revue avec l’ensemble des
participants pour discuter des questions et du retour d’expérience. Il convient que cette information
soit documentée et que des mises à jour soient apportées aux procédures selon les besoins.
Il convient que l’organisme effectue un débriefing après exercice et une analyse portant sur l’atteinte
des buts et objectifs de l’exercice. Il convient qu’un rapport post-exercice soit produit, contenant des
recommandations et un calendrier pour leur mise en œuvre.
Il convient que les leçons issues des exercices et des incidents réels expérimentés soient réexaminées
lors de futurs exercices. Il convient que les exercices montrant de graves déficiences ou imprécisions
dans les procédures soient refaits après apport des actions correctrices correspondantes.


Les avantages des exercices et tests comprennent:

— la validation des hypothèses, des solutions de continuité d'activité et des domaines d'application des
plans de continuité d'activité;
— l’assurance du fonctionnement correct des installations techniques et des ressources;
— l’assurance de la capacité des installations alternatives;
— une efficience accrue et des réductions du temps nécessaire à la réalisation des processus (par
exemple, en utilisant des exercices répétés pour raccourcir les temps de réponse);
— une meilleure sensibilisation (prise de conscience) des parties intéressées;
— le développement de la compétence et de la sensibilisation (prise de conscience) des participants.
L’ISO 22398 donne des lignes directrices supplémentaires sur les types d’exercice, ainsi que des lignes
directrices sur la planification, la conduite et l’amélioration des programmes d’exercices.
8.6 Évaluation de la documentation et des capacités de continuité d’activité
Il convient que l’organisme conduise des évaluations de son bilan d’impact sur l’activité, son appréciation
du risque, ses stratégies et solutions, ainsi que de ses plans et procédures de continuité d’activité afin
de s’assurer qu’ils sont en permanence convenables, adéquats et efficaces.
Il convient que les évaluations portent sur le besoin possible d’apporter des changements à la politique,
aux objectifs et aux autres éléments du SMCA à la lumière, par exemple, des résultats des exercices, des
revues post-incidents et des changements de situation de l’organisme.
Les évaluations peuvent prendre la forme d’audits internes ou externes, ou d’auto-évaluations. La
fréquence et le timing de ces revues peuvent être influencés par les réglementations et obligations
juridiques, par la taille, la nature ou le statut légal de l’organisme. Ils peuvent également être influencés
par les exigences de parties intéressées.
Il convient que les évaluations vérifient que:
— tous les produits et services ainsi que les activités et ressources qui les supportent ont été identifiés
et inclus dans les solutions de continuité d’activité de l’organisme;
— la politique de continuité d’activité, les solutions et les procédures de continuité d’activité de
l’organisme reflètent précisément ses exigences en matière de priorités et d’activité;
— les compétences des personnes et la continuité d’activité de l’organisme sont efficaces et adaptées
au but poursuivi, et permettront la gestion, le commandement, la maîtrise et la coordination de la
réponse de l’organisme à une perturbation;
— les solutions de continuité d’activité de l’organisme sont efficaces, à jour et adaptées au but poursuivi;
— les programmes d’exercice et de maintenance de l’organisme ont été mis en œuvre efficacement;
— les solutions et procédures de continuité d’activité incorporent les améliorations identifiées lors
d’incidents et d’exercices et dans le programme de maintenance;
— l’organisme dispose d’un programme permanent de formation et de sensibilisation (prise de
conscience) à la continuité d’activité;
— les procédures de continuité d’activité ont été communiquées efficacement au personnel pertinent,
et ce personnel comprend ses rôles et responsabilités;

ISO 22313:2020(F)

— les dispositions de continuité d’activité que les fournisseurs et partenaires ont mis en place pour les
dépendances des activités prioritaires sont appropriées et adéquates;
— l’organisme est suffisamment conforme aux exigences réglementaires et juridiques applicables et
aux meilleures pratiques de son secteur; et il est en conformité avec la politique et les objectifs de
continuité d’activité;
— les processus de maîtrise du changement sont en place et fonctionnent efficacement.
8.6.2 Mesurage de l’efficacité
Il convient que le mesurage de l’efficacité des plans, procédures et capacités de continuité d’activité
comprenne les dispositions de continuité d’activité pour les activités externalisées et la continuité
d’activité des fournisseurs et partenaires dont les activités prioritaires dépendent.
On trouvera ci-après des exemples de métriques pouvant être utilisées pour mesurer l’efficacité:
— les données de sauvegarde sont suffisamment récentes pour permettre la reprise des activités et
des ressources dans les RTO spécifiés;
— les emménagements et équipements requis sont disponibles dans le(s) site(s) alternatif(s) afin de
permettre le rétablissement et la reprise des activités;
— les compétences requises pour la reprise des activités prioritaires dans le RTO spécifié ont été
démontrées;
— les compétences requises pour répondre aux incidents et les gérer ont été démontrées.
Lorsque l’organisme est touché par une perturbation, il convient qu’une revue soit entreprise. Celle-ci
peut inclure:
— l’identification de la nature et de la cause de la perturbation;
— l’appréciation de l’adéquation de la réponse du management;
— l’appréciation de l’efficacité de l’organisme à satisfaire ses RTO;
— l’appréciation de l’adéquation des dispositions en matière de continuité d’activité concernant la
préparation des employés à un incident;
— l’identification d’améliorations à apporter aux dispositions en matière de continuité d’activité;
— la comparaison des impacts réels avec ceux considérés au cours du bilan d’impact sur
l’activité (voir 8.2.2);
— l’obtention d’un retour des parties intéressées et de ceux qui ont participé à la réponse.
8.6.3 Résultats
Les résultats révélateurs de plans, procédures et capacités de continuité d’activité efficaces peuvent
comprendre:
— une capacité de gestion des incidents est installée et apporte une réponse efficace;
— la compréhension qu’a l’organisme de lui-même et de ses relations avec les autres organismes, les
autorités de régulation ou les services gouvernementaux pertinents, les autorités locales et les
services de secours est convenablement développée, documentée et comprise;
— des exercices réguliers assurent que le personnel est formé pour répondre efficacement à une
perturbation;
— les exigences des parties intéressées sont comprises et peuvent être satisfaites;


— le personnel reçoit un support et des communications appropriés durant une perturbation;

— la réputation de l’organisme est protégée;
— une démonstration de la conformité aux règlements et dispositions juridiques;
— les contrôles financiers sont maintenus pendant un incident;
— l’organisme peut démontrer un niveau amélioré de résilience à ses clients et autres parties
intéressées.
Il convient que les informations documentées relatives à toutes les évaluations et leurs résultats soient
maintenues en tant que preuves.
9 Évaluation de la performance
9.1 Surveillance, mesurage, analyse et évaluation
Il convient que les procédures de surveillance, de mesurage, d’analyse et d’évaluation de la performance

et de l’efficacité du SMCA comprennent:
a) la détermination des méthodes de surveillance, de mesurage, d’analyse et d’évaluation, ce qui
implique de:
1) spécifier ce qu’il faut surveiller et mesurer;
2) identifier comment, quand et par qui il convient d’effectuer la surveillance et le mesurage;
3) définir des métriques de performance, y compris des mesurages qualitatifs et quantitatifs, qui
sont appropriés à l’organisme et assurent des résultats valides;
4) enregistrer les données et résultats pour faciliter l’analyse ultérieure des actions correctives;
b) l’examen des preuves historiques;
c) la surveillance du degré de satisfaction donné à la politique et aux objectifs de continuité d’activité
de l’organisme;
d) le mesurage de la conformité du SMCA par rapport aux exigences statutaires et réglementaires
applicables;
e) la surveillance des non-conformités et autres preuves d’une performance déficiente du SMCA.
9.1.2 Conservation des preuves
Il convient que l’organisme conserve les informations documentées appropriées de chaque évaluation
périodique, ainsi que leurs résultats.
9.1.3 Évaluation de la performance
Il convient que l’organisme utilise des indicateurs de performance pour évaluer la performance
et l’efficacité du SMCA et de ses résultats, afin d’identifier les succès et les domaines exigeant des
corrections ou améliorations. Les données obtenues peuvent être utilisées pour identifier les modèles
et pour permettre à l’organisme d’obtenir des informations relatives à la performance du SMCA.

ISO 22313:2020(F)

9.2 Audit interne
Il convient que l’organisme conduise des audits internes à des intervalles planifiés afin d’apprécier la
performance du SMCA.
Les audits internes du SMCA offrent un mécanisme capable de mesurer à quel point le SMCA atteint
ses objectifs, est conforme aux dispositions prévues et a été correctement mis en œuvre et maintenu,
ainsi que d’identifier les opportunités d’amélioration. Il convient que les audits internes du SMCA soient
conduits à des intervalles planifiés pour déterminer et fournir des informations à la direction générale
quant à l’adéquation et l’efficacité du SMCA, ainsi que pour constituer une base pour établir les objectifs
pour une amélioration continue de la performance du SMCA.
9.2.2 Programme(s) d’audit
Il convient que l’organisme établisse un programme d’audits (voir ISO 19011) pour orienter la
planification et la conduite des audits, et pour identifier les audits nécessaires pour atteindre les objectifs
du programme. Il convient que le programme soit basé sur la nature des activités de l’organisme, en
matière d’appréciation du risque et de bilan d’impact sur l’activité, sur les résultats des audits passés et
sur les autres facteurs pertinents.
Il convient que les programmes d’audit interne soient basés sur la totalité du domaine d’application
du SMCA. Cependant, chaque audit peut ne pas couvrir le système complet en une fois. Les audits
peuvent être découpés en plus petites parties, dans la mesure où le programme d’audits assure que
toutes les unités, fonctions, activités, éléments de système de l’organisme, ainsi que la totalité du
domaine d’application du SMCA soient audités dans le cadre du programme d’audits et dans la période
d’audit désignée par l’organisme.
Les résultats d’un audit interne du SMCA peuvent être donnés sous la forme d’un rapport et servir
à corriger ou prévenir les non-conformités spécifiques, et à constituer les éléments d’entrée pour
conduire la revue de direction.
Les audits internes du SMCA peuvent être réalisés par des membres du personnel au sein de l’organisme,
ou par des personnes externes sélectionnées par l’organisme et qui agissent en son nom. Dans les deux
cas, il convient que les personnes qui conduisent l’audit soient compétentes et en mesure de le faire de
manière impartiale et objective. Dans les organismes de plus petite taille, l’indépendance de l’auditeur
peut être démontrée par le fait que l’auditeur est libre de toute responsabilité en ce qui concerne
l’activité en cours d’audit.
9.3 Revue de direction
Il convient que la direction générale passe en revue le SMCA de l’organisme, selon des intervalles de
temps planifiés, afin de s’assurer qu’il est toujours pertinent, adéquat et efficace, y compris au niveau du
fonctionnement efficace de ses procédures et capacités de continuité.
9.3.2 Éléments d’entrée de la revue de direction
Il convient que la revue de direction comprenne l’évaluation:

— de l’état des actions menées depuis les revues précédentes;
— de la performance du système de management, y compris les tendances se dessinant à partir des
non-conformités et des actions correctives, des résultats de la surveillance et du mesurage, et des
constats effectués lors des audits;


— des changements de la chaîne d’approvisionnement et de l’efficacité des dispositions de la continuité

de la chaîne d’approvisionnement;
— des autres changements intervenus pour l’organisme et son contexte (voir 4.1) et du retour des
parties intéressées (voir 4.2) susceptibles d’avoir un impact sur le système de management;
— des opportunités d’amélioration continue.
La revue de direction donne à la direction générale l’opportunité d’évaluer la pertinence, l’adéquation et
l’efficacité continues du système de management. Il convient que la revue de direction couvre le domaine
d’application du SMCA et toute exclusion (voir 4.3), bien qu’il ne soit pas nécessaire de passer en revue
tous les éléments d’un coup et que le processus de revue puisse avoir lieu sur une certaine durée.
Il convient que la revue de la mise en œuvre et des résultats du SMCA par la direction générale soit
programmée et évaluée régulièrement. Tandis qu’il est recommandé de pratiquer la revue en continu du
système, il convient de pratiquer une revue formelle, de façon structurée, documentée et programmée
sur une base convenable. Il convient que les personnes impliquées dans la mise en œuvre du SMCA et
dans l’allocation de ses ressources soient impliquées dans la revue de direction.
En plus des revues régulièrement programmées du système de management, les facteurs suivants
peuvent déclencher une revue et il convient à défaut de les examiner dès qu’une revue est programmée.
a) Tendances du secteur/de l’industrie: il convient que les initiatives majeures du secteur/de
l’industrie déclenchent une revue du SMCA. Les tendances générales et les bonnes pratiques dans
le secteur/l’industrie et les techniques de planification de la continuité d’activité/opérationnelle
peuvent servir à des fins d’analyse comparative (benchmarking).
b) Exigences réglementaires: de nouvelles exigences réglementaires peuvent exiger une revue
du SMCA.
c) Expérience des incidents: il convient d’effectuer une revue à la suite d’une réponse à une
perturbation, même si la procédure de réponse n’a pas été activée. Si elle a été activée, il convient
que la revue prenne en considération l’historique de la procédure de réponse, comment celle-ci a
fonctionné, et pourquoi elle a été activée. Si la procédure de réponse n’a pas été activée, il convient
d’examiner lors de la revue pourquoi il en a été ainsi et si cela a été la décision correcte. Il peut
également être bénéfique de passer en revue les perturbations affectant d’autres organismes
appartenant au même secteur ou à des industries similaires.
9.3.3 Éléments de sortie de la revue de direction
9.3.3.1 Amélioration du SMCA
Il convient qu’une revue de direction débouche sur des améliorations apportées à l’efficience, la
performance et l’efficacité du SMCA. Elle peut déboucher sur les changements suivants:
— variations du domaine d’application;
— mises à jour des stratégies et solutions de continuité d’activité;
— changements apportés aux moyens de maîtrise et à la manière de mesurer leur efficacité.
9.3.3.2 Conservation des informations documentées
Il convient que l’organisme conserve les informations documentées comme preuves des résultats des
revues de direction, et qu’il:
— communique les résultats de la revue de direction aux parties intéressées pertinentes;
— prenne les mesures appropriées concernant ces résultats.

ISO 22313:2020(F)

10 Amélioration
10.1 Non-conformité et actions correctives
Il convient que l’organisme détermine les opportunités d’amélioration du SMCA et mette en œuvre les
actions nécessaires pour atteindre les résultats escomptés.
10.1.2 Apparition de non-conformités
Il convient que l’organisme identifie les non-conformités, qu’il prenne des mesures pour les maîtriser,
les contenir et les corriger, qu’il s’occupe de leurs conséquences et qu’il évalue le besoin d’agir pour en
éliminer les causes.
Il convient que l’organisme établisse des procédures efficaces pour assurer l’identification:
— du non-respect d’une exigence;
— d’une approche de planification inefficace;
— de faiblesses associées au SMCA.
Une fois que l’identification faite, il convient d’agir en temps utile pour empêcher que la situation ne se
reproduise, et pour identifier et traiter les causes profondes. Il convient que les procédures permettent
en continu la détection, l’analyse et l’élimination des causes des non-conformités réelles et potentielles.
Il convient d’identifier les non-conformités et de les traiter en temps utile, tout comme les actions
correctives qui les concernent. Les actions correctives peuvent provenir d’une déclaration de non-
conformité bien définie, qui établit clairement le problème et est bien comprise.
En cas d’identification d’une non-conformité, il convient de conduire une enquête pour en déterminer
la cause profonde, puis de développer un plan d’action corrective pour traiter immédiatement le
problème. Il convient que le plan d’actions soit conçu pour atténuer toutes les conséquences et identifier
les changements à apporter pour corriger la situation, restaurer le fonctionnement normal et éliminer
la ou les causes afin d’éviter que le problème ne se reproduise. Il convient que la nature et le timing
des actions soient appropriés à l’ampleur et à la nature de la non-conformité et de ses conséquences
potentielles.
Il convient que l’organisme améliore la performance et l’efficacité du SMCA, même en l’absence de
preuve de non-conformité. Ces améliorations peuvent comprendre des corrections, actions correctives,
innovations et réorganisations.
Le fait d’établir des procédures pour traiter les non-conformités réelles et potentielles et pour prendre
des actions correctives sur une base continue aide à assurer la fiabilité et l’efficacité du SMCA. Il
convient que les procédures définissent les responsabilités, l’autorité et les étapes nécessaires lors de
la planification et de la réalisation des actions correctives. Il convient que la direction générale s’assure
que des actions correctives soient mises en œuvre et qu’il y ait un suivi systématique afin d’en évaluer
l’efficacité.
10.1.3 Conservation des informations documentées
Il convient que l’organisme conserve des informations documentées comme preuves:

— de la nature des non-conformités et des actions ultérieures éventuellement menées;
— des résultats des actions correctives éventuellement menées.


10.2 Amélioration continue

L’amélioration continue, en matière de pertinence, d’adéquation et d’efficacité du SMCA, a lieu à tous
les niveaux du cycle PDCA; et il convient qu’elle soit dirigée par la politique de continuité d’activité et
les objectifs, les résultats d’audit, l’analyse des perturbations, la revue de direction, les ambitions et le
niveau de maturité désiré.
L’amélioration continue exige un processus qui identifie les opportunités et un processus pour les gérer.
Il convient que le processus d’amélioration continue suive le même processus de base que celui qui sert
aux actions correctives, et qu’il comprenne ce qui suit:
— identification de ce qu’il y a à traiter et de la situation actuelle (place pour une amélioration);
— identification du processus et des moyens de maîtrise actuels;
— détermination des changements à mettre en œuvre (amélioration).
Les actions correctives portent sur les défaillances du SMCA et assurent que ce dernier fonctionne
comme prévu, alors que l’amélioration continue porte le SMCA à un niveau d’efficience et d’efficacité
supérieur.
L’organisme peut obtenir des améliorations à travers l’application efficace des processus du SMCA, tels
que le leadership (voir Article 5), la planification (voir Article 6) et l’évaluation de la performance (voir
Article 9). Il convient que la direction générale considère également les opportunités d’amélioration
du SMCA pouvant provenir de changements dans:
— le contexte de l’organisme (par exemple: faillite d’un concurrent);
— la structure interne de l’organisme (par exemple: acquisition de sites ou d’employés supplémentaires);
— les moyens de production ou de livraison (par exemple: changement technologique, amélioration de
l’infrastructure);
— des méthodologies en évolution ou la disponibilité de nouvelles méthodes de rétablissement (par
exemple: nouvelles installations de soutien ou technologie de réseau);
— les technologies et pratiques, y compris nouveaux outils et techniques.
Il convient de les évaluer afin d’établir leur intérêt potentiel pour l’organisme.

ISO 22313:2020(F)

Bibliographie
[1] ISO 19011, Lignes directrices pour l'audit des systèmes de management
[2] ISO/IEC 20000 (toutes les parties), Technologies de l’information — Gestion des services
[3] ISO/TS 22317, Sécurité sociétale — Systèmes de management de la continuité d'activité — Lignes
directrices pour l'analyse d'impact sur l'activité
[4] ISO/TS 22318, Sécurité sociétale — Systèmes de management de la continuité en affaires — Lignes
directrices pour la continuité de la chaîne d'approvisionnement
[5] ISO/TS 22330, Sécurité et résilience — Systèmes de gestion de la poursuite des activités — Lignes
directrices concernant les aspects humains de la poursuite des activités
[6] ISO/TS 22331, Sécurité et résilience — Systèmes de management de la continuité des activités —
Lignes directrices relatives à la stratégie de continuité d'activité
[7] ISO 22398, Sécurité sociétale — Lignes directrices pour exercice
[8] ISO/IEC 27002, Technologies de l'information — Techniques de sécurité — Code de bonne pratique
pour le management de la sécurité de l'information
[9] ISO/IEC 27031, Technologies de l'information — Techniques de sécurité — Lignes directrices pour
la préparation des technologies de la communication et de l'information pour la continuité d'activité
[10] ISO 31000, Management du risque — Lignes directrices

ISO 22313:2020(F)

ICS 03.100.70; 03.100.01

Prix basé sur 55 pages
© ISO 2020 – Tous droits réservés

ISO 22313 2020 (F) - Character PDF Document

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISO 22313 2020 (F) - Character PDF Document

Transféré par

Droits d'auteur :

Formats disponibles

Accordé sous licence par l'INNORPI à la Société BIT

Bon de commande N°01/2020 du 09/10/2020

Sécurité et résilience — Systèmes

DOCUMENT PROTÉGÉ PAR COPYRIGHT

ii ﻿ © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés ﻿ iii

8.2.2 Bilan d’impact sur l’activité.................................................................................................................................. 21

iv ﻿ © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés ﻿ v

vi ﻿ © ISO 2020 – Tous droits réservés

0.2 Bénéfices d’un système de management de la continuité d’activité

© ISO 2020 – Tous droits réservés ﻿ vii

— ses responsabilités envers la communauté et les autres parties intéressées.

Tableau 1 — Explication du cycle PDCA

viii ﻿ © ISO 2020 – Tous droits réservés

Figure 1 — Cycle PDCA appliqué aux processus SMCA

0.4 Composantes du cycle PDCA dans le présent document

Tableau 2 — Relation entre le cycle PDCA et les Articles 4 à 10

— ses obligations réglementaires et juridiques;

— le domaine d’application exigé pour le SMCA.

© ISO 2020 – Tous droits réservés ﻿ ix

0.5 Contenu du présent document

x ﻿ © ISO 2020 – Tous droits réservés

c) de comprendre le risque de perturbation;

Figure 2 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation soudaine

© ISO 2020 – Tous droits réservés ﻿ xi

Figure 3 — Illustration de l’efficacité de la continuité d’activité en cas de perturbation graduelle

xii ﻿ © ISO 2020 – Tous droits réservés

Sécurité et résilience — Systèmes de management de la

© ISO 2020 – Tous droits réservés ﻿ 1

4.1 Compréhension de l’organisme et de son contexte

2 ﻿ © ISO 2020 – Tous droits réservés

4.2 Comprendre les besoins et attentes des parties intéressées

L’organisme a un devoir de diligence envers de nombreuses personnes dans l’organisme et en dehors

Figure 4 — Exemples de parties intéressées dans les secteurs public et privé

4.2.2 Exigences réglementaires et juridiques

© ISO 2020 – Tous droits réservés ﻿ 3

4.3 Détermination du domaine d’application du système de management de la

4.3.2 Domaine d’application du système de management de la continuité d’activité

Il convient que l’organisme:

4 ﻿ © ISO 2020 – Tous droits réservés

4.3.3 Exclusions du domaine d’application

4.4 Système de management de la continuité d’activité

© ISO 2020 – Tous droits réservés ﻿ 5

5.1 Leadership et engagement

5.1.2 Direction générale

Il convient que la direction générale démontre un leadership et un engagement:

5.1.3 Autres rôles de management

6 ﻿ © ISO 2020 – Tous droits réservés

5.2.1 Établissement de la politique de continuité d’activité

5.2.2 Communication de la politique de continuité d’activité

Il convient que la politique de continuité d’activité:

© ISO 2020 – Tous droits réservés ﻿ 7

5.3 Rôles, responsabilités et autorités

Tableau 3 — Exemples de rôles et responsabilités du SMCA

8 ﻿ © ISO 2020 – Tous droits réservés

— Conduire toutes les activités du programme et assurer la coordination avec d’autres

— Nommer les membres de l’équipe avec l’ancienneté, l’autorité et les compétences

— Faciliter l’approbation des solutions, des procédures et des programmes d’exercices

— Soumettre les recommandations de l’équipe aux réunions de revue de direction

— S’assurer que les revues du programme sont conduites en temps utile

— Apprécier l’adéquation de la continuité d’activité pour les fonctions individuelles

— Organiser et coordonner les programmes de sensibilisation (prise de conscience) à

ii © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés iii

iv © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés v

vi © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés vii

viii © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés ix

x © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés xi

xii © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 1

2 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 3

4 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 5

6 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 7

8 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 9

10 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 11

12 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 13

14 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 15

16 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 17

18 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 19

20 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 21

22 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 23

24 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 25

26 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 27

28 © ISO 2020 – Tous droits réservés

© ISO 2020 – Tous droits réservés 29