Analyse Loi 25
Pour nous joindre
Normes & gouvernance
3 juillet 2025

ISO 22301:2019 est un focus sur la continuité d’affaires

La norme ISO 22301:2019 à le titre “Security and resilience — Business continuity management systems — Requirements”

C’est la référence internationale pour mettre en place un système de gestion de la continuité.

Elle guide les organisations dans la planification, l’implémentation et l’amélioration continue de processus destinés à prévenir et à gérer les incidents perturbateurs.

Aussi pour renforcer la résilience des opérations et protèger la capacité d’une entreprise à fournir ses produits ou services même en cas de perturbation.

Disaster — Photo by Thomas Ehling on Unsplash

Pourquoi parler de continuité d’affaire?

Une attaque informatique qui fait rends indisponible vos serveurs, une panne Hydro‑Québec semblable à la crise du verglas de 1998 ou un incendie qui détruit le centre de données. Ce sont des incidents qui malheureusement arrivent souvent.

En plus avec l’intolérance des clients pour l’indisponibilité rendent maintenant la capacité de résilience opérationnelle non négociable.

Aussi les entreprises avec leur BCMS certifié on remarqué une baisse des primes d’assurance (entre 15 % et 35 %).

Origines et évolution de la norme

La réflexion à l’origine d’ISO 22301 remonte aux attentats du 11 septembre, au SRAS 2003 et à divers désastres qui ont mis en lumière les limites des plans d’urgence improvisés des organisations.

Le Royaume‑Uni a publié le premier standard, BS 25999, en 2007, retiré par la suite lorsque le comité ISO/TC 292 a publié ISO 22301:2012.

En 2019, la norme est révisée et ils ont simplifié le texte qui s’aligne sur la structure Annex SL (HLS) commune aux autres normes comme ISO 9001, 14001, 27001.

La structure SL des normes ISO garantit que toutes les normes partagent une structure commune simplifiée et pour facilité leur intégration,

À qui s’adresse typiquement la certification ISO 22301 ?

La certification ISO 22301 attire principalement des organisations pour lesquelles l’interruption des opérations a des conséquences graves.

Il s’agit souvent de secteurs critiques, fortement réglementés, ou dont les clients exigent une continuité ininterrompue des services. Parmi les profils d’entreprises les plus typiques :

  • Entreprises de services financiers : banques, compagnies d’assurance, fintechs, qui doivent maintenir l’accès aux fonds, données et plateformes en tout temps.
  • Opérateurs d’infrastructures critiques : énergie, télécommunications, transport, santé, là où toute interruption a un impact de société immédiat.
  • Entreprises manufacturières : en particulier celles ayant des chaînes d’approvisionnement tendues ou des pénalités contractuelles en cas de retard.
  • Fournisseurs technologiques : hébergeurs, infonuagique, gestionnaires de services TI, pour lesquels l’indisponibilité peut affecter des milliers de clients.
  • Secteur public et municipalités : pour garantir la prestation continue des services essentiels aux citoyens.

Bref, la certification est recherchée par les organisations qui doivent prouver à leurs clients, partenaires ou régulateurs qu’elles sont prêtes à gerer des évènements majeurs sans tomber.

Qu’est‑ce qu’un BCMS ?

Le Business Continuity Management System (BCMS) est à la continuité d’affaires ce que le SGSI (ISO 27001) est à la sécurité : un ensemble de processus documentés basés sur la roue de Deming (Plan‑Do‑Check‑Act) permettant de planifier, mettre en œuvre, exploiter, surveiller, réviser et améliorer la capacité de survie de l’entreprise en cas de crise.

Principales étapes:

  1. Périmètre clair : sites, lignes d’affaires et actifs concernés.
  2. Analyse d’impact sur les activités (BIA) : quantification des pertes potentielles et détermination des RTO/RPO.
  3. Évaluation des risques : identification des menaces (inondation, cyberattaque, pandémie) et des vulnérabilités.
  4. Stratégies de continuité : redondance, externalisation, télétravail, stocks de supplémentaires.
  5. Plans et procédures : gestion de crise, scripts d’escalade, procédures de relève.
  6. Exercices et tests : table‑top, reprises à blanc, tests de charge.
  7. Amélioration continue : indicateurs, audits internes, revues de direction.

Sans ce cycle, le « plan de contingence » finit dans un tiroir et ne sert jamais, comme trop souvent.

Similitudes et différences avec ISO 27001

ISO 22301 et ISO 27001 partagent la structure commune HLS ce qui facilite leur intégration.

Par contre, elles visent des objectifs distincts.

ISO 27001 cherche à éviter les incidents de sécurité, tandis qu’ISO 22301 vise à limiter les dégâts quand ceux-ci se produisent.

Crises de disponibilité

Les organisations sont régulièrement confrontées à des crises pouvant compromettre la disponibilité de leurs opérations.

Ces perturbations peuvent provenir de facteurs internes, tels qu’un incendie, une erreur humaine ou une défaillance technique d’une infrastructure critique, ou de facteurs externes tels que des pannes majeures des réseaux de télécommunications (par exemple, les pannes de Rogers en juillet 2022 et juin 2025 ou celle de Vidéotron en septembre 2023) ou des catastrophes naturelles, comme les épisodes de verglas importants ayant privé des milliers de familles d’électricité en avril 2023 et mars 2025.

Se cacher la tête dans le sable en espérant que ces crises n’arrivent pas n’est clairement pas une solution. En effet, ce n’est pas parce qu’une crise ne s’est jamais produite dans une organisation qu’elle ne se produira jamais.

Pour l’écriture de cet article je suis tombé sur plusieurs statistiques. (voir source à la fin)

  1. 93 % des entreprises qui ont perdu leur centre de données pendant 10 jours ou plus en raison d’un sinistre ont fermé leurs portes dans l’année qui a suivi.
  2. 96 % des entreprises disposant d’un plan de sauvegarde et de reprise après sinistre fiable ont pu survivre aux attaques par rançongiciel.
  3. 75 % des petites entreprises n’ont pas de plan de reprise après sinistre en place.
  4. Les pannes matérielles sont responsables de 45 % des interruptions.
  5. L’erreur humaine est la cause de 22 % des interruptions.
  6. Les pannes logicielles représentent 18 % des interruptions.
  7. Le coût moyen d’une interruption informatique est de 5 600 $ par minute.
  8. 98 % des organisations déclarent qu’une seule heure d’interruption coûte plus de 100 000 $.
  9. 40 % des entreprises ne rouvrent pas après un sinistre.
  10. 25 % supplémentaires font faillite dans l’année qui suit.
  11. 90 % des entreprises font faillite dans les deux ans suivant un sinistre.

Source:

https://drj.com/journal/summer-2018-volume-31-issue-2/the-40-percent-business-failure-myth/

https://news.sophos.com/en-us/2023/05/17/the-state-of-ransomware-2023/

https://news.nationwide.com/half-of-small-businesses-lack-a-disaster-recovery-plan-nationwide-survey/

https://uptimeinstitute.com/resources/research-reports

https://www.atlassian.com/incident-management/kpis/cost-of-downtime

https://itic-corp.com/itic-reports-surveys/

Erreurs fréquentes observées lors des audits

Lors des audits que j’ai réalisé, je vois malheureusement ces situations régulièrement:

  • Plan conservé uniquement dans SharePoint et inaccessible hors ligne.
  • Génératrice testée sans charge : le disjoncteur se déclenche lors du premier usage avec une vrai charge.
  • Analyse d’impact d’affaire(BIA) irréaliste : RTO de cinq minutes pour tout l’équipement, sans budget.
  • Personnel non formé : procédures inconnues au moment critique.

Lien avec les obligations réglementaires

Même si ISO 22301 n’est pas une exigence légale, elle permet de démontrer la diligence raisonnable face à plusieurs obligations :

  • Loi 25 au Québec : obligation de protéger les renseignements personnels, même en cas d’incident opérationnel.
  • Loi sur la sécurité civile : exigence de planification pour les municipalités et organismes publics.
  • Exigences des assureurs : certains imposent désormais des plans de continuité certifiés pour accorder des garanties étendues.

Processus de certification : à quoi s’attendre

La certification ISO 22301 suit les étapes classiques :

  1. Définir le périmètre
  2. Mise en œuvre du BCMS (6 à 18 mois selon la portée) ;
  3. Audit de certification par un organisme accrédité;
  4. Surveillance annuelle pendant 3 ans.

Les coûts varient de 15 000 $ à 80 000 $ selon la taille, l’externalisation, et l’ampleur du périmètre.

Exemple d’indicateurs de performance(KPI)

Voici quelques indicateurs utiles pour mesurer l’efficacité continue du BCMS :

  • % de plans mis à jour dans les 12 derniers mois ;
  • temps moyen de reprise observé comparé au RTO cible ;
  • taux de participation aux exercices par service ou direction ;
  • délais moyens de validation post‑incident.

Avec ces données, le responsable du BCMS peux mieux orienter les efforts pour l’amélioration continue.

Normes complémentaires à ISO 22301

Il existe des normes ISO de la même famille qui peuvent approfondir certains volets du BCMS :

  • ISO 22317:2021 : guide méthodologique pour la réalisation de l’analyse d’impact sur les activités (BIA) ;
  • ISO 22318:2021 : continuité de la chaîne d’approvisionnement — utile pour les entreprises dépendantes de fournisseurs critiques ;
  • ISO 22320:2018 : gestion des urgences, centré sur les actions de réponse opérationnelle.

Ces normes ne sont pas certifiables, mais offrent des compléments d’information pour la norme ISO 22301.

Différence entre continuité d’affaire et résilience informatique

Continuité d’affaires

La continuité d’affaires concerne la capacité d’une organisation à maintenir ses fonctions essentielles en cas de crise ou de perturbation majeure. Cette approche est large et touche toutes les opérations critiques, pas uniquement informatiques:

  • L’identification des processus vitaux pour l’entreprise.
  • La définition de plans et procédures afin de poursuivre ou de restaurer ces processus après un incident.
  • La mise en œuvre d’une gouvernance claire, d’une formation du personnel, et d’une sensibilisation continue.

La continuité d’affaires est structurée par la norme ISO 22301.

Résilience informatique

La résilience informatique est plus spécifique et focalisée sur la capacité des systèmes informatiques à résister, s’adapter et récupérer rapidement face à une perturbation technique ou informatique. C’est inclus dans

  • La redondance des infrastructures informatiques.
  • Les sauvegardes régulières et la restauration rapide des données.
  • La mise en place de solutions de récupération après sinistre (Disaster Recovery, DR).
  • La prévention contre les attaques et les incidents informatiques.

La résilience informatique est un volet essentiel de la continuité d’affaires, mais elle reste concentrée sur l’aspect technique et technologique.

Exemple : Une infrastructure infonuagique redondante répartie sur plusieurs centres de données pour éviter une interruption de services en cas de panne matérielle.

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble