Quand on parle de continuité d’affaires en cybersécurité, la majorité des PME pensent immédiatement à des sauvegardes ou à un serveur redondant infonuagique.
Pourtant, ce n’est que la pointe de l’iceberg. La norme ISO/IEC 27031 existe depuis plus de 10 ans pour encadrer la continuité des technologies de l’information et des communications (TIC).
Et en mai 2025, cette norme a été mise à jour complètement.
Pour rappel 27031:2025 versus 22301:2019
ISO/IEC 27031 est une norme d’orientation (non certifiable) de la série 27000, qui explique comment bâtir un plan de continuité technologique concret.
ISO 22301, de son côté, est une norme de certification qui encadre la continuité globale des activités, incluant les volets humains, logistiques et opérationnels.
La norme 27031 rajoute des détails technique aux deux normes :
- Elle complète ISO/IEC 27001, en soutenant les contrôles A.5.29 et A.5.30 avec des méthodes pratiques.
- Elle détaille le volet informatique d’ISO 22301, en fournissant les moyens de respecter les RTO/RPO, d’organiser la reprise informatique et de maintenir les actifs critiques opérationnels.
Qu’est-ce qui change dans la version 2025 ?
La version 2025 remplace officiellement celle de 2011 avec des changements majeurs :
Intégration au vocabulaire ISO/IEC 27000:2022
La norme est réécrite pour mieux s’aligner avec les autres normes de la série 27000. Elle utilise les mêmes définitions pour éviter les confusions.
Alignement avec ISO/IEC 27001:2022 et ISO 22301:2019
L’ancienne version était difficile à intégrer dans un SGSI ISO 27001. La nouvelle version facilite l’intégration directe dans la clause 6.1 (appréciation des risques) et 8.2 (planification du traitement des risques).
Approche par capacités (ICT Continuity Capabilities)
Le concept central est maintenant celui de capacité de continuité des TIC (ICTCC). Cela désigne l’ensemble des moyens technologiques, humains et organisationnels mis en place pour assurer que les systèmes d’information critiques d’une entreprise peuvent continuer à fonctionner — ou être restaurés rapidement — en cas d’incident majeur.
Autrement dit, c’est la capacité d’une organisation à absorber un choc informatique sans perdre ses opérations clés. La norme fournit une méthodologie détaillée pour définir cette capacité, la mettre en œuvre concrètement, la tester régulièrement et l’améliorer de manière continue.
Plus de clarté sur le rôle du plan de continuité TI
Alors que la version précédente parlait vaguement de « plans », la 2025 définit clairement :
- Ce qu’un ICT Continuity Plan doit contenir
- Qui doit le valider
- Comment le tester
Nouvel accent sur les incidents de sécurité
La nouvelle norme est beaucoup plus sensible aux réalités de 2025 : rancongiciel, attaques par dénis de service, dépendance aux fournisseurs SaaS. Elle intègre les notions de cyberrésilience.
Structure de la norme ISO/IEC 27031:2025
La norme suit maintenant une logique plus accessible, voici la table des matieres traduite (Librement) :
- Introduction et principes fondamentaux
- Contexte de l’organisation
- Évaluation des exigences de continuité des TIC
- Développement des capacités de continuité
- Mise en œuvre et fonctionnement
- Surveillance, tests et amélioration continue
Chaque section vient avec des annexes explicatives et des exemples de mesures.
Comment utiliser ISO/IEC 27031 dans une PME ?
Voici un exemple d’offre de service que j’offre pour une entreprise en processus d’implantation ISO/IEC 27001 ou qui veulent simplement se doter d’un plan de continuité TI.
Étape 1 — Identifier les actifs critiques
Quels sont les actifs technologiques sans lesquels l’entreprise ne peut pas fonctionner pendant plus de quelques heures ? (serveurs, ERP, plateformes client, services infonuagique, etc.)
→ Référence ISO/IEC 27001 : clause 8.1 & A.5.9 (Inventaire des actifs)
Étape 2 — Déterminer l’impact
Quel est l’impact si ces actifs tombent ? Cette analyse rejoint l’approche BIA (Business Impact Analysis) d’ISO 22301, mais au niveau TI.
→ Référence ISO 22301 : clause 8.2
Étape 3 — Définir les exigences de continuité (RTO/RPO)
- RTO (Recovery Time Objective) : Temps maximal acceptable d’interruption
- RPO (Recovery Point Objective) : Perte maximale acceptable de données
→ Référence ISO/IEC 27031:2025 — section 3 et 4
Étape 4 — Construire le plan de continuité TI (ICT Continuity Plan)
On crée un ICT Continuity Plan, qui décrit :
- Les procédures de restauration
- Les responsabilités (avec remplaçants)
- Les communications en cas d’incident
- Les outils de support (backups, redondance, scripts, etc.)
→ Référence ISO/IEC 27031:2025 — section 5
Étape 5 — Tester, ajuster, former
Un plan non testé est un faux sentiment de sécurité. On fait des simulations, on documente les écarts, on ajuste.
→ Référence ISO/IEC 27001 : clause 8.4 & A.5.30 (test et revue des contrôles de continuité)
Quelques pièges
Croire que les backups suffisent
Un backup sans test, sans processus de restauration, sans redondance réseau ni accès physique alternatif = aucune garantie.
Un plan TI uniquement
Le plan de continuité TI touche les finances, les RH, le service à la clientèle. Tous sont impliqué.
Copier-coller un plan générique
La norme insiste sur l’adaptation au contexte de l’organisation (taille, secteur, menaces spécifiques). Copier un plan de banque pour une PME, c’est inutile.
Ignorer les fournisseurs
Si vous êtes dépendants d’un hébergeur, d’un fournisseur SaaS ou d’un service infonuagique, votre plan doit intégrer leur propre plan. Exigez des engagements contractuels (SLA).
Après lecture de la nouvelle version 2025 de la norme ISO/IEC 27031, je crois que c’est une avancée importante.
Elle est beaucoup plus claire et je la sens plus proche de la réalité qu’elle ne l’as été. Bref, c’est le temps de cesser de croire que la continuité se résume à « on a un backup quelque part ».
Un vrai plan de continuité, c’est un gage de résilience, de crédibilité et de survie. Et maintenant, vous avez une norme claire pour vous guider.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur les sujets liés à la sécurité de l’information et à la vie privée.
