Alain Rees · 11-07-2026 · 13 min leestijd
La gestion de la continuité d'activité (BCM, Business Continuity Management) est le processus de management qui permet à votre organisation de continuer à fournir ses produits et services critiques, même lorsqu'un incident grave survient. Mettre en place un processus BCM efficace ne se limite pas à ranger un plan dans un tiroir : la continuité devient une composante vivante de votre pilotage quotidien. Cet article vous explique comment le construire pas à pas, quels livrables et registres en font partie, et comment rendre l'ensemble démontrable sous NIS2.
En bref
- Le BCM garantit que vos services critiques se poursuivent à un niveau minimal convenu pendant une perturbation.
- La norme internationale est l'ISO 22301, structurée autour d'un cycle planifier, réaliser, vérifier et améliorer.
- Vous pilotez à trois niveaux : stratégique (orienter), tactique (organiser) et opérationnel (exécuter).
- Le cœur est l'analyse d'impact sur l'activité (BIA), qui fournit pour chaque processus les délais de reprise RTO, RPO et MTPD, ainsi que le niveau minimal de service (MBCO) que vous voulez maintenir.
- La continuité ne devient démontrable que lorsque vous gérez les résultats dans des registres tenus à jour, et non dans des documents épars.
Le BCM est l'ensemble cohérent de politiques, d'analyses, de plans, de dispositifs et d'exercices qui permet à votre organisation d'absorber une perturbation. L'objectif est triple : absorber une perturbation, continuer à fonctionner à un niveau minimal acceptable pendant qu'elle dure, puis revenir de façon maîtrisée à la situation normale.
La norme internationale en la matière est l'ISO 22301. Elle décrit le BCM comme un processus continu et non comme un projet ponctuel. Il est important de savoir que le BCM est plus large que la seule informatique. Une perturbation peut tout aussi bien provenir de l'indisponibilité du personnel, de la défaillance d'un fournisseur ou d'un bâtiment inutilisable que d'une cyberattaque.
La continuité n'est plus facultative. NIS2 s'applique aux entités essentielles et importantes dans toute l'Union européenne. En France, la directive NIS2 (UE) 2022/2555 est mise en œuvre sous l'autorité de l'ANSSI ; en Belgique, elle a été transposée par la loi du 26 avril 2024, en vigueur depuis le 18 octobre 2024, dont l'autorité compétente est le CCB. La directive elle-même s'adresse aux États membres et non directement aux organisations : chaque État membre transpose NIS2 dans son droit national, et vos obligations concrètes découlent de cette transposition.
NIS2 impose une obligation de sécurité : vous devez prendre des mesures appropriées pour la continuité de vos services et pour la maîtrise de vos risques. La responsabilité finale incombe à l'organe de direction, avec une responsabilité personnelle en dernier ressort. Un processus BCM opérationnel est précisément la preuve qu'une autorité de contrôle souhaite voir. Il montre que vous n'avez pas seulement organisé la continuité sur le papier, mais que vous l'avez aussi éprouvée et tenue à jour.
Un bon processus BCM est ancré à trois niveaux. Cette répartition vaut aussi bien pour la gestion en temps calme que pour l'organisation de crise que vous activez pendant une perturbation.
Au niveau stratégique se situe la responsabilité de propriété. L'organe de direction adopte la politique de continuité, détermine l'appétence au risque et désigne les produits et services critiques. Cette responsabilité n'est pas délégable. Pendant une crise, ce niveau forme la cellule de direction, qui veille au cap, à la réputation et à la position juridique.
Au niveau tactique se déroule l'essentiel du travail d'expertise. C'est ici que vous menez les analyses, choisissez les stratégies de continuité et concevez les plans et les exercices. Pendant une crise, ce niveau pilote la reprise effective et fait le lien entre la direction et l'exécution.
Au niveau opérationnel se déroule l'exécution sous pression. C'est ici que se trouvent les procédures de reprise concrètes, les schémas d'alerte et d'escalade et le repli technique. À ce niveau vit aussi le plan de reprise informatique, qui constitue la traduction technique des délais de reprise fixés au niveau tactique.
L'ISO 22301 construit le BCM comme un cycle planifier, réaliser, vérifier et améliorer. Vous établissez d'abord le contexte, la politique et les objectifs, et vous menez les analyses. Vous choisissez ensuite les stratégies, mettez en place les dispositifs et rédigez les plans. Vous éprouvez ensuite ces plans au moyen d'exercices et vous en vérifiez le fonctionnement. Enfin, vous exploitez les enseignements tirés des exercices, des incidents et des évaluations, et vous en rendez compte à la direction.
Cette dernière étape fait la différence entre un dossier qui vieillit et un processus qui continue de fonctionner. Les plans que vous n'exercez pas sont réputés non éprouvés.
Lorsque vous mettez en place un processus BCM, vous produisez un ensemble de documents cohérents. Chaque livrable répond à une question qui lui est propre.
La politique de continuité est le cadre adopté par la direction. Elle fixe l'objectif, le périmètre, les principes directeurs et les responsabilités.
L'analyse d'impact sur l'activité (BIA) est le cœur analytique. Pour chaque processus critique, vous déterminez comment l'impact d'une interruption augmente à mesure qu'elle se prolonge, et vous en déduisez les indicateurs clés. Ces indicateurs sont le fondement de tous les plans :
L'analyse des menaces complète la BIA. Là où la BIA examine les conséquences d'une interruption, l'analyse des menaces en examine les causes. Vous évaluez des scénarios tels qu'une attaque par rançongiciel, la défaillance d'un centre de données ou la perte d'un fournisseur critique selon leur probabilité et leur impact, et vous déterminez les mesures nécessaires.
La stratégie de continuité relie les analyses à la pratique. Pour chaque processus, vous choisissez comment absorber une perturbation : par la redondance, par le repli vers un environnement alternatif, par une procédure d'urgence manuelle, par un fournisseur de secours, ou en acceptant sciemment un risque résiduel.
Les plans de continuité, enfin, traduisent ces choix en procédures opérationnelles concrètes que vous suivez pendant une perturbation.
C'est ici que se situe l'étape que beaucoup d'organisations sautent. La BIA et l'analyse des menaces sont un instantané. Un registre en est la contrepartie vivante : il tient à jour l'état actuel et constitue la preuve de votre obligation de sécurité. Un processus BCM mature tient donc à jour en continu les éléments suivants.
Les risques de continuité sont le prolongement permanent de l'analyse des menaces. Chaque scénario de perturbation est consigné avec sa probabilité, son impact, son score de risque, un responsable et l'état des mesures. Vous n'avez pas besoin de créer un registre distinct : dans Kantyra, vous gérez ces risques dans le registre des risques partagé, reconnaissables à la catégorie Continuité.
Les produits et services critiques sont consignés avec leurs délais de reprise. C'est le résultat vivant de votre BIA : quels processus sont critiques et dans quel délai ils doivent à nouveau fonctionner.
Les plans et exercices sont tenus à jour comme deux éléments liés : quels plans de continuité existent et quelle version s'applique, et quand ils ont été éprouvés pour la dernière fois. Vous démontrez ainsi que les plans n'existent pas seulement, mais qu'ils fonctionnent.
Les actions d'amélioration sont recensées avec un responsable et une échéance. Tout ce qui ressort des exercices, des incidents et des évaluations est géré sous forme de tâches que vous menez à terme.
Les fournisseurs sont consignés avec leur disponibilité et les accords de secours. Un fournisseur sans solution de secours constitue aussitôt un risque de continuité visible qui relève directement de votre obligation de sécurité au titre de NIS2.
Les incidents sont enregistrés avec le délai de reprise réel et la question de savoir si l'obligation de notification de NIS2 s'appliquait.
Ensemble, ces éléments forment une boucle. Un incident donne lieu à une action d'amélioration, une action d'amélioration modifie un plan, un plan est testé lors d'un exercice, et un exercice décevant ou un fournisseur sans solution de secours relève à nouveau un risque dans le registre des risques.
Une question fréquente est de savoir comment les risques de continuité se rapportent au registre des risques central de l'organisation. Ils se ressemblent, mais répondent à une question différente.
Le registre des risques d'entreprise, dans la tradition de l'ISO 31000, contient tous les risques pesant sur les objectifs de l'organisation : stratégiques, financiers, humains et autres. La question est : nous écartons-nous de nos objectifs, et cela reste-t-il dans les limites de notre appétence au risque ?
Un risque de continuité en est un sous-ensemble spécialisé. Il porte exclusivement sur les perturbations de vos services critiques, et la question est : pouvons-nous continuer à livrer, et à quelle vitesse rétablissons-nous ? Les délais de reprise et la stratégie de rétablissement associés sont consignés dans la BIA et le plan de continuité, tandis que le risque lui-même se reconnaît dans le registre des risques à la catégorie Continuité.
Le plus important est de bien ancrer la cohérence. Dans Kantyra, vous ne tenez donc pas deux registres distincts côte à côte : vous gérez tous les risques dans un seul registre et vous étiquetez les risques de continuité avec la catégorie Continuité. Vous disposez ainsi d'une vue unique au niveau de la direction, sans double comptage. Cette gestion cohérente des risques est précisément ce que NIS2 attend de vous.
Vous pouvez tenir ces registres dans Excel ou dans une bibliothèque partagée, et à titre d'étape intermédiaire c'est défendable tant que la propriété, la gestion des versions et un rythme de révision sont assurés. Mais à mesure que votre processus BCM gagne en maturité, vous en atteignez les limites. Les fichiers épars se désynchronisent, le score de risque ne se calcule pas tout seul, et il vous manque l'historique nécessaire pour démontrer votre obligation de sécurité.
Dans une plateforme GRC, vous gérez les registres comme des vues d'ensemble cohérentes au sein d'un environnement unique. Le score de risque se calcule tout seul, la matrice des risques se remplit d'elle-même, et chaque registre a un responsable, un statut et une date de révision. De plus, les liens rendent la boucle visible : un exercice qui ne réussit pas pleinement est automatiquement transformé en tâche d'amélioration par Kantyra, et une date d'exercice dépassée saute immédiatement aux yeux.
Chez Kantyra, le BCM est une extension de la plateforme ISMS et GRC. Cela signifie que vous n'organisez pas la continuité de manière isolée, mais par-dessus la sécurité de l'information que vous gérez déjà. Vous consignez l'organisation de crise dans la stratégie BCM et vous gérez vos risques de continuité dans le même registre des risques que le reste de votre ISMS, de sorte que vous ne faites pas deux fois le même travail. Vos composantes BCM et vos obligations NIS2 se rejoignent ainsi dans un seul environnement.
Quelle est la différence entre le BCM et un plan de continuité ? Le BCM est le processus de management dans son ensemble, de la politique aux exercices. Un plan de continuité est un livrable au sein de celui-ci : la procédure opérationnelle que vous suivez pendant une perturbation. Vous avez besoin des deux.
Quelle est la différence entre un BCP et un DRP ? Un plan de continuité d'activité (BCP) maintient un processus métier en fonctionnement, au besoin sans les systèmes habituels. Un plan de reprise informatique (DRP, Disaster Recovery Plan) rétablit la technique. Le DRP est donc une composante technique sous le BCP, plus large.
NIS2 s'applique-t-elle directement à mon organisation ? NIS2 est une directive européenne que chaque État membre transpose en droit national ; elle ne lie donc pas directement votre organisation. En France, elle est mise en œuvre sous l'autorité de l'ANSSI ; en Belgique, par la loi du 26 avril 2024, dont l'autorité compétente est le CCB. Si vous entrez dans son périmètre, vous vous conformez à la transposition nationale du pays où vous opérez, qui porte les obligations de sécurité et de notification issues de NIS2. Kantyra intègre le référentiel de mesures NIS2 pour vous permettre de les respecter de façon démontrable.
Que signifient RTO et RPO ? Le RTO est le délai dans lequel un processus doit à nouveau fonctionner après une perturbation. Le RPO est le volume de perte de données que vous pouvez tolérer, autrement dit jusqu'où vous pouvez revenir sur une sauvegarde. Vous déterminez les deux pour chaque processus critique dans la BIA.
Puis-je faire du BCM avec Excel ? Pour un démarrage simple, c'est possible, tant que vous assurez la propriété, la gestion des versions et un rythme de révision. À mesure que votre processus gagne en maturité et que vous voulez le rendre démontrable sous NIS2, une plateforme GRC dotée d'un module BCM est plus pratique et plus fiable.
Vous préféreriez ne pas gérer votre processus BCM dans des fichiers épars, mais dans un environnement unique qui se raccorde à votre sécurité de l'information et à vos obligations NIS2 ? Avec le module BCM de Kantyra, vous tenez à jour vos plans de continuité et vos exercices, les scores de risque sont calculés automatiquement, et votre continuité devient démontrable. Demandez une démo et découvrez comment bâtir la continuité par-dessus votre ISMS existant.
Kantyra est une plateforme européenne ISMS et GRC qui permet aux organisations de gérer de façon démontrable leur sécurité de l'information, leur gestion des risques et leur continuité, conformément à l'ISO 27001, l'ISO 22301 et NIS2.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMesurez, en tant que CISO, où en sont votre organisation et votre CISO Office, et découvrez comment piloter et corriger à temps grâce à une carte de score.
Comment piloter la gestion des vulnérabilités en tant que RSSI, de la politique jusqu'à la reddition de comptes à la direction.
Comment structurer vos tests d'intrusion, de la politique de pentest et du calendrier jusqu'au rapport et au suivi des constats.