Posez la question à votre comité de direction : si votre système d'information, votre site principal ou votre fournisseur clé tombait pendant 72 heures, que se passerait-il ? Dans la plupart des PME, la réponse honnête est un silence gênant. L'ISO 22301 existe précisément pour transformer ce silence en plan d'action.

La continuité d'activité n'est pas un sujet informatique

L'erreur la plus répandue est de réduire la continuité à la sauvegarde des données. La sauvegarde est une brique, pas un plan. L'ISO 22301 raisonne au niveau des activités critiques de l'entreprise : quelles fonctions doivent redémarrer en priorité, dans quel délai, avec quelles ressources minimales ? C'est une démarche de direction générale, pas un projet de la DSI.

Un plan de continuité qui n'a jamais été testé grandeur nature n'est pas un plan : c'est une hypothèse optimiste.

BIA, RTO, RPO : le vocabulaire qui structure tout

Le coeur de la norme repose sur le bilan d'impact sur l'activité (BIA) et deux paramètres clés. Le RTO, durée maximale d'interruption acceptable, dit à quelle vitesse il faut redémarrer. Le RPO, perte de données maximale admissible, dit jusqu'où on peut revenir en arrière. Ces deux chiffres, définis activité par activité, conditionnent toute l'architecture du plan.

  • Identifier les activités critiques et leurs dépendances.
  • Fixer un RTO et un RPO réalistes pour chacune.
  • Définir des solutions de repli concrètes et finançables.

Le test qui révèle la vérité

Un exercice de crise annuel, même partiel, révèle presque toujours des angles morts : contacts obsolètes, dépendances oubliées, procédures introuvables. Mieux vaut les découvrir en exercice qu'en situation réelle.

Pourquoi le sujet devient urgent au Maroc

La montée des cyberattaques, la dépendance à des chaînes logistiques tendues et les exigences contractuelles des grands donneurs d'ordre poussent les PME marocaines et africaines vers la résilience structurée. De plus en plus d'appels d'offres internationaux demandent une preuve de plan de continuité. L'ISO 22301 devient alors un critère de confiance commercial autant qu'une protection interne.

Mener le projet sans le sur-dimensionner

Une PME peut bâtir un système ISO 22301 utile en 5 à 8 mois. La clé est de rester proportionné : mieux vaut un plan simple réellement testé qu'un dispositif lourd jamais activé. L'accompagnement aide à calibrer le niveau d'exigence et à éviter la sur-ingénierie qui décourage les équipes.

En résumé

L'ISO 22301 ne prédit pas la crise, elle organise la survie. En forcant l'entreprise à hiérarchiser ses activités critiques et à tester ses plans, elle transforme une vulnérabilité diffuse en capacité de rebond maîtrisée. Dans un environnement de plus en plus incertain, c'est une assurance dont on mesure la valeur le jour où tout s'arrête.