Vous avez déjà vu ce modèle.
Celui qui commence par « L'objet de cette politique est d'établir les exigences en matière de continuité d'activité conformément aux obligations légales, réglementaires et contractuelles applicables... »
Quatorze pages. Personne ne le lit. Il vit dans un dossier intitulé « Compliance Docs » qu'on ouvre deux fois par an : une fois pour l'audit, une fois quand quelqu'un clique dessus par erreur.
Puis l'incident se produit.
Ransomware. Panne cloud. Défaillance de la chaîne d'approvisionnement. Alarme incendie à 2h du matin.
Et le plan de continuité d'activité ? Celui qui était censé vous sauver ?
Personne ne le trouve. Et même s'ils y arrivaient, il a été rédigé pour un auditeur, pas pour un humain sous pression.
C'est le problème que nous résolvons aujourd'hui.
Pourquoi la plupart des politiques BC/DR échouent
Pas parce que le contenu est mauvais. La plupart des modèles couvrent les bonnes clauses, la bonne structure, le bon vocabulaire.
Ils échouent parce que :
- Ils sont rédigés pour des auditeurs, pas pour des personnes. Si la première phrase contient « conformément aux exigences légales applicables », vous avez déjà perdu le lecteur.
- Ils ne désignent personne. « La direction générale doit s'assurer... » ne signifie rien si personne de précis n'est responsable.
- Ils n'ont jamais été testés. Un plan qui n'a jamais été exercé n'est qu'une hypothèse. Et les organisations ne survivent pas sur des hypothèses.
- Ils sont cloisonnés. La continuité d'activité est dans un dossier, la reprise après sinistre dans un autre, la communication de crise dans la tête de quelqu'un.
- Ils se dégradent. Rédigés une fois, approuvés une fois, oubliés jusqu'au prochain cycle de certification.
Ça vous parle ?
Ce que j'ai construit et pourquoi
J'ai pris le modèle que j'utilise dans mes projets de conseil et mes implémentations ISO 22301 et je l'ai transformé en une politique BC/DR téléchargeable gratuitement.
Mais je n'ai pas simplement publié un document. J'ai réécrit les règles de ce que doit ressentir un modèle de politique.
Voici ce qui le distingue :
1. Il est rédigé pour des humains
Phrases courtes. Verbes actifs. « Nous » et « vous », pas « l'organisation » et « l'utilisateur ».
Chaque section est rédigée de façon qu'un responsable de département arrivant le premier jour comprenne son rôle en cas de perturbation.
Extrait du modèle :
« Les plans sont inutiles si personne ne peut les trouver en pleine crise. Les nôtres sont : pratiques, accessibles, précis et testés. »
Ce n'est pas du langage ISO. C'est la réalité opérationnelle.
2. Il a une voix
Tout au long du modèle, vous trouverez des encadrés de commentaires : des conseils directs et pratiques de Cyber Academy en marge du texte.
Par exemple :
« La plupart des BIA échouent parce qu'ils sont réalisés par l'IT en vase clos. Un BIA est un exercice métier. Si le DAF, le responsable des opérations et le responsable commercial n'ont pas participé, votre BIA est incomplet. »
« Si vos exercices se déroulent toujours parfaitement, c'est qu'ils ne sont pas assez exigeants. Un bon exercice doit mettre les gens mal à l'aise. C'est le but. »
« Enregistrer une non-conformité sans analyse des causes racines, c'est de la paperasse. Faire une analyse des causes racines sans suivi, c'est du théâtre. Faites les deux. »
Ces encadrés font la différence entre un modèle générique et un référentiel construit par des gens qui l'ont réellement pratiqué.
3. Il est aligné sur ce qui compte en 2026
Pas seulement ISO 22301. Ce modèle fait référence à :
Norme / RéglementationPourquoiISO 22301Le socle. Les exigences du SMCA.ISO 27001Continuité d'activité et sécurité de l'information sont les deux faces d'une même pièce. Les contrôles de l'Annexe A A.5.29 et A.5.30 s'y trouvent.NIS2L'article 21 impose la continuité d'activité, la gestion des sauvegardes et la reprise après sinistre pour les entités essentielles et importantes. L'article 20 rend la direction personnellement responsable.DORALes articles 11 à 12 imposent des tests de continuité d'activité et de reprise après sinistre des TIC pour les entités financières.
4. Il nomme des rôles, pas des abstractions
Au lieu de « Du personnel approprié doit se voir attribuer des responsabilités, » la section Rôles comprend un tableau avec une colonne intitulée : « Ce qu'ils font concrètement. »
Parce que « La direction générale » ne signifie rien tant qu'on n'écrit pas : « Participer aux revues de direction, pas seulement les signer. Si la direction ignore la continuité d'activité, tout le monde en fera autant. »
5. Les sections s'appellent ce qu'elles sont
- La section 5 ne s'appelle pas « Évaluation des performances ». Elle s'appelle « Vérifier que ça fonctionne ».
- La section 6 ne s'appelle pas « Amélioration ». Elle s'appelle « Corriger ce qui est cassé ».
Entièrement auditable au regard des clauses 4 à 10 d'ISO 22301. Mais rédigé pour qu'un humain ait envie de continuer à lire après la page deux.
Contenu du modèle
#SectionCe qu'elle couvre1ObjetPourquoi ce document existe, en trois phrases, pas trois paragraphes2PérimètreÀ qui cela s'applique. Spoiler : tout le monde.3Rôles et responsabilitésNominatifs, précis, avec une colonne « Ce qu'ils font concrètement »4PolitiqueBIA, analyse des risques, stratégies, plans, gestion des incidents (tableau à 3 niveaux), communication, exercices (tableau progressif), reprise après sinistre, formation5Vérifier que ça fonctionneSurveillance, audit interne, revue de direction6Corriger ce qui est casséNon-conformités, analyse des causes racines, actions correctives7ConformitéApplication + responsabilité managériale NIS2/DORA8RéférencesTableau expliquant pourquoi chaque norme est pertinente
Chaque espace réservé est indiqué en italique violet pour que vous sachiez exactement ce qui est à personnaliser.
À qui s'adresse ce modèle
- Responsables BC qui construisent ou reconstruisent un SMCA de zéro
- CISO et responsables GRC qui ont besoin d'une politique BC/DR intégrée, sans silos séparés
- Consultants implémentant ISO 22301 pour leurs clients et fatigués de repartir de zéro à chaque fois
- Organisations qui se préparent à NIS2 ou DORA et doivent démontrer leurs mesures de continuité d'activité
- Toute personne ayant vécu un audit en se disant : « Il doit forcément exister un meilleur modèle que celui-là. »
👉 Télécharger le modèle de politique BC/DR - GratuitUtilisez-le. Adaptez-le. Faites-en le vôtre.
Supprimez les encadrés de commentaires avant de le publier ou conservez-les comme guide interne pour votre équipe. C'est votre choix.
Vous voulez le prochain en avant-première ?
Ce modèle est la première pièce du répertoire officiel de documentation de Cyber Academy que nous construisons.
À venir : modèle de BIA, programme d'exercices, registre des informations documentées, et bien d'autres, dans le même registre, la même qualité, la même philosophie « conçu pour des humains ».
📩 Rejoignez la liste Cyber AcademyNous vous enverrons un e-mail à chaque nouvelle ressource disponible.Pas de spam. Pas de séquences automatiques. Uniquement des outils.Vous pouvez vous désabonner de nos communications à tout moment.Consultez notre Politique de confidentialité pour en savoir plus sur nos conditions de désabonnement, nos politiques de confidentialité et notre engagement à protéger et respecter la vie privée.
Vous voulez aller plus loin ?
Un modèle, c'est une ligne de départ. Pas une ligne d'arrivée.
Si vous voulez la méthodologie, les études de cas et la pratique pour construire un SMCA qui résiste aux audits et aux incidents réels :
- ISO 22301 Lead Implementer, le programme de certification complet
- ISO 27001 Lead Implementer, parce que continuité d'activité et sécurité de l'information sont indissociables
- DORA Lead Manager, pour la résilience numérique du secteur financier
- NIS2 Lead Implementer, pour les entités essentielles et importantes
Toutes les formations : Certifiées ou Remboursées.
