La vision de Cyber Academy
La résilience opérationnelle est la capacité d'une organisation à fournir ses services critiques malgré les perturbations, puis à se rétablir. Trois cadres la régissent en Europe : ISO 22301 (la norme de système de management de la continuité d'activité, la couche opérationnelle), NIS 2 (obligation de continuité d'activité de l'article 21 pour les entités dans le périmètre), DORA (articles 11-12 pour les entités financières, avec des tests dédiés). Un programme unique peut satisfaire les trois ; les piloter comme des chantiers séparés duplique le travail et crée des incohérences.
TL;DR
- 1ISO 22301 est l'épine dorsale opérationnelle : BIA, objectifs de reprise, PCA, runbooks, exercices sur table, BCMS sous revue de direction.
- 2NIS 2 ajoute la déclaration des incidents (alerte précoce sous 24 heures, notification sous 72 heures, rapport sous un mois) et la continuité de la chaîne d'approvisionnement.
- 3DORA ajoute des tests spécifiques aux entités financières (tests d'intrusion fondés sur la menace pour les entités significatives, tous les trois ans), le registre des tiers TIC, et une supervision au niveau des ESA pour les prestataires critiques.
- 4Lead Operational Resilience Manager (certification PECB) est conçu spécifiquement pour intégrer les trois.
- 5Cartographiez une fois, auditez trois fois : un seul BCMS aligné sur l'ISO 22301, avec des correspondances de mesures vers NIS 2 et DORA, satisfait les trois audits.
Pourquoi un seul programme, et non trois
L'instinct, dans la plupart des organisations, est de traiter ISO 22301, NIS 2 et DORA comme trois projets de conformité distincts, souvent portés par trois équipes différentes : continuité d'activité, opérations de sécurité, et une fonction de réglementation financière ou de gestion des risques. C'est la manière la plus coûteuse de procéder. Vous vous retrouvez avec trois analyses d'impact sur l'activité en désaccord sur les services critiques, trois jeux d'objectifs de reprise que personne ne réconcilie, et trois calendriers d'exercices qui épuisent les mêmes personnes. Les auditeurs repèrent immédiatement les coutures.
Les cadres ne sont pas concurrents. ISO 22301 vous donne le système de management : l'analyse d'impact sur l'activité (BIA), les objectifs de temps et de point de reprise, les plans de continuité et de reprise, les exercices, et la boucle de revue de direction. NIS 2 et DORA ne remplacent rien de tout cela. Ils ajoutent des obligations par-dessus, principalement autour de la déclaration des incidents, de l'assurance de la chaîne d'approvisionnement et (pour DORA) d'un régime de tests spécifique. Si votre BCMS est bien construit, les couches réglementaires s'y greffent au lieu de le dupliquer.
Construisez d'abord l'épine dorsale. Le cours ISO 22301 Lead Implementer est celui qui vous apprend à mettre en place le système de management auquel tout le reste se rattache ; si vous avez seulement besoin de comprendre la structure et le vocabulaire, commencez par le cours ISO 22301 Foundation.
Ce que chaque cadre ajoute réellement
La façon honnête de lire les trois est de les voir comme un noyau opérationnel unique plus deux couches réglementaires. ISO 22301 est le noyau, car c'est le seul des trois qui prescrit comment construire et maintenir la capacité de continuité elle-même. NIS 2 et DORA supposent que cette capacité existe, puis imposent des devoirs par-dessus : qui devez-vous prévenir quand quelque chose tombe en panne, à quelle vitesse, et comment devez-vous prouver que la capacité fonctionne.
| Cadre | Ce qu'il ajoute au-dessus du noyau | À qui il s'applique |
|---|---|---|
| ISO 22301 | Le système de management de la continuité d'activité lui-même : BIA, RTO/RPO, plans de continuité et de reprise, runbooks, exercices, revue de direction. L'épine dorsale opérationnelle que les deux autres présupposent. | Toute organisation, volontairement. Certifiable mais non imposé par la loi. |
| NIS 2 | Délais de déclaration des incidents (alerte précoce, notification, rapport final), devoirs de continuité d'activité et de gestion de crise, sécurité de la chaîne d'approvisionnement, et responsabilité de la direction. | Entités essentielles et importantes dans des secteurs désignés à travers l'UE (énergie, transport, santé, infrastructure numérique, administration publique et autres). |
| DORA | Résilience TIC du secteur financier : un programme de tests de résilience opérationnelle numérique incluant les tests d'intrusion fondés sur la menace pour les entités significatives, le registre des tiers TIC, et une surveillance directe des prestataires TIC critiques. | Entités financières dans l'UE (banques, assureurs, entreprises d'investissement, prestataires de crypto-actifs) et leurs tiers TIC critiques. |
Lisez le tableau de haut en bas et la logique devient évidente. Vous mettez en œuvre ISO 22301 une seule fois. NIS 2 et DORA vous indiquent ensuite quelles preuves le régulateur veut voir à partir de ce système unique, et DORA ajoute une discipline de tests qui va au-delà des exercices sur table qu'attend ISO 22301.
Comment cela fonctionne en exploitation
Au quotidien, l'intégration repose sur trois artefacts, et bien les concevoir constitue l'essentiel du travail. Le premier est un catalogue de services et une BIA uniques et faisant autorité. Décidez une fois pour toutes quels services sont critiques, quelle est leur tolérance à la perturbation, et de quoi ils dépendent. Chaque cadre lit ensuite à partir de cette source unique. Si votre périmètre NIS 2 et votre liste de fonctions critiques ou importantes DORA sont en désaccord avec votre BIA ISO 22301, vous avez déjà perdu le débat d'audit avant même qu'il ne commence.
Le second est un pipeline d'incidents unifié. ISO 22301 veut que vous détectiez, répondiez et déclenchiez les plans de continuité. NIS 2 et DORA veulent que vous déclariez, dans les délais, à une autorité compétente. Construisez un seul processus de détection et de triage dont la sortie alimente à la fois la réponse de continuité interne et le flux de notification réglementaire. Le compteur de déclaration démarre à la prise de connaissance, donc le goulot d'étranglement est rarement le plan de continuité ; c'est la décision de savoir si un événement est déclarable et la rapidité de rédaction de la notification précoce. Des modèles de notification pré-rédigés et un responsable d'escalade clairement identifié valent ici plus que n'importe quel outil.
Le troisième artefact est le programme de tests et d'exercices, et c'est là que DORA pousse le plus fort. Les exercices ISO 22301 valident les plans ; DORA exige un programme de tests documenté et, pour les entités significatives, des tests d'intrusion fondés sur la menace sur un cycle pluriannuel. Le cours DORA Lead Manager couvre le régime de tests et le registre des tiers TIC avec la profondeur qu'exige la réglementation, tandis que le cours Lead Operational Resilience Manager est celui qui est conçu spécifiquement pour piloter les trois cadres comme un seul programme.
La décision : certifier, aligner, ou les deux
Une question fréquente est de savoir si vous avez besoin de la certification ISO 22301 pour satisfaire NIS 2 ou DORA. Ce n'est pas le cas. Aucune des deux réglementations n'impose le certificat. Mais la norme est le modèle le plus largement reconnu pour la capacité que les deux réglementations présupposent, de sorte que la plupart des équipes s'alignent sur l'ISO 22301 même lorsqu'elles choisissent de ne pas se certifier. La décision se tranche nettement : alignez-vous sur l'ISO 22301 pour obtenir un BCMS cohérent et défendable ; certifiez par-dessus seulement si un client, un appel d'offres ou un conseil d'administration veut une assurance par un tiers.
Si vous visez le certificat, comprenez la perspective d'audit des deux côtés de la table. Les implémenteurs construisent le système ; les auditeurs vérifient qu'il tient.
Pour mener l'audit de certification (en interne ou en tant qu'organisme de certification), le cours ISO 22301 Lead Auditor enseigne la méthodologie d'audit et la manière d'évaluer un BCMS au regard de la norme, ce qui est aussi le moyen le plus rapide d'apprendre sur quelles preuves votre propre programme sera jugé.
Là où les programmes échouent
Les échecs récurrents sont prévisibles, et presque tous proviennent du fait de traiter les cadres comme séparés plutôt que superposés.
- Trois BIA en désaccord. Continuité, sécurité et finance définissent chacune la criticité différemment. Corrigez-le en imposant une seule BIA que les trois fonctions valident.
- Des plans qui passent l'exercice mais échouent face à l'événement. Les exercices sur table qui parcourent un diaporama ne prouvent rien. Testez le déclenchement, pas la narration : basculez réellement, restaurez réellement depuis une sauvegarde, joignez réellement les personnes de l'arbre d'appel.
- Confondre les fonctions de continuité, de reprise et de réponse aux incidents. La continuité d'activité maintient le service en marche, la reprise après sinistre restaure la technologie, et la réponse aux incidents contient la cause. Ce sont des disciplines distinctes qui doivent se passer le relais proprement.
- Manquer le compteur de déclaration. Le plan de continuité a fonctionné mais personne n'a déposé l'alerte précoce à temps. La notification réglementaire est une obligation distincte, encadrée dans le temps, et a besoin de son propre responsable.
- Traiter la gestion de crise comme une réflexion après coup. Quand un incident s'aggrave, c'est la prise de décision, et non la reprise technique, qui constitue le point de défaillance.
Deux de ces échecs ont des remèdes dédiés. Le cours Lead Disaster Recovery Manager sépare la reprise technologique de la continuité d'activité afin que les deux cessent d'être confondues, et le cours Certified Lead Crisis Manager construit la structure de commandement, de communication et de décision qui tient quand un incident devient une crise.
La réalité de la salle d'audit
Ce qu'un évaluateur de l'un des trois cadres sonde réellement, c'est de savoir si votre résilience est réelle ou seulement sur le papier. Il demandera la BIA, puis qui l'a approuvée et quand elle a été revue pour la dernière fois. Il demandera votre dernier exercice, puis ce qui a échoué et ce que vous avez changé en conséquence, car un exercice sans constat est un signal d'alerte, pas un quitus. Pour les entités DORA, il demandera le programme de tests et le registre des tiers, et attendra que les deux soient à jour, et non reconstitués la semaine précédente.
Les équipes qui réussissent sereinement sont celles qui pilotent un programme unique : une seule BIA, un seul pipeline d'incidents alimentant à la fois la réponse interne et la déclaration réglementaire, un seul calendrier d'exercices qui casse réellement les choses, et une seule cartographie des mesures qui leur permet de répondre à trois régulateurs à partir de la même base de preuves. Construisez correctement l'épine dorsale ISO 22301, superposez-y délibérément les obligations NIS 2 et DORA, et la formule qui devrait décrire vos audits est : cartographiez une fois, auditez trois fois.
Frequently asked questions
01Ai-je besoin de la certification ISO 22301 au titre de NIS 2 ou de DORA ?
Non. Ni NIS 2 ni DORA n'imposent la certification ISO 22301. Les deux exigent que l'organisation exploite des capacités de continuité d'activité et de résilience qui atteignent des résultats précis (se rétablir dans les délais convenus, déclarer les incidents dans les délais, tester les plans). Un BCMS conforme à l'ISO 22301 démontre ces capacités de façon claire à un superviseur.
En pratique, les entités financières et les opérateurs d'importance vitale visent souvent la certification ISO 22301, car les preuves d'audit exigées par NIS 2 et DORA correspondent presque exactement aux preuves de certification.
02Quelle est la relation entre PCA, reprise après sinistre et réponse aux incidents ?
Trois disciplines qui se recoupent. Les plans de continuité d'activité (PCA) couvrent la manière dont l'entreprise continue de fonctionner pendant une perturbation : personnel, sites alternatifs, contournements, communication. La reprise après sinistre (DR) couvre la restauration, spécifique aux systèmes informatiques et aux données. La réponse aux incidents (IR) couvre le cycle détection-rétablissement des incidents de sécurité.
Un programme mature les pilote comme un tout. Un même playbook va de la détection de l'incident (IR) à la reprise des systèmes (DR), puis à la continuité de l'exploitation (PCA). Des équipes différentes peuvent exécuter des phases différentes, mais le plan est intégré.
03Qu'est-ce que les tests d'intrusion fondés sur la menace au titre de DORA ?
Le TLPT est l'exercice de red team supervisé par le régulateur, exigé pour les entités financières significatives au titre de DORA, au minimum tous les trois ans. Fondé sur TIBER-EU. Piloté par le renseignement (une équipe de renseignement sur la menace distincte produit le profil de l'attaquant), il vise des fonctions critiques ou importantes et est supervisé par l'autorité nationale.
Le TLPT est un travail de plusieurs mois et de plusieurs centaines de milliers d'euros. C'est le test de résilience le plus rigoureux qu'un CISO du secteur financier rencontrera, et celui qui révèle le SOC, les règles de détection et la chaîne de réponse aux incidents tels qu'ils sont réellement.
04Comment structurer un programme de résilience unique ?
Commencez par le BCMS (épine dorsale ISO 22301) : périmètre, BIA, objectifs de reprise, plans, tests, revue de direction. Ajoutez les procédures de déclaration d'incident NIS 2 et les obligations de continuité de la chaîne d'approvisionnement issues de l'article 21. Ajoutez le calendrier de tests spécifique à DORA, le registre des tiers TIC et la classification des incidents pour les entités financières.
Cartographiez les mesures dans un document de correspondance unique indiquant quelle clause de quel cadre chaque mesure satisfait. Les auditeurs reconnaissent la cartographie et cessent de poser des questions en double.






