La vocation des plans de continuité d’activité (Business Continuity Plans) est de répondre à des situations critiques, rares mais pouvant avoir des impacts très forts. Les scénarios de sinistres pris en compte peuvent varier d’une entité à une autre. S’il s’agit souvent d’une indisponibilité d’un site principal (inondation, incendie, accident industriel), on peut aussi intégrer d’autres scénarios : conflit social, attaque cyber de grande ampleur, rupture des services d’un prestataire essentiel. La démarche pour concevoir son système de management de la continuité d’activité est l’objet de la norme ISO 22301. Une étape initiale consiste à analyser les impacts métiers (Business Impact Analysis) pour identifier les activités critiques et les besoins de reprise. La norme ISO 22317 fournit un cadre et des bonnes pratiques pour réaliser cette analyse.