La vocation des plans de continuité d’activité (Business Continuity Plans) est de répondre à des situations critiques, rares mais pouvant avoir des impacts très forts. Les scénarios de sinistres pris en compte peuvent varier d’une entité à une autre. S’il s’agit souvent d’une indisponibilité d’un site principal (inondation, incendie, accident industriel), on peut aussi intégrer d’autres scénarios : pandémie, conflit social, attaque cyber de grande ampleur, rupture des services d’un prestataire essentiel. La démarche pour concevoir son système de management de la continuité d’activité est l’objet de la norme ISO 22301. Une étape initiale consiste à analyser les impacts métiers (Business Impact Analysis) pour identifier les activités critiques et les besoins de reprise. La norme ISO 22317 fournit un cadre et des bonnes pratiques pour réaliser cette analyse.

La continuité des activités consiste à répondre aux scénarios de risques parmi les plus difficiles à traiter : ceux dont l’impact est très élevé, allant jusqu’à la survie de l’entreprise mais dont la probabilité d’occurrence est faible, voire très faible. Le programme de continuité doit trouver le compromis acceptable entre ne rien faire (et engager la survie de l’entreprise si le scénario survient) et en faire trop avec des coûts potentiellement très élevés pour un scénario qui ne se produira peut-être jamais…