La vocation des plans de continuité d’activité (Business Continuity Plans) est de répondre à des situations critiques, rares mais pouvant avoir des impacts très forts. Les scénarios de sinistres pris en compte peuvent varier d’une entité à une autre. S’il s’agit souvent d’une indisponibilité d’un site principal (inondation, incendie, accident industriel), on peut aussi intégrer d’autres scénarios : pandémie, conflit social, attaque cyber de grande ampleur, rupture des services d’un prestataire essentiel. La démarche pour concevoir son système de management de la continuité d’activité est l’objet de la norme ISO 22301. Une étape initiale consiste à analyser les impacts métiers (Business Impact Analysis) pour identifier les activités critiques et les besoins de reprise. La norme ISO 22317 fournit un cadre et des bonnes pratiques pour réaliser cette analyse.

La continuité des activités consiste à répondre aux scénarios de risques parmi les plus difficiles à traiter : ceux dont l’impact est très élevé, allant jusqu’à la survie de l’entreprise mais dont la probabilité d’occurrence est faible, voire très faible. Le programme de continuité doit trouver le compromis acceptable entre ne rien faire (et engager la survie de l’entreprise si le scénario survient) et en faire trop avec des coûts potentiellement très élevés pour un scénario qui ne se produira peut-être jamais…

Le dispositif de sécurité des activités d’importance vitale (SAIV) est piloté en France par le SGDSN. Ce dispositif comprend des aspects liés à la sûreté, la sécurité physique et la cybersécurité. L’objectif est d’associer pouvoirs publics et entités publiques et privées, sur le périmètre de leurs activités les plus critiques pour la nation. La liste des entités OIV n’est pas publique. Les critères de désignation sont fixés par les ministères coordonnateurs. Plus récemment, des obligations ont été imposées par la directive NIS et ses transpositions nationales aux Fournisseurs de Service Numérique.