•  
  •  Accueil 
  •  Veille CERT 
  •  Veille Techno 
  •  CyberSécurité 
  •  Livrables gratuits 
  •  Articles LinkedIn 
  •  A propos 
  •  

     

     

     

     

  • Qu’est-ce qu’apporte la norme ISO 22336 ?

  •  

  • Publié sur LinkedIn le 10 juillet 2026
  •  

  • On parle souvent de résilience IT par les outils: PRA, PCA, sauvegardes, cloud, redondance, runbooks, gestion de crise. Mais une question reste moins bien traitée : qui décide de la stratégie de résilience, selon quelles priorités, avec quelle cohérence entre les métiers, l’IT, la sécurité, les risques, les fournisseurs et la direction ? C’est là qu’ISO 22336 devient intéressante. Cette norme ne remplace pas ISO 22301, ni les dispositifs de continuité existants. Elle se place au-dessus : elle aide à définir une politique et une stratégie de résilience organisationnelle. Dit autrement : elle pousse l’entreprise à ne plus gérer la résilience comme une collection d’initiatives isolées. Un PRA côté production. Un PCA côté métier. Un plan de crise côté direction. Une matrice de risques côté conformité. Des sauvegardes côté infrastructure. Des contrats côté achats. Tout cela est utile. Mais si ces éléments ne sont pas alignés, priorisés et pilotés, la résilience reste fragmentée. ISO 22336 apporte une logique de gouvernance. Elle aide à formuler une politique claire : pourquoi l’organisation veut être résiliente, jusqu’où elle veut aller, quels objectifs elle se fixe, quelles responsabilités elle attribue. Elle aide aussi à construire une stratégie : quelles capacités développer, quels scénarios couvrir, quelles ressources mobiliser, quelles dépendances traiter en priorité, quels indicateurs suivre. Elle oblige à sortir du réflexe “on protège tout pareil”. Toutes les activités n’ont pas la même criticité. Toutes les dépendances n’ont pas le même impact. Tous les scénarios ne méritent pas le même niveau d’effort. Tous les risques ne peuvent pas être traités immédiatement. La résilience demande des choix. Et ces choix doivent être assumés par la direction, pas uniquement portés par l’IT ou la cybersécurité. C’est là que la norme est utile : elle installe la résilience comme un sujet d’entreprise, pas comme un problème technique. Car une crise majeure ne touche jamais seulement les serveurs. Elle touche les clients, les collaborateurs, les fournisseurs, la réputation, les obligations réglementaires, la trésorerie et les métiers. ISO 22336 aide donc à relier vision, stratégie et exécution. Elle ne redémarre pas une application. Elle ne restaure pas une sauvegarde. Elle ne remplace pas un test PRA. Mais elle évite que chaque équipe travaille dans son coin avec sa propre définition de la résilience. La vraie question n’est plus seulement : “Avons-nous des plans ?” Mais : “Avons-nous une stratégie cohérente, priorisée et pilotée pour rester debout quand l’environnement se dégrade ?” ISO 22336 apporte ce cadre. Moins spectaculaire qu’un outil. Mais beaucoup plus structurant. PS : Si vous découvrez mon contenu (veille CERT, Post), je vous invite à me suivre ici sur LinkedIn hashtag#ISO22336 hashtag#RésilienceIT hashtag#CyberRésilience hashtag#PRA hashtag#PCA hashtag#GestionDeCrise hashtag#DSI