Formation Certification ISO/IEC 22301 – Continuité d’activité – Lead Auditor

Enjeux de la continuité d’activité

• Comprendre l’importance de la résilience organisationnelle
• Principales menaces : cyberattaques, pannes, crises externes
• Rôle stratégique de la continuité d’activité pour l’entreprise
• Positionnement du SMCA dans le pilotage des risques

Présentation de la norme ISO 22301

• Objectifs et portée de la norme
• Structure ISO HLS (High Level Structure)
• Terminologie : BIA, SMCA, RTO, RPO, etc.
• Lien avec les normes ISO 27001, 19011, 27005

Principes et composants d’un SMCA

• Exigences organisationnelles et documentation
• Politique de continuité, leadership et planification
• Ressources, communication, performance et amélioration
• Cycle PDCA appliqué à la continuité

Rôle et responsabilités de l’auditeur

• Déontologie, impartialité et confidentialité
• Compétences clés de l’auditeur certifié
• Types d’audits : internes, externes, de certification
• Posture d’audit : observation, évaluation, neutralité

Référentiels d’audit : ISO 19011 et ISO 22301

• Lignes directrices ISO 19011 : principes et structure
• Étapes d’un audit : planification à clôture
• Preuves objectives et traçabilité
• Gestion des non-conformités et amélioration continue

Démarrage de l’audit : cadrage et objectifs

• Définir la portée, les objectifs et les critères de l’audit
• Identification des parties intéressées et du contexte
• Collecte des documents préalables à l’audit
• Atelier : Définir le périmètre d’un audit et les premières attentes en matière de preuve

Élaboration du programme d’audit

• Rédiger un programme annuel ou pluriannuel
• Planification des ressources et des sites à auditer
• Approche fondée sur les risques
• Communication avec les parties prenantes

Planification de l’audit terrain

• Création du plan d’audit détaillé (jours, étapes, audités)
• Outils de planification : checklists, matrices, formulaires
• Répartition des rôles dans une équipe d’audit
• Atelier : Élaborer un plan d’audit et construire une grille d’entretien terrain

Techniques d’entretien et de collecte des preuves

• Conduite des entretiens efficaces et objectifs
• Observation, relecture documentaire, validation croisée
• Traitement des écarts et des réponses partielles
• Journalisation et enregistrement des constatations

Évaluation de la conformité ISO 22301

• Vérification des exigences obligatoires de la norme
• Appréciation du degré de maturité du SMCA
• Identification des non-conformités, observations et points forts
• Atelier : Simulation d’entretien et analyse d’un SMCA existant (extrait de documentation)

Rédaction du rapport d’audit

• Contenu type d’un rapport ISO 22301
• Formulation des constats : clarté, faits, preuves
• Recommandations et plans d’action correctifs
• Atelier  : Rédiger un rapport d’audit synthétique à partir d’un cas simulé

Clôture de l’audit et suivi

• Réunion de clôture : validation et consensus
• Délai de remise du rapport, suivi post-audit
• Vérification de l’efficacité des actions correctives
• Surveillance et audits de recertification

Audits en contexte cybersécurité

• Particularités des audits de continuité en cas d’incident cyber
• Auditer les plans de reprise IT, PRA et tests de bascule
• Revue des plans de réponse aux cybercrises
• Atelier : Évaluer un plan de continuité cybersécurité (PCA + PRA + déclenchement)

Conduire un audit multi-sites ou à distance

• Spécificités logistiques : filiales, cloud, sous-traitance
• Audit hybride : sur site vs à distance
• Bonnes pratiques d’audit dématérialisé
• Recommandations pour le télé-audit et outils

Préparation à la certification Lead Auditor

• Format de l’examen, structure, durée, notation
• Stratégie de réponse aux QCM techniques et scénarisés
• Récapitulatif des exigences ISO 22301 à maîtriser
• Test blanc de certification + corrigé commenté en groupe