Les normes de la gestion de crise

Dérèglement climatique, cybermenaces, tensions géopolitiques, fragilité des chaînes d’approvisionnement… Dans un monde de plus en plus incertain, la gestion de crise n’est plus une option, mais une discipline stratégique. Pour la structurer, les organisations ne partent pas de zéro. Il existe un ensemble de normes et de référentiels qui offrent un cadre, un langage commun et des méthodologies éprouvées pour transformer la simple réaction à un incident en une véritable capacité de résilience organisationnelle.

Loin d’être une contrainte bureaucratique, l’adoption de ces normes est un investissement qui renforce la confiance de vos parties prenantes et assure votre pérennité. Ce guide vous propose une cartographie claire des principales normes de la gestion de crise pour vous aider à y voir plus clair et à construire votre feuille de route.

Avant de commencer : gestion des risques et gestion de crise, deux disciplines sœurs

Il est crucial de différencier ces deux notions complémentaires :

La gestion des risques (Risk Management) : C’est la phase « à froid ». Elle vise à identifier, évaluer et traiter les risques en amont pour réduire leur probabilité et/ou leur impact. La norme phare de cette discipline est l’ISO 31000.
La gestion de crise (Crisis Management) : C’est la phase « à chaud ». Elle se concentre sur la réponse opérationnelle et stratégique lorsque la crise survient ou est imminente, afin d’en limiter les conséquences.

Les normes de la gestion de crise s’articulent logiquement avec celles du management des risques pour bâtir une résilience globale.

Le triptyque des normes ISO : le socle de la résilience organisationnelle

L’Organisation internationale de normalisation (ISO) propose plusieurs standards qui forment l’épine dorsale d’une démarche de résilience structurée. On peut les voir comme un triptyque.

1. ISO 31000 : anticiper les menaces (le management du risque)

C’est la « norme mère » qui fournit les lignes directrices et les principes pour identifier les menaces qui pourraient mener à une crise. Elle n’est pas certifiable, mais elle constitue le cadre philosophique de toute démarche de prévention.

2. ISO 22301 : garantir la continuité d’activité (le plan de survie)

C’est sans doute la norme la plus essentielle et la plus concrète. Elle est certifiable et définit les exigences pour un Système de Management de la Continuité d’Activité (SMCA). Son but : s’assurer que vos activités critiques peuvent continuer à fonctionner pendant et après une crise. Elle impose :

Une analyse d’impact sur l’activité (BIA) pour identifier vos priorités.
L’élaboration de plans de continuité d’activité (PCA).
La réalisation d’exercices et de tests réguliers.

3. ISO 22320 : piloter la réponse d’urgence (la doctrine de l’état-major)

Cette norme est le cœur de la réponse opérationnelle. Elle fournit des lignes directrices pour organiser la cellule de crise. Elle se concentre sur trois points clés :

Le commandement et le contrôle (Command & Control).
L’information opérationnelle (la collecte, l’analyse et le partage de l’information).
La coopération entre les différentes organisations impliquées dans la réponse.

Au-delà de l’ISO : les autres référentiels clés à connaître

D’autres cadres, souvent complémentaires, existent à travers le monde.

Les standards anglo-saxons :
- BS 11200 (British Standards Institute) : Un référentiel très respecté qui met un accent particulier sur la gouvernance de crise et le rôle du leadership.
- NFPA 1600 (États-Unis) : Un standard très complet qui couvre la gestion des urgences, la continuité et la gestion de crise dans un seul document.
Le cadre opérationnel français :
- Le dispositif ORSEC : Le plan piloté par le préfet pour organiser la réponse de la sécurité civile à l’échelle d’un département.
- Le Plan Communal de Sauvegarde (PCS) et le Plan Particulier de Mise en Sûreté (PPMS) : Les outils de planification à l’échelle de la commune et des établissements scolaires.

Comment mettre en œuvre une démarche normée ? la méthode en 8 étapes

Adopter ces normes n’est pas qu’une affaire de documentation. C’est un projet d’entreprise qui suit un cycle de vie logique, souvent résumé par la roue de Deming (PDCA – Plan, Do, Check, Act).

Engager la direction : L’impulsion doit venir du plus haut niveau.
Évaluer le contexte : Analyser les risques et les obligations de l’organisation.
Définir une gouvernance : Qui pilote la démarche de résilience ?
Planifier et documenter : Rédiger les plans (PCA, plan de crise…) et les procédures.
Former et sensibiliser : S’assurer que tous les collaborateurs connaissent leur rôle.
Tester : Organiser des exercices de simulation réguliers pour éprouver les plans.
Analyser : Mener des Retours d’Expérience (RETEX) après chaque exercice ou incident réel.
Améliorer : Utiliser les leçons du RETEX pour mettre à jour les plans et renforcer le dispositif.

Les bénéfices concrets d’une approche normée

Au-delà de la conformité, s’appuyer sur ces normes apporte des avantages tangibles :

Confiance renforcée des clients, partenaires et investisseurs.
Prise de décision améliorée en situation de stress grâce à des processus clairs.
Impacts financiers, humains et réputationnels réduits.
Culture de la prévention ancrée à tous les niveaux.
Avantage concurrentiel : une organisation résiliente est une organisation fiable.

Conclusion : les normes, un investissement stratégique pour la confiance

Face à un avenir incertain, les normes de la gestion de crise ne sont pas une contrainte, mais une formidable boîte à outils. Elles offrent une feuille de route claire et un langage commun pour bâtir des organisations plus robustes, plus préparées et plus résilientes. Leur véritable force réside dans une mise en œuvre vivante, portée par une direction engagée et testée régulièrement sur le terrain. Adopter ces standards, c’est faire le choix stratégique de la préparation et de la confiance.

Chez CriseHelp, notre métier est de vous accompagner dans la mise en œuvre de ces référentiels. De l’audit de vos vulnérabilités à l’élaboration de votre Système de Management de la Continuité d’Activité, en passant par l’entraînement de votre cellule de crise, nous vous aidons à traduire ces normes en une résilience opérationnelle et durable.

Nous sommes à votre écoute pour préciser votre besoin.

Nos experts et consultants indépendants sont en mesure de vous accompagner de A à Z dans l’évaluation de vos risques pour anticiper les crises.

Echanger avec nos experts

FAQs

Voici les réponses aux questions fréquentes sur les normes et certifications en gestion de crise.

Une certification ISO en gestion de crise est-elle obligatoire ?

Non, la plupart des normes de gestion de crise, comme l'ISO 22320 ou l'ISO 31000, sont des guides de bonnes pratiques et ne sont pas certifiables. La seule norme de ce domaine qui soit certifiable est l'ISO 22301 sur la continuité d'activité. La certification est un choix volontaire de l'entreprise pour prouver la robustesse de son dispositif.

Par quelle norme commencer si je pars de zéro ?

Une approche logique est de commencer par une analyse de risques inspirée de l'ISO 31000. Ensuite, si votre priorité est de garantir la survie de vos activités critiques, concentrez-vous sur l'ISO 22301 (Continuité d'Activité). Si votre enjeu est de structurer votre cellule de crise, l'ISO 22320 sera votre meilleur guide.

Ces normes sont-elles adaptées aux PME ?

Oui, absolument. Le principe de ces normes est d'être universel et adaptable. Une PME n'appliquera pas la norme ISO 22301 avec les mêmes moyens qu'un grand groupe, mais elle peut en suivre les principes : identifier ses activités vitales (ex: la prise de commande et la facturation), évaluer les impacts d'un arrêt, et mettre en place des solutions simples et pragmatiques (ex: une connexion 4G de secours, des sauvegardes externalisées).