AccueilFAQISO 22361:2022, une nouvelle boussole pour la gestion de crise

ISO 22361:2022, une nouvelle boussole pour la gestion de crise

Sommaire

iso

Un contexte propice aux crises

Pandémie mondiale, cyberattaques, ruptures de chaîne d’approvisionnement, crises sociales… La dernière décennie a rappelé avec force que les crises majeures peuvent frapper n’importe quelle organisation analyse Florian Silnicki, Expert en communication de crise à la tête de l’agence LaFrenchCom spécialisée dans la gestion des crises. Face à ces menaces complexes et imprévisibles, les entreprises et institutions ont pris conscience de la nécessité d’une préparation rigoureuse. C’est dans ce contexte qu’est née la norme internationale ISO 22361:2022, publiée fin 2022. Elle constitue le premier standard mondial dédié spécifiquement à la gestion de crise, offrant un guide structuré pour aider les organisations à faire face aux situations extraordinaires. Pourquoi une telle norme, et que contient-elle ? Comment peut-elle aider les professionnels à mieux anticiper et gérer l’exceptionnel ? Voici un tour d’horizon pédagogique de cette nouvelle « boussole » de la résilience.

Qu’est-ce que la norme ISO 22361:2022 ?

ISO 22361:2022 est une norme de la série « Sécurité et résilience » de l’Organisation internationale de normalisation (ISO) qui fournit des lignes directrices pour la gestion de crise. En clair, il s’agit d’un document de référence qui aide les organisations à planifier, mettre en place, maintenir et améliorer une capacité stratégique de gestion de crise​. Contrairement à certaines normes ISO plus techniques, ISO 22361 n’impose pas d’exigences certifiables : c’est un guide de bonnes pratiques destiné à orienter les dirigeants et responsables dans la préparation et le pilotage de situations de crise.

Cette norme commence par définir précisément son sujet. Elle décrit la gestion de crise comme « les activités coordonnées dans le but de piloter et de contrôler un organisme vis-à-vis d’une crise »​. Elle propose également une définition de la crise elle-même, à savoir un « événement ou situation anormal ou extraordinaire qui menace un organisme ou une communauté et exige une réponse stratégique, adaptative et en temps utile, afin de préserver sa viabilité et son intégrité »​. En d’autres termes, une crise n’est pas un incident banal : c’est un événement hors-norme qui met en péril la pérennité ou la réputation d’une organisation, et qui requiert une réponse au plus haut niveau stratégique de celle-ci.

Pourquoi une norme dédiée à la gestion de crise ?

On pourrait s’étonner qu’il ait fallu attendre 2022 pour disposer d’un standard international sur ce sujet. En réalité, ISO 22361 s’inscrit dans l’évolution récente des pratiques de résilience organisationnelle. Plusieurs facteurs expliquent sa création. D’une part, le climat des « événements critiques » (pandémie de COVID-19, crises cyber, enjeux de bien-être au travail, etc.) a souligné la nécessité d’un focus particulier sur le développement de capacités de gestion de crise​. Les entreprises ont compris qu’en plus des plans de continuité d’activité ou des dispositifs de gestion des risques classiques, il leur fallait une approche globale pour naviguer en cas de crise majeure.

D’autre part, avant ISO 22361, il existait des références plus locales ou sectorielles. Par exemple, le Royaume-Uni avait publié la norme BS 11200:2014 sur la gestion de crise, et l’Europe une spécification technique CEN/TS 17091:2018. Ces documents ont servi de base au travail international. ISO 22361:2022 vient consolider ces bonnes pratiques en un référentiel unique : il remplace d’ailleurs BS 11200 et PAS 200, désormais retirés​. En ce sens, cette norme est le fruit d’un consensus international s’appuyant sur l’expérience accumulée ces dernières années, y compris le retour d’expérience de crises récentes.

Enfin, si ISO 22301 (2019) existe pour la continuité d’activité, et ISO 22316 (2017) pour la résilience organisationnelle, aucune norme ISO ne traitait spécifiquement et en détail du pilotage d’une crise. ISO 22361 vient combler ce vide en fournissant un cadre dédié à la gestion de crise, complémentaire des normes de continuité et de résilience existantes, comme nous le verrons plus loin.

Principes et concepts clés d’ISO 22361

Dès ses premiers chapitres, la norme rappelle les caractéristiques d’une crise et le contexte de la gestion de crise. Elle souligne notamment que tous les incidents ne se transforment pas en crise, mais qu’une crise peut résulter d’incidents mal gérés. Une distinction importante est faite entre les deux : un incident est généralement circonscrit, gérable avec des plans préétablis, alors qu’une crise revêt un caractère unique, inédit, avec des impacts potentiellement étendus et des incertitudes élevées, ce qui rend les réponses standard insuffisantes​. Autrement dit, face à une crise, il faut souvent sortir du cadre des procédures habituelles et faire preuve de flexibilité et de créativité.

ISO 22361:2022 s’articule autour de grands principes et d’un processus structuré pour aider les organisations à affronter ces situations exceptionnelles. Elle énonce ainsi sept principes fondamentaux qui constituent les bases d’une bonne gestion de crise​:

  • Gouvernance : implication de la direction et cadre de pilotage clair pour la gestion de crise (rôles, responsabilités et soutien depuis le sommet de l’organisation).

  • Stratégie : alignement de la gestion de crise avec la stratégie de l’organisme, anticipation des scénarios stratégiques et vision d’ensemble pendant la crise.

  • Gestion des risques : intégration de la gestion de crise avec l’approche de management des risques, identification des menaces potentielles et signaux faibles en amont.

  • Prise de décision : capacité à prendre des décisions efficaces sous pression et en incertitude, grâce à des processus de décision adaptés aux situations d’urgence stratégique.

  • Communication : importance d’une communication transparente et maîtrisée avec toutes les parties prenantes (employés, clients, médias, autorités) avant, pendant et après la crise.

  • Éthique : maintien de l’intégrité, des valeurs et de la responsabilité sociétale pendant la crise (par exemple, ne pas dissimuler d’informations essentielles aux parties prenantes).

  • Apprentissage : culture du retour d’expérience et de l’amélioration continue après les crises, pour tirer les leçons et renforcer la résilience.

Ces principes forment le socle culturel et organisationnel sur lequel bâtir sa capacité de gestion de crise​. La norme recommande en effet d’adopter une approche structurée, en mettant en place un cadre de gestion de crise s’appuyant sur le leadership, la structure, la culture et la compétence au sein de l’organisation​. Concrètement, cela signifie qu’une entreprise devrait : désigner des leaders de crise compétents et formés, définir une structure claire (comme un comité de crise ou cellule dédiée), instaurer une culture favorable (où l’alerte précoce et la remontée d’information sont encouragées), et développer les compétences nécessaires (par la formation et les exercices réguliers).

Enfin, ISO 22361 décrit un processus type de gestion de crise en sept étapes​, couvrant tout le cycle de vie d’une crise :

  1. Anticipation – Surveillance des menaces émergentes, signaux faibles et préparation mentale à l’éventualité de crises.

  2. Appréciation (évaluation) – Analyse de la situation lorsque la crise survient : quels sont les impacts, les enjeux ? Quelle est la gravité et l’étendue de l’événement ?

  3. Prévention et atténuation – Mesures prises pour éviter qu’une situation ne dégénère en crise, ou pour en limiter les effets. Cette étape se déroule idéalement en amont (plan de prévention) mais continue pendant la crise pour réduire les dégâts.

  4. Préparation – Planification et organisation en vue de futures crises (plans de gestion de crise, protocoles, constitution de la cellule de crise, etc.). Lorsqu’une crise est imminente, cela inclut la mise en alerte des équipes, la mobilisation des ressources et la mise à jour des plans en fonction de la situation.

  5. Réponse – Activation de la gestion de crise au moment où la crise se produit : déploiement des plans d’urgence, communication de crise en temps réel, prise de décisions stratégiques pour résoudre la situation et protéger l’organisation.

  6. Rétablissement – Actions post-crise pour revenir à un fonctionnement normal ou dans un « nouvel état normal » adapté. Il s’agit de réparer les dommages, restaurer la confiance des parties prenantes, et éventuellement faire évoluer l’organisation suite à la crise (changements stratégiques, organisationnels…).

  7. Amélioration continue – Retour d’expérience une fois la crise passée : évaluation de la gestion qui a été faite, identification des points à améliorer et mise à jour des plans/procédures. C’est une étape cruciale pour renforcer la résilience en capitalisant sur l’expérience vécue.

Cet équilibre entre principes, cadre et processus est illustré dans la norme par un schéma circulaire. Les sept principes fondamentaux (anneau extérieur noir sur la figure) encadrent les éléments de soutien internes que sont le leadership, la structure, la culture et la compétence (anneau intermédiaire en beige constituant le cadre de gestion de crise), eux-mêmes mis en œuvre à travers le processus en sept étapes (cercle central gris) allant de l’anticipation à l’amélioration continue. Ce schéma montre que la gestion de crise n’est pas qu’un plan à activer en cas de coup dur : c’est un ensemble cohérent de valeurs, de moyens organisationnels et d’actions successives à mener pour faire face aux crises de manière efficace et durable.

Mettre en œuvre ISO 22361 dans une organisation

Disposer d’un référentiel est une chose, le traduire dans la réalité de l’entreprise en est une autre. Comment une organisation peut-elle concrètement utiliser ISO 22361 ? Tout d’abord, la norme s’adresse à tout type d’organisme, quelle que soit sa taille ou son secteur​. Une PME industrielle, une collectivité territoriale ou un groupe multinational peuvent également s’y référer pour améliorer leur préparation aux crises. L’important est d’adapter les lignes directrices à son contexte propre.

La première étape consiste souvent à évaluer l’existant : l’organisation a-t-elle déjà une cellule de crise ? Des plans d’urgence ? Une culture d’anticipation ? Sur la base des recommandations de la norme, on identifie les écarts. Par exemple, ISO 22361 insiste sur la nomination d’un leader de crise clairement identifié et formé, avec un suppléant si possible. Si ce n’est pas en place, c’est une priorité à définir. De même, la constitution d’une équipe de gestion de crise pluridisciplinaire (incluant par exemple des responsables opérationnels, communication, ressources humaines, sécurité, etc.) est un élément clé du cadre à mettre en place​.

Ensuite vient la planification. ISO 22361 suggère d’élaborer un plan de gestion de crise (ou plusieurs, selon les scénarios) qui détaille les procédures à suivre en cas de crise : comment l’alerte sera donnée, où le poste de commandement se réunira, qui a le pouvoir de prendre quelles décisions, comment communiquer vers l’interne et l’externe, etc. Loin d’être figé, ce plan doit être vivant et régulièrement mis à jour. La norme préconise d’intégrer la gestion de crise dans un processus d’amélioration continue : on doit tester et ajuster périodiquement ses dispositifs.

Un aspect pratique essentiel est la formation et les exercices. ISO 22361 consacre d’ailleurs un chapitre entier à l’entraînement, la validation et l’apprentissage tiré des crises (Clause 9). Il est recommandé d’organiser des exercices de crise simulés, faisant intervenir l’équipe de crise dans des scénarios fictifs (par exemple, une attaque cyber massive, un incendie sur un site critique, une polémique médiatique soudaine…). Ces exercices permettent de vérifier l’efficacité des plans, d’entraîner les dirigeants à la prise de décision sous stress et de détecter les éventuelles lacunes. En évaluant ensuite la performance de l’équipe pendant l’exercice, on peut corriger le tir et améliorer les procédures pour une véritable crise future​.

La communication de crise est un volet qu’ISO 22361 met particulièrement en avant. La norme recommande d’élaborer un plan de communication spécifique, incluant la désignation d’un porte-parole formé, la préparation de messages types, la veille sur les réseaux sociaux, etc. En cas de crise, communiquer de manière proactive et honnête est vital : « de nos jours, les nouvelles peuvent circuler très rapidement par les plateformes en ligne », rappelle la norme, soulignant qu’une communication inadéquate peut aggraver la situation et causer des dommages irréparables à la réputation de l’organisme​. Une mise en œuvre concrète de la norme consistera donc à intégrer les communicants dans la cellule de crise, à préparer des canaux de communication (communiqués, médias sociaux, hotline) et à s’exercer au media-training pour les dirigeants.

En adoptant ISO 22361, il faut garder à l’esprit que chaque organisation doit se l’approprier et la personnaliser. Une crise sanitaire dans un hôpital ne se gère pas exactement comme une crise industrielle dans une usine SEVESO ou une crise politique dans une collectivité. La norme donne un canevas, mais il appartient à chacun de le détailler selon ses risques spécifiques, son environnement réglementaire et sa culture interne. Un expert souligne d’ailleurs qu’ISO 22361 « est une excellente référence pour aider toute organisation à développer sa capacité de gestion de crise, mais ce n’est pas un manuel prêt à l’emploi que l’on peut simplement copier-coller »​. Autrement dit, il ne suffit pas d’appliquer mécaniquement un plan générique : il faut construire sa propre approche en s’inspirant des meilleures pratiques internationales que la norme rassemble.

Par exemple, une grande entreprise du secteur pétrolier appliquant ISO 22361 pourra mettre en place un dispositif global allant de l’identification des risques (marées noires, explosions, bad buzz) à la conduite d’exercices de simulation de crise avec les pompiers et les autorités locales. Elle s’appuiera sur les principes de la norme pour impliquer sa direction (gouvernance), planifier des scénarios stratégiques (stratégie), coordonner avec son système de gestion des risques industriels (risque), prévoir une chaîne de décision de crise 24/7 (prise de décision), et établir un plan de communication de crise avec porte-parole médiatique entraîné (communication). En suivant la démarche, elle s’assurera également qu’après chaque incident ou exercice majeur, un débriefing soit mené afin d’améliorer encore son plan (apprentissage). Ainsi, la norme sert de fil conducteur pour bâtir un système complet de gestion de crise adapté à l’organisation.

Différences avec ISO 22301 et les autres normes de résilience

Il est important de situer ISO 22361 par rapport aux normes existantes en continuité d’activité et résilience organisationnelle. La norme ISO 22301 (dernière édition 2019) est bien connue des professionnels : elle spécifie les exigences pour mettre en place un système de management de la continuité d’activité (BCMS). En simplifiant, ISO 22301 vise à ce que l’entreprise poursuive ses activités essentielles lors d’un sinistre (panne IT, indisponibilité de site, etc.), en ayant préparé des plans de continuité et de reprise. C’est une approche très opérationnelle, centrée sur la survie des processus critiques (production, services, logistique…) pendant et après un incident. De plus, ISO 22301 est certifiable : une organisation peut faire valider par un audit tiers que son dispositif de continuité est conforme à la norme.

En revanche, ISO 22361 est une norme de lignes directrices, non certifiable, qui se concentre sur le pilotage stratégique des crises plutôt que sur la continuité opérationnelle des activités. Autrement dit, ISO 22361 intervient au niveau de la direction et de la communication globale de l’organisation pendant une crise, tandis qu’ISO 22301 intervient au niveau des opérations à maintenir. Les deux approches sont complémentaires : en cas de crise majeure (par exemple une catastrophe naturelle touchant plusieurs sites), l’entreprise activera en parallèle son plan de continuité (ISO 22301) pour préserver ses fonctions vitales et sa gouvernance de crise (ISO 22361) pour orchestrer la réponse d’ensemble, prendre des décisions stratégiques (redéploiement, priorisation des ressources, messages publics) et garder la maîtrise de la situation.

Par rapport aux autres normes de la famille 22300, ISO 22361 se distingue également par son périmètre. ISO 22316 sur la résilience organisationnelle propose des principes généraux pour renforcer l’adaptabilité et la capacité à absorber les chocs, mais sans entrer dans le détail d’un processus de gestion de crise. ISO 22320 fournit des lignes directrices pour la gestion d’incident et les opérations d’urgence (plutôt orientées secours et réponse terrain). On peut considérer que la gestion de crise selon ISO 22361 chapeaute et complète ces démarches : elle mobilise la résilience (capacité à s’adapter) et la continuité (plans pour maintenir l’activité) dans un cadre de pilotage global lorsque l’exceptionnel survient. En somme, ISO 22361 donne la vue d’ensemble stratégique là où ISO 22301 donne la vue tactique opérationnelle.

Quels bénéfices pour les organisations ?

Adopter la norme ISO 22361:2022 présente plusieurs avantages tangibles pour les organisations, au-delà de la simple conformité à un référentiel. Tout d’abord, cela permet de structurer sa préparation aux crises. En suivant les lignes directrices, l’organisation s’assure de n’oublier aucun aspect crucial : elle a formalisé ses procédures d’alerte, identifié ses porte-paroles, établi des plans d’action et des communications pré-rédigées, etc. En situation de chaos, cette préparation structurée fait gagner un temps précieux et évite l’improvisation périlleuse.

Ensuite, la norme encourage une implication forte de la direction et des parties prenantes clés. Une crise, par définition, menace potentiellement l’existence même de l’entreprise et sa réputation, d’où l’importance d’une réponse exemplaire​. Comme le rappelle un organisme de certification spécialisé, « la manière dont un organisme répond à une crise est très importante, car elle affecte son existence et sa réputation »​. En adoptant ISO 22361, la gouvernance de l’organisation s’engage à assumer ce rôle et à se préparer en amont. Cela peut renforcer la confiance des parties prenantes (actionnaires, clients, autorités) qui verront que l’organisation prend la gestion des crises au sérieux et suit les meilleures pratiques internationales.

Un autre bénéfice est le décloisonnement et la cohérence apportés par la norme. En effet, ISO 22361 fait le lien entre différentes disciplines : gestion des risques, continuité d’activité, gestion d’urgence, communication, ressources humaines, etc. L’appliquer incite à réunir ces compétences autour de la table et à parler un langage commun en cas de crise. Le résultat ? Des équipes mieux coordonnées, une vision partagée des priorités et une réduction des conflits internes lors de situations tendues. Par exemple, le fait d’avoir défini à l’avance qui décide quoi (principe de gouvernance) et selon quelles informations (principe de prise de décision) évite les pertes de temps et les querelles de pouvoir au plus fort de la tempête.

Sur le plan de la performance et de la résilience, les organisations tirent profit d’une réduction des impacts des crises. Mieux vaut prévenir que guérir : la norme insiste sur l’anticipation et la prévention, ce qui peut éviter que des problèmes latents ne s’aggravent. Et si une crise survient malgré tout, une organisation préparée saura limiter les dommages, protéger ses employés et le public, et revenir plus rapidement à la normale. Par exemple, une entreprise ayant testé son plan pandémie avant 2020 aura réagi bien plus vite à la crise du COVID-19 qu’une organisation partant de zéro. Ainsi, suivre ISO 22361 améliore concrètement la capacité de résistance et de rebond.

Enfin, il ne faut pas négliger l’aspect culturel et humain. En intégrant l’apprentissage continu, ISO 22361 pousse l’organisation à devenir apprenante face aux crises. Chaque incident devient une occasion de progresser, chaque exercice consolide le savoir-faire collectif. À terme, cela développe une véritable culture de la gestion de crise au sein des équipes : on sait détecter les signaux faibles, on ose remonter une alerte sans crainte, on comprend l’importance de communiquer vite et bien, etc. Cet état d’esprit peut faire la différence pour éviter la prochaine crise ou, si elle survient, la traverser avec sang-froid.

Un nouveau guide international pour naviguer l’imprévu

Avec ISO 22361:2022, les professionnels de la gestion de crise disposent désormais d’un cadre de référence mondial pour les guider dans un domaine où l’expérience et la préparation priment. Vulgarisée ici dans ses grandes lignes, la norme reste rigoureuse et dense, reflet du défi qu’est la maîtrise des situations critiques. Elle n’est pas une recette magique applicable uniformément, mais elle fournit les ingrédients essentiels d’une gestion de crise réussie : une gouvernance solide, des principes clairs, une structure prête à l’emploi et un entraînement régulier.

En adoptant ce guide, les organisations peuvent élever leur niveau de préparation et intégrer la gestion de crise dans leur gouvernance au même titre que la continuité d’activité ou la gestion des risques. Deux ans après sa publication, ISO 22361 s’impose peu à peu comme un standard de référence. Les retours d’expérience permettront sans doute de l’affiner à l’avenir, mais son message central est déjà clair : anticiper l’imprévisible et savoir réagir avec méthode et agilité sont devenus des compétences incontournables pour assurer la pérennité et la résilience des organisations au XXIe siècle.