Cybersecurity

Plan de continuité d'activité (PCA) : guide ANSSI 2026

PCA selon la méthodologie ANSSI 2026 : périmètre, BIA, scénarios de sinistre, stratégies de continuité, tests. Guide pratique avec sanctions et références.

TD
Dr. Thiébaut Devergranne
23 mai 20266 min read

En une phrase. Le Plan de Continuité d’Activité (PCA) est la démarche organisationnelle et technique qui garantit le maintien des activités essentielles d’une organisation face à un sinistre (cyberattaque, incendie, indisponibilité d’un prestataire, pandémie). La méthodologie ANSSI (Guide pour réaliser un PCA, version 2013 toujours référente) structure la démarche en cinq étapes : cadrage, BIA, scénarios, stratégies, tests. NIS 2 et DORA en font une obligation réglementaire pour des milliers d’entités françaises.

Le PCA n’est plus une bonne pratique : c’est une exigence légale. La directive NIS 2 (transposée en France par la loi du 30 avril 2024) impose à plus de 15 000 entités essentielles et importantes de disposer d’un plan de continuité documenté. DORA (règlement 2022/2554) en fait le pilier de la résilience opérationnelle numérique du secteur financier depuis janvier 2025. Ce guide reprend la méthodologie ANSSI étape par étape.

Pour approfondir : PSSI ANSSI, SecNumCloud, cartographie SI.

Points clés

  • Le PCA répond aux sinistres majeurs ; le PRA (Plan de Reprise d’Activité) couvre le redémarrage technique.
  • La méthodologie ANSSI structure le PCA en 5 étapes : cadrage, BIA, scénarios, stratégies, mise en œuvre/tests.
  • NIS 2 (art. 21) et DORA (art. 11) imposent la continuité d’activité aux entités régulées.
  • Un PCA non testé est un PCA invalide — l’ANSSI recommande un test annuel minimum.
  • Les délais cibles (RTO, RPO, MTPD) doivent être validés par les métiers, pas imposés par l’IT.

1. Périmètre : PCA, PRA, PCI — clarifier les termes

Trois plans souvent confondus :

Plan Objet Périmètre
PCA (Plan de Continuité d’Activité) Maintien des activités essentielles Organisation entière (métier + IT)
PRA (Plan de Reprise d’Activité) Redémarrage technique post-sinistre Systèmes d’information
PCI (Plan de Continuité Informatique) Continuité des services IT Infrastructure et applications

Le PCA est le parent ; le PRA en est la composante technique.

2. Étape 1 — Cadrage du projet PCA

L’ANSSI recommande un sponsor de direction générale (souvent le DG ou un membre du COMEX). Sans portage exécutif, le PCA reste une étagère.

Livrables du cadrage :

  • Note de cadrage validée en COMEX
  • Périmètre (sites, filiales, activités incluses/exclues)
  • Comité de pilotage PCA (RSSI, DSI, métiers, RH, juridique, communication)
  • Budget alloué (typiquement 0,5 à 2 % du budget IT annuel selon le secteur)

3. Étape 2 — Bilan d’Impact sur l’Activité (BIA)

Le BIA (Business Impact Analysis) identifie pour chaque processus métier :

  • L’impact d’une indisponibilité (financier, réglementaire, image, sécurité)
  • La Durée Maximale d’Interruption Admissible (DMIA / MTPD)
  • Le Délai Maximal d’Interruption Admissible (DMIA) au-delà duquel l’organisation est mise en péril

Un BIA bien fait classe les processus en 4 catégories : critiques (< 4h), vitaux (< 24h), importants (< 72h), secondaires (> 1 semaine). Les indicateurs RTO et RPO en découlent (voir PRA ANSSI).

4. Étape 3 — Scénarios de sinistre

L’ANSSI recommande quatre familles de scénarios :

  1. Indisponibilité d’un site (incendie, inondation, attentat) — typiquement 1 à 6 mois
  2. Indisponibilité du SI (cyberattaque, ransomware) — durée variable
  3. Indisponibilité des personnes (pandémie, grève, accident collectif)
  4. Indisponibilité d’un prestataire critique (cloud, télécom, sous-traitant)

Le scénario « cyberattaque massive » est devenu prioritaire depuis 2020. Les attaques ransomware sur l’hôpital de Corbeil-Essonnes (août 2022, rançon 10M$ refusée) et le CHU de Rennes (juin 2023) ont coûté plusieurs semaines de fonctionnement dégradé.

5. Étape 4 — Stratégies de continuité

Pour chaque scénario, définir les moyens de contournement :

  • Site de repli (hot site, warm site, cold site)
  • Télétravail massif (testé pendant le COVID-19)
  • Sous-traitance d’urgence (contrats de réversibilité)
  • Procédures dégradées manuelles (formulaires papier, téléphone)

Le coût varie d’un facteur 10 selon la stratégie : un hot site (bascule en quelques minutes) coûte 3 à 5 fois plus qu’un cold site (bascule en plusieurs jours).

6. Étape 5 — Mise en œuvre et tests

L’ANSSI distingue 4 niveaux de tests :

Niveau Type Fréquence recommandée
1 Test sur table (revue documentaire) Trimestriel
2 Test de procédure (équipe restreinte) Semestriel
3 Test technique (bascule applicative) Annuel
4 Test grandeur nature (exercice complet) Tous les 2-3 ans

Un PCA non testé depuis 18 mois est considéré comme non opérationnel par les auditeurs ANSSI.

7. Exigences NIS 2

L’article 21 §2 de la directive NIS 2 impose explicitement :

  • © « la continuité des activités, comme la gestion des sauvegardes et la reprise des activités, et la gestion des crises »

Les entités essentielles risquent jusqu’à 10 M€ ou 2 % du CA mondial ; les entités importantes 7 M€ ou 1,4 % du CA. La transposition française (ordonnance NIS 2 du 30 avril 2024) confie le contrôle à l’ANSSI.

8. Exigences DORA pour le secteur financier

Le règlement DORA (UE 2022/2554) impose depuis le 17 janvier 2025 :

  • Politique de continuité d’activité TIC (art. 11)
  • Tests de résilience opérationnelle numérique (art. 24)
  • Tests avancés (TLPT) tous les 3 ans pour les grandes entités (art. 26)

L’ACPR et l’AMF contrôlent l’application. Les sanctions peuvent atteindre 2 % du CA annuel.

9. Gouvernance et cellule de crise

Le PCA s’appuie sur une cellule de crise activable 24/7. Composition minimale :

  • Directeur de crise (souvent DG ou COO)
  • RSSI / responsable PCA
  • Communication (interne + externe)
  • Juridique (notifications CNIL, ANSSI)
  • Métiers concernés
  • DSI / production IT

L’ANSSI publie un guide « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique » (2021) qui complète utilement le PCA.

10. Documentation minimale

Un PCA défendable contient :

  1. Politique de continuité (signée DG)
  2. BIA actualisé < 18 mois
  3. Scénarios de sinistre documentés
  4. Procédures de bascule (PRA, télétravail, site de repli)
  5. Annuaires de crise (avec coordonnées personnelles)
  6. Comptes-rendus de tests des 24 derniers mois
  7. Plan de communication de crise

11. Erreurs fréquentes

  • PCA copié d’un modèle sans BIA réel — non opposable en audit
  • RTO/RPO fixés par l’IT sans validation métier — irréalistes
  • Pas de test depuis > 12 mois — invalide pour NIS 2 et DORA
  • Annuaires de crise obsolètes — découvert au pire moment
  • Pas de plan de communication — gestion de crise chaotique

12. Outils et certifications

Référentiels utiles :

  • ISO 22301 (Système de management de la continuité d’activité)
  • ISO 27031 (Continuité IT)
  • Guide ANSSI PCA (2013, toujours référent)
  • Guide ANSSI crise cyber (2021)

L’ISO 22301 est de plus en plus exigée par les clients grands comptes et les régulateurs sectoriels.

FAQ

Quelle est la différence entre PCA et PRA ?

Le PCA couvre la continuité des activités métier dans son ensemble (humains, locaux, procédures, SI). Le PRA est la composante technique : redémarrage des systèmes d’information après sinistre. Le PRA est un sous-ensemble du PCA.

Le PCA est-il obligatoire pour mon entreprise ?

Oui si vous êtes : entité essentielle ou importante au sens de NIS 2 (≥ 50 salariés ou 10 M€ CA dans 18 secteurs), entité financière soumise à DORA, OIV/OSE, opérateur d’importance vitale, ou prestataire de service essentiel. Au-delà, c’est une bonne pratique recommandée par toutes les normes ISO 27000.

Quel budget prévoir pour un PCA ?

Selon l’ANSSI : 0,5 à 2 % du budget IT annuel pour une organisation moyenne. Une entité critique (banque, hôpital, OIV) peut dépasser 5 %. Le coût d’un site de repli actif représente le poste principal.

À quelle fréquence tester son PCA ?

L’ANSSI recommande au minimum un test technique annuel et un exercice grandeur nature tous les 2-3 ans. Pour les entités DORA, les tests TLPT sont obligatoires tous les 3 ans. Un PCA non testé depuis 18 mois est considéré non opérationnel.

Quelle norme certifier pour son PCA ?

ISO 22301 est la norme internationale de référence pour le management de la continuité d’activité. Elle est de plus en plus demandée dans les appels d’offres grands comptes et dans le secteur public. La certification se prépare typiquement en 12 à 18 mois.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →