En une phrase. Le plan de continuité d’activité (PCA) est l’ensemble documenté et testé des procédures et moyens permettant à une organisation de maintenir ses activités essentielles en cas de sinistre majeur (cyberattaque, incendie, panne, crise sanitaire) ; longtemps simple bonne pratique décrite par le guide du SGDSN (2013) et la norme ISO 22301, il est devenu une obligation juridique pour des milliers d’organisations françaises via NIS2 (article 21) et DORA (article 11).
Les rançongiciels ont changé la nature du sujet : un PCA n’est plus un classeur pour l’auditeur, c’est la différence entre trois jours et trois mois d’arrêt. Les attaques contre les hôpitaux français (CHSF de Corbeil-Essonnes en 2022, contraint de fonctionner des semaines en mode dégradé) ont montré ce que vaut un plan jamais exercé.
Ce guide donne la méthodologie — celle du guide SGDSN, compatible ISO 22301 — les livrables concrets, et le raccordement aux obligations NIS2/DORA.
Points clés
- Référence française : « Guide pour réaliser un plan de continuité d’activité », SGDSN, 2013 — toujours la meilleure méthode publique en français (sgdsn.gouv.fr).
- Norme internationale : ISO 22301 (systèmes de management de la continuité d’activité).
- Concepts clés : BIA (bilan d’impact sur l’activité), DMIA (durée maximale d’interruption admissible ≈ RTO) et PDMA (perte de données maximale admissible ≈ RPO).
- Obligatoire : NIS2 art. 21(2)© (continuité, sauvegardes, reprise, gestion de crise), DORA art. 11 (politique de continuité TIC testée), arrêté du 3 novembre 2014 pour le secteur bancaire (PUPA).
- Un PCA non testé n’existe pas : exercices au minimum annuels.
1. PCA, PRA, gestion de crise : qui fait quoi
- Le PCA couvre la continuité des activités métier : comment continuer à soigner, produire, payer, livrer — y compris sans informatique.
- Le PRA (plan de reprise d’activité) est son volet informatique : reconstruire ou basculer le SI dans les délais fixés par le métier.
- La gestion de crise est le dispositif de commandement (cellule, communication, main courante) qui orchestre l’ensemble.
L’erreur classique est de confier « le PCA » à la DSI : la DSI peut écrire un PRA, pas décider quelles activités survivent en premier. Cette décision appartient à la direction générale.
2. La méthodologie en 5 étapes
Étape 1 — Définir le contexte et les objectifs
Périmètre, activités, obligations légales et contractuelles, appétence au risque. S’appuyer sur la cartographie du système d’information et la cartographie des processus : on ne protège que ce qu’on connaît.
Étape 2 — Le BIA (bilan d’impact sur l’activité)
Pour chaque activité essentielle, mesurer l’impact d’une interruption dans le temps (financier, juridique, image, sécurité des personnes) et en déduire :
- la DMIA : au-delà de quelle durée d’interruption l’impact devient inacceptable ;
- la PDMA : combien de données on peut se permettre de perdre (en heures de production) ;
- les ressources critiques : applications, données, personnes clés, fournisseurs, locaux.
Le BIA est l’exercice de vérité du PCA : c’est le métier qui parle, chiffres à l’appui, pas la technique.
Étape 3 — Scénarios et stratégies de continuité
Le SGDSN recommande de raisonner par scénarios d’indisponibilité de ressources plutôt que par causes : perte du SI, perte du site, perte d’un fournisseur critique, indisponibilité massive du personnel. Pour chaque scénario, définir la stratégie : procédures dégradées manuelles, site de repli, bascule informatique, solutions de contournement, stocks. Chaque stratégie a un coût — l’arbitrage entre coût de la solution et DMIA est une décision de direction.
Depuis les rançongiciels, un scénario est obligatoire dans toute organisation : SI intégralement chiffré, sauvegardes en ligne comprises. Il justifie les sauvegardes hors ligne et le fonctionnement dégradé sans informatique pendant plusieurs jours.
Étape 4 — Rédiger le plan
Livrables types : plan de gestion de crise (alerte, cellule, annuaire, communication), fiches réflexes par scénario, procédures dégradées par activité, plan de reprise informatique, contrats et conventions (site de repli, prestataires — pensez à la dépendance cloud, voir sous-traitance cloud). Format : court, accessible hors du SI (un PCA stocké uniquement sur le serveur chiffré par l’attaquant est une anecdote d’auditeur classique).
Étape 5 — Tester, exercer, maintenir
Gradation : test technique (restauration de sauvegardes), exercice sur table (cellule de crise sur scénario), exercice fonctionnel (bascule réelle d’une application), exercice général. Minimum viable : un exercice de crise par an et des tests de restauration réguliers. Chaque exercice produit un retour d’expérience et des actions correctives — c’est ce cycle qui distingue un PCA vivant d’un PCA décoratif.
3. Ce que la loi exige désormais
| Texte | Exigence |
|---|---|
| NIS2, art. 21(2)© — transposition française | Continuité des activités : gestion des sauvegardes, reprise des activités, gestion de crise — pour toutes les entités essentielles et importantes |
| DORA, art. 11 — guide DORA France | Politique de continuité des activités de TIC, plans de réponse et de rétablissement, tests au moins annuels, analyses d’impact |
| Arrêté du 3 novembre 2014 (banque/assurance, ACPR) | Plan d’urgence et de poursuite d’activité (PUPA) |
| RGPD, art. 32 — sécurité des traitements | « rétablir la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident » |
| Règles LPM pour les OIV | Gestion de crise et continuité sur les SIIV |
L’article 32 du RGPD mérite attention : la capacité à rétablir la disponibilité des données est une obligation légale pour tout responsable de traitement — une PME sans sauvegardes testées est en manquement, rançongiciel ou pas. En cas d’incident, la notification de violation sous 72 h suppose d’ailleurs une cellule de crise qui fonctionne.
Le PCA mobilise une documentation transverse — cartographies, registres, contrats fournisseurs, mesures de sécurité — qui recoupe celle de la conformité RGPD et NIS2. Legiscope automatise ce socle commun (cartographie des traitements, des actifs et des sous-traitants), ce qui évite de redécouvrir ses dépendances critiques au moment du BIA.
FAQ
Quelle différence entre PCA et PRA ?
Le PCA organise la survie des activités métier (y compris par des procédures manuelles) ; le PRA organise la reconstruction du système d’information. Le PRA est un sous-ensemble du PCA, dimensionné par les DMIA/PDMA issues du BIA. Détail complet dans notre guide PRA.
Le PCA est-il obligatoire pour une PME ?
Si la PME est une entité importante au sens de NIS2 (dès 50 salariés et 10 M€ de CA dans un secteur couvert), oui — l’article 21 impose la continuité et la gestion de crise. Hors périmètre réglementaire, l’article 32 du RGPD impose déjà la capacité de rétablissement des données, et les assureurs cyber conditionnent leurs garanties à des sauvegardes testées.
Combien coûte un PCA ?
Pour une PME : 15 à 40 k€ d’accompagnement pour un premier PCA (BIA, plan, premier exercice), puis le coût des solutions retenues (sauvegardes hors ligne, site de repli, redondance) qui dépend entièrement des DMIA choisies. Diviser une DMIA par deux peut multiplier le coût technique par cinq — d’où l’importance d’un BIA honnête.
À quelle fréquence tester le PCA ?
Au minimum : restaurations de sauvegardes trimestrielles, exercice de cellule de crise annuel, et un exercice après chaque changement majeur (nouveau SI cœur, déménagement, fusion). DORA impose des tests au moins annuels des plans TIC pour le secteur financier.
Conclusion
Le PCA est passé du statut d’assurance facultative à celui d’obligation légale outillée par des méthodes publiques éprouvées — guide SGDSN, ISO 22301. La séquence gagnante tient en une ligne : BIA sincère → DMIA/PDMA arbitrées par la direction → stratégies financées → plans courts et accessibles → exercices annuels. Tout le reste est de la littérature. Et le premier test, faites-le cette semaine : demandez à votre équipe combien de temps prendrait la restauration complète des sauvegardes — si personne ne sait, vous avez votre réponse.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial