Qu'est-ce qu'un Plan de Continuite d'Activite ?

Un Plan de Continuite d'Activite (PCA) est le processus de creation d'un plan garantissant que les fonctions critiques de l'entreprise peuvent se poursuivre pendant et apres une perturbation. Le PCA englobe l'identification des menaces potentielles, l'evaluation de leur impact sur les operations et le developpement de procedures et mesures de protection pour maintenir les operations, proteger les donnees et reprendre rapidement. Un PCA couvre les personnes, les processus, la technologie et les locaux, traitant des perturbations allant des pannes informatiques et cyberattaques aux catastrophes naturelles et ruptures de chaine d'approvisionnement. Le PCA est a la fois une discipline de management et une exigence de conformite selon des referentiels tels qu'ISO 27001, NIS2 et DORA.

Quelle est la difference entre PCA et reprise apres sinistre ?

Le Plan de Continuite d'Activite (PCA) et la Reprise apres Sinistre (RS) sont lies mais distincts. Le PCA est la discipline plus large qui traite de la maniere dont l'ensemble de l'organisation maintient ses operations pendant une perturbation — il couvre les personnes, les processus, la communication, les locaux et la technologie. La reprise apres sinistre est un sous-ensemble du PCA qui se concentre specifiquement sur la restauration des systemes informatiques, des applications et des donnees apres une perturbation. La RS traite de la reprise technique (restauration des sauvegardes, basculement vers des systemes secondaires, replication des donnees), tandis que le PCA aborde egalement les aspects organisationnels comme la communication de crise, les sites de travail alternatifs, les procedures manuelles de contournement et la continuite de la chaine d'approvisionnement. Les deux sont essentiels : la RS garantit le retour en ligne des systemes, tandis que le PCA assure que l'entreprise peut continuer a fonctionner pendant la restauration des systemes.

Qu'est-ce qu'une Analyse d'Impact sur l'Activite ?

Une Analyse d'Impact sur l'Activite (AIA ou BIA) est l'etape fondamentale du PCA qui identifie les fonctions critiques de l'entreprise, determine l'impact des perturbations sur ces fonctions et etablit les priorites et delais de reprise. L'AIA determine : quels processus metier sont critiques et ne tolerent pas d'interruption ; le Delai Maximal d'Interruption Tolerable (DMIT) pour chaque processus ; le Delai de Reprise (RTO) — la rapidite avec laquelle les systemes doivent etre restaures ; la Perte de Donnees Maximale Admissible (RPO) — la quantite de perte de donnees acceptable ; les ressources necessaires pour la reprise (personnes, technologie, locaux, fournisseurs) ; les dependances entre processus, systemes et tiers ; et les impacts financiers, operationnels, reputationnels et reglementaires d'une perturbation.

Que sont le RTO et le RPO ?

Le Delai de Reprise (RTO - Recovery Time Objective) et la Perte de Donnees Maximale Admissible (RPO - Recovery Point Objective) sont les deux metriques fondamentales de la planification de continuite d'activite. Le RTO definit le delai maximal acceptable pour restaurer une fonction ou un systeme apres une perturbation — il repond a la question 'en combien de temps devons-nous reprendre ?' Le RPO definit la quantite maximale acceptable de perte de donnees mesuree en temps — il repond a la question 'combien de donnees pouvons-nous nous permettre de perdre ?' Par exemple, un RTO de 4 heures signifie que le systeme doit etre operationnel dans les 4 heures suivant une perturbation. Un RPO de 1 heure signifie que les sauvegardes doivent etre effectuees au moins toutes les heures, de sorte que pas plus d'1 heure de donnees ne soit perdue. Ensemble, le RTO et le RPO guident les decisions sur la frequence des sauvegardes, les strategies de replication, l'architecture de basculement et le cout de l'infrastructure de reprise.

Comment le PCA est-il lie a ISO 27001 ?

ISO 27001 traite de la continuite d'activite a travers les controles de l'Annexe A : A.5.29 (securite de l'information pendant une perturbation) exige que les organisations maintiennent la securite de l'information a un niveau approprie pendant une perturbation ; A.5.30 (disponibilite des TIC pour la continuite d'activite) exige une planification, une mise en oeuvre et des tests de continuite des TIC pour garantir que les systemes puissent etre repris dans les delais requis ; A.8.13 (sauvegarde des informations) exige des politiques et procedures de sauvegarde ; et A.8.14 (redondance des installations de traitement de l'information) exige une redondance suffisante pour repondre aux exigences de disponibilite. ISO 22301 (Systemes de management de la continuite d'activite) fournit la norme complete de systeme de management specifiquement pour la continuite d'activite.

Que requiert NIS2 pour la continuite d'activite ?

L'article 21(2)(c) de NIS2 exige que les entites essentielles et importantes mettent en oeuvre 'la continuite des activites, telle que la gestion des sauvegardes et la reprise apres sinistre, et la gestion de crise.' Cela signifie que les organisations doivent : maintenir des plans de continuite d'activite couvrant leurs services essentiels et fonctions critiques ; mettre en oeuvre des strategies de sauvegarde avec une frequence et des tests appropries ; disposer de procedures de reprise apres sinistre pour restaurer les services dans des delais acceptables ; etablir des procedures de gestion de crise incluant des protocoles de communication ; et tester et mettre a jour ces plans regulierement. L'organe de direction (article 20) doit approuver et superviser les mesures de continuite d'activite, et peut etre tenu personnellement responsable en cas de non-conformite.

Que requiert DORA pour la resilience operationnelle ?

DORA adopte une approche globale de la resilience operationnelle pour les entites financieres : l'article 11 exige des politiques et plans de continuite des TIC ; l'article 12 impose des plans de reponse et de reprise TIC avec des exigences de contenu specifiques ; l'article 13 exige des politiques de sauvegarde avec des definitions de RPO et RTO ; l'article 14 exige des procedures de restauration et de reprise ; et l'article 15 impose des tests de continuite TIC incluant des tests bases sur des scenarios. DORA va au-dela du PCA traditionnel en exigeant : des tests de resilience operationnelle numerique (incluant des tests d'intrusion fondes sur la menace pour les entites significatives) ; la gestion des risques lies aux tiers TIC dans le cadre de la planification de continuite ; le signalement des incidents majeurs lies aux TIC ; et un cadre complet de gestion des risques TIC.

A quelle frequence un PCA doit-il etre teste ?

Les plans de continuite d'activite doivent etre testes regulierement pour garantir leur efficacite : les exercices sur table (discussion de scenarios et de reponses) doivent etre menes au moins trimestriellement ; les tests fonctionnels (test de procedures de reprise specifiques) doivent etre menes au moins semestriellement ; les exercices grandeur nature (simulation de perturbations reelles) doivent etre menes au moins annuellement ; et les tests de reprise apres sinistre (basculement et restauration) doivent etre menes au moins annuellement. Les plans doivent egalement etre revus et mis a jour chaque fois que des changements importants surviennent dans les processus metier, l'infrastructure technologique, la structure organisationnelle ou le paysage des menaces. NIS2 et DORA exigent tous deux des tests reguliers des plans de continuite et de reprise, DORA specifiant des exigences de test detaillees.

Plan de Continuite d'Activite (PCA) : definition, enjeux et guide de mise en oeuvre

Published 7 mars 2026

By Emre Salmanoglu

Plan de Continuite d'Activite (PCA) : definition, enjeux et guide de mise en oeuvre

Guide pratique du Plan de Continuite d'Activite — definition du PCA, differences avec la reprise apres sinistre, composantes cles d'un plan de continuite, correspondance avec les exigences ISO 27001, NIS2 et DORA, et comment les entreprises B2B peuvent renforcer leur resilience.

Continuite d'activite

Reprise apres sinistre

Resilience

ISO 27001

NIS2

DORA

Gestion des risques

Plan de Continuite d'Activite (PCA) : definition, enjeux et guide de mise en oeuvre

Le Plan de Continuite d'Activite garantit que les fonctions critiques de l'entreprise peuvent se poursuivre pendant une perturbation et reprendre rapidement apres celle-ci. Qu'il s'agisse d'une cyberattaque, d'une panne systeme, d'une catastrophe naturelle ou d'une rupture de la chaine d'approvisionnement, un PCA bien concu minimise les temps d'arret, protege les donnees et maintient la confiance des clients.

Pour les entreprises B2B, le PCA est une exigence de conformite selon ISO 27001, NIS2 et DORA. Les acheteurs entreprises attendent de leurs fournisseurs qu'ils demontrent leur resilience operationnelle a travers des plans de continuite documentes et testes. Un PCA solide est a la fois une discipline de gestion des risques et un avantage concurrentiel.

Ce guide couvre la definition du PCA, ses composantes cles, sa correspondance avec les referentiels de conformite, et comment construire et tester un plan de continuite d'activite efficace.

PCA vs Reprise apres Sinistre

Comprendre le perimetre

Aspect	Plan de Continuite d'Activite	Reprise apres Sinistre
Perimetre	Toute l'organisation — personnes, processus, technologie, locaux	Systemes informatiques, applications et donnees
Objectif	Maintenir les operations pendant une perturbation	Restaurer la technologie apres une perturbation
Couvre	Communication de crise, travail a distance, procedures manuelles, chaine d'approvisionnement	Sauvegardes, basculement, replication de donnees, restauration des systemes
Temporalite	Avant, pendant et apres la perturbation	Principalement apres la perturbation
Responsable	Direction generale / direction metier	Equipe informatique / infrastructure
Norme	ISO 22301 (Management de la continuite d'activite)	Partie d'ISO 27001, DORA, exigences NIS2

La reprise apres sinistre est une composante critique du PCA, mais le PCA englobe bien plus que la reprise technologique.

Composantes cles du PCA

1. Analyse d'Impact sur l'Activite (AIA)

L'AIA est le fondement de tout PCA. Elle identifie :

Fonctions critiques de l'entreprise — Quels processus sont essentiels aux operations
Evaluation de l'impact — Consequences financieres, operationnelles, reputationnelles et reglementaires d'une perturbation
Dependances — Systemes, donnees, personnes, fournisseurs et locaux dont chaque fonction a besoin
Priorites de reprise — Quelles fonctions doivent etre restaurees en premier

Metriques de reprise

Metrique	Definition	Exemple
RTO (Delai de reprise)	Duree maximale acceptable d'indisponibilite	4 heures pour les services orientes client
RPO (Perte de donnees maximale admissible)	Perte de donnees maximale acceptable	1 heure (sauvegardes toutes les 60 minutes)
DMIT (Delai maximal d'interruption tolerable)	Duree maximale de survie de l'entreprise sans la fonction	24 heures pour les systemes de facturation
MBCO (Objectif minimum de continuite d'activite)	Niveau de service minimum pendant une perturbation	50 % de la capacite transactionnelle normale

2. Strategies de reprise

Strategie	Cas d'usage	RTO
Secours immediat (hot standby)	Systemes critiques necessitant un temps d'arret quasi nul	Minutes
Secours semi-actif (warm standby)	Systemes importants avec une tolerance RTO moderee	Heures
Secours passif (cold standby)	Systemes non critiques avec une tolerance RTO elevee	Jours
Reprise dans le cloud	Utilisation de l'infrastructure cloud pour un basculement rapide	Minutes a heures
Procedures manuelles de contournement	Processus metier pouvant fonctionner temporairement sans informatique	Immediat (capacite reduite)

3. Gestion de crise

Equipe de crise — Roles et responsabilites definis avec des chemins d'escalade clairs
Plan de communication — Communication interne, notification client, signalement reglementaire, gestion medias
Autorite de decision — Qui peut declarer une crise, activer le PCA et autoriser les depenses
Evaluation de la situation — Procedures pour evaluer l'ampleur et la gravite d'une perturbation

4. Sauvegarde et protection des donnees

Exigence	Bonne pratique
Frequence de sauvegarde	Alignee sur le RPO — donnees critiques sauvegardees toutes les heures ou en temps reel
Test des sauvegardes	Tests de restauration reguliers pour verifier l'integrite des sauvegardes
Separation geographique	Sauvegardes stockees dans un site ou une region distincts
Chiffrement	Sauvegardes chiffrees au repos et en transit
Retention	Politiques de retention alignees sur les exigences reglementaires
Immuabilite	Sauvegardes immuables pour se proteger contre les ransomwares

5. Tests et exercices

Type de test	Description	Frequence
Exercice sur table	Discussion des scenarios et des reponses	Trimestriel
Test fonctionnel	Test de procedures de reprise specifiques (ex. basculement vers le site de secours)	Semestriel
Exercice grandeur nature	Simulation d'une perturbation reelle avec participation de toutes les equipes	Annuel
Test de basculement RS	Verification du bon fonctionnement des systemes de reprise apres sinistre	Annuel
Test de communication	Test des canaux de communication de crise et des listes de contacts	Trimestriel

PCA et referentiels de conformite

Correspondance reglementaire

Exigence	Referentiel	Alignement PCA
Planification de continuite d'activite	NIS2 Art. 21(2)(c), DORA Art. 11	Developpement et maintenance du PCA
Gestion des sauvegardes	NIS2 Art. 21(2)(c), ISO 27001 A.8.13	Politiques de sauvegarde alignees sur le RPO
Reprise apres sinistre	NIS2 Art. 21(2)(c), DORA Art. 12-14	Plans de RS avec RTO/RPO definis
Gestion de crise	NIS2 Art. 21(2)(c), DORA Art. 11	Procedures de communication et de decision de crise
Disponibilite des TIC	ISO 27001 A.5.30	Planification et tests de continuite des TIC
Tests de continuite	DORA Art. 15, ISO 27001 A.5.30	Tests reguliers des plans et procedures
Signalement des incidents	NIS2 Art. 23, DORA Art. 19	Signalement des perturbations aux autorites
Supervision de la direction	NIS2 Art. 20, DORA Art. 5	Approbation et supervision au niveau du conseil d'administration

Exigences specifiques a DORA

DORA impose des exigences detaillees de resilience operationnelle pour les entites financieres :

Article DORA	Exigence
Article 11	Politique de continuite des TIC couvrant toutes les fonctions, actifs et dependances tierces
Article 12	Plans de reponse et de reprise TIC avec scenarios, conditions d'activation et allocation de ressources
Article 13	Politiques de sauvegarde specifying le perimetre, la frequence, la restauration et les procedures de rapprochement
Article 14	Procedures de restauration et de reprise garantissant que les services respectent les engagements RPO/RTO
Article 15	Tests des plans de continuite des TIC incluant des tests bases sur des scenarios et des tests grandeur nature

Construire un PCA : etape par etape

Etape 1 : Perimetre et gouvernance

Definir le perimetre du PCA — quelles fonctions metier, sites et services sont couverts
Etablir la gouvernance — designer un responsable PCA, definir les roles et responsabilites
Obtenir l'engagement de la direction — approbation au niveau du conseil d'administration et allocation de ressources
Aligner avec la conformite — cartographier les exigences PCA par rapport aux referentiels applicables (ISO 27001, NIS2, DORA)

Etape 2 : Mener l'Analyse d'Impact sur l'Activite

Identifier toutes les fonctions et processus critiques de l'entreprise
Evaluer l'impact d'une perturbation (financier, operationnel, reputationnel, reglementaire)
Determiner le RTO, le RPO et le DMIT pour chaque fonction
Cartographier les dependances aux systemes, donnees, personnes, locaux et fournisseurs
Prioriser la reprise en fonction de l'impact et de l'urgence

Etape 3 : Developper les strategies de reprise

Concevoir des strategies de reprise pour chaque fonction critique basees sur le RTO/RPO
Selectionner les solutions techniques appropriees (secours immediat/semi-actif/passif, reprise dans le cloud)
Definir des procedures manuelles de contournement pour fonctionner pendant la reprise
Planifier des sites de travail alternatifs si les locaux sont affectes
Traiter la continuite de la chaine d'approvisionnement pour les dependances critiques envers les tiers

Etape 4 : Documenter le plan

Rediger le plan de continuite d'activite avec des procedures claires pour chaque scenario
Inclure les listes de contacts, les procedures d'escalade et les autorites de decision
Documenter les modeles de communication de crise pour les parties prenantes internes et externes
Creer des guides de reference rapide pour les membres de l'equipe de crise
Stocker le plan dans plusieurs endroits accessibles (pas uniquement sur les systemes susceptibles d'etre perturbes)

Etape 5 : Tester et ameliorer

Mener des exercices sur table pour valider la logique et l'exhaustivite du plan
Executer des tests fonctionnels pour des procedures de reprise specifiques
Realiser des exercices grandeur nature annuels simulant des scenarios de perturbation realistes
Documenter les lecons apprises et mettre a jour le plan en consequence
Revoir et mettre a jour apres tout changement significatif (infrastructure, organisation, paysage des menaces)

Erreurs courantes du PCA

Erreur	Consequence
Pas d'AIA	Les priorites de reprise sont approximatives, les ressources sont mal allouees
Plans non testes	Les plans echouent quand on en a reellement besoin — les procedures sont obsoletes ou incompletes
Focus uniquement informatique	Les processus metier, les personnes et la communication sont negliges
Point unique de defaillance	Les dependances critiques ne sont pas identifiees ou traitees
Couverture tierce manquante	Les perturbations de la chaine d'approvisionnement ne sont pas planifiees
Pas d'adhesion de la direction	Les plans sont sous-finances et pas pris au serieux
Documentation statique	Les plans deviennent obsoletes a mesure que l'entreprise evolue

Comment Orbiq accompagne la continuite d'activite

Trust Center — Publiez votre posture PCA — plans de continuite, engagements RTO/RPO et preuves de tests en libre-service pour les acheteurs
Surveillance continue — Suivez la conformite de la continuite d'activite selon les exigences ISO 27001, NIS2 et DORA
Gestion des preuves — Centralisez la documentation PCA, les resultats de tests et les preuves de reprise pour les auditeurs
Questionnaires IA — Repondez automatiquement aux questions de continuite d'activite des acheteurs entreprises en utilisant vos controles documentes

Pour aller plus loin

Cadres de gestion des risques — Integrer le PCA dans la gestion des risques d'entreprise
Reponse aux incidents — Coordonner la reponse aux incidents avec la continuite d'activite
Conformite NIS2 — Satisfaire les exigences de continuite d'activite de NIS2
Conformite DORA — Obligations de resilience operationnelle de DORA
Certification ISO 27001 — Controles de continuite d'activite ISO 27001

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.