Qu'est-ce qu'un Plan de Continuité d'Activité ?

Un Plan de Continuité d'Activité (PCA) est le processus de creation d'un plan garantissant que les fonctions critiques de l'entreprise peuvent se poursuivre pendant et apres une perturbation. Le PCA englobe l'identification des menaces potentielles, l'évaluation de leur impact sur les operations et le développement de procédures et mesures de protection pour maintenir les operations, protéger les données et reprendre rapidement. Un PCA couvre les personnes, les processus, la technologie et les locaux, traitant des perturbations allant des pannes informatiques et cyberattaques aux catastrophes naturelles et ruptures de chaîne d'approvisionnement. Le PCA est a la fois une discipline de management et une exigence de conformité selon des référentiels tels qu'ISO 27001, NIS2 et DORA.

Quelle est la difference entre PCA et reprise apres sinistre ?

Le Plan de Continuité d'Activité (PCA) et la Reprise apres Sinistre (RS) sont liés mais distincts. Le PCA est la discipline plus large qui traite de la manière dont l'ensemble de l'organisation maintient ses operations pendant une perturbation — il couvre les personnes, les processus, la communication, les locaux et la technologie. La reprise apres sinistre est un sous-ensemble du PCA qui se concentre specifiquement sur la restauration des systèmes informatiques, des applications et des données apres une perturbation. La RS traite de la reprise technique (restauration des sauvegardes, basculement vers des systèmes secondaires, replication des données), tandis que le PCA aborde également les aspects organisationnels comme la communication de crise, les sites de travail alternatifs, les procédures manuelles de contournement et la continuité de la chaîne d'approvisionnement. Les deux sont essentiels : la RS garantit le retour en ligne des systèmes, tandis que le PCA assure que l'entreprise peut continuer a fonctionner pendant la restauration des systèmes.

Qu'est-ce qu'une Analyse d'Impact sur l'Activité ?

Une Analyse d'Impact sur l'Activité (AIA ou BIA) est l'étape fondamentale du PCA qui identifie les fonctions critiques de l'entreprise, détermine l'impact des perturbations sur ces fonctions et établit les priorités et délais de reprise. L'AIA détermine : quels processus metier sont critiques et ne tolerent pas d'interruption ; le Délai Maximal d'Interruption Tolerable (DMIT) pour chaque processus ; le Délai de Reprise (RTO) — la rapidite avec laquelle les systèmes doivent être restaures ; la Perte de Données Maximale Admissible (RPO) — la quantite de perte de données acceptable ; les ressources nécessaires pour la reprise (personnes, technologie, locaux, fournisseurs) ; les dépendances entre processus, systèmes et tiers ; et les impacts financiers, opérationnels, reputationnels et réglementaires d'une perturbation.

Que sont le RTO et le RPO ?

Le Délai de Reprise (RTO - Recovery Time Objective) et la Perte de Données Maximale Admissible (RPO - Recovery Point Objective) sont les deux metriques fondamentales de la planification de continuité d'activité. Le RTO definit le delai maximal acceptable pour restaurer une fonction ou un système apres une perturbation — il répond a la question 'en combien de temps devons-nous reprendre ?' Le RPO definit la quantite maximale acceptable de perte de données mesuree en temps — il répond a la question 'combien de données pouvons-nous nous permettre de perdre ?' Par exemple, un RTO de 4 heures signifie que le système doit être opérationnel dans les 4 heures suivant une perturbation. Un RPO de 1 heure signifie que les sauvegardes doivent être effectuees au moins toutes les heures, de sorte que pas plus d'1 heure de données ne soit perdue. Ensemble, le RTO et le RPO guident les décisions sur la fréquence des sauvegardes, les stratégies de replication, l'architecture de basculement et le cout de l'infrastructure de reprise.

Comment le PCA est-il lie a ISO 27001 ?

ISO 27001 traite de la continuité d'activité a travers les contrôles de l'Annexe A : A.5.29 (sécurité de l'information pendant une perturbation) exige que les organisations maintiennent la sécurité de l'information a un niveau approprie pendant une perturbation ; A.5.30 (disponibilité des TIC pour la continuité d'activité) exige une planification, une mise en œuvre et des tests de continuité des TIC pour garantir que les systèmes puissent être repris dans les délais requis ; A.8.13 (sauvegarde des informations) exige des politiques et procédures de sauvegarde ; et A.8.14 (redondance des installations de traitement de l'information) exige une redondance suffisante pour répondre aux exigences de disponibilité. ISO 22301 (Systemes de management de la continuité d'activité) fournit la norme complète de système de management specifiquement pour la continuité d'activité.

Que requiert NIS2 pour la continuité d'activité ?

L'article 21(2)(c) de NIS2 exige que les entités essentielles et importantes mettent en oeuvre 'la continuité des activités, telle que la gestion des sauvegardes et la reprise apres sinistre, et la gestion de crise.' Cela signifie que les organisations doivent : maintenir des plans de continuité d'activité couvrant leurs services essentiels et fonctions critiques ; mettre en oeuvre des stratégies de sauvegarde avec une fréquence et des tests appropries ; disposer de procédures de reprise apres sinistre pour restaurer les services dans des délais acceptables ; etablir des procédures de gestion de crise incluant des protocoles de communication ; et tester et mettre à jour ces plans regulierement. L'organe de direction (article 20) doit approuver et superviser les mesures de continuité d'activité, et peut être tenu personnellement responsable en cas de non-conformité.

Que requiert DORA pour la résilience opérationnelle ?

DORA adopte une approche globale de la résilience opérationnelle pour les entités financières : l'article 11 exige des politiques et plans de continuité des TIC ; l'article 12 impose des plans de réponse et de reprise TIC avec des exigences de contenu spécifiques ; l'article 13 exige des politiques de sauvegarde avec des définitions de RPO et RTO ; l'article 14 exige des procédures de restauration et de reprise ; et l'article 15 impose des tests de continuité TIC incluant des tests basés sur des scénarios. DORA va au-delà du PCA traditionnel en exigeant : des tests de résilience opérationnelle numérique (incluant des tests d'intrusion fondes sur la menace pour les entités significatives) ; la gestion des risques liés aux tiers TIC dans le cadre de la planification de continuité ; le signalement des incidents majeurs liés aux TIC ; et un cadre complet de gestion des risques TIC.

À quelle fréquence un PCA doit-il être teste ?

Les plans de continuité d'activité doivent être testés regulierement pour garantir leur efficacite : les exercices sur table (discussion de scénarios et de réponses) doivent être menes au moins trimestriellement ; les tests fonctionnels (test de procédures de reprise spécifiques) doivent être menes au moins semestriellement ; les exercices grandeur nature (simulation de perturbations reelles) doivent être menes au moins annuellement ; et les tests de reprise apres sinistre (basculement et restauration) doivent être menes au moins annuellement. Les plans doivent également être revus et mis à jour chaque fois que des changements importants surviennent dans les processus metier, l'infrastructure technologique, la structure organisationnelle ou le paysage des menaces. NIS2 et DORA exigent tous deux des tests réguliers des plans de continuité et de reprise, DORA specifiant des exigences de test detaillees.

Plan de Continuité d'Activité (PCA) : définition, enjeux et guide de mise en œuvre

Published 7 mars 2026

By Emre Salmanoglu

Plan de Continuité d'Activité (PCA) : définition, enjeux et guide de mise en œuvre

Guide pratique du Plan de Continuité d'Activité — définition du PCA, differences avec la reprise apres sinistre, composantes cles d'un plan de continuité, correspondance avec les exigences ISO 27001, NIS2 et DORA, et comment les entreprises B2B peuvent renforcer leur résilience.

Continuité d'activite

Reprise apres sinistre

Resilience

ISO 27001

NIS2

DORA

Gestion des risques

Plan de Continuité d'Activité (PCA) : définition, enjeux et guide de mise en œuvre

Le Plan de Continuité d'Activité garantit que les fonctions critiques de l'entreprise peuvent se poursuivre pendant une perturbation et reprendre rapidement apres celle-ci. Qu'il s'agisse d'une cyberattaque, d'une panne système, d'une catastrophe naturelle ou d'une rupture de la chaîne d'approvisionnement, un PCA bien concu minimise les temps d'arrêt, protège les données et maintient la confiance des clients.

Pour les entreprises B2B, le PCA est une exigence de conformité selon ISO 27001, NIS2 et DORA. Les acheteurs entreprises attendent de leurs fournisseurs qu'ils demontrent leur résilience opérationnelle a travers des plans de continuité documentes et testés. Un PCA solide est a la fois une discipline de gestion des risques et un avantage concurrentiel.

Ce guide couvre la définition du PCA, ses composantes cles, sa correspondance avec les référentiels de conformité, et comment construire et tester un plan de continuité d'activité efficace.

PCA vs Reprise apres Sinistre

Comprendre le périmètre

Aspect	Plan de Continuité d'Activité	Reprise apres Sinistre
Périmètre	Toute l'organisation — personnes, processus, technologie, locaux	Systemes informatiques, applications et données
Objectif	Maintenir les operations pendant une perturbation	Restaurer la technologie apres une perturbation
Couvre	Communication de crise, travail à distance, procédures manuelles, chaîne d'approvisionnement	Sauvegardes, basculement, replication de données, restauration des systèmes
Temporalite	Avant, pendant et apres la perturbation	Principalement apres la perturbation
Responsable	Direction generale / direction metier	Équipe informatique / infrastructure
Norme	ISO 22301 (Management de la continuité d'activité)	Partie d'ISO 27001, DORA, exigences NIS2

La reprise apres sinistre est une composante critique du PCA, mais le PCA englobe bien plus que la reprise technologique.

Composantes cles du PCA

1. Analyse d'Impact sur l'Activité (AIA)

L'AIA est le fondement de tout PCA. Elle identifie :

Fonctions critiques de l'entreprise — Quels processus sont essentiels aux operations
Évaluation de l'impact — Consequences financières, opérationnelles, reputationnelles et réglementaires d'une perturbation
Dependances — Systemes, données, personnes, fournisseurs et locaux dont chaque fonction a besoin
Priorites de reprise — Quelles fonctions doivent être restaurees en premier

Metriques de reprise

Metrique	Definition	Exemple
RTO (Délai de reprise)	Durée maximale acceptable d'indisponibilité	4 heures pour les services orientés client
RPO (Perte de données maximale admissible)	Perte de données maximale acceptable	1 heure (sauvegardes toutes les 60 minutes)
DMIT (Délai maximal d'interruption tolerable)	Durée maximale de survie de l'entreprise sans la fonction	24 heures pour les systèmes de facturation
MBCO (Objectif minimum de continuité d'activité)	Niveau de service minimum pendant une perturbation	50 % de la capacite transactionnelle normale

2. Strategies de reprise

Strategie	Cas d'usage	RTO
Secours immediat (hot standby)	Systemes critiques nécessitant un temps d'arrêt quasi nul	Minutes
Secours semi-actif (warm standby)	Systemes importants avec une tolerance RTO moderee	Heures
Secours passif (cold standby)	Systemes non critiques avec une tolerance RTO elevee	Jours
Reprise dans le cloud	Utilisation de l'infrastructure cloud pour un basculement rapide	Minutes a heures
Procedures manuelles de contournement	Processus metier pouvant fonctionner temporairement sans informatique	Immediat (capacite reduite)

3. Gestion de crise

Équipe de crise — Rôles et responsabilités définis avec des chemins d'escalade clairs
Plan de communication — Communication interne, notification client, signalement réglementaire, gestion medias
Autorité de décision — Qui peut déclarer une crise, activer le PCA et autoriser les dépenses
Évaluation de la situation — Procedures pour évaluer l'ampleur et la gravite d'une perturbation

4. Sauvegarde et protection des données

Exigence	Bonne pratique
Frequence de sauvegarde	Alignee sur le RPO — données critiques sauvegardees toutes les heures ou en temps reel
Test des sauvegardes	Tests de restauration réguliers pour vérifier l'intégrité des sauvegardes
Separation geographique	Sauvegardes stockees dans un site ou une region distincts
Chiffrement	Sauvegardes chiffrees au repos et en transit
Retention	Politiques de retention alignées sur les exigences réglementaires
Immuabilite	Sauvegardes immuables pour se protéger contre les ransomwares

5. Tests et exercices

Type de test	Description	Frequence
Exercice sur table	Discussion des scénarios et des réponses	Trimestriel
Test fonctionnel	Test de procédures de reprise spécifiques (ex. basculement vers le site de secours)	Semestriel
Exercice grandeur nature	Simulation d'une perturbation reelle avec participation de toutes les équipes	Annuel
Test de basculement RS	Verification du bon fonctionnement des systèmes de reprise apres sinistre	Annuel
Test de communication	Test des canaux de communication de crise et des listes de contacts	Trimestriel

PCA et référentiels de conformité

Correspondance réglementaire

Exigence	Referentiel	Alignement PCA
Planification de continuité d'activité	NIS2 Art. 21(2)(c), DORA Art. 11	Developpement et maintenance du PCA
Gestion des sauvegardes	NIS2 Art. 21(2)(c), ISO 27001 A.8.13	Politiques de sauvegarde alignées sur le RPO
Reprise apres sinistre	NIS2 Art. 21(2)(c), DORA Art. 12-14	Plans de RS avec RTO/RPO définis
Gestion de crise	NIS2 Art. 21(2)(c), DORA Art. 11	Procedures de communication et de décision de crise
Disponibilite des TIC	ISO 27001 A.5.30	Planification et tests de continuité des TIC
Tests de continuité	DORA Art. 15, ISO 27001 A.5.30	Tests réguliers des plans et procédures
Signalement des incidents	NIS2 Art. 23, DORA Art. 19	Signalement des perturbations aux autorités
Supervision de la direction	NIS2 Art. 20, DORA Art. 5	Approbation et supervision au niveau du conseil d'administration

Exigences spécifiques a DORA

DORA impose des exigences detaillees de résilience opérationnelle pour les entités financières :

Article DORA	Exigence
Article 11	Politique de continuité des TIC couvrant toutes les fonctions, actifs et dépendances tierces
Article 12	Plans de réponse et de reprise TIC avec scénarios, conditions d'activation et allocation de ressources
Article 13	Politiques de sauvegarde specifying le périmètre, la fréquence, la restauration et les procédures de rapprochement
Article 14	Procedures de restauration et de reprise garantissant que les services respectent les engagements RPO/RTO
Article 15	Tests des plans de continuité des TIC incluant des tests basés sur des scénarios et des tests grandeur nature

Construire un PCA : étape par étape

Etape 1 : Périmètre et gouvernance

Definir le périmètre du PCA — quelles fonctions metier, sites et services sont couverts
Établir la gouvernance — désigner un responsable PCA, définir les roles et responsabilités
Obtenir l'engagement de la direction — approbation au niveau du conseil d'administration et allocation de ressources
Aligner avec la conformité — cartographier les exigences PCA par rapport aux référentiels applicables (ISO 27001, NIS2, DORA)

Etape 2 : Mener l'Analyse d'Impact sur l'Activité

Identifier toutes les fonctions et processus critiques de l'entreprise
Evaluer l'impact d'une perturbation (financier, opérationnel, reputationnel, réglementaire)
Determiner le RTO, le RPO et le DMIT pour chaque fonction
Cartographier les dépendances aux systèmes, données, personnes, locaux et fournisseurs
Prioriser la reprise en fonction de l'impact et de l'urgence

Etape 3 : Développer les stratégies de reprise

Concevoir des stratégies de reprise pour chaque fonction critique basees sur le RTO/RPO
Selectionner les solutions techniques appropriees (secours immediat/semi-actif/passif, reprise dans le cloud)
Definir des procédures manuelles de contournement pour fonctionner pendant la reprise
Planifier des sites de travail alternatifs si les locaux sont affectés
Traiter la continuité de la chaîne d'approvisionnement pour les dépendances critiques envers les tiers

Etape 4 : Documenter le plan

Rediger le plan de continuité d'activité avec des procédures claires pour chaque scenario
Inclure les listes de contacts, les procédures d'escalade et les autorités de décision
Documenter les modèles de communication de crise pour les parties prenantes internes et externes
Creer des guides de référence rapide pour les membres de l'équipe de crise
Stocker le plan dans plusieurs endroits accessibles (pas uniquement sur les systèmes susceptibles d'être perturbes)

Etape 5 : Tester et ameliorer

Mener des exercices sur table pour valider la logique et l'exhaustivité du plan
Executer des tests fonctionnels pour des procédures de reprise spécifiques
Realiser des exercices grandeur nature annuels simulant des scénarios de perturbation realistes
Documenter les lecons apprises et mettre à jour le plan en consequence
Revoir et mettre à jour apres tout changement significatif (infrastructure, organisation, paysage des menaces)

Erreurs courantes du PCA

Erreur	Consequence
Pas d'AIA	Les priorités de reprise sont approximatives, les ressources sont mal allouees
Plans non testés	Les plans échouent quand on en a réellement besoin — les procédures sont obsolètes ou incomplètes
Focus uniquement informatique	Les processus metier, les personnes et la communication sont negliges
Point unique de defaillance	Les dépendances critiques ne sont pas identifiees ou traitees
Couverture tierce manquante	Les perturbations de la chaîne d'approvisionnement ne sont pas planifiees
Pas d'adhesion de la direction	Les plans sont sous-finances et pas pris au sérieux
Documentation statique	Les plans deviennent obsolètes a mesure que l'entreprise evolue

Comment Orbiq accompagne la continuité d'activité

Trust Center — Publiez votre posture PCA — plans de continuité, engagements RTO/RPO et preuves de tests en libre-service pour les acheteurs
Surveillance continue — Suivez la conformité de la continuité d'activité selon les exigences ISO 27001, NIS2 et DORA
Gestion des preuves — Centralisez la documentation PCA, les resultats de tests et les preuves de reprise pour les auditeurs
Questionnaires IA — Repondez automatiquement aux questions de continuité d'activité des acheteurs entreprises en utilisant vos contrôles documentes

Pour aller plus loin

Cadres de gestion des risques — Integrer le PCA dans la gestion des risques d'entreprise
Réponse aux incidents — Coordonner la réponse aux incidents avec la continuité d'activité
Conformité NIS2 — Satisfaire les exigences de continuité d'activité de NIS2
Conformité DORA — Obligations de résilience opérationnelle de DORA
Certification ISO 27001 — Contrôles de continuité d'activité ISO 27001

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.