Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > Plan de continuité d’activité (PCA) 🟩 Outil

Plan de continuité d’activité (PCA) 🟩 Outil

Un plan de continuité d’activité (PCA) est un document stratégique qui décrit les mesures à mettre en œuvre pour maintenir les activités essentielles d’une organisation pendant et après une crise ou un incident majeur (cyberattaque, catastrophe naturelle, pandémie, etc.).

À ne pas confondre avec un plan de reprise d’activité (PRA).

Contrairement au PRA, il adopte une approche proactive pour éviter l’interruption totale des activités, en intégrant des mesures techniques, humaines et logistiques.

Différences avec le PRA

PCA (Plan de continuité d’activité) PRA (Plan de reprise d’activité)
Maintient les activités pendant une crise (ex. bascule vers un site de secours) Restaure les activités après un arrêt total (ex. restauration de sauvegardes)
Approche proactive: anticipe les risques pour éviter l’arrêt (redondance des infrastructures, plans de communication) Approche réactive : agit après l’incident pour rétablir les systèmes
Couvre tous les aspects (IT, RH, logistique, juridique) Cible principalement les systèmes informatiques et les données

Google - Noto Color Emoji 15.0 (Animated) Fonctionnement du PCA

Le PCA s’articule autour de 5 phases clés :

  1. Analyse d’impact métier (BIA) :
    • identifier les processus vitaux (ex. chaîne de production, service client).
    • définir les tolérances d’interruption (ex. seuil de 2h pour les livraisons).
  2. Évaluation des risques :
    • cartographier les menaces (pandémie, panne fournisseur, grève) et leurs impacts financiers/réputationnels.
  3. Stratégies de continuité :
    • redondance : sites de secours, fournisseurs alternatifs.
    • télétravail : infrastructure cloud, VPN sécurisé.
    • formation : exercices réguliers pour les équipes (ex. simulation de crise).
  4. Rédaction du plan :
    • détail des procédures (ex. activation du site de secours en <1h).
    • rôles clés : directeur de crise, équipe logistique, support IT.
  5. Tests et maintenance :
    • simulations annuelles (ex. crise sanitaire, panne réseau).
    • mises à jour selon les évolutions (ex. nouvelles réglementations, technologies).

Exemples d’application

  • pandémie : une entreprise de logistique bascule 80 % de ses employés en télétravail grâce à des outils collaboratifs (Microsoft Teams, SharePoint).
  • grève : un hôpital active un partenariat avec une clinique privée pour assurer les urgences.
  • panne fournisseur : un fabricant automobile utilise des pièces de stock tampon pour éviter l’arrêt de la production.

Avantages

  • minimise les pertes : une activation rapide du PCA réduit les coûts d’arrêt de 30 à 50 % (étude Business Continuity Institute).
  • protège l’image : 65 % des entreprises avec un PCA conservent la confiance des actionnaires en cas de crise (Deloitte).
  • conformité : respect des normes ISO 22301 ou SOC 2.

Inconvénients

  • coûts élevés : maintien de sites redondants (jusqu’à 1M€/an pour une grande entreprise).
  • complexité opérationnelle : coordination entre services (IT, RH, juridique).
  • risque de sous-utilisation : 45 % des PCA ne sont jamais testés en conditions réelles (Gartner).

Structure type d’un PCA

  1. Objectifs :
    • niveaux de service minimaux (ex. 70 % de la production maintenue).
    • délais de bascule (ex. site de secours opérationnel en <2h).
  2. Inventaire des ressources :
    • critiques : chaîne d’approvisionnement, serveurs, personnel clé.
    • secondaires : applications non vitales, stocks non prioritaires.
  3. Procédures d’activation :
    • priorité 1 : sécuriser les employés et les données clients.
    • priorité 2 : activer les infrastructures alternatives (ex. cloud hybride).
  4. Équipe de crise :
    • responsables : directeur opérationnel, responsable RH, expert cybersécurité.
    • partenaires externes : fournisseurs d’énergie, assureurs.
  5. Communication :
    • modèles de messages pour les clients, employés et médias.
    • canaux privilégiés : emails, réseaux sociaux internes, SMS.

Bonnes pratiques

  • impliquer les métiers : les équipes opérationnelles doivent co-construire le PCA.
  • automatiser les bascules : des outils comme VMware SRM réduisent les temps d’intervention.
  • scénarios hybrides : prévoir des crises combinées (ex. cyberattaque + pénurie de personnel).
  • audits réguliers : vérifier l’adéquation du PCA aux nouvelles menaces (ex. IA générative).

📊 Chiffres clés

  • France :
    • 40 % des PME n’ont aucun PCA (INSEE).
    • coût moyen d’une journée d’arrêt : 10 000 € pour une TPE (Medef).
  • Monde :
    • 70 % des entreprises avec un PCA résistent à une crise majeure (BCI).
    • 90 % des interruptions d’activité > 7 jours entraînent une faillite (FEMA).
Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité