,*,0 COLLECTION AMRAE
MAÎTRISE DES RISQUES
Les
PLANS
de Continuité
d’Activité
— Les Plans de Continuité d’Activité
Version 2.0 – Avril 2026 :
Révision, coordination
et cohérence globale : Benoit Vraie & Elodie Yayer Dunand,
Basé sur la version 1.0 (2013)
– Rédaction initiale : Benoit Vraie & Sophie Huberson
Contributions techniques : les personnes suivantes ont apporté une contribution
technique significative et/ou des retours d’expérience terrain
dans leur domaine d’expertise.
PCA cyber : Olivier Allaire, Christophe Pelfresne
PCA climat : Elodie Yayer Dunand, Santiago Bosio, Christophe
Bouvard, Linda Khelid
Relecture : Jason Crumley (relecture globale et traduction en anglais)
Maureen Chagnon (cohérence des mises à jour sur le climat)
Direction artistique : agence La nageuse
Avant-propos
— Les Plans de Continuité d’Activité 1
Face à l’intensification des événements climatiques extrêmes, inondations, vagues de
chaleur, tempête, feux de forêt, et à l’explosion des intrusions cyber, rançongiciels et
sabotages numériques, les organisations doivent composer avec des menaces de plus
en plus systémiques. Ni l’adaptation climatique seule, ni le renforcement des défenses
informatiques isolément ne suffiront désormais à contenir leurs effets.
Dans ce contexte, la mise en place d’un Plan de Continuité d’Activité (PCA) exige
aujourd’hui de dépasser la simple analyse de l’indisponibilité des ressources internes.
Les événements extrêmes récents, canicule de 2022, tempêtes et inondations en
Espagne en 2024 (DANA), inondations dans le sud est de la France, feux de forêt en
Californie, ou crises cyber majeures, attaques par rançongiciel contre les hôpitaux
français en 2023, attaque de La Poste en 2025, rappellent à quel point les organisations
sont des systèmes interconnectés. Elles dépendent d’un réseau de partenaires, de
fournisseurs, d’infrastructures physiques, de système numériques, de services publics…
autant de maillons dont la défaillance peut provoquer des effets domino allant jusqu’à
rendre inopérantes les solutions de continuité elles-mêmes.
Par ailleurs, la résilience ne naît pas au moment de la crise, elle se prépare bien en
amont et c’est maintenant que les entreprises/organisations doivent faire évoluer leur
PCA. De plus, un PCA n’est jamais figé ; une fois élaboré, il doit être régulièrement testé
et actualisé pour rester opérationnel. Les exercices de crise constituent à cet égard un
levier essentiel. En mettant à l’épreuve des scénarios variés et parfois complexes, les
organisations identifient des fragilités jusqu’alors insoupçonnées. Chaque enseignement
tiré et chaque amélioration apportée contribuent ainsi à renforcer la capacité collective
à maintenir les activités essentielles lorsque la situation se détériore réellement.
C’est pourquoi, actualiser l’ouvrage « Les Plans de Continuité d’Activité » publié en
2013, et y intégrer pleinement la dimension climatique et cyber en 2026, apparaissait
comme une nécessité. Ce livre propose une lecture renouvelée des PCA, à la lumière
des défis climatiques et cybersécurité, pour accompagner les organisations dans leur
transition vers une résilience durable.
Ce n’est pas le plus fort
de l’espèce qui survit, ni le plus
intelligent, mais celui qui sait
s’adapter au changement.’’
Charles Darwin
2 — Les Plans de Continuité d’Activité
Sommaire
1
DÉFINITION ET FINALITÉ DU PCA ET DE SON ENVIRONNEMENT..........................08
1.1. Définitions et finalité du PCA. ......................................................................................................................10
2
DE LA LOGIQUE DE « SCÉNARIO » À LA LOGIQUE
D’« INDISPONIBILITÉ DES RESSOURCES »
...................................................................................12
2.1. Critique de la méthodologie/logique de « scénario »................................................................................14
2.2. Proposition d’approche par l’indisponibilité des ressources.................................................................... 16
4
LES CYBER-ATTAQUES : LES NOUVELLES PROBLÉMATIQUES DU PCA...........50
4.1. Les ressources informatiques : de l’accidentel au délictuelle................................................................. 52
4.2. L’écosystème comme champ de bataille : le dilemme de la chaîne d’approvisionnement ...........56
4.3. Spécificité d’une crise cyber de type Ransomware par rapport aux autres indisponibilités
classiques ............................................................................................................................................................... 57
4.4. Vers un cadre intégré de cyber-résilience....................................................................................................58
4.5. Recommandations de mise en œuvre : Faire évoluer la méthodologie du PCA. ...............................60
4.6. Listes des éléments supplémentaires à posséder à la fin de la démarche de mise à jour
de son PCA pour couvrir le risque CYBER.....................................................................................................61
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES....................................24
3.1. Phase 1 : identification des conséquences de l’indisponibilité d’une ou des ressources............... 26
3.2. Phase 2 : analyse des processus critiques en termes de continuité et identification
des besoins en ressources. ................................................................................................................................ 28
3.3. Phase 3 : définition des solutions et des stratégies de continuité d’activité. .....................................40
3.4. Phase 4 : maintien en conditions opérationnelles, actualisation des plans de continuité
d’activité et tests/ simulation. ...........................................................................................................................48
3.5. Phase 5 : communication sur le projet PCA, sensibilisation des dirigeants et des collaborateurs. 49
INTRODUCTION ................................................................................................................................................ 04
— Les Plans de Continuité d’Activité 3
5
L’IMPACT DU CHANGEMENT CLIMATIQUE SUR LES PCA : L’URGENCE À
PRENDRE EN COMPTE
.................................................................................................................................. 66
5.1. Crise climatique : repenser son PCA à travers une approche systemique de l'entreprise............. 68
5.2. Réévaluer les stratégies de continuité à l’aune du risque climatique.................................................... 69
5.3. Évaluer la résilience de la chaine d’intervention..........................................................................................70
5.4. Allongement des temps de reprise d’activité................................................................................................71
5.5. Risques climatiques qui engendrent des réponses thématiques & graduelles................................... 74
5.6. Livrables et compléments à intégrer dans le PCA......................................................................................75
ARTICULATION DU PCA ET DES AUTRES OUTILS DE GESTION
DES RISQUES
......................................................................................................................................................... 76
6.1. Plan de continuité d’activité et cartographie des risques........................................................................ 78
6.2. Plan de continuité d’activité et recours aux systèmes d’assurance....................................................... 81
6.3. L’articulation des problématiques de « gestion de crise » et de « continuité d’activité ».............82
6.4. PCA & autre mode de gestion des risques...................................................................................................856
7
LE FACTEUR HUMAIN EN SITUATION DE CRISE : LES DIMENSIONS
HUMAINES ET SYMBOLIQUES
................................................................................................................86
7.1. Évaluation de la perception de la gravité des risques par les collaborateurs. ...................................88
7.2. Respecter les équilibres « travail/ repos »....................................................................................................89
7.3. Tuilage des équipes de continuité pour durer..............................................................................................89
7.4. Le stress et ses impacts...................................................................................................................................... 90
7.5. « Préparez-vous à être prêt » ...........................................................................................................................91
8
« PRÉPARER LA GUERRE EN TEMPS DE PAIX »
COMME PHILOSOPHIE DU PCA
............................................................................................................92
8.1. La Culture de crise............................................................................................................................................... 94
8.2. La gouvernance du projet PCA........................................................................................................................95
9
CONCLUSION....................................................................................................................................................... 98
GLOSSAIRE
............................................................................................................................................................ 102
4 — Les Plans de Continuité d’Activité
Q
Introduction
Quand un sportif se blesse lors d’une compétition,
deux questions lui viennent à l’esprit : ma blessure
est-elle grave ?
Quand pourrai-je reprendre l’entrainement ? Son
coach, ses médecins, ses kinés le connaissent
si bien qu’ils vont répondre rapidement à sa
question, d’autant qu’ils vont compter sur des
éléments déterminants pour tenir les délais de la
convalescence : une organisation et une motivation
sans faille. Mais pour recouvrer sa pleine forme,
encore faut-il bien se connaître et savoir à quel
point on peut solliciter tel ou tel fonction de son
corps.
Cette métaphore nous permet de saisir l’importance
de la parfaite connaissance des Hommes et des
process de l’organisation : mettre en place un Plan
de Continuité d’Activité (PCA) permet à l’entreprise
non seulement de secourir son activité en cas de
sinistre mais également (et pour son plus grand
bénéfice) de « mieux se connaitre elle-même ». En
effet, l’élaboration d’un PCA présuppose un travail
d’identification des vulnérabilités de l’organisation
mais au-delà, nécessite de procéder à un exercice
d’introspection, de recensement et de cartographie
des processus et des ressources associées. Cette
activité d’analyse et de sécurisation de l’activité
dépasse donc très largement le cadre de la simple
préparation à la crise, mais permet tout autant
de revisiter ses cycles fondamentaux sous l’angle
critique afin de les optimiser.
Cette introspection est d’autant plus cruciale que
le paysage des menaces a radicalement changé.
Si la continuité d’activité s’est historiquement
construite en réponse à des sinistres accidentels,
elle doit aujourd’hui faire face à une nouvelle réalité :
celle de l’adversaire délictuel et de la cyber-crise
systémique. Comme nous le verrons, la simple
préparation à une panne ou à un sinistre physique
ne suffit plus face à des attaques délibérées
visant le cœur numérique de l’entreprise et son
écosystème.
La Continuité d’Activité est donc une philosophie
d’entreprise qui consiste à « préparer la guerre
en temps de paix »
(1)
. En effet, en proposant
d’effectuer a priori
(2)
un travail d’analyse et de
planification de la réaction à apporter face à
un événement indésirable, le PCA permet de
minimiser les impacts sur l’activité de la survenue
d’un sinistre en assurant un fonctionnement en
mode dégradé et/ou une reprise graduelle des
activités, des plus critiques au moins critiques.
C’est au cours des années 1970/80 que l’on trouve
les premières ébauches de PCA, au niveau de
processus industriels et tertiaires, notamment dans
des activités qualifiées de « critiques » (banques,
aéronautiques, défense, agroalimentaire…).
En parallèle, l’importance grandissante des
données en jeu et la complexité des architectures
de réseau, ont nécessité la mise en place de Plan
de Secours Informatique (PSI ou DRP: « Disaster
Recovery Plan ») qui est l’équivalent d’un PCA
dans le domaine informatique.
Les années 90/2000 ont vu se développer le
phénomène de globalisation de l’économie.
Celle-ci s’est traduit par une forte concentration
des sociétés et le développement exponentiel
de la sous-traitance, et donc de la concurrence,
provenant des pays émergents, plus
particulièrement des pays d’Asie du Sud-Est
Ainsi, dans la recherche permanente d’une
meilleure rentabilité, les entreprises ont été
(1) in « Gérer les grandes crises : Sanitaires, écologiques, politiques et économiques », L CROCQ and al. Odile JACOB
(2) En amont de toute crise
— Les Plans de Continuité d’Activité 5
amenées à faire des choix d’organisation les
rendant particulièrement vulnérables aux aspects
logistiques (« supply chain »). La survenue d’un
évènement indésirable, comme un évènement
climatique extreme, en un lieu donné peut
impacter l’ensemble de la chaîne logistique
et par effet domino engendrer des ruptures
d’approvisionnements et des arrêts de production
dans différentes zones géographiques.
Au cours des deux dernières décennies, la
continuité d’activité est passée d’une bonne
pratique organisationnelle à une obligation
réglementaire structurante dans plusieurs secteurs
d’activités considérés comme sensibles ou
systémiques. Cette évolution s’est accentuée
à la suite de crises majeures, qu’elles soient
financières, numériques, sanitaires, énergétiques
ou géopolitiques, mettant en évidence la nécessité
de garantir la continuité des services essentiels, y
compris en situation dégradée.
C’est notamment le cas du secteur bancaire, pour
lequel la continuité d’activité constitue désormais
un pilier de la résilience opérationnelle. Les
établissements financiers sont tenus de garantir
leur capacité à assurer la continuité de leurs
activités critiques, définie comme l’ « ensemble de
mesures visant à assurer, selon divers scénarios
de crise, y compris face à des chocs extrêmes, le
maintien, le cas échéant de façon temporaire selon
un mode dégradé, des prestations de services ou
d’autres tâches opérationnelles essentielles ou
i m p o r t a n t e s , p u i s l a re p r i s e p l a n i fi é e d e s a c t i v i t é s ».
Cette définition, historiquement fondatrice des
politiques de PCA, s’inscrit aujourd’hui dans
une approche élargie intégrant la gouvernance,
la gestion des risques, les dépendances
technologiques et les chaînes de valeur étendues.
Dès le milieu des années 2000, cette
préoccupation s’est traduite, en France, par des
initiatives collectives propres à la Place financière.
À ce titre, un groupe de réflexion dénommé
« Groupe de place Robustesse » a été constitué
en 2005 afin de prendre en compte des scénarios
de crise susceptibles d’impacter simultanément
les acteurs de la place bancaire et boursière de
Paris.
U n premier exercice d ’envergu re a a insi été organisé
le 4 juin 2008, réunissant une quinzaine de grandes
banques et institutions de la Place de Paris, ainsi
que des représentants de l’État. Cet exercice
simulait une crise technique majeure ayant pour
point de départ un arrêt prolongé de la distribution
d’électricité en Île-de-France, entraînant de
nombreuses perturbations pour la Place financière
et pour l’économie réelle. Ces travaux préfiguraient
les approches actuelles fondées sur des scénarios
extrêmes et systémiques.
Parallèlement au secteur bancaire, le secteur
des assurances est également soumis à des
obligations spécifiques en matière de continuité
et de gestion des crises, notamment au travers de
la réglementation Solvabilité II, qui impose la mise
en place de dispositifs de gouvernance, de gestion
des risques et de continuité proportionnée aux
activités et aux risques portés par les organismes
d’assurance.
Depuis janvier 2025, le cadre réglementaire
applicable aux établissements financiers a
été substantiellement renforcé par l’entrée en
application du règlement (UE) 2022/2554 relatif à
la résilience opérationnelle numérique du secteur
financier (DORA, Digital Operational Resilience
Act). Ce règlement exige que les établissements
financiers assujetties mettent en place dans leur
cadre de gestion des risques liés aux technologies
de l’information et de la communication (TIC) des
plans de continuité d’activité (business continuity
plans) et des plans de réponse et de reprise après
incident, incluant des dispositions documentées,
des procédures, des tests périodiques et
des mécanismes de reprise pour assurer la
continuité des fonctions critiques et la résilience
opérationnelle face aux perturbations.
En pratique, cela implique que les entités financières
conçoivent, maintiennent, testent périodiquement
et révisent leurs plans de continuité et de reprise,
DIRECTIVE REC
Le nouveau pilier
de la résilience européenne
La Directive européenne REC (2022/2557)
renforce la capacité des entités critiques à
assurer la continuité des services essentiels,
énergie, eau, santé, transports, infrastructures
numériques, face aux crises climatiques, cyber
ou géopolitiques.
Elle impose une approche tous risques, incluant
l’analyse des menaces, la mise en place de plans
de résilience, des mesures de protection, des
exercices réguliers et la notification obligatoire
des incidents significatifs.
En France, à la date d’édition de cet ouvrage, la
transposition est toujours en cours : le projet de
loi a été adopté par le Sénat en mars 2025, puis
amendé à l’Assemblée nationale en septembre
2025, et attend encore son vote final.
Cette directive marque une évolution majeure :
elle fait passer les organisations d’une logique
de protection à une véritable culture de
résilience opérationnelle, essentielle pour
structurer les PCA des secteurs vitaux.
6
— Les Plans de Continuité d’Activité
intégrés dans une politique globale de résilience
opérationnelle. Ces dispositifs reposent notamment
sur des analyses d’impact métier (Business Impact
Analysis, BIA), la définition d’objectifs de reprise
adaptés (RTO, RPO), la prise en compte des
dépendances critiques, y compris vis-à-vis des
prestataires tiers, ainsi que la réalisation d’exercices
et de tests réguliers afin d’être en mesure de
continuer leurs activités essentielles même en cas
de défaillance ou d’incident majeur.
Au delà du secteur financier, d’autres activités
sont soumises à des obligations réglementaires
renforcées en matière de continuité et de
résilience, notamment les Secteurs d’Activités
d’Importance Vitale (SAIV) définis par le code
de la défense et par l’arrêté du 2 juin 2006. Ce
dispositif national, toujours en vigueur, s’inscrit
désormais dans un cadre élargi et modernisé avec
la transposition de la directive européenne sur la
résilience des entités critiques (REC).
Les opérateurs d’importance vitale, publics ou
privés, exercent des activités indispensables au
fonctionnement de la nation et sont, à ce titre,
tenus de mettre en œuvre des dispositifs structurés
de gestion de crise et de continuité d’activité,
couvrant l’ensemble des risques susceptibles
d’affecter la fourniture des services essentiels.
Ces dispositifs doivent être formalisés, maintenus
dans la durée et régulièrement éprouvés au travers
d’exercices.
La directive REC renforce cette approche en
consacrant une vision globale de la résilience,
intégrant les dimensions numériques, physiques,
organisationnelles et humaines, et en renforçant
la coordination entre acteurs publics et privés.
La continuité d’activité s’inscrit ainsi dans une
logique de résilience systémique, au cœur de la
gouvernance et de la sécurité des organisations
critiques.
Alors que, dans les années 2010, les normes
et référentiels relatifs aux plans de continuité
d’activité se sont multipliés, la norme ISO 22301
s’est imposée comme la référence centrale. Elle
définit les exigences permettant de structurer un
système de management de la continuité d’activité,
depuis l’analyse d’impact métier jusqu’aux plans,
aux tests et à l’amélioration continue.
Elle est complétée par d’autres normes de la famille
ISO 22300 et par des standards liés à la continuité
des systèmes d’information. Dans les secteurs
régulés, ces normes s’articulent avec des cadres
réglementaires spécifiques, sans s’y substituer.
Notons l’existence du « Guide pour réaliser
un plan de continuité d’activité » du SGDSN
(Secrétariat général de la défense et de la
sécurité nationale-2013) accessible gratuitement
depuis leur site internet. Ce guide constitue un
référentiel méthodologique de référence et de
bonnes pratiques, toujours utilisé comme support
pédagogique, notamment dans le secteur public et
les activités d’importance vitale. Il doit cependant
être complété et mis en cohérence avec la norme
ISO 22301, ainsi qu’avec les cadres réglementaires
et sectoriels en vigueur.
— Les Plans de Continuité d’Activité 7
DÉFINITION
ET FINALITÉ DU PCA
ET DE SON
ENVIRONNEMENT
Chapitre 1
Chapitre 1
10 — Les Plans de Continuité d’Activité1
DÉFINITION ET FINALITÉ DU PCA ET DE SON ENVIRONNEMENT
1.1. DÉFINITIONS ET FINALITÉS
DU PCA
1.1.1.1. Revue critique des définitions
données
Si l’on s’en réfère au Règlement 97-02 du comité de
règlementation bancaire, le PCA est l’« Ensemble
de mesures visant à assurer le maintien, le cas
échéant de façon temporaire selon un mode
dégradé, des prestations de services essentielles
de l’organisation puis la reprise planifiée des
activités ».
1.1.1.2. Proposition de définition
Le Plan de Continuité d’Activité est l’organisation
alternative que l’entreprise met en place en
attendant de remédier à l’événement perturbateur
qui est à l’origine de l’arrêt des processus.
Le PCA prend la forme d’un document qui
identifie, recense, planifie et ordonnance
les actions de continuité et/ou de reprise
d’activité à mettre en place en cas de réalisation
d’évènements indésirables, plus ou moins grave.
Il fixe les modalités organisationnelles et
techniques du fonctionnement de l’entreprise en
mode « dégradé », puis de reprise graduelle des
activités, des plus sensibles au moins sensibles.
1.1.1. Définitions
1.1.2. A quoi sert un PCA ?
Le Plan de Continuité d’Activité assure la pérennité
des processus critiques en cas d’indisponibilité
d’une ou des ressources de l’environnement
de travail. Autrement dit, le PCA sert à amortir
les effets d’une crise éventuelle, à minimiser les
impacts en cas de sinistre et à garantir la poursuite
de l’activité de l’entreprise malgré la survenue
d’évènements indésirables. C’est une boite à outil
d’aide à la décision pour la cellule de crise.
Ainsi ces objectifs relèvent autant de la
performance financière et économique que sociale
et environnementale, sans oublier la restauration
du « capital-image » de l’organisation.
Le PCA n’est pas un manuel perdu au fond d’une
armoire, c’est avant tout un état d’esprit de
réalisation des objectifs initialement fixés dans le
business plan.
« Préparer la guerre en temps de paix » consiste à
répondre à des questions en amont de l’évènement,
pour s’affranchir des aléas de l’improvisation et
de la contrainte des temps de réponse, lorsque
1.1.3. Philosophie du PCA
— Les Plans de Continuité d’Activité 11
L’objectif du PCA ne consiste pas à « dupliquer »
l’organisation pour permettre une continuité
à l’identique, mais d’analyser l'impact de
la crise pour chaque métier et chaque
processus et de les classer selon une Durée
d’Interruption Maximale Admissible (DIMA). Il
permet donc un fonctionnement « dégradé »
des processus de l’organisation et leur reprise
graduelle, des plus sensibles au moins sensibles.
En complément, la détermination du niveau de
maintien de l’activité est issue de la combinaison
de la capacité de respecter les contraintes
réglementaires, techniques et sociétales et de
la volonté de la Direction Générale de maintenir
l’activité de l’entreprise à un niveau donné.
L’ensemble se traduit inévitablement par un coût
acceptable d’investissement pour préparer le plan
et assure le fonctionnement de ce dernier : le PCA
devra établir le ratio acceptable entre l’engagement
financier et le maintien du niveau des activités.
Ainsi, réduire le PCA à des solutions techniques
sans mettre en place une stratégie managériale
arbitrée par la Direction Générale peut rendre vains
tous les efforts et les investissements consentis.
1.1.4. Comment fixer le niveau du maintien des activités ?
Un plan d’urgence a pour vocation d’organiser la
réaction immédiate face à un événement brutal,
comme un incendie, une inondation ou toute
autre situation mettant en danger les personnes
ou la sécurité du site. Il vise avant tout à gérer
l’événement sur le moment, à protéger les individus
et à stabiliser la situation. Or, dans lesdits plans
d'urgence, les solutions de continuité ne sont pas
décrites. Il doit être coordonné avec les plans de
secours et plans de continuité des activités.
En complément, le Plan de Continuité d’Activité
(PCA) intervient une fois l’urgence maîtrisée ou
en parallèle de sa gestion, avec pour objectif de
maintenir les activités essentielles de l’organisation,
même en mode dégradé. Il donne les éléments clés
pour gérer les conséquences induites par l'urgence
et assurer la continuité des services en cas
d'indisponibilité des infrastructures, ressources,
systèmes ou parties prenantes clés de la chaine
de valeur. Il s’appuie sur une analyse d’impact,
la définition des priorités et la mise en place de
solutions de repli permettant de poursuivre les
opérations malgré la perturbation.
Ainsi, le plan d’urgence et le PCA sont
complémentaires : le premier permet de faire face
à la crise immédiate, tandis que le second permet
d’assurer la continuité du fonctionnement de
l’organisation durant et après l’événement.
1.1.5. Plan de continuité d’activité et Plan d'urgence,
quelle différence ?
la crise surviendra réellement. Il est donc
absolument nécessaire de mettre en place à
l’avance, « à froid », l’ensemble des éléments
rationnels sur lesquels on pourra s’appuyer
« à chaud », dès les premières minutes de la crise.
Bien sûr, tout ne peut pas être prévu à l’avance, il
sera donc nécessaire de s’adapter constamment
aux conditions de la réalité de la crise en les
analysant et en tirant les conséquences pour
modifier l’ordre de redémarrage des processus, en
fonction du contexte (campagne publicitaire de
lancement d’un nouveau produit par exemple).
DE LA LOGIQUE
DE « SCÉNARIO »
À LA LOGIQUE
D’« INDISPONIBILITÉ
DES RESSOURCES »
Chapitre 2
Chapitre 2
2
DE LA LOGIQUE DE « SCÉNARIO » À LA LOGIQUE D’« INDISPONIBILITÉ DES RESSOURCES » 14 — Les Plans de Continuité d’Activité
2.1. CRITIQUE DE LA MÉTHODOLOGIE/
LOGIQUE DE « SCÉNARIO »
EXEMPLE
Prenons l’exemple de la crue de Seine.
Il apparait délicat de définir un scénario précis de
cette « catastrophe annoncée ». Les discours
véhiculés sur la gravité potentielle d’un tel
événement varient en fonction des intérêts des
acteurs. Certains protagonistes ont tendance à
mettre en avant le fait que des aménagements
et travaux ont été réalisés afin de ralentir les
délais de montée des eaux et d’écrêter la crue
(Bassins de rétention des eaux en amont de
Paris) tandis que d’autres soulignent que le Paris
d’aujourd’hui n’est plus le Paris de 1910 et que
le développement de l’urbanisation et la mise
en bitume d’un nombre croissant de surfaces
ont pour conséquence directe la diminution des
temps de concentration des eaux à l’échelle du
bassin versant. Il est donc délicat d’appréhender
« objectivement » la gravité d’un tel phénomène.
La crise se révèle être toujours un film dont le
scénario n’est pas écrit.
L’approche de continuité d’activité basée sur
les scénarii part du postulat qu’il est nécessaire
d’identifier les origines des menaces qui pèsent
sur l’organisation avant de mettre en place des
solutions de continuité d’activité. Ce principe
s’avère dangereux car les scénarii sont des
constructions intellectuelles, étayés sur des
hypothèses ou au mieux des probabilités qui ne
correspondent jamais totalement à la réalité des
évènements et des faits.
Par ailleurs, les membres de la cellule de la crise
sont soumis à un stress important. Ce stress
entame leurs capacités de raisonnement. De ce
fait, ils auront tendance à gérer la crise comme
si elle s’inscrivait totalement dans le scénario
préétabli, et à dupliquer mécaniquement les
actions prescrites dans le PCA. C’est une source
majeure d’erreurs car la réalité de la crise n’est
jamais totalement conforme au scénario.
Cette approche du PCA
fondée sur des scénarii
précis mais inadéquats
(par construction) trouve
rapidement ses limites.
Une autre approche, plus
modulaire, permet de
s’adapter plus facilement et
plus rapidement à la réalité
des faits.
Crédits : ©2025 idé - Le Parisien
— Les Plans de Continuité d’Activité 15 — Les Plans de Continuité d’Activité 15
Situations et mesures
Situation 1 Absence de circulation de nouveaux
virus aviaires hautement pathogènes
chez l’animal et l’homme (pour
mémoire).
Situation 2A Épizootie à l’étranger provoquée par
un virus hautement pathogène, sans
cas humain (phase 2 OMS).
Situation 2B Épizootie en France provoquée par un
virus hautement pathogène, sans cas
humain (phase 2 OMS).
Situation 3A Cas humains isolés à l’étranger sans
transmission interhumaine (phase 3
OMS).
Situation 3B Cas humains isolés en France sans
transmission interhumaine (phase 3
OMS).
Situation 4A Cas humains groupés à l’étranger,
limités et localisés (transmission
interhumaine limitée due à un virus
mal adapté à l’homme ; phase 4 OMS).
Situation 4B Cas humains groupés en France,
limités et localisés (transmission
interhumaine limitée due à un virus
mal adapté à l’homme ; phase 4 OMS).
Situation 5A Larges foyers de cas groupés non
maîtrisés à l’étranger (phase 5 OMS)
Situation 5B Extension des cas humains groupés
en France (phase 5 OMS).
Situation 6 Pandémie grippale (phase 6 OMS) :
a. Organisation et mesures sanitaires ;
b. Maintien des activités.
Situation 7 Fin de vague pandémique.
Source : Plan gouvernemental de prévention et de lutte
« Pandémie grippale » version 2, 2006.
(3) InVES: Institut national de Veille Sanitaire, « Estimation de l’impact d’une pandémie grippale et analyse de stratégies »
EXEMPLE
Prenons l’exemple du plan national de
prévention et de lutte « Pandémie grippale »
du gouvernement français (2006)
pour
répondre aux problématiques de crise
sanitaire.
Ce plan a été structuré en fonction d’hypothèses
issues d’études cliniques et épidémiologiques de
l’Organisation Mondiale de la Santé et de l’Institut
de Veille Sanitaire (InVES). Ainsi la dynamique de la
pandémie devait théoriquement être la suivante :
un développement de la pandémie en vagues
successives, chaque vague pouvant s’étendre
sur 8 à 12 semaines ;
un taux d’attaque clinique de 15 à 35% ;
un taux de décès de 1 à 2%.
Quant à l’importance de ces deux vagues,
deux hypothèses étaient présentes :
- soit deux vagues identiques (50% chacune) ;
- soit 1/3 des personnes touchées réparti sur la
première vague et 2/3 sur la seconde
(3)
.
Cette approche correspondait à une
conceptualisation de la dynamique de crise,
à une logique de gradation de la transmission
interhumaine et à la diffusion géographique de la
maladie, cotée de 1 « absence de circulation de
virus » à 6 « pandémie grippale » ; la phase 7 étant
celle du « retour à la normale ».
Or, le scénario ne s’est pas déroulé ainsi. Dans les
faits, les signes avant-coureurs alarmistes laissant
imaginer un développement exponentiel de la crise
ont laissé place à une longue phase de stabilisation
ne répondant plus à la logique probabiliste définie
par les modèles. L’Etat a donc bâti un déroulement
chronologique du scénario qui ne s’est pas révélé
en adéquation avec la réalité de la dynamique de
la crise.
Le taux d’attaques cliniques du scénario évalué
entre 15% et 35% se fonde sur la « Loi des Grands
Nombres » qui ne s’applique que très imparfaitement
à petite échelle (quelques personnes ou dizaines
de personnes). Ainsi, dans la réalité, il est tout à
fait possible qu’une équipe de collaborateurs soit
décimée par la grippe et ne puisse travailler, alors
qu’une autre ne sera pas affectée. En respectant
cette logique statistique de distribution homogène
de l’attaque virale, on ne peut résoudre la
problématique de continuité d’activité à l’échelle
d’une équipe. En effet, la logique de contamination
répond ici à une logique de proximité physique et
non de distribution statistique.
Ainsi, les PCA structurés en fonction d’un
scénario se révèlent être le plus souvent des
instruments rigides.
2
DE LA LOGIQUE DE o SCÉNARIO p À LA LOGIQUE D’o INDISPONIBILITÉ DES RESSOURCES p 16 — Les Plans de Continuité d’Activité
2.2. PROPOSITION D’APPROCHE PAR
L’INDISPONIBILITÉ DES RESSOURCES
L’approche par scénarii ayant montré ses limites, il
est nécessaire d’en adopter une autre : l’approche
par indisponibilité des ressources.
Pour fonctionner correctement une entreprise
utilise différentes ressources : les actifs matériels
(locaux et outils de production, matières premières,
infrastructure informatique, etc.) et les actifs
immatériels (main d’œuvre, données, image, etc.).
Ainsi, en cas de dysfonctionnement, d’indispo-
nibilité, de destruction ou de disparition de telle
ou telle ressource, le fonctionnement global de
l’entreprise est susceptible d’être altéré. Au-delà
de la gestion de l’urgence de la crise, le PCA aura
pour tâche de diminuer l’impact et la durée de
l’indisponibilité de la ou des ressource(s).
Ces ressources peuvent se décrire de la manière
suivante :
Nous entendons par « indisponibilités de
ressources » la conséquence de tout évènement
indésirable ou situation qui dépasse les capacités
de réponse matérielle et/ou organisationnelle
d’un ou de plusieurs Services de l’entreprise.
Cette définition n’est pas exclusive, elle peut
varier en fonction de l’appétence aux risques
de l’entreprise et de la volonté de structurer des
réponses de continuité a priori, en cas de survenue
d’évènements indésirables.
A la logique de scénarii préétablis, nous substituons
la logique d’indisponibilité des ressources. La
première étape de la réflexion dans le processus
de mise en place d’un PCA est donc de s’interroger
sur les conséquences de l’indisponibilité, la
destruction ou la disparition de telle ou telle
ressource au sein de l’entreprise, quelles que
soient les causes et les origines du sinistre et sans
considération de probabilités.
RESSOURCES
ENTREPRISE
RESSOURCES
HUMAINES
SYSTÈMES
D’INFORMATIONS
MATÉRIELLES PARTENARIALES OUTILS
DE PRODUCTION
— Les Plans de Continuité d’Activité 17
La spécificité des crises liées à un évènement
climatique extrême est l’indisponibilité simultanée
de plusieurs ressources sur une échelle
géographique étendue. Si l’environnement peut
être impacté comme « ressource entreprise »,
il faut sécuriser indépendamment le périmètre
géographique de l’entreprise.
Critères de rédaction d’un PCA : de la logique « de scénario » à la logique « d’indisponibilité des
ressources »
Approche par scénarii
Approche par indisponibilité
de ressources
Base de raisonnement /
logique
Se fonde sur l’origine et la cause
de la menace
Se fonde sur l’impact et les
conséquences de l’indisponibilité
de la ressource
Principe Construction a priori par
hypothèses
Construction a posteriori en
fonction de la réalité
Approche Probabiliste/ statistique Déterministe
(indisponibilité des ressources)
Livrables Plan de continuité d’activité
scénarisé et périmétré
Combinaison de solutions de
continuité d’activité thématique
& graduelle
2.2.1. Indisponibilité des Ressources Humaines
Avec l’apparition de problématiques sanitaires (on
pense au SRAS, et plus récemment, à la COVID-19)
mais également avec l’essor de problématiques
sociales (mouvements politiques ou sociaux), le
champ d’application du PCA s’étend désormais à
la problématique de raréfaction ou de disparition
temporaire de la ressource Humaine.
RESSOURCES HUMAINES
La détermination de la question associée
à cette problématique se résume à :
« Votre bâtiment est intact,
vos systèmes d’informations
fonctionnent correctement mais
30% de votre personnel est absent.
Que faites-vous ? »
2
DE LA LOGIQUE DE « SCÉNARIO » À LA LOGIQUE D’« INDISPONIBILITÉ DES RESSOURCES »
18 — Les Plans de Continuité d’Activité
2.2.2. Indisponibilité des ressources informatiques :
le Plan de Secours Informatique
Le Plan de Secours Informatique (PSI) ou Disaster
Recovery Plan (DRP) a pour finalité de pallier
tout dysfonctionnement technique au niveau de
l’infrastructure et des systèmes d’informations
(Panne de serveurs informatiques, perte de
réseau…)
A ce titre, la mise en place d’un Plan de Secours
Informatique (PSI) nécessite des compétences
informatiques poussées et une excellente
connaissance des systèmes d’informations
de l’entreprise. C’est pourquoi ce projet est
généralement sous la responsabilité de la Direction
des Systèmes d’Informations (DSI) de l’entreprise.
Notons qu’il convient de distinguer le PSI du
PCA. Pour mieux comprendre l’articulation entre
ces 2 plans, étudions les 2 cas de figures les plus
fréquemment rencontrés.
SYSTÈMES D'INFORMATIONS
La détermination de la question associée
à cette problématique se résume à :
« Vos systèmes d’informations ne
fonctionnent plus, pouvez-vous
continuer de travailler, même en
mode dégradé ? »
CAS DE FIGURE #1
Activation simultanée des 2 plans
Cas où les serveurs
informatiques se trouvent
dans les locaux des
utilisateurs.
Dans ce cas, en cas de destruction
des locaux (ex : feu), les serveurs
informatiques seront également
détruits. De ce fait, il sera nécessaire
de déclencher à la fois le PCA et les
PSI.
En effet, il sera nécessaire de
déplacer les utilisateurs présents
dans le bâtiment mais également
de « remonter » les systèmes
d’informations détruits par le
sinistre.
TRANSFERT DES RESSOURCESSOLUTIONS DE CONTINUITÉ D'ACTIVITÉ Transfert de l'ensemble des ressources se trouvant dans le b?timent SITE DE SECOURS SITE DE REPLI
SITE SINISTRÉSITE PRINCIPAL Continuité assurée Plan de secours actif ACTIVATION PCA
Solutions de continuité d'activité :
Transfert de l'ensemble des ressources se trouvant dans le
bâtiment
— Les Plans de Continuité d’Activité 19
(4) Généralement appelé « Durée d’Interruption Maximale Admissible » (DIMA) des activités: Cf. Chapitre « Analyse de l’impact de l’arrêt
des processus »
Dans tous les cas de figure (et notamment dans le
cas où les serveurs informatiques se trouvent dans
les locaux des utilisateurs), il est nécessaire que le
Responsable PCA se synchronise avec les équipes
informatiques.
sur la problématique des délais de
redémarrage des applications informatiques
que demandent les utilisateurs et qui figurent
dans le PCA
(4)
d’une part et les délais
techniques de remise en état des applications
et des données associées (« Recovery Time
Objective ») qui figurent dans le PSI d’autre
part.
sur la problématique de fréquence de
sauvegarde des données informatiques
(appelées parfois DLO pour « Data Loss
Objective » ou RPO pour « Recovery Point
Objective »). Cet indicateur désigne la durée
maximum d'enregistrement des données
informatiques qu'il est acceptable pour les
utilisateurs de perdre en cas de sinistre.
CAS DE FIGURE #2
Activation indépendante des 2 plans
Cas où les serveurs
se trouvent dans
un « Data center »,
c'est-à-dire dans un lieu disjoint
du bâtiment où se trouvent les
utilisateurs.
Dans ce cas de figure, les serveurs
se trouvent dans un lieu qui leur
est réservé, le Data Center. De ce
fait, si le bâtiment où se trouvent
les utilisateurs est détruit, il
est uniquement nécessaire de
« rerouter » les flux informatiques
vers le nouveau lieu d’accueil des
utilisateurs. Inversement, si le Data
Center dans lequel se trouvent les
serveurs informatiques est détruit,
le PSI sera déclenché mais non pas
le PCA (puisque le bâtiment dans
lequel se trouvent les utilisateurs
sera épargné par le sinistre).SOLUTIONS DE CONTINUITÉ D'ACTIVITÉ qransfert des ressources constituant l’environnement de travail
et reroutage des flux informatiques SITE DE SECOURS SITE DE REPLI SITE SINISTRÉ SITE PRINCIPAL UTILISATEUR IMPACTÉ UTILISATEUR CONNECTÉ
DATA CENTERFLUX OPÉRATIONNEL
SERVICE CONTINU FLUX ROMPU
ACC?S INTERROMPU Continuité assurée Plan de secours actif ACTIVATION PCA
Solutions de continuité d'activité :
Transfert des ressources constituant l'environnement de travail
et reroutage des flux informatiques
2
DE LA LOGIQUE DE o SCÉNARIO p À LA LOGIQUE D’o INDISPONIBILITÉ DES RESSOURCES p 20 — Les Plans de Continuité d’ActivitéBesoins
métiers Réponses
techniques Perte de données acceptable
par les utilisateurs
Délai d'Interruption Maximal Autorisé
DLO
Perte
de données RTO Reconstruction
de l'application + données Temps Dernière
sauvegarde Incident
DLO : Data Loss Objective - Perte de données
DIMA : Durée maximale d'interruption admissible
RTO : Recovery Time Objective - Temps de reconstruction de l'applicationPlan de continuité d’activité Vision métiers
DIMA≤ RTODLO < Reprise
de l’activité
SERVICE RESTAURÉ
Reprise dégradée / progressive / normale
de l’activité selon l’incident Plan de secours informatique Aligné sur les besoins utilisateurs
Autrement dit, si les délais techniques de remise
en état des applications et des données associées
sont inférieurs à ceux demandés par les utilisateurs,
ces derniers pourront utiliser lesdites applications
informatiques.
A contrario, si les délais techniques/informatiques
de remise en état des applications et des données
associées sont supérieurs à ceux demandés par
les utilisateurs, ces derniers devront travailler
de façon « dégradée » c'est-à-dire en l’absence
partielle ou totale des outils informatiques mis
usuellement à leur disposition.
Notons enfin qu’il peut exister deux types
d’indisponibilité informatique :
Indisponibilité de l’« informatique de gestion »
qui engendre des perturbations au niveau de
la gestion des données de l’entreprise d’une
part (suspension de l’émission de factures,
problème de traitement informatiques de la
comptabilité,…) ;
Indisponibilité de l’« informatique de production »
pour les entreprises du secteur secondaire qui
permet la production industrielle (arrêt de la
chaîne de production) d’autre part.
— Les Plans de Continuité d’Activité 21
2.2.3. Indisponibilité des ressources matérielles
C’est historiquement la disparition ou
l’inaccessibilité des bâtiments qui ont poussé à la
création des premiers PCA. On a coutume de dire
que les premiers PCA en France sont consécutifs à
l’incendie du siège du Crédit Lyonnais en 1996 qui
a mobilisé 600 pompiers, détruit les deux tiers de
l'immeuble et généré plus de 1 milliard de francs de
dommages.
RESSOURCES MATÉRIELLES
La détermination de la question associée
à cette problématique se résume à :
« Votre bâtiment a été détruit cette
nuit par un incendie, il est 8h du
matin, les salariés arrivent…
Que faites-vous ? »
Exemple du « Ping Timeout » : de la rupture de câbles sous-marin
L’une des perturbations majeures survenues dans le système moderne des
télécommunications date de décembre 2006, lorsqu’un
s é i s m e d e m a g n i t u d e 7.1 s u r l ’é c h e l l e d e R i c h te r a e n t r a i n é
la rupture de câbles sous-marins entre l’ile de Taïwan
et les Philippines, engendrant de facto l’interruption
des liaisons de télécommunication entre l’Asie du Sud-
Est et le reste du monde. 49 jours de travail ont été
nécessaires pour que les connexions, provisoirement
réorientées vers d’autres câbles, puissent fonctionner
de nouveau. Des incidents similaires ont été constatés
en 2008 et en 2013 (rupture de 3 câbles qui ont perturbé
l'accès à internet dans une partie du Proche-Orient et
de l'Asie).
Plus fréquemment, des entreprises se trouvent privées pour
quelques heures ou quelques jours de leurs réseaux informatiques, suite à des accidents divers
comme par exemple des arrachements de câbles en proximité des bâtiments lors d’ouverture de
tranchées.
Ces exemples, bien que significatifs, illustrent principalement des indisponibilités d'origine
accidentelle ou physique qui forment le socle historique du Plan de Secours Informatique (PSI).
Cependant, cette approche, bien que nécessaire, ne couvre qu'une partie d'un spectre de risques
qui s'est considérablement élargi. Le chapitre 4.1 explorera en détail la nouvelle dimension délictuelle
de l'indisponibilité informatique, où la menace n'est plus une défaillance passive mais un adversaire
actif et intelligent, redéfinissant en profondeur les exigences de la résilience.
EXEMPLE
2
DE LA LOGIQUE DE o SCÉNARIO p À LA LOGIQUE D’o INDISPONIBILITÉ DES RESSOURCES p 22 — Les Plans de Continuité d’Activité
2.2.4. Indisponibilité d’un Partenaire
Dans une recherche permanente de performance,
les entreprises sont amenées à faire des choix
d'organisation qui les rendent plus vulnérables
aux interruptions de process, même mineures.
Ainsi, la spécialisation des sites par fonction (mise
en place de centre de services partagés sur des
processus achat, comptabilité, …), l'externalisation
de certaines fonctions, la mutualisation de
moyens entre plusieurs entreprises tout comme
l'interdépendance plus forte des sites entre eux
sont des facteurs aggravants en cas d’arrêt des
processus de production. C’est pourquoi les
problématiques « supply chain », c'est-à-dire
les aspects logistiques et de dépendances aux
principaux fournisseurs, doivent être intégrées
dans la constitution des PCA.
Au-delà de ces perturbations physiques et
logistiques, l'interdépendance avec les partenaires
et la chaîne d'approvisionnement (« supply chain »)
est devenue une surface d'attaque cybernétique
de premier plan. Un partenaire peut non seulement
être la cible d'une attaque ayant des conséquences
indirectes sur l'entreprise, mais également servir
de vecteur d'attaque pour l'atteindre. Cette
dimension critique, qui lie l'indisponibilité d'un
partenaire au risque délictuel informatique, sera
approfondie dans le chapitre 4.1.
RESSOURCES PARTENARIALES
La détermination de la question associée
à cette problématique se résume à :
« Votre fournisseur stratégique est
défaillant... Que faites-vous ? »
Exemple de la rupture de la « supply chain » consécutive aux inondations en Thaïlande
Les inondations en Thaïlande de 2011 furent l’une des catastrophes naturelles les plus coûteuses de
ces dernières années : 40 à 50 milliards de dollars de pertes économiques. En effet, elles ont engendré
des ruptures de nombreuses chaînes logistiques et d’approvisionnements. Ainsi, ce sont près de 11
000 usines qui ont été inondées entrainant le chômage technique d’un demi-million d’ouvriers. La
principale conséquence fut une pénurie massive de composants électroniques à l’échelle mondiale.
Elle toucha les principaux fabricants d’ordinateurs et constructeurs automobiles (Toyota et Honda
notamment) qui, comme suite à la rupture de leur chaîne logistique, ont subi des baisses significatives
de production.
EXEMPLE
— Les Plans de Continuité d’Activité 23
2.2.5. Indisponibilité d’outil de production
(machine dans la chaîne de production)
OUTILS DE PRODUCTION
Pour les entreprises du secteur industriel,
l’analyse de continuité d’activité doit notamment
porter sur les conséquences de l’indisponibilité
ou de la destruction de certains outils de
production (machines outils, bancs de tests, lignes
automatisées, équipements spécifiques). À ce titre,
il est essentiel d’identifier les équipements critiques,
d’évaluer les possibilités de remplacement ou de
réparation, ainsi que les options de déport de
production, de mutualisation ou de recours à des
modes de production alternatifs.
Dans cette perspective, le PCA constitue
également un élément d’attention pour l’assureur
dommages aux biens, qui peut en apprécier la
robustesse jusqu’au scénario de sinistre majeur
voire total, tel que la destruction complète des
bâtiments et des équipements à la suite d’un
incendie ou d’un événement naturel. La capacité
de l’entreprise à limiter les conséquences d’un
tel sinistre, à maintenir une activité minimale ou à
organiser une reprise structurée constitue alors un
facteur clé d’évaluation du risque et de la résilience
assurantielle.
Par ailleurs, la continuité d’activité ne se limite pas
à la seule gestion de l’indisponibilité des ressources
internes. Le PCA doit également intégrer les
facteurs aggravants liés à l’environnement de
l’entreprise, tels que les contraintes réglementaires
ou administratives, les ruptures de chaînes
d’approvisionnement, ainsi que les impacts
potentiels d’événements naturels, sanitaires ou
géopolitiques, susceptibles d’affecter durablement
la capacité de production et d’exploitation.
MÉTHODOLOGIE :
LA MISE EN PLACE
DU PCA EN 5 ÉTAPES
La finalité du présent document est de donner au lecteur les clés de
compréhension et de réussite de la mise en place d’un PCA et de
l’entretien du dispositif de continuité d’activité afin que ce dernier puisse
réaliser de façon autonome son propre dispositif de continuité d’activité.
Chapitre 3
Chapitre 3
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 26 — Les Plans de Continuité d’Activité
Notre méthodologie se structure en 5 phases :
Phase 1 Identification des conséquences de l’indisponibilité des ressources
Phase 2 Analyse des processus critiques en termes de continuité et identification des besoins en
ressources
Phase 3 Définition des solutions de continuité d’activité
Phase 4 Maintien en conditions opérationnelles du dispositif (dont tests)
Phase 5 Communication et sensibilisation (phase transverse)
Chacune de ces « phases » est découpée en « étapes ». Chaque « étape » est découpée en « action » .
Communication sur le Projet PCA
Sensibilisation des Dirigeants et des Collaborateurs
Description de l’indisponibilité de la/des ressources
et de ses conséquences
Identifier le périmètre géographique
Identifier le périmètre fonctionnel
Identifier le périmètre temporel
Identification
des conséquences de
l’indisponibilités des
ressources
1
Identifier les processus et le flux de fonctionnement
(en fonction du périmètre de l’étude)
Identifier et recenser les processus·
Identifier les dépendances internes entre processus
Déterminer l’existence de périodes « sensibles »
Analyse de l’impact de l’arrêt des processus
Etablir une analyse d’impact de l’arrêt des processus
et opérer une hierarchisation en fonction de 2 critères :
– Critère temporel
– Critère « business »
Identification des besoins en ressources
Identifier les ressources associées à chaque processus :
– Hommes, Applications, Données infortmatiques, Utilités…
Analyse
des processus
critiques en terme de
continuité
et identification des
besoins
en ressources
2
Identifier les différentes stratégies de continuité d’activités
envisageables et attribution d’un ordre de grandeur des
coûts associés
Mise en place du PCA et des déclinaisons opérationnelles à
l’échelle de chacun des services
Définition
des solutions
de continuité
3
Maintien en conditions opérationnelles
Actualisation du PCA et tests
Entretien PCA
4
5
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES
26 — Les Plans de Continuité d’Activité
— Les Plans de Continuité d’Activité 27
Nous avons vu précédemment que pour
fonctionner correctement, une entreprise utilise
différentes ressources : les actifs matériels (locaux
et outils de production, matières premières,
infrastructure informatique, etc.) et les actifs
immatériels (main d’œuvre, données, image, etc.). Le
dysfonctionnement, l’indisponibilité, la destruction
ou la disparition de telle ou telle ressource
(Ressources matérielles, Humaines, Systèmes
d’informations, ressources partenariales…) est
susceptible d’altérer le fonctionnent global de
l’entreprise.
La première étape de la réflexion dans le
processus de mise en place d’un PCA est
donc de s’interroger sur les conséquences de
l’indisponibilité, la destruction ou la disparition de
telle ou telle ressources au sein de l’entreprise,
quelques soient les causes et sans considération
de probabilité. C’est donc le critère de l’impact
de l’« indisponibilité de Ressource(s) » sur le
fonctionnement de l’entreprise qui engendre la
nécessaire mise en place d’un Plan de Continuité
d’Activité.
A ce titre, nous proposons comme définition des
évènements nécessitant la mise en place d’un PCA
« tout évènement indésirable ou situation qui
dépasse les capacités de réponse matérielle
et/ou organisationnelle d’un ou de plusieurs
Services de l’entreprise ».
Cette définition n’est pas exclusive, elle peut
varier en fonction de l’appétence aux risques
de l’entreprise et de la volonté de structurer
des réponses de continuité a priori, en cas de
réalisation d’évènements indésirables.
Pour décrire au mieux chaque type d’indisponibilité
et son impact sur les activités de l’entreprise, il
est indispensable de déterminer ses périmètres
géographique, fonctionnel et temporel.
Phase 1
3.1. IDENTIFICATION
DES CONSÉQUENCES
DE L’INDISPONIBILITÉ
D’UNE OU DES RESSOURCES
3.1.1. Description de l’indisponibilité de la/des ressources
et de ses périmètres
Description de l’indisponibilité de la/des ressources
et de ses conséquences
Identifier le périmètre géographique
Identifier le périmètre fonctionnel
Identifier le périmètre temporel
Identification
des conséquences
de l’indisponibilités
des ressources
1
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 28 — Les Plans de Continuité d’Activité
3.1.1.1. Périmètre géographique
Il s’agit de définir l’étendue géographique de telle ou
telle ressource (ou groupe de ressources) c'est-à-
dire si l’indisponibilité de la ressource est localisée
à l’échelle d’un bâtiment, d’un quartier, ou d’une
région. Parfois, un strict périmètre géographique
ne peut pas être défini (Cf. supra).
3.1.1.2. Périmètre fonctionnel
Il s’agit de définir les activités qui seront impactées
par l’indisponibilité de la ressource (ou groupe de
ressources). Ainsi, l’indisponibilité de la ressource
peut perturber de façon homogène toutes les
activités de l’entreprise ou a contrario seulement
des activités spécifiques. Parfois, un strict
périmètre fonctionnel ne peut pas être défini.
3.1.1.3. Périmètre temporel
Il s’agit de définir le laps de temps pendant lequel
l’entreprise aura à subir les effets de la réalisation
de l’indisponibilité de la ressource. Parfois, un
strict périmètre temporel ne peut pas être défini.
Phase 2
3.2. ANALYSE DES PROCESSUS
CRITIQUES EN TERMES
DE CONTINUITÉ ET IDENTIFICATION
DES BESOINS EN RESSOURCES
Identifier les processus et le flux de fonctionnement
(en fonction du périmètre de l’étude)
Identifier et recenser les processus·
Identifier les dépendances internes entre processus
Déterminer l’existence de périodes « sensibles »
Analyse de l’impact de l’arrêt des processus
Etablir une analyse d’impact de l’arrêt des processus et
opérer une hierarchisation en fonction de 2 critères :
– Critère temporel
– Critère « business »
Identification des besoins en ressources
Identifier les ressources associées à chaque processus :
– Hommes, Applications, Données infortmatiques, Utilités…
Analyse
des processus
critiques en terme
de continuité
et identification
des besoins
en ressources
2
28 — Les Plans de Continuité d’
— Les Plans de Continuité d’Activité 29
Rappelons ici les trois actions constitutives de
la phase d’analyse des processus en termes de
continuité:
l’identification des processus ;
l’analyse d’impact de l’arrêt des activités ;
l’identification des ressources.
L’objectif de continuité ne consiste pas à
« dupliquer » l’organisation pour permettre une
continuité à l’identique, mais d’analyser l'impact de
l’arrêt de chacun des processus de l’Organisation
et les conséquences associées, d’observer les
interactions en interne comme en externe et de
procéder à un arbitrage rendu par chaque métier
et validé par la Direction Générale
(5)
.
Ainsi, l’analyse de la criticité des activités en
termes de continuité et l’identification des
besoins en ressources est l’une des phases les
plus importantes de la mise en place d’un PCA.
La personne en charge de la collecte desdites
données doit planifier des entretiens avec chacun
des responsables des Services (que ce soit des
lignes Métiers ou des Fonctions support) afin de
collecter les informations pertinentes nécessaires
à la mise en place d’un PCA.
S’agissant du format et de la durée des entretiens
ou des groupes de travail, les choix retenus
devront se faire à la lumière de la quantité et de
la complexité des données à recueillir d’une part,
et en fonction de l’appétence et de la maturité
de l’Organisation vis-à-vis des problématiques de
gestion des risques d’autre part. Retenons qu’il
est nécessaire de trouver le meilleur compromis
entre la raisonnable assurance d’avoir recueilli
l’exhaustivité des données pertinentes pour le
PCA et la durée des entretiens ou des groupes
de travail. A titre d’exemple, réaliser une interview
trop courte engendre un risque d’oubli ou manque
d’informations importantes, réaliser une interview
trop longue amputera d’autant le temps de
disponibilité de chacun des Chefs de Service lors
de la phase opérationnelle de mise en place du
PCA.
La méthodologie de recueil d’information, doit
être primo connue et partagée à l’échelle de
l’équipe projet PCA mais également à l’échelle de
chacun des services inclus dans le périmètre du
PCA et secundo doit accorder un soin particulier
à la collecte, l’implémentation, la centralisation,
la formalisation et la compilation des données
car c’est à partir des informations recueillies lors
de cette phase que seront mises en place les
stratégies de continuité d’activité. Pour que ce
recueil d’information soit efficace, il convient de
formaliser le protocole et de centraliser les propos
échangés et les informations collectées au sein
d’outils documentaires.
Nous proposons deux outils documentaires pour
chacune de ces trois actions (identification des
processus et des flux de fonctionnement, analyse
de l’impact de l’arret des processus, identification
des besoins en ressources) :
Un protocole d’interview, qui est en fait un « fil
rouge » d’entretien, un canevas de questions
qu’il convient de poser impérativement ;
Une matrice de recueil d’informations dans
laquelle seront formalisées les réponses
collectées lors des entretiens.
(5) in « Gérer les grandes crises : Sanitaires, écologiques, politiques et économiques », L CROCQ and al. Odile JACOB, 2009.
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 30 — Les Plans de Continuité d’Activité
3.2.1. L’analyse d’impact de l’arrêt des activités
(ou « Business Impact Analysis »)
PROTOCOLE D’INTERVIEW EN 5 QUESTIONS CLÉS
L’analyse d’impact de l’arrêt
des processus
FOCUS CYBER
Les critères d’évaluation du BIA doivent être
enrichis pour inclure l’impact d’une altération
de l’intégrité des données et les effets en
cascade sur la chaîne d’approvisionnement
(perte de substituabilité, dépendance critique).
La cartographie des dépendances tierces
(éditeurs, infogérants, fournisseurs cloud, API)
doit être formalisée dans le cadre du BIA.
4
Description des interdépendances
internes et externes qui permettent le
fonctionnement de ladite activité
« De quel autre(s)
Département(s), autre(s) Services,
autre(s) Unités Organisationnelle(s)
mais également de quel(s) sous-
traitant(s) avez-vous besoin pour
réaliser cette activité ? »
5
Identification des périodes critiques
« Existe-il une ou des périodes
critiques au cours de l’année ?
(exemple du closing trimestriel) »
Nota : Le DIMA doit être évalué sur la période la
plus critique du processus
1
Description des activités : identification
des activités
« Que faites-vous au quotidien,
quelles sont les grandes actions que
vous réalisez ? »
2
Durée d’Interruption Maximale
Admissible : Evaluation du laps de
temps maximal qui peut s’écouler entre
l’interruption de l’activité et la reprise
totale ou partielle de ladite activité
« Combien de temps cette activité
pourrait-elle être arrêtée sans générer
d’impacts et pourquoi ? »
3
Gravité après DIMA : évaluation de
la gravité de l’arrêt de l’activité en
fonction de critères et de seuils
associés
« Quelle est la gravité de l’arrêt de
l’activité (après DIMA) ? »
— Les Plans de Continuité d’Activité 31
Matrice de recueil d’information « L’analyse d’impact de l’arrêt des processus »
01/12/2014 VERSION DE TRAVAIL 58
INTERNAL & PARTNERS
5acXjzUk
« Combien de
temps cette Activité
pourrait-elle être
arrêtée sans
générer d'impacts
et pourquoi ? »
Description des activités ou processus
DIMA
Impact
Période(s) critique(s) au cours de
l'année
Commentaires
« Que faites-vous au quotidien, quelles sont les grandes actions
que vous réalisez ? »
« Quelle est la
gravité de l'arrêt
de l'activité
(après DIM A)? »
« De quel autre Département(s) (ou Unité(s)) mais
également de quels sous traitants/ prestataires avez-
vous besoin pour réaliser cette activité?»
« Existe-t-il une ou des
périodes critiques au cours
de l’année? »
Interdépendances
Description des activités ou processus
DIMA
Impact
Période(s) critique(s) au cours de
l'année
Commentaires
N°Activités ou Processus
Description/
Observations/en jours
Business
Image
Dépendance interne ( de service à service..)
Dépendance externe
(fournisseurs, sous traitants)
Ponctuel
Mensuel
Trimestriel
Autre
Date de début
Durée de
la période
critique
1
2
3
4
5
6
7
Matrice de recueil d’information « L’analyse d’impact de l’arrêt des processus »
« Que Faîtes-vous au
quotidien, quelles sont les
grandes actions que vous
réalisez ? »
« Combien de temps
cette Activité pourrait-elle
être arrêtée sans générer
d'impacts et pourquoi ? »
« Quelle est la gravité
de l'arrêt de l'activité (après
DIMA) ? »
« De quel autre
Département(s) ou Unité(s)
mais également de quels
sous-traitants / prestataires
avez-vous besoin pour
réaliser cette activité ? »
« Existe-t-il une ou des
périodes critiques au cours ce
l'année ? »
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 32 — Les Plans de Continuité d’Activité
matérielles, informationnelles, qui transforment des
éléments entrants en éléments sortants. Chaque
« processus » devra faire l’objet d’une description
lors de l’entretien.
A titre d’exemple et de façon non exhaustive :
Dès lors, comment identifier les processus ?
Les processus RH
La paie ;
Le recrutement ;
La formation ;
Le droit social ;
Gestion des frais et avances ;
Relation avec les instances représentatives du personnel
et le comité social et économique (CSE).
Les processus DSI Développement / études ;
Production ;
Help desk.
Les processus Trésorerie
Centralisation/optimisation des placements ;
Relation avec les banques ;
Réglementation et comptabilisation des flux financiers.
Les processus Comptabilité
Suivi des comptes ;
Réception/émissions des factures ;
Recevoir les factures-fournisseurs, les faire valider
pour leur paiement, les comptabiliser et en obtenir le
paiement par la Direction de la Trésorerie ;
Etablir les états financiers ;
Etablir les déclarations fiscales et assurer le paiement
des impôts correspondants.
Définition des termes utilisés
Le vocabulaire utilisé lors de la phase d’identification
et de description des processus doit être défini. En
effet, une terminologie foisonnante (« activités » ,
« processus » et autres « tâches ») identifie
l’ensemble des opérations qui sont réalisées au
sein d’une unité organisationnelle. De nombreuses
définitions et autant de combinaisons existent :
par exemple certains professionnels considèrent
qu’une « activité » est un ensemble de « processus » ,
d’autres proposent de définir un processus comme
un ensemble d’activités ou de taches élémentaires.
De ce fait, lors de la mise en place d’un PCA dans
une organisation, le chef de projet et le « Comité
PCA » doivent porter leur effort sur la terminologie
employée.
Dans notre propos, nous utilisons indifféremment
les termes « activités » ou « processus ».
Degré de précision dans l’identification et la
description des processus
Au-delà de la terminologie, il est nécessaire
d’adopter le degré convenable de granularité,
c'est-à-dire un niveau de détails des processus
qui permette une description exhaustive des
opérations présentes dans l’organisation sans que
ce travail ne devienne trop chronophage. Ainsi, en
moyenne, chaque département gère entre 5 et 15
processus. Un processus peut être défini comme
une activité regroupant des ressources humaines,
3.2.1.1. Identifier les processus
et les flux de fonctionnement
1
Description des activités :
identification des activités
« Que faites-vous au
quotidien, quelles sont les
grandes actions que vous
réalisez ? »
Cas où l’organisation dispose déjà
d'une cartographie/liste des processus
Il est possible que l’organisation possède déjà
une cartographie (ou liste) de ses processus.
Ce peut être par le biais d’une certification
de type ISO 9000, de la réalisation d’un
audit organisationnel ou par l’existence d’une
cartographie des risques établie par le prisme
des processus (approches généralement
utilisées par les Services de Contrôle
Permanent, contrôle interne).
— Les Plans de Continuité d’Activité 33
3.2.1.2. Analyse de l’impact de l’arrêt
des processus
(6) Parfois aussi appelé le « Délai d’Interruption Maximal Admissible »
2
Durée d’Interruption Maximale
Admissible : Evaluation du laps de
temps maximal qui peut s’écouler
entre l’interruption de l’activité et la
reprise totale ou partielle de ladite
activité.
« Combien de temps
cette activité pourrait-elle
être arrêtée sans générer
d’impacts et pourquoi ? »
3
Gravité après DIMA : évaluation de
la gravité de l’arrêt de l’activité en
fonction de critères et de seuils
associés.
« Quelle est la gravité
de l’arrêt de l’activité (après
DIMA)?»
La finalité de cette étape est d’identifier la
sensibilité, en termes de continuité d’activité,
des processus présents dans la liste établie lors
de l’étape précédente et de hiérarchiser lesdits
processus.
Deux critères principaux permettent d’analyser
l’impact de l’arrêt des processus :
A / Un critère temporel, la DIMA : évaluation de
la « Durée d’Interruption Maximale Admissible »
(DIMA) des activités.
La « Durée d’Interruption Maximale Admissible »
(DIMA)
(6)
d’une activité est la période durant
laquelle son interruption n’a pas d’impact, pas
de conséquence négative dans la réalisation de
l’ensemble des opérations et qui permettent de
transformer un « entrant » en un « sortant » .
Cette DIMA peut être définie en minutes (cas des
salles de Marchés), en heures ou en jours, en
fonction du secteur d’activité de l’organisation.
L’expression de la DIMA se fait généralement en
jour(s) calendaire(s).
B / Un critère d’impact, mesure des impacts
consécutifs à l'interruption d’un processus après
DIMA en termes financiers, Humains ou en termes
d’image.
Afin de quantifier facilement les impacts de l’arrêt
des processus, il est conseillé de créer une échelle
de gravité, qui prend la forme d’un tableau à
double entrée, dans lequel figurent en abscisse les
critères/indicateurs des impacts et en ordonnée
les niveaux d’impact (généralement de 1 à 4).
Cas où l’organisation ne dispose pas
d’une cartographie/liste des processus
Il sera nécessaire de demander à chacun des
responsables la liste des processus de son
service. Pour ce faire, la première question à
poser lors des entretiens est...
« Que faites-vous au quotidien, quelles sont les
actions que vous réalisez ? ».
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 34 — Les Plans de Continuité d’Activité
Echelle de gravité
Benoît VRAIE & Sophie HUBERSON
« Le plan de continuité d’activité »
62
INTERNAL & PARTNERS
5acXjzUk
D’un point de vue méthodologique, retenons dans cet exemple que :
- la mesure de l’impact de l’arrêt des processus est réalisée avec l’hypothèse que le
processus ne peut être redémarré pendant un mois complet à compter de la date de
l’interruption.
- La multiplication des critères/indicateurs des impacts engendre une complexification de
la matrice. A ce titre, il peut être opportun de se limiter aux critères « financier » et
« image », les autres critères « juridique »,…pouvant être quantifiés financièrement.
- Les seuils de passage des niveaux d’impacts (généralement de 1 à 4) doivent être mis
en perspective avec les résultats financiers de l’organisation ainsi qu’avec ses capacités
de trésorerie. A ce titre, cette échelle doit être travaillée et personnalisée selon la surface
financière de l’entreprise.
Seuils Gravité financière Gravité image Gravité humaine
El e vé > Supérieure à 100 M€
>Médiatisation internationale, dans la presse généraliste
et spécialisée, tous supports
> Campagne de presse de longue durée, avec suivi de
l'événement à moyen/long terme
>Perte de crédibilité importante de l'entreprise auprès
des actionnaires, des clients, des partenaires financiers,
des sous traitants, du personnel et du public,
>Baisse importante de la qualité de l'offre, visible par les
clients
>Impact durable sur la confiance des clients
> Impact sur le rating des agences de notation,
> Perte partielle ou temporaire d'autorisation d’exercer
une activité
> Décès
Intermédiaire> Entre 10 M€ et 100M€
>Médiatisation nationale , dans la presse généraliste et
spécialisée, tous supports
>Campagne de presse, d'une durée limitée à quelques
jours maximum
> Baisse de la qualité de l'offre, visible par les clients
> Impact durable sur la confiance des clients
> Opportunités manquées de contrats (enjeux
importants) sur les activités à l'étranger, du fait
notamment de la médiatisation en presse spécialisée
> Blessé grave ou
traumatisme nécessitant la
mise en place d'une cellule
de soutien psychologique
Ba s > Entre 1 M€ et 10M€
> Pas de médiatisation ou très faible, éventuellement
limitée aux médias spécialisés
>Baisse sensible mais temporaire de la qualité de l'offre
de transport, sans impact durable sur la réputation
>Opportunités manquées de contrats (enjeux peu
importants) sur les activités à l'étranger, du fait
notamment de la médiatisation en presse spécialisée
> Blessé léger
Très bas > Inférieure à 1M€ > Pas de médiatisation > Pas d'impact
Echelle de gravité
— Les Plans de Continuité d’Activité 35
D’un point de vue méthodologique, retenons dans
cet exemple que :
La mesure de l’impact de l’arrêt des processus
est réalisée avec l’hypothèse que le processus
ne peut être redémarré pendant un mois
complet à compter de la date de l’interruption ;
La multiplication des critères/indicateurs des
impacts engendre une complexification de la
matrice. A ce titre, il peut être opportun de se
limiter aux critères « financier » et « image »,
les autres critères « juridique » ,…pouvant être
quantifiés financièrement ;
Les seuils de passage des niveaux d’impacts
(généralement de 1 à 4) doivent être mis en
perspective avec les résultats financiers de
l’organisation ainsi qu’avec ses capacités de
trésorerie. A ce titre, cette échelle doit être
travaillée et personnalisée selon la surface
financière de l’entreprise.
En conclusion, il est bon de rappeler que la
finalité de cette étape de l’analyse de l’impact
de l’arrêt des processus n’est pas d’obtenir une
quantification très « fine » des impacts mais plutôt
une hiérarchisation de l’impact de l’arrêt des
processus, du plus critique au moins critique.
A l’issue de cette analyse il est pertinent de
construire une « cartographie de la criticité des
processus en termes de continuité d’activité »
dans laquelle figure en abscisse une échelle des
DIMA (des DIMA les plus courtes aux DIMA les plus
longues) et en ordonnée les Impacts (Des impacts
les plus forts aux impacts les plus faibles).
Cette représentation graphique constitue un
support de communication idéal pour sensibiliser
un COMEX aux problématiques de continuité
d’activité et mettre en perspective les coûts
engendrés par la mise en place de stratégie de
continuité d’activité. Peu
impactant
Très
impactant
Impact
de l'arrêtDurée
très courte
? brève ? Durée
longue Durée d'Interruption
Maximale Autorisée
(DIMA) Zone acceptable Zone critique Zone de vigilance
CARTOGRAPHIE DES PROCESSUS — DIMA & IMPACT DE L'ARRÊT
Grâce à la quantification du
DIMA et de l'impact de l'arrêt
des processus sur l'activité
globale, nous pouvons «
cartographier » les processus
sensibles et prioriser les
aactions du PCA.
Nous prenons en compte
les dépendances entre
processus. Les processus
corrélés se calent sur le
DIMA le plus court.
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 36 — Les Plans de Continuité d’Activité
Un processus d’un service peut dépendre d’un
autre dans la chaîne de production. La DIMA de l’un
doit alors se coordonner avec la DIMA de l’autre.
Il est nécessaire d’identifier les interdépendances
afin d’arbitrer le choix de la DIMA la plus pertinente.
Prenons un exemple : le responsable PCA
interroge le Directeur Commercial de sa
société
, il déclare que l’ensemble des processus
dont il est propriétaire peuvent s’interrompre
trois jours (DIMA de 3 jours). Il déclare également
que l’un de ses processus est dépendant de la
validation de la Direction Juridique. Quelques jours
plus tard, le RPCA interroge le directeur juridique
qui lui annonce que la DIMA la plus courte de son
service est de 10 jours.
Un travail de rapprochement des données doit
amener le Responsable PCA sur l’inadéquation
temporelle de la DIMA du Directeur Commercial
(qui fait intervenir la direction juridique et qui est
de 3 jours) et la DIMA de la Direction Juridique qui
est de 10 jours.
3.2.1.3. Identifier les processus
et les flux de fonctionnement
A partir de ce constat, il convient de synchroniser
le directeur commercial et le directeur juridique
afin qu’ils décident, soit :
D’allonger la DIMA du processus 3 de la
direction commerciale.
De raccourcir la DIMA de la direction Juridique
(10 jours -> 3 jours).
Décider conjointement qu’en cas d’activation,
les propositions commerciales ne seront plus
relues par la Direction Juridique et seront
directement adressées aux clients. Dans ce
cas, cette décision doit être avalisée lors d’une
session « Comité PCA ».
Il convient donc de s’assurer que les
« interdépendances » aient bien été identifiées, et
ce à 2 échelles :
1. INTERDÉPENDANCES INTERNES
Echelle intra-Département :
Il y a « interdépendance » lorsque la bonne
réalisation d’une activité « critique » nécessite
le maintien en condition opérationnelle d’une
autre activité au sein du même Service (ou
Unité).
Échelle inter-Département :
Il y a « interdépendance » lorsque la bonne
réalisation d’une activité « critique » nécessite
l’intervention d’un autre Service ou Département
de l’entreprise.
2. INTERDÉPENDANCES EXTERNES
Il est nécessaire d’identifier les principaux
fournisseurs, sous-traitants et prestataires de
l’entreprise. Exemple : la Poste et/ou les Société
de Coursiers qui acheminent le courrier, le ou les
fournisseur(s) d’accès téléphonique….
4
Description des interdépendances
internes et externes
« De quel autre(s)
Département(s), autre(s)
Services, autre(s) Unités
Organisationnelle(s) mais
également de quel(s) sous-
traitant(s) avez-vous besoin
pour réaliser cette activité ? »
EXEMPLE
— Les Plans de Continuité d’Activité 37
5
Identification des périodes critiques
« Existe-il une ou des
périodes critiques au cours
de l’année ? (exemple du
closing trimestriel) »
Nota : La DIMA doit être évalué
sur la période la plus critique du
processus
Que ce soit pour préciser les « clôtures
trimestrielles » (ou « closing ») du Service
Comptabilité ou pour souligner une période de
pic de production ou de vente pour des fonctions
Métier (l’impact d’un incendie dans une usine de
jouets ne sera pas la même au mois de Novembre
qu’au mois de Février), il est nécessaire d’identifier
la périodicité des moments critiques (ponctuels,
mensuels, trimestriels, semestriels, annuels), la
date de début de(s) la période(s) ainsi que sa durée.
3.2.1.4. Identifier les périodes critiques
au cours de l’année
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 38 — Les Plans de Continuité d’Activité
3.2.2. Recueil des besoins utilisateurs en termes
de Ressources Humaines et matérielles
La matrice « Identification des besoins en
Ressources Humaines en termes de continuité
d’activité » permet d’identifier pour chaque
processus :
Les personnes qui possèdent des compétences
uniques ou des délégations de pouvoir.
Le nombre de personnes nécessaires à la
reprise de l’activité, et ce jour par jour.
3.2.2.1. Recueil des Ressources Humaines
1
Identification des besoins en
Ressources Humaines (compétences
et volumétrie) : identification jour par
jour des besoins Humains et mise en
place d’un planning RH de reprise de
l’activité
« De qui avez-vous
besoin et au bout de
combien de temps ? »
Nous ne pouvons pas ici établir une liste exhaustive
de l’ensemble des moyens matériels nécessaires
à la reprise de l’activité. En effet, en fonction
de l’activité, les ressources requises varieront
(informatique dans le secteur tertiaire, machine-
outil pour une chaîne industrielle de montage…).
A ce titre, nous ne représentons pas ici de matrice.
3.2.2.2. Recueil des Ressources Matérielles
2
Identification des besoins matériels :
identification jour par jour des besoins
matériels
« De qui avez-vous
besoin et au bout de
combien de temps ? »
PROTOCOLE D’INTERVIEW EN 2 QUESTIONS CLÉS
Les besoins utilisateurs en termes
de Ressources Humaines
et matérielles
— Les Plans de Continuité d’Activité 39
01/12/2014 VERSION DE TRAVAIL 67
INTERNAL & PARTNERS
5acXjzUk
Commentaire
Nombre total de personnes
prenant part à la réalisation des
p r o c e ssu s l i sté s c i -d e sso u s (e n
"équivalent Temps plein")
Planning Ressources Humaines de Reprise
d'activité
(valeur en "éq uivalent Temps Plein")
DIMA
Description des activités
ou processus
Ressources Humaines
Impact
N°
Activités ou
P r o c e ssu s
Description/
Observations/
(in jours)
Business
Image
Compétence Unique ou
Délégation de Pouvoir
ASAP12H
24H
ou
1
jour
2
jour
3
jour
5
jour
10
jour
15
jour
20
jours
30
jours
1
000
2
000
3
000
4
000
5
000
6
000
7
000
8
000
9
000
10
000
11
000
12
000
13
000
14
000
15
000
16
000
17
000
18
000
19
000
20
000
TOTAL
0000000000
Réserve de personnel
0000000000
Commentaire
Planning Ressources Humaines de Reprise
d'activité
(valeur en "éq uivalent Temps Plein")
DIMA
Description des activités
ou processus
Ressources Humaines
Impact
« Identification des besoins en Ressources Humaines en termes de continuité d’activité»
Matrice de recueil d’information « Identification des besoins en Resources Humaines en
termes de continuité d'activité »
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES
40 — Les Plans de Continuité d’Activité
3.3.1. La définition des solutions
Le temps de l’analyse est maintenant terminé, les
processus critiques et les besoins de continuité
d’activité des services sont connus, il est temps de
rechercher les différentes stratégies de continuité
d’activité qu’il est possible de mettre en œuvre
ainsi que d’identifier les coûts associés pour
chacune d’entre elles.
Pour ce faire, une recherche tout azimut de
solutions de continuité doit être réalisée : appels
d’offres auprès de prestataires de services (salles
de repli), devis pour achat de matériels (serveurs
de back up….). Les résultats de cette recherche
(7) Les représentations graphiques ont été réalisées par Chloé Sibilat et Francesca Serio, élèves du master « Gestion Globale des
Risques et des Crises » Paris 1 Sorbonne.
Définition
des solutions
de continuité
3
Phase 3
3.3. DÉFINITION DES SOLUTIONS
ET DES STRATÉGIES DE CONTINUITÉ
D’ACTIVITÉ
Identifier les différentes stratégies de continuité d’activités
envisageables et attribution d’un ordre de grandeur des
coûts associés
Mise en place du PCA et des déclinaisons opérationnelles à
l’échelle de chacun des services
sont généralement documentés au sein d’un
dossier qui identifient les diverses réponses
possibles en termes techniques, matériels et
organisationnels. Il présente et explicite les
points forts et les points faibles de chacune des
différentes stratégies. De ce fait, certaines d’entre
elles pourront être abandonnées (pour des raisons
de coût notamment) et d’autres pourront être
approfondies.
Par ailleurs, ce document constitue le support à la
validation définitive de la stratégie de continuité et
à l’édification des solutions de continuité.
Veuillez trouver ci-après quelques
représentations graphiques
(7)
qui présentent les
principales stratégies de continuité pour chacune
des problématiques abordées par le PCA.
— Les Plans de Continuité d’Activité 41
Problématiques d’indisponibilités de locauxSTRATÉGIES DE CONTINUITÉ ? LOCAUX Site
Site externe
dédié
· Prestation spécialisée
dédiée ou mutualisée
avec d’autres clients
(ex : centre d’affaires) ;
· La solution de repli
n’est efficace que si le
site de report présente
une exposition
différente aux aléas
climatiques. Réquisition
de bureaux ? Utilisation des positions de
travail d’autres collaborateurs
? Arr?t potentiel d’autres
activités. Salles de réunion,
de formations Locaux publics ? Locaux mis à disposition
par les pouvoirs publics. Travail à distance ? Portable, carte 3G, accès
0tUEA???DA
Départ de
l’activité
*
· Reprise par de l’activité
par d’autres collaborateurs
internes ou par des
ressources externes
(prestataires).
Répartition
· Entre plusieurs sites pouvant
assurer le maintien et la reprise
de l’activité d’un site affecté. La
répartition doit intégrer une
diversité géographique
suffisante pour éviter un impact
simultané.
Site interne
dédié
· Meilleure couverture
sinistres étendus ;
· Environnement technique
parfaitement maîtrisé ;
· Mutualisation possible.Repli sur site dédié
Sites dédiés à la continuitéMAt???A???????A?j??????????
??????~??????AG
? Diminution des capacités de
réunions ou formations.
Reprise
de l’activité
Autres
solutions
Repli vers d'autres
locaux
*
*
Un aléa climatique d’ampleur régionale peut rendre
simultanément indisponibles le site principal et le site de
repli, soit par exposition directe, soit par indisponibilité
des infrastructures et des accès.
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 42 — Les Plans de Continuité d’Activité
Problématiques d’indisponibilités de Ressources Humaines
STRATÉGIES DE CONTINUITÉ — RESSOURCES HUMAINES
Ressources
Humaines Solutions ad Hoc
(ex. problématiques sanitaires) ? Mesures sanitaires ? barrières ? :
masques, solutions
hydroalcooliques ;
? Dispositifs techniques. ? Portable, carte 3G,
accès ADSL, etc. Reprise de l'activité Travail
à distance
* ? Reprise de l’activité par des
ressources internes
(volontariat, renforcement
- retraités - intérimaires) ;
? Formation de certains
personnels aux taches
prioritaires (vivier
AA??à?~??ZD Départ de
l’activité ? Reprise de l’activité par des
ressources externes
(prestataires). Répartition
* ? Entre plusieurs sites
pouvant assurer le
maintien et la reprise de
l’activité d’un site affecté. Assouplissement
des règles
d’exploitation Changement
du rythme du travail ? Réduction / arr?t
de l’activité MA>??ç?~?ç???A???A??~???
horaires
Report de l'activité
Autres solutions
Réduction ou arrêt
de l’activité
*
Dans le scenario d’un aléa
climatique, les ressources
humaines peuvent être
simultanément impactées par le
même aléa, en raison de difficultés
de déplacement, de contraintes
personnelles ou de l’indisponibilité
des infrastructures de leur lieu de
résidence.
— Les Plans de Continuité d’Activité 43
Problématiques d’indisponibilités des Systèmes d’Informations Reprise informatique distante
(Centre informatique)
200 km ~10 km à 50 km ? Ressources techniques
mutualisables avec d’autres
plateformes (Dév, Qualif...)
? Délai de reprise : entre 24 et
72 h selon les applications et
à compte de la décision ;
? Perte de données : dépend
des dispositifs de
sauvegarde.
? Prestation spécialisée dédiée ou
mutualisée avec d’autres ;
MAt???????A????~???A????A???A
reprise distante moins exigeante
(périmètre réduit). ? Redondance de matériel et
réplication des données entre
les 2 sites ;
? Délai de reprise : quelques
minutes à quelques heures
? Perte de données : aucune ou
limitée ;
? Pas de couverture en cas de
choc extr?me (risque régional)
? Coût élevé. ? Redondance du serveur local et
sauvegardes ;
? Matériel de secours disponible
(stock interne ou externe). Haute
disponibilité ? Redondance de matériel et réplication
des données entre les 2 salles (serveurs
et accès Télécom) ;
? Délai de reprise : entre 0 et 48 heures,
selon les solutions et les besoins ;
? Priorisation en cas de perte totale d’une
salle ;
? Coût élevé. Continuité locale :
2 salles sur un site
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 44 — Les Plans de Continuité d’ActivitéSTRATÉGIES DE CONTINUITÉ ? FOURNISSEURS
Fournisseur
Problématiques d’indisponibilités de fournisseur(s)
— Les Plans de Continuité d’Activité 45 STRATÉGIES DE CONTINUITÉ ? OUTILS DE PRODUCTION Prestations
externes ? Si possible, trouver des solutions
quand à la nature de l’objet. Ex : si
rupture de livres papiers, pallier
avec des livres numériques. Service
alternatif
Outils de
Production
Outils de
Production
Problématiques d’indisponibilités d’un outil de production
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 46 — Les Plans de Continuité d’Activité Sécurisation ? Alimentation énergétique de secours
(Groupes électrogènes, onduleurs,
batteries…) ;
? Approvisionnement en eau securisé
(réserves d’eau dédiées, solution de
recyclage ou de reduction de la
consommation). Redondance et sécurisation
des infrastructures: ? Déport vers des sites disposant
d’infrastructures fonctionnelles
(voir indisponibilité du site) ;
? Travail à distance (mobilité
géographique des collaborateurs,
télétravail depuis des zones non
impactées). Relocalisation
ou déport de l’activité : ? Solutions de remplacement
temporaires (location générateur
mobile, location citerne d’eau…) ;
? Itinéraires et accès alternatifs
???Uç????ç??AG
? Recours à des modes de
transport différents. Substitution des
infrastructures
défaillantes : ? L’indisponibilité ou la dégradation
des infrastructures routières peut
retarder, voire rendre impossible,
l’intervention des secours publics
(pompiers, SAMU, forces de
l’ordre), ainsi que l’accès des
prestataires techniques et
fournisseurs essentiels. /! Impact transversal
majeur :
Infrastructures
Problématiques d’indisponibilités des infrastructures
— Les Plans de Continuité d’Activité 47
3.3.2.1. La mise en place
du « Plan de Continuité d’Activité »
Le Plan de Continuité d’Activité prend la forme
d’un ensemble de documents formalisés et
régulièrement mis à jour, de planification des
actions à mettre en place suite à la survenue
d’une catastrophe ou d’un sinistre grave. Il
fixe les modalités matérielles, techniques et
organisationnelles du fonctionnement en mode
« dégradé » de l’activité de l’entreprise et de
reprise graduelle des activités, des plus sensibles
aux moins sensibles.
A ce titre le Plan de Continuité d’Activité propose
donc une organisation alternative que l’entreprise
applique, le temps de remédier à l’événement
perturbateur à l’origine de l’arrêt des processus
et facilite la reprise graduelle des processus
critiques de l’entreprise (des plus sensibles au
moins sensibles) et la mobilisation des ressources
associées au regard de la Durée d’Interruption
Maximale Admissible (DIMA) et à la gravité de
l’arrêt des processus.
Il prend la forme d’un schéma d’ensemble
présentant les modalités matérielles, techniques
et organisationnelles permettant la reprise de
l’activité
(8)
ainsi que l’ensemble des dispositions de
continuité d’activité communes à l’ensemble des
services tels que les procédures d’activation des
salles de repli, les « plans de reroutage courrier
» et « plans de reroutage téléphonique » doivent
figurer dans ce document. Cet ensemble est
complété par des documents de synthèses et
graphiques opérationnels : diagramme de Gantt,
planning des besoins en ressources humaines sous
forme de tableau Excel….
Cet ensemble de documents permet d’acquérir
une visibilité globale et optimale du pilotage
opérationnel du PCA en cas de déclenchement
du dispositif.
3.3.2.2. Déclinaison des solutions
opérationnelles pour chacun
des départements
Le document « Plan de Continuité d’Activité »
est une synthèse à compléter par des fiches
opérationnelles de continuité d’activité à l’échelle
de chacun des services (une fiche par service).
Ces fiches doivent être simples, claires intégrant
si besoin des graphiques et revêtir un formalisme
unique et commun à l’ensemble des services.
D’un point de vue méthodologique, le responsable
du PCA prendra soin de pré-remplir l’ensemble des
fiches avec les informations recueillies lors des
phases d’analyse précédentes et de hiérarchiser
les processus par ordre de redémarrage, des DIMA
les plus courtes aux plus longues. Une application
simple de type « Macro Excel » permettra
d’automatiser la compilation et la concaténation
des données en provenance des différentes
feuilles.
En complément, un entretien doit être programmé
avec chaque responsable de service pour décrire
la manière avec laquelle il compte redémarrer
chaque processus. Ils feront figurer la liste des
actions qui en permettront le redémarrage.
A ce titre, il est nécessaire de sensibiliser les
directeurs de services (ou les correspondants PCA)
sur leurs responsabilités dans la mise en place de
solutions de continuité d’activité et de leur rappeler
l’impérieuse nécessité de documenter leur propre
politique de continuité d’activité, en cohérence
avec le niveau global. Ainsi, la bonne connaissance
et la bonne implémentation de la documentation
de continuité d’activité par les responsables de
service sont des gages d’efficacité dans le pilotage
opérationnel de la reprise de l’activité.
3.3.2. Mise en place du PCA
(8) Notons également que certains RPCA fractionnent la reprise de l’activité en 3 temps et incluent à ce titre des dispositions d’urgence
(fiche actions reflexes), de reprise d’activité (reprise de l’activité sur un site de repli par exemple) et de retour à la normale (retour sur
le site nominal après la période de reprise d’activité sur le site de repli).
3
MÉTHODOLOGIE : LA MISE EN PLACE DU PCA EN 5 ÉTAPES 48 — Les Plans de Continuité d’Activité
Le PCA doit être maintenu en conditions
opérationnelles. Il doit être actualisé régulièrement
afin d’être efficient dès la survenue de la crise.
L’actualisation des PCA doit permettre de
prendre en compte les changements techniques,
fonctionnels, organisationnels de l’entreprise
mais également l’évolution des contraintes
A l’instar de la gestion de crise, les bonnes
procédures se testent par le biais d’exercice de
simulation. Ces exercices permettent d’éprouver
la qualité de la documentation, le fonctionnement
des équipements techniques mais également la
connaissance et la maitrise des personnes qui les
utilisent. En mettant en situation les collaborateurs,
les responsables PCA peuvent ainsi évaluer le
niveau de connaissances, de compétences et le
Phase 4
3.4. MAINTIEN EN CONDITIONS
OPÉRATIONNELLES, ACTUALISATION
DES PLANS DE CONTINUITÉ
D’ACTIVITÉ ET TESTS / SIMULATION
réglementaires et des choix technologiques de
l’entreprise.
La mise à jour du PCA consiste à vérifier
l’adéquation des solutions existantes avec les
exigences de continuité.
comportement des collaborateurs et procéder à
d’éventuels ajustements. Enfin, la fréquence de ces
exercices permet de rappeler à l’esprit des parties
prenantes que la crise peut survenir et qu’il faut se
tenir prêt à l’affronter.
On peut tester le plan de gestion de crise d’un
côté et le PCA de l’autre mais également tester la
coordination de la mise en œuvre des deux.
3.4.1. Actualisation des PCA
3.4.2. Test / Simulations
Maintien en conditions opérationnelles
Actualisation du PCA et tests
Entretien PCA
4
— Les Plans de Continuité d’Activité 49
EXEMPLE
Exemple de scénario d’exercice de crise qui
permet de tester le PCA :
une inondation
soudaine empêche l’accès au bâtiment A. La cellule
de crise est mobilisée dans une salle de crise dite
« secondaire » à l’extérieur du bâtiment, et décide
de déclencher le PCA. Dès lors, les collaborateurs
devant se rendre dans la salle de repli (ou « salle
de back-up ») s’exécutent et s’y présentent selon
l’ordre et les modalités opérationnelles décrites
Phase 5
3.5. MAINTIEN EN CONDITIONS
OPÉRATIONNELLES, ACTUALISATION
DES PLANS DE CONTINUITÉ
D’ACTIVITÉ ET TESTS/ SIMULATION
Il est donc absolument nécessaire de mettre en
place, en parallèle du déroulement technique
du projet, des actions de communication, de
sensibilisation et de formation afin de doter
l’entreprise d’une culture de la continuité d’activité.
Cette communication peut prendre différentes
Au « cœur » de l’organisation, le chef de projet PCA doit être doté de réelles qualités de
communication. La dimension transverse de sa mission l’amène à rencontrer des collaborateurs
de tous niveaux hiérarchiques : des fonctions support aux unités de production.
3.5.1. Le principe du KISS
formes : films, quizz, pastiches de jeux TV (« money
drop »), etc.
Le leitmotiv étant ici le principe du KISS :
« Keep It Simple and Sexy » (« faisons simple et
sexy »)
Communication sur le Projet PCA
Sensibilisation des Dirigeants et des Collaborateurs
5
dans le document PCA. Un ou des membres
dédié(s) de l a cellu le de crise su per vise l a dimension
logistique et accueille les collaborateurs. Ils se
mettent réellement à travailler en salle de repli, le
cas échéant en mode « dégradé » , et ainsi testent
le « bon » fonctionnement » du PCA. De leur côté,
les membres de la cellule de crise contrôlent la
situation et veillent au redémarrage de l’activité
tout en répondant également à des sollicitations de
journalistes et de parties prenantes de l’entreprise.
49
LES CYBER-ATTAQUES:
LES NOUVELLES
PROBLÉMATIQUES
DU PCA
Chapitre 4
Chapitre 4
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA 52 — Les Plans de Continuité d’Activité
4.1. LES RESSOURCES INFORMATIQUES :
DE L’ACCIDENTEL AU DÉLICTUELLE
Une attaque informatique peut prendre plusieurs formes :
4.1.1. Cyber-Attaque, de quoi parle-t-on ?
Le défacement de site
internet externe
Cette menace moins fréquente de nos jours a principalement un impact
d’image.
DDOS (indisponibilité
de sites institutionnels)
De manière identique, il s’agit principalement d’un risque d’image avec
peu d’impact opérationnel
DDOS (indisponibilité
de sites métiers)
Ce type d’attaque est plutôt rare mais a connu un fort retentissement
fin 2025 avec l’attaque du groupe la Poste qui a perturbé la distribution
des colis et rendu indisponible l’accès à l’application de gestion des
comptes de la Banque Postale pour les clients. Ce type d’attaque
touche la vitrine numérique d’une entreprise mais ne remet pas en
cause l’intégrité de son informatique interne.
Les attaques
au « Président »
Une attaque au président consiste à usurper l’identité ou l’autorité
d’un dirigeant afin de tromper des collaborateurs et détourner les
fonds d’une entreprise. Avec les nouveaux risques liés à l’IA, cette
fraude s’appuie désormais sur des deepfakes vocaux ou vidéo et des
messages hyper-personnalisés générés automatiquement, rendant la
manipulation plus crédible et difficile à détecter. Il s’agit d’une attaque
de type ingénierie sociale (et non pas réellement Cyber).
Les attaques
de réputation (fausse
attaque informatique)
Une attaque par réputation consistant à inventer une fausse
cyberattaque vise à faire croire que l’entreprise a subi une faille de
sécurité grave, afin de semer le doute sur sa fiabilité. En diffusant
de fausses informations ou de faux rapports techniques, les auteurs
cherchent à nuire à l’image de marque et à provoquer une perte de
confiance des clients et partenaires.
La « perte » de données
personnelles
Les attaques visant à voler les données personnelles des clients
consistent à infiltrer les systèmes d’une entreprise pour extraire des
informations sensibles comme les identités, adresses ou données
bancaires. Les cybercriminels utilisent ensuite ces données pour de
la fraude, de l’usurpation d’identité ou les revendre sur des marchés
illégaux, causant des dommages importants aux clients comme à la
réputation de l’entreprise.
— Les Plans de Continuité d’Activité 53
Ce dernier type d’attaque se définit par la déstabilisation immédiate et majeure du fonctionnement courant
d’une organisation (arrêt des activités, impossibilité de délivrer des services, pertes financières lourdes,
perte d’intégrité majeure, etc). C’est donc un évènement à fort impact, qui ne saurait être traité par les
processus habituels et dans le cadre du fonctionnement normal de l’organisation.
Repenser les métriques de résilience : du RTO au RIO
L’un des principaux risques mis en évidence par ce chapitre tient à la décorrélation entre les métriques
traditionnelles de résilience, historiquement centrées sur les délais de reprise technique (RTO), et
la réalité des crises majeures impliquant une perte de confiance dans les données. Dans ce type
de situation, la remise en service des systèmes ne suffit pas : tant que l’intégrité et la fiabilité des
données ne sont pas établies, la capacité réelle de l’organisation à reprendre ses activités demeure
limitée.
Il est dès lors essentiel que les responsables des risques et de la résilience utilisent ces concepts
pour faire évoluer le dialogue avec les comités exécutifs et les conseils d’administration. Le reporting
ne peut plus se limiter à des indicateurs de type RTO, mais doit intégrer une réflexion plus qualitative
autour du RIO (Recovery of Integrity Objective), c’est à dire le temps nécessaire pour restaurer la
confiance opérationnelle et décisionnelle dans les données.
Cette approche gagne à s’appuyer sur des scénarios concrets et compréhensibles au niveau de la
gouvernance. Par exemple :
quel serait l’impact pour l’entreprise d’une indisponibilité prolongée de
son ERP, non pas en raison d’une panne technique, mais du temps requis pour vérifier, réconcilier et
certifier l’intégrité des données avant toute reprise effective ?
L’accès à des données
confidentielles
par des tiers
Ce type d’attaque consiste à pénétrer ses systèmes pour récupérer des
informations stratégiques comme des plans, brevets, procédés internes
ou données de R&D. Ces données sensibles sont ensuite exploitées
pour obtenir un avantage concurrentiel, affaiblir l’entreprise ou les
revendre à des acteurs malveillants ou concurrents.
Intrusion et destruction
du système informatique
interne (Ransomware,
Wiper…)
Une attaque de type ransomware chiffre les données de l’entreprise
et bloque l’accès à ses systèmes, puis exige une rançon pour rétablir
la situation. Un wiper, lui, détruit définitivement les données au lieu de
les chiffrer, causant une interruption majeure et souvent irréversible de
l’activité. Ces types d’attaques peuvent être complétés par un vol des
données de l’entreprise et la menace de les publier si aucune rançon
n’est payée, ajoutant une pression supplémentaire et un fort risque de
réputation.
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA 54 — Les Plans de Continuité d’Activité
4.1.2. Le changement de paradigme et l'obsolescence du
Plan de Secours traditionnel
4.1.3. Anatomie d'une cyber-crise systémique : une étude
de cas
Le Pl an de Secours I nform at ique (PS I), tel que décrit
précédemment, constitue le fondement historique
de la résilience des systèmes d'information. Conçu
pour répondre à des événements accidentels
(panne matérielle, rupture de câble, incendie
d'un centre de données etc.), son objectif est
de restaurer une capacité de fonctionnement
dans un délai défini (RTO) avec une perte de
données acceptable (RPO). Cette approche
reste indispensable, mais elle est devenue
fondamentalement inadaptée pour faire face à une
nouvelle classe de menaces : l'adversaire délictuel.
Le PSI prépare l'organisation à se remettre d'un
événement statique et circonscrit ; il est en
revanche mal équipé pour gérer une intrusion
dynamique et persistante menée par un acteur
intelligent et malveillant. La nature du risque a
changé : il ne s'agit plus d'une défaillance passive,
mais d'une compromission stratégique active.
Par conséquent, la confiance exclusive dans un
PSI traditionnel peut engendrer un dangereux
Pour illustrer ce changement de paradigme,
l'incident survenu en septembre 2025 chez un
constructeur automobile mondial de premier plan
offre un cas d'étude édifiant. Cet événement n'a
pas été un simple incident technique, mais un
« choc systémique » qui a paralysé l'ensemble
de ses opérations mondiales et provoqué
des répercussions mesurables sur l'économie
nationale.
sentiment de fausse sécurité. Un PSI suppose
que les données à restaurer sont intègres et que
le périmètre du sinistre est connu. Or, un acteur
malveillant qui obtient un accès administrateur au
cœur du système d'information ne cherche pas
seulement à provoquer une interruption ; il vise à
exfiltrer, voire à altérer subtilement les données.
Dans ce contexte, restaurer une sauvegarde
récente pourrait signifier réintroduire un système
déjà compromis.
Cette situation révèle une défaillance de
gouvernance critique. Une organisation qui
s'appuie uniquement sur son PSI pourrait estimer
son temps de reprise à 48 heures, alors que la
réalité, face à une compromission de l'intégrité
des données, peut être un arrêt de production
d'un mois. Cette dissonance entre la résilience
perçue, souvent mesurée par des métriques RTO
simplistes, et la réalité de la reprise constitue
un angle mort stratégique pour de nombreuses
directions.
DU COMPOSANT DÉFAILLANT AU SYSTÈME
NÉVRALGIQUE COMPROMIS
La nature systémique de cette crise dépendait
moins de la sophistication de l'outil d'attaque
que de la criticité de l'actif ciblé. Les attaquants
n'ont pas visé un système périphérique, mais le
« cerveau numérique » de l'entreprise : son
progiciel de gestion intégré (ERP) SAP, qui orchestre
la production, la finance et la logistique au niveau
mondial. Le vecteur d'attaque initial n'était pas
une vulnérabilité inconnue de type « zero-day »,
mais l'exploitation de deux failles critiques
publiquement documentées (CVE-2025-31324 et
CVE-2025-42999), pour lesquelles des correctifs
— Les Plans de Continuité d’Activité 55
étaient disponibles depuis plus de quatre mois.
L'incident ne résulte donc pas d'une fatalité
technologique, mais d'une défaillance dans les
processus fondamentaux d'« hygiène cyber » et
de gestion des vulnérabilités. Ne pas appliquer
un correctif sur un système aussi central, face à
une menace aussi clairement identifiée, n'est pas
une simple négligence opérationnelle ; c'est un
manquement stratégique.
L'ARRÊT STRATÉGIQUE : UN NOUVEAU
DÉCLENCHEUR POUR LA CONTINUITÉ
D'ACTIVITÉ
L'arrêt complet et mondial de la production
pendant un mois n'a pas été le résultat direct de
l'attaque, comme un chiffrement par rançongiciel.
Il s'agissait d'une « mesure de confinement
défensive délibérée », une décision stratégique
prise par la cellule de crise de l'entreprise.
Cette stratégie de la « terre brûlée » a été jugée
indispensable pour atteindre deux objectifs
vitaux : premièrement, stopper l'exfiltration
massive de données (environ 350 Go de propriété
intellectuelle) et, deuxièmement, prévenir un
risque encore plus grand : le pivot de l'attaquant
du réseau informatique (IT) vers l'environnement
des technologies opérationnelles (OT). Une
compromission des systèmes de contrôle industriel
sur les chaînes de montage aurait pu permettre le
sabotage physique de la production ou la création
d'incidents de sécurité graves.
Cette réalité inverse la logique traditionnelle du
PCA. Habituellement, un PCA est activé par un
événement externe qui cause une indisponibilité
(incendie, inondation). Ici, le déclencheur a été
une décision interne, proactive, prise pour prévenir
un scénario pire, mais qui n'était à ce stade que
potentiel. Le PCA doit donc désormais être conçu
non seulement comme un catalogue de réponses
à des sinistres avérés, mais aussi comme un plan
d'action pour gérer les conséquences d'une
décision stratégique de la cellule de crise. Le
PCA est activé par la cellule de crise, et non plus
seulement pour elle.
LA PRIMAUTÉ DE L'INTÉGRITÉ DES DONNÉES :
L'AVÈNEMENT DU RECOVERY INTEGRITY
OBJECTIVE (RIO)
La raison pour laquelle la reprise a nécessité un
mois entier ne réside pas dans la complexité de la
reconstruction des serveurs, mais dans le défi bien
plus ardu de la « validation et de la réconciliation
de l'intégrité des données » au sein de l'ERP
compromis. Ayant obtenu un contrôle administratif
total, les attaquants auraient pu subtilement
altérer des enregistrements critiques : niveaux
de stock, ordres de paiement, nomenclatures
de produits. Redémarrer la production mondiale
avec des données non fiables aurait été un risque
commercial inacceptable.
Cet impératif fait émerger un nouveau concept
qui supplante les métriques traditionnelles : le
Recovery Integrity Objective (RIO), ou Objectif
d'Intégrité de la Reprise. Il s'oppose au classique
Recovery Time Objective (RTO).
Le RTO pose la question : « En combien de
temps pouvons-nous être de nouveau
opérationnels ? ».
Le RIO, quant à lui, demande : « À partir de
quel moment pouvons-nous de nouveau
faire confiance à nos données et à nos
processus ? ».
Dans le cas d'une compromission systémique, le
RIO devient la métrique dominante. Atteindre le
RIO transforme la reprise d'une tâche informatique
en un audit forensique à grande échelle,
nécessitant des compétences différentes (experts
en juricomptabilité, analystes de données) de
celles d'une équipe de restauration classique.
Les organisations doivent donc anticiper cette
réalité en incluant dans leur PCA un « Plan de
Validation des Données » qui identifie à l'avance
les sources de confiance externes et les expertises
nécessaires.
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA
56 — Les Plans de Continuité d’Activité
4.2. L'ÉCOSYSTÈME COMME CHAMP
DE BATAILLE : LE DILEMME DE LA
CHAÎNE D'APPROVISIONNEMENT
L'impact de la cyberattaque ne s'est pas limité aux frontières de l'entreprise. La chaîne
d'approvisionnement a joué un double rôle : celui de victime et celui de vecteur de la menace.
L'arrêt de la production a mis en péril environ
200 000 emplois au sein de l'écosystème de
la chaîne d'approvisionnement. De nombreux
fournisseurs, dont l'activité dépendait quasi
exclusivement du constructeur, ont été contraints
de procéder à des licenciements. La situation a
été aggravée par la mise hors ligne des systèmes
de paiement, provoquant une crise de liquidité
aiguë chez ces partenaires. L'onde de choc a été
La chaîne d'approvisionnement est de plus en plus
reconnue comme un vecteur de menace majeur,
une tendance confirmée par des agences comme
l'ENISA et l'ANSSI. Deux principaux scénarios
d'attaque émergent :
La compromission d'un partenaire (mouvement
latéral) : Les attaquants ciblent un fournisseur
ou un prestataire de services, souvent moins
bien sécurisé, pour exploiter les accès et les
relations de confiance qu'il entretient avec sa
cible principale ;
La compromission d'un produit ou service
(attaque de la chaîne d'approvisionnement
logicielle) : Cette approche consiste à injecter
4.2.1. L'effet domino : la chaîne d'approvisionnement
comme victime
4.2.2. Le cheval de Troie : la chaîne d'approvisionnement
comme vecteur
si violente qu'elle a nécessité une intervention
étatique sans précédent : le gouvernement
britannique a dû accorder une garantie de prêt
de 1,5 milliard de livres sterling pour éviter une
vague de faillites en cascade. Cet événement
démontre qu'une cyberattaque contre une entité
d'importance systémique est une menace pour la
sécurité économique nationale.
du code malveillant directement dans un
produit, un composant ou une mise à jour
logicielle fournie par un tiers.
L'hyper-intégration des chaînes d'approvision-
nement modernes, optimisées pour une efficacité
maximale via des modèles « juste-à-temps », a
involontairement créé un vecteur de contagion
du risque tout aussi efficace. La résilience de
l'écosystème impose donc un changement de
paradigme : il ne s'agit plus seulement d'opti-
miser chaque maillon, mais d'assurer la stabilité de
l'ensemble, quitte à sacrifier une part d'efficacité
au profit de la robustesse.
— Les Plans de Continuité d’Activité 57 — Les Plans de Continuité d’Activité 57
4.3. SPÉCIFICITÉ D’UNE CRISE CYBER
DE TYPE RANSOMWARE
PAR RAPPORT AUX AUTRES
INDISPONIBILITÉS CLASSIQUES
En comparaison à d’autres types de crise, les crises cyber de type ransomware ont des
caractéristiques propres qu’il est important d’appréhender :
Le diagnostic initial est souvent incertain.
- Les systèmes touchés sont inaccessibles
ou partiellement paralysés, ce qui empêche
d’identifier immédiatement l’étendue réelle
de l’intrusion. De plus, les attaquants
masquent volontairement leurs traces,
rendant difficile de savoir si des données
ont été exfiltrées, combien de machines
sont compromises ou si d’autres menaces
dormantes sont encore actives.
Une attaque peut continuer à se propager
pendant l’activation du PCA.
- Soit car l’attaquant est toujours actif et va
s’adapter aux mesures de cantonnement
mises en place par l’entreprise ;
- Soit car même si un système est sain,
l’entreprise peut faire le choix de le couper
volontairement afin d’en assurer l’intégrité en
attendant d’avoir une meilleure vision sur la
situation.
Une absence d’unicité de lieu de réalisation.
- Potentielle propagation à d’autres
organisations en raison de l’interconnexion
des SI auxquels sont associés les systèmes
d’information de l’organisation et ceux de ses
prestataires.
Les outils de gestion de crise peuvent être
indisponibles.
- Que ce soit pour la documentation ;
- Ou les moyens de communication
(Messagerie, messagerie instantanée,
annuaire…).
Les besoins de collecte de preuve et de
communication sont présents avec des
délais de déclaration contraints auprès des
différents organismes (Autorités, assureurs…).
Cette contrainte existe avec d’autre type
de crise mais ce qui est spécifique ici est le
manque d’outil et de référentiels disponibles
pour le faire (indisponibilité des outils
informatiques usuels).
Des temps de rétablissement difficile à
estimer.
La reconstruction du SI peut être : partielle,
progressive et incertaine avec de possibles
retours en arrière et une incertitude sur la
qualité des données.
Une dépendance forte à des experts
techniques (rares…).
La compromission peut dater de plusieurs
mois en arrière avec la nécessité d’avoir la
capacité de reconstruire un système sain sans
garantie d’avoir des sauvegardes exploitables
(compromises, effacées, non utilisables…).
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA 58 — Les Plans de Continuité d’Activité
4.4. VERS UN CADRE INTÉGRÉ
DE CYBER-RÉSILIENCE
Le P C A e t l e P S I , t e l s q u e t r a d i t i o n n e l l e m e n t c o n ç u s ,
sont des outils nécessaires mais insuffisants face
à un adversaire actif et intelligent. La réponse
ne réside pas dans un plan unique, mais dans la
décomposition des silos et l'orchestration de
trois fonctions distinctes mais interdépendantes :
la Gestion d'Incident, la Gestion de Crise et la
Continuité d'Activité.
U n e c y b e r - c r i s e s y s t é m i q u e e x i g e u n e c h o r é g r a p h i e
parfaite de ces trois fonctions, comme l'illustre
le tableau suivant. Ce tableau fournit une carte
visuelle d'un processus complexe, permettant
à différentes équipes de comprendre leur rôle
et leurs interdépendances à chaque phase de
la crise, passant d'actions en silo à une réponse
coordonnée.
La Gestion d'Incident (réponse technique) Assurée par les équipes techniques (SOC,
CERT/CSIRT), son rôle est de détecter, analyser,
contenir et éradiquer la menace au niveau des
systèmes. C'est le combat tactique, mené sur une
échelle de temps de quelques minutes à quelques
heures.
La Gestion de Crise (pilotage stratégique) Menée par la cellule de crise (direction,
juridique, communication), elle prend les décisions
stratégiques à fort impact (ex: « Faut-il arrêter
la production mondiale ? ») et gère les parties
prenantes. Elle opère sur une échelle de temps de
quelques heures à quelques jours.
La Continuité d'Activité (reprise opérationnelle) Exécutée par les équipes métier, elle met en
œuvre les solutions du PCA pour faire redémarrer
les activités critiques, une fois que la cellule de
crise a stabilisé la situation. Son échelle de temps
s'étend de quelques jours à plusieurs semaines.
— Les Plans de Continuité d’Activité 59
Phase de la Crise
Gestion d'Incident
Cyber (Objectifs &
Actions Clés)
Gestion de Crise
(Objectifs & Actions
Clés)
Continuité d'Activité
(Objectifs & Actions
Clés)
Préparation
Préparer les outils de
détection/réponse
(SIEM, EDR). Élaborer
des plans de réponse
technique (playbooks).
Entraîner les équipes.
Constituer et former
la cellule de crise.
Préparer les plans
de communication.
Identifier les parties
prenantes.
Élaborer et tester les
PCA/PSI. Réaliser
les BIA. Mettre en
place les solutions
de secours (sites,
données).
Détection
& Alerte Détecter l'anomalie.
Qualifier l'alerte.
Déclencher l'alerte
vers la cellule de crise.
Activer la cellule
de crise. Évaluer
l'impact métier
initial. Déclencher
la communication
interne.
Mettre les équipes
de continuité en
pré-alerte. Vérifier
la disponibilité
des ressources de
secours.
Confinement
& InvestigationIsoler les systèmes
compromis. Analyser
les modes opératoires
de l'attaquant.
Préserver les preuves
numériques.
Suivre l'évolution
de l'impact métier.
Prendre des décisions
de confinement à
plus large échelle
(ex: couper l'accès
internet).
Évaluer l'impact
de l'incident sur
les stratégies de
continuité prévues.
Décision
Stratégique Fournir des rapports
techniques factuels à
la cellule de crise.
Décider des mesures
radicales (ex: arrêt
de la production).
Valider et diffuser
la communication
externe. Gérer les
régulateurs.
Adapter les plans de
reprise en fonction
des décisions de la
cellule de crise.
Reprise
& Validation Éradiquer la menace.
Reconstruire les
systèmes de manière
sécurisée. Surveiller le
retour à la normale.
Piloter la stratégie de
reprise globale. Gérer
la communication sur
la reprise.
Déclencher le PCA.
Migrer les activités
sur les solutions
de secours. Valider
l'intégrité des données
(RIO) avant le
redémarrage.
Post-Crise
& REX Analyser les causes
profondes. Produire
un rapport forensique
détaillé.
Mener un REX
stratégique. Gérer
les conséquences à
long terme (juridiques,
réputationnelles).
Mener un REX
opérationnel. Mettre à
jour les BIA et les PCA
sur la base des leçons
apprises.
1
2
3
4
5
6
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA 60 — Les Plans de Continuité d’Activité
4.5. RECOMMANDATIONS DE MISE
EN ŒUVRE : FAIRE ÉVOLUER
LA MÉTHODOLOGIE DU PSI
*
La PSI doit définir les ressources
nécessaires au fonctionnement de l’activité et à
une reprise ordonnée et structurée de l’IT
À la fois au niveau de l’infrastructure, des
services support et des applications ;
Tester sa capacité à restaurer ou/et
reconstruire les différentes briques (AD,
services techniques, applications…) ;
Tester sa capacité à disposer de stations de
travail non infectés ;
Confronter les temps de restauration/
reconstruction avec la priorisation faite ;
Disposer de capacités de communication hors
du SI => capacités à utiliser régulièrement
sinon elles seront inutilisables le jour J ;
Concevoir des exercices intégrés : Dépasser
les tests de reprise informatique en silo.
Concevoir et mener des simulations à grande
échelle qui impliquent simultanément l'équipe
de réponse technique aux incidents, la
cellule de crise stratégique et les équipes de
continuité d'activité, en utilisant des scénarios
complexes comme une attaque sur l'intégrité
des données ;
Intégrer des tests de « données compromises »
(dirty data) : Pendant les exercices, tester
la capacité des équipes à détecter qu'une
sauvegarde restaurée contient des données
subtilement altérées, validant ainsi leurs
capacités à atteindre le RIO.
La PSI doit garantir une reprise IT testée,
cohérente avec les priorités métiers et
assurant l’intégrité des données.
*
PSI : Plan de Secours Informatique
— Les Plans de Continuité d’Activité 61
4.6. LISTES DES ÉLÉMENTS
SUPPLÉMENTAIRES À POSSÉDER
À LA FIN DE LA DÉMARCHE
DE MISE À JOUR DE SON PCA
POUR COUVRIR LE RISQUE CYBER
Une liste priorisée des infrastructures et
applications à reconstruire, en prenant en
compte les dépendances (applicatives, de
données, de version, etc.) nécessaires à la
reconstruction.
Des fiches réflexes par métier et par rôle.
Des procédures dites « bouton rouge », qui
visent à isoler rapidement des segments du
SI (en formalisant les impacts opérationnels
de ces isolations) et procédures « bouton
vert » pour mettre en place rapidement
l’environnement de réponse à la crise et de
continuité.
- Idéalement, ces procédures peuvent inclure
une automatisation dans leur exécution.
Une procédure de reconstruction spécifique
à chaque application / infrastructure critique
(reconstruction de zéro, copie, restauration de
sauvegarde, etc.), en prenant en compte :
- Les spécificités technologiques de la
solution à reconstruire ;
- Les moyens de récupérer les sauvegardes
saines et les données nécessaires, ainsi que
les interconnexions minimales.
La stratégie de test unitaire.
La stratégie de tests intégrés (simulations à
grande échelle qui impliquent simultanément
l'équipe de réponse technique aux incidents,
la cellule de crise stratégique et les équipes de
continuité d'activité).
Une stratégie d’acculturation des
collaborateurs et de communication du
plan de continuité, notamment sur le cadre
normatif, qui précisent les règles en vigueur
et les bonnes pratiques à appliquer aux
collaborateurs.
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA
62 — Les Plans de Continuité d’Activité
FOCUS RISQUES TIERS
La gestion
du risque Tiers
La maitrise du risque fournisseur passe par :
1
Identification et classification
des fournisseurs
Cartographier tous les prestataires
en fonction de leur rôle, des services
qu’ils fournissent et de leur criticité
pour l’activité (impact sur la continuité,
sécurité, données sensibles) ;
Prioriser les fournisseurs selon leur
importance (ex : fournisseurs critiques
vs secondaires).
2
Due diligence avant contractualisation
Faire des évaluations de risques
avant de signer avec un fournisseur :
sécurité, conformité, solidité financière,
dépendances ;
Vérifier les certifications, audits de
sécurité, posture cyber, continuité
d’activité, etc ;
Ajouter des critères de sécurité et
résilience dans les appels d’offres et les
choix.
3
Clauses contractuelles robustes
Inscrire dans les contrats des clauses
d’audit et d’accès aux informations,
des engagements de niveau de service
(SLA), des droits de supervision et des
KPIs de résilience ;
Prévoir des plans de sortie / exit
strategies, des mécanismes de
substitution et des obligations en cas de
défaillance ;
Contrôler les droits de sous-traitance et
les flux de données sensibles.
4
Surveillance continue en exploitation
Mettre en place un monitoring des
performances et des risques tout au
long de la relation ;
Réévaluer régulièrement la criticité
et les impacts en cas d’évolution de
services ou d’environnement ;
Intégrer alertes et indicateurs
permettant de détecter des
dégradations.
5
Plans de continuité et de reprise
S’assurer que les fournisseurs ont
aussi leurs propres plans de continuité
cohérents avec les besoins de
l’entreprise ;
Tester la résilience via des scénarios
(pannes, incidents majeurs, rupture de
service).
6
Information et capitalisation
des incidents
En cas d’incident impliquant un
fournisseur, documenter, analyser et
reprendre les enseignements pour éviter
la récidive dans d’autres relations.
Avoir conscience que même si une
prestation est externalisée, c’est
l’entreprise elle-même qui reste
responsable de la conformité globale et de
la gestion des risques associés. Ce dernier
point est par exemple une exigence
formulée dans le règlement DORA.
7
— Les Plans de Continuité d’Activité 63
FOCUS DÉLAI DE RÉTABLISSEMENT
Que faire si le RIO annoncé
n’est pas compatible
avec les objectifs métiers ?
1 2 3
PROPOSER AUX MÉTIERS
COMMENT CONTINUER À
OPÉRER SANS IT OU SANS IT
NOMINAL :
Procédures manuelles ou
semi-manuelles ;
Outils bureautiques de
secours (Excel, formulaires,
mails) ;
Traitements différés avec
rattrapage a posteriori ;
Périmètre fonctionnel
réduit (clients prioritaires,
opérations essentielles).
À formaliser dans un PCA
métier, pas seulement IT.
PRIORISATION FORTE ET
PÉRIMÈTRE RÉDUIT
Proposer une remise en
service partielle (fonctions
vitales seulement) ;
Identifier un socle minimal
Définir ce qui ne sera pas
restauré immédiatement.
Message clé : « On ne restaure
pas tout, mais on restaure
l’essentiel plus vite ».
SOLUTIONS DE SECOURS
ALTERNATIVES
Selon les cas :
Applications ou plateformes
de secours disponible sur
un autre environnement
technique (même moins
performantes) ;
Recours temporaire à un
prestataire externe,
Bascule vers un outil tiers
ou groupe (si groupe multi-
entités) ;
Duplication de certaines
données clés hors SI
principal.
4
LES ANGLES MORTS ET LES NOUVELLES PROBLÉMATIQUES DU PCA 64 — Les Plans de Continuité d’Activité
Les règles de sauvegardes doivent être construites
dans le contexte d’une reconstruction cyber. Les
éléments sous-jacents à l’infrastructure (binaires,
versions, configuration, etc.) sont notamment à
documenter, et cette documentation doit être
protégée. L’ordonnancement et l’automatisation
sont des solutions qui peuvent permettre
d’industrialiser ces étapes pour les environnements
virtualisées, cela sera plus difficile sur des
infrastructures physiques ou propriétaires.
Par ailleurs, l’existence de sauvegarde n’est pas un
critère suffisant pour réussir la reconstruction. Il
est nécessaire de considérer
Leur profondeur (pour s’assurer de l’existence
de sauvegarde suffisamment lointaine pour que
l’attaquant n’y soit pas présent) ;
Leur protection (pour éviter la destruction par
l’attaquant, par exemple via des mécanismes
d’immutabilité ou un stockage out-of-band) ;
Leur compatibilité (notamment le besoin de
synchronisation entre différentes systèmes).
FOCUS SAUVEGARDE
La stratégie
de sauvegarde,
pilier du PSI
Enfin, il est nécessaire de penser à rationaliser
les éléments sauvegardés en fonction de la
sensibilité et l’importance dans le processus de
reconstruction, pour éviter de “polluer” ce dernier
avec un surabondance de sauvegardes peu
utilisables.
Il faut établir une cible de systèmes d’information
(au travers de la stratégie de bulle de redémarrage,
voir plus bas), pérenne et saine et capable d’être
disponible et protégée en cas de crise cyber.
Selon les modalités des applications à reconstruire
et de l’organisation, un environnement primaire,
externalisé voire Cloud peut être considéré.
Une fois la cible définie, il est nécessaire de
construire une stratégie de tests complète . En
effet, une organisation avec des processus et des
outils fera face à des problèmes si la reconstruction
n’a pas été testée en amont. Cette stratégie doit
s’appuyer sur des tests unitaires de chaque brique
de l’infrastructure, mais également sur des tests
de l’ensemble de la chaine de valeur métier pour
assurer que cela fonctionnera au moment de la
reconstruction.
— Les Plans de Continuité d’Activité 65
FOCUS LA BULLE DE CONFIANCE
Bulle de confiance et/ou bulle de redémarrage ?
C'est un réseau isolé du SI infecté à partir duquel la reconstruction du SI est susceptible
d’être réalisée. Cette reconstruction se fait une un socle de confiance, dans lequel ne
sont déployer dans un premier temps que les services vitaux à l’organisation.
Selon les stratégies des entreprises, cette bulle de confiance peut être mise en place
à partir de systèmes neuf (ex: installation d’un nouvel Active Directory) ou à partir de
restauration de sauvegardes non compromises.
Pour permettre le maintien de la confiance dans ce réseau isolé, il convient de penser à:
Limiter les éléments déployés au strict minimum du fonctionnement des services
vitaux, notamment sur les aspects d’authentification et de réseau ;
S’assurer du bon niveau de sécurité des éléments déployés, notamment vis-à-vis des
vulnérabilités utilisées pour la compromission initiale du SI ;
Mettre en place une supervision accrue sur le SI pour vérifier du non-retour de
l’attaquant.
L’IMPACT
DU CHANGEMENT
CLIMATIQUE SUR
LES PCA : L’URGENCE
À PRENDRE
EN COMPTE
La montée en fréquence et en intensité des crises climatiques transforme
profondément la manière dont les organisations doivent envisager leur
continuité d’activité. Les événements récents ont démontré que ces
crises dépassent largement les scénarios classiques d’indisponibilité, en
touchant simultanément les infrastructures, les ressources humaines,
les réseaux et les chaînes d’approvisionnement. Dans ce contexte, le
Plan de Continuité d’Activité (PCA) doit évoluer vers une approche
systémique, intégrant étroitement l’analyse de risque, la coordination
avec les autorités locales et une anticipation renforcée des
interdépendances critiques.Chapitre 5
Chapitre 5
5
L’IMPACT DU CHANGEMENT CLIMATIQUE SUR LES PCA : L’URGENCE À PRENDRE EN COMPTE 68 — Les Plans de Continuité d’Activité
5.1. CRISE CLIMATIQUE : REPENSER SON
PCA À TRAVERS UNE APPROCHE
SYSTEMIQUE DE L'ENTREPRISE
Les crises climatiques se distinguent fortement
des indisponibilités classiques par leur ampleur
géographique, leur effet cumulatif et leur capacité
à perturber simultanément de multiples ressources
critiques.
Les inondations en Allemagne et en Belgique
(2021) ont entrainé la destruction simultanée
d’infrastructures, coupures prolongées
d’électricité, impossibilité d’accès à de larges
zones industrielles. Les vagues de chaleur extrême
en France et en Angleterre en 2022 ont entrainé
la surchauffe des datacenters, ralentissement des
chaînes logistiques, et l’indisponibilité du personnel.
Ces situations démontrent la nécessité d’une
analyse systémique incluant interdépendances,
infrastructures locales, énergies disponibles et
étendue géographique potentielle de la crise.
Lors de la construction du PCA, il est donc
indispensable d’adopter une approche systémique
intégrant :
les chaînes de dépendances critiques ;
les vulnérabilités locales (infrastructures,
énergies, voies d’accès) ;
la zone géographique potentiellement affectée
par l’évènement climatique ;
les effets domino entre ressources, sites et
infrastructures.
Cette analyse est une étape préalable essentielle
pour éviter que les stratégies de continuité
envisagées ne soient elles-mêmes rendues
inopérantes par le même événement climatique.
Ainsi, quelle que soit l’ampleur ou l’étendue
géographique de la crise, les processus critiques
de l’organisation doivent pouvoir perdurer ou
redémarrer dans les délais impartis. Nous utilisons
le terme de « fractale » pour définir un niveau
de résilience homogène, quelle que soit l’échelle
géographique retenue. Cette notion implique que
la continuité d’activité doit rester robuste, que la
perturbation touche un seul site, un ensemble de
sites régionaux ou tout un territoire national.
Le niveau de réponse de l’entreprise doit être
identique quelle que soit l’échelle géographique
de la crise.
d’un lieu circonscrit : la perte d’un bâtiment
dans un incendie ;
d’une maille géographique : le bassin versant de
la Seine en cas de crue de la Seine ;
d’un pays / état : l’ouragan Katrina qui a frappé
l’état de Louisiane ;
d’une zone : la tempête Boris en septembre 2024
qui a provoqué des inondations dévastatrices
dans les pays de l’Est de l’Europe ;
du monde entier : épisode pandémique à la
COVID-19 de 2020.
En conséquence, sécuriser la continuité d’activité
de l’entreprise à n’importe quelle échelle
géographique » impose de mesurer le niveau
d’insertion et de dépendance au territoire,
local, départemental, régional, national, afin
de comprendre comment les vulnérabilités du
territoire peuvent se propager jusqu’aux activités
critiques de l’organisation. Cette compréhension
conditionne la capacité à concevoir des stratégies
réellement résilientes, capables d’absorber ou de
contourner les effets d’une crise climatique, quel
qu’en soit le périmètre.
— Les Plans de Continuité d’Activité 69
5.2. RÉÉVALUER LES STRATÉGIES
DE CONTINUITÉ À L’AUNE
DU RISQUE CLIMATIQUE
Une crise climatique peut invalider des options
de continuité pertinentes dans des situations
classiques. Il est donc nécessaire de réexaminer
les mesures existantes du PCA, notamment :
VALIDATION DE LA DISPONIBILITÉ DES SITES
DE REPLI
Un site de secours situé dans la même zone
géographique risque d’être affecté par l’événement
climatique. Lors de la tempête Xynthia (2010),
plusieurs sites côtiers de repli envisagés par des
entreprises ont été rendus inaccessibles en raison
d’inondations simultanées dans toute la zone
littorale.
Il est recommandé de :
vérifier systématiquement l’exposition
climatique du site de repli ;
prévoir un site alternatif géographiquement
dissocié ;
documenter les critères de sélection (altitude,
réseaux, accès, exposition).
GESTION DES RESSOURCES HUMAINES
EN SITUATION DE CRISE CLIMATIQUE
Les membres de la cellule de crise peuvent être
touchés professionnellement et personnellement.
Le passage du cyclone Garance sur l’île de
La Réunion, le 28 février 2025, a montré de
manière très concrète à quel point les membres
d’une cellule de crise peuvent être touchés à
la fois professionnellement et personnellement.
L’événement a provoqué des vents dépassant les
200 km/h, des pluies exceptionnelles—par endroits
plus de 500 mm en quelques heures—ainsi que de
lourds dégâts sur les infrastructures essentielles :
routes coupées, habitations détruites, centaines
de milliers de personnes privées d’eau, d’électricité
ou d’Internet. Dans ce contexte, plusieurs
professionnels mobilisés pour gérer la crise ont
vu leur propre situation personnelle gravement
affectée. Certains ont perdu leur maison ou se
sont retrouvés dans l’impossibilité de se déplacer
en raison des routes effondrées ou inondées. Ainsi,
Garance démontre qu’en situation de catastrophe
climatique majeure, les membres d’une cellule
de crise ne sont pas uniquement des acteurs
mobilisés pour la continuité de l’organisation : ils
sont aussi des habitants du territoire, exposés
et vulnérables, confrontés aux mêmes pertes et
traumatismes que le reste de la population. Cette
réalité nécessite d’intégrer systématiquement
des backups humains, une organisation flexible,
ainsi que des scénarios de crise prenant en
compte l’indisponibilité soudaine ou prolongée de
personnes clés.
Il est indispensable de :
prévoir des backups opérationnels pour
chaque rôle clé de la cellule de crise ;
organiser une polycompétence minimale sur
les fonctions critiques ;
intégrer l’indisponibilité des membres de la
cellule de crise dans le PCA.
L’habitabilité d’un territoire est un point à prendre
en compte dans les PCA suite à un évènement
extrême comme un séisme, l’ouragan, inondation
dévastatrice. Les ressources humaines nécessaires
à l’activité n’auront plus de logement, de moyens
de transport. Pour assurer la continuité d’activité,
l’entreprise pourra prendre la décision de mettre
à disposition un service de transport, louer des
véhicules ou reloger les salariés et leur famille à
proximité de l’activité.
Source : Podcast les coulisses de la Com de crise, Communiquer
en pleine tempête : RETEX du Cyclone Garance – 04/12/2025
5
L’IMPACT DU CHANGEMENT CLIMATIQUE SUR LES PCA : L’URGENCE À PRENDRE EN COMPTE
70 — Les Plans de Continuité d’Activité
5.3. ÉVALUER LA RÉSILIENCE
DE LA CHAINE D’INTERVENTION
Dans le cadre du BIA (Business Impact Analysis)
et de la définition des RTO/RPO, il est nécessaire
de prendre en compte les vulnérabilités des
fournisseurs critiques et des prestataires impliqués
dans la continuité (ex. entreprise de nettoyage,
réparation toiture, pompage…),
Prenons le cas des inondations à Valence en
Espagne en Octobre 2024 (DANA, Depresion
Aislada en Niveles Altos) :
À la fin du mois d’octobre 2024, la région de
Valence est frappée par une DANA d’une intensité
exceptionnelle. En l’espace de quelques heures,
plus de 400 mm de pluie s’abattent sur les provinces
de Valence, Alicante et Castellón, provoquant
des destructions massives d’infrastructures,
l’inondation de quartiers entiers et un bilan humain
dépassant les deux cents victimes. Les dégâts
matériels, estimés à près de 29 milliards d’euros,
témoignent de l’ampleur du sinistre, devenu l’une
des catastrophes climatiques les plus graves de
l’histoire récente de l’Espagne.
Dans les heures et jours qui suivent, les
organisations publiques et privées tentent
d’activer leurs plans d’urgence. Cependant, la
combinaison d’une zone d’impact très étendue et
d’une destruction simultanée des infrastructures
essentielles entraîne une saturation rapide des
prestataires spécialisés : pompage, assèchement,
rétablissement électrique, IT, nettoyage industriel
ou logistique lourde. Les entreprises locales ne
parviennent plus à répondre à la demande, tandis
que plusieurs axes routiers endommagés bloquent
l’accès à certaines zones.
Cet épisode fournit un enseignement majeur pour
les organisations : lors d’une crise climatique à
large périmètre, les prestataires locaux deviennent
rapidement indisponibles, même lorsqu’ils sont
théoriquement contractuellement engagés à
intervenir. Pour les Risk Managers, cette réalité
impose de repenser le PCA en intégrant des
fournisseurs alternatifs situés hors de la zone
d’exposition, en ajustant les RTO pour tenir compte
de délais d’intervention fortement allongés et en
anticipant l'indisponibilité simultanée de ressources
critiques. L’exemple de Valence souligne ainsi la
nécessité d’une résilience de chaîne d’intervention,
au delà de la résilience interne de l’entreprise.
Dans ce contexte, pour sécuriser davantage la
continuité des activités essentielles, il peut etre
pertinent d’établir des partenariats avec des
spécialistes de l’après sinistre. Cela peut passer
par la mise en place de contrats préétablis avec
des entreprises expertes dans la remise en état,
afin de garantir une intervention rapide en cas de
dommages importants. Il est également possible de
formaliser des accords de priorité d’intervention,
permettant à l’organisation d’être traitée en
premier lors d’une crise affectant un grand nombre
de clients. Enfin, la réalisation d’audits préalables
avec ces prestataires contribue à accélérer leur
mobilisation le jour de l’événement, en clarifiant
en amont les modalités techniques, les accès aux
sites et les besoins spécifiques de l’entreprise.
Structurer un dispositif
d’alerte climatique
La mise en place d’un système d’alerte
precoce et graduel permet d’anticiper les
événements climatiques et de déclencher en
amont les mesures du PCA . Cet te anticipation
réduit les impacts opérationnels en sécurisant
les personnes, les actifs et les installations
avant la crise. Elle facilite l’activation rapide
de solutions de repli et la coordination des
équipes. En s’appuyant sur des seuils d’alerte
définis et des sources fiables, l’organisation
gagne en réactivité. Résultat : un temps de
reprise d’activité significativement réduitet
une résilience renforcée.
— Les Plans de Continuité d’Activité 71
5.4. ALLONGEMENT DES TEMPS
DE REPRISE D’ACTIVITÉ
Par rapport à une crise classique, une crise
climatique entraîne généralement des délais de
rétablissement beaucoup plus longs, notamment
parce que plusieurs ressources essentielles
peuvent être indisponibles simultanément. Elle
provoque aussi une dégradation conjointe de
multiples infrastructures, qu’il s’agisse de l’eau, des
routes, des télécommunications ou de l’électricité,
rendant la reprise plus complexe et plus lente. À
cela s’ajoute une mobilisation massive des acteurs
de secours, souvent dépassés par le volume
d’interventions à mener sur un territoire entier.
Face à ces contraintes, le PCA doit intégrer des
marges de délai supplémentaires pour chacune
des dépendances identifiées. Il devient également
indispensable d’ajuster les RTO afin qu’ils reflètent
des scénarios climatiques majeurs et non plus de
simples incidents isolés. Enfin, une hiérarchisation
renforcée des priorités de reprise est nécessaire
pour concentrer les ressources limitées sur les
activités les plus critiques dès les premières heures
de la crise.
Importance de la coordination
avec les autorités locales lors d’une crise
climatique
Lors d’une crise climatique, la coordination avec les
autorités locales est essentielle, car elles sont les premières
à disposer d’une vision opérationnelle de la situation : état
des routes, priorités d’évacuation, zones dangereuses,
défaillances d’infrastructures critiques ou restrictions
d’accès. Elles concentrent également les moyens de secours
(pompiers, forces de l’ordre, services techniques) et gèrent
la diffusion des alertes à la population. Une entreprise qui
ne s’appuie pas sur ces informations risque de mettre en
danger ses équipes, de mobiliser inutilement des ressources
ou d’aggraver sa propre vulnérabilité.
De plus, les autorités orchestrent la gestion des
infrastructures publiques, routes, réseaux électriques, eau,
télécoms, qui conditionnent directement la capacité d’une
organisation à activer son PCA. Une bonne coordination
permet donc d’obtenir des informations fiables, d’anticiper
les contraintes logistiques et d’ajuster les priorités de reprise
au contexte réel.
VISUEL ?
5
L’IMPACT DU CHANGEMENT CLIMATIQUE SUR LES PCA : L’URGENCE À PRENDRE EN COMPTE
72 — Les Plans de Continuité d’Activité
Prenons l’exemple de la « crue de Seine »
En cas d’inondation, si le fournisseur d’électricité
n’est plus en capacité d’alimenter un quartier,
les entreprises qui y résident devront se doter
de groupes électrogènes pour continuer leurs
activités.
De la même manière, les IGH (Immeuble de
Grande Hauteur) présentent une vulnérabilité
spécifique. En effet, une réglementation
particulière impose la présence permanente
d’un service de sécurité incendie et d’assistance
aux personnes (SSIAP) au sein du PC Sécurité
de l’immeuble. Or, la perturbation voire
l’interruption des transports en commun et les
éventuelles restrictions de circulation pourraient
empêcher la nécessaire continuité du service.
Ainsi, il est possible que certains IGH deviennent
inaccessibles, non par l’impact direct de la crue
de Seine (inondation) mais par l’absence des
personnels SSIAP qui engendre ipso facto une
fermeture administrative de l’immeuble.
Par ailleurs, les entreprises utilisant des
« data centers », c’est-à-dire des bâtiments
dans lesquels sont hébergés tout ou partie
des données informatiques, présentent une
vulnérabilité particulière. En effet, ils sont
généralement localisés en Ile de France, à
quelques dizaines de kilomètres des immeubles
de bureau.
Dans ce cas de figure, l’immeuble de bureau
et le data center sont reliés par un réseau
informatique (qui peut transporter des data et/
ou de la « voix » ).
Or, nous savons que ces câbles et fibres « courent »
dans les tunnels de la RATP et les égouts de
Paris. Dans le premier cas, la RATP a prévenu
qu’elle ennoierait volontairement aux premiers
jours de la crise certains de ces tunnels pour
éviter que la pression de l’eau n’endommage les
infrastructures. Dans le second cas, l’ensemble
des égouts de Paris sera complétement
inondé. Même si les câbles sont étanches, il
est fort prévisible que certaines parties desdits
dispositifs de communication présenteront
des vulnérabilités (épissures, répéteurs…) qui
pourront engendrer des dysfonctionnements
plus ou moins importants sur l’ensemble du
réseau. De ce fait, même si l’immeuble de
bureau et le data center sont hors de la zone
d’inondation géographique de la Seine, il est
possible que l’entreprise se trouve fortement
affectée par le fait qu’elle ne disposera plus de
ses accès au réseau. On peut alors parler de
dégâts collatéraux.
FOCUS CRUE DE LA SEINE
— Les Plans de Continuité d’Activité 73Ressources Vuln?rabilit? Impact Mesure PCA Alimentation ?lectrique Fournisseur r?seau public Inondation quartier Y perte alimentation Niveau : ?lev? Arr?t total des activit?s bureautique, s?curit?I ?clairage Groupe ?lectrog?ne Contrat fournisseur Livraison sous 4h Resp. : Facility Mgr IGe ? SSIAm Service s?curit? permanent obligatoire Transports bloqu?s Agents SSIAm inaccessibles Niveau : critique Fermeture administrative B?timent inaccessible sans inondation H?bergement sur site Convention d'astreinte Plan de rotation Resp. : DRe L SSIAm Data center Localis? en Idc zone expos?e Inondation infrastructure ou coupure ?lec. Niveau : critique Perte acc?s SI Donn?es inaccessibles Applications arr?t?es RTl ? d?nir Site de repli L cloud R?plication donn?es Basculement Y RTl Resp. : DSf Ressources Vuln?rabilit? Impact Mesure PCA Alimentation ?lectrique Fournisseur r?seau public Inondation quartier Y perte alimentation Niveau : ?lev? Arr?t total des activit?s bureautique, s?curit?I ?clairage Groupe ?lectrog?ne Contrat fournisseur Livraison sous 4h Resp. : Facility Mgr IGe ? SSIAm Service s?curit? permanent obligatoire Transports bloqu?s Agents SSIAm inaccessibles Niveau : critique Fermeture administrative B?timent inaccessible sans inondation H?bergement sur site Convention d'astreinte Plan de rotation Resp. : DRe L SSIAm Data center Localis? en Idc zone expos?e Inondation infrastructure ou coupure ?lec. Niveau : critique Perte acc?s SI Donn?es inaccessibles Applications arr?t?es RTl ? d?nir Site de repli L cloud R?plication donn?es Basculement Y RTl Resp. : DSf
5
L’IMPACT DU CHANGEMENT CLIMATIQUE SUR LES PCA : L’URGENCE À PRENDRE EN COMPTE 74 — Les Plans de Continuité d’Activité
5.5. DES RÉPONSES THÉMATIQUES
& GRADUELLES
Face à la complexification des problématiques de
continuité d’activité, l’approche binaire (mode de
fonctionnement usuel/ mode de fonctionnement
PCA) ne suffit pas. Il est donc nécessaire d’identifier
des actions de reprise d’activité graduelles (des
menaces les plus simples aux plus complexes)
et d’adopter des réponses proportionnées à un
ensemble d’évènements indésirables, plus ou
moins perturbants.
Au-delà de leur propre vulnérabilité, les entreprises
doivent s’inquiéter des répercussions d’une
rupture de la chaine de valeur : la continuité d’un
flux tendu avec des fournisseurs, la disponibilité
des infrastructures ou même des clients dont ils
sont dépendants.
Ainsi, l’approche du « plan » unique structurant
mais rigide ne convient pas. Il doit laisser place à
la constitution d’une « boîte à outils » permettant
une gradation et une réponse proportionnée dans
les actions de continuité d’activité à mettre en
œuvre (fiches actions reflexes ou Check List qui
présentent les principales actions que chacun des
Services doit mettre en œuvre en cas de sinistre,
planning de reprise des activités des Ressources
Humaines qui présente, jour par jour et service par
service, le nombre de collaborateurs devant se
présenter sur le site de repli…). Les PCA doivent
être conçus pour être flexibles et adaptables, car
les crises réelles ne suivent jamais exactement les
scénarios anticipés.
Au-delà de leur propre vulnérabilité, les entreprises
doivent se préoccuper de la capacité de leurs
partenaires ou de leurs prestataires critiques à
répondre à leurs obligations de service en cas de
sinistre majeur, y compris la capacité de service
des moyens de secours. En effet, l’entreprise se
situe au cœur des réseaux de dépendances de
ses partenaires et sous-traitants (fournisseurs
d’eau potable, électricité, réseaux téléphoniques,
courrier…). La défaillance de l’un d’entre eux
affecte de fait le fonctionnement de l’entreprise.
La citation
« Le scénario exact
ne se produira jamais :
il faut se préparer à
l’imprévisible »
est encore plus vraie
avec les risques
climatiques !
— Les Plans de Continuité d’Activité 75
5.6. LIVRABLES ET COMPLÉMENTS
À INTÉGRER DANS LE PCA
À l’issue de la démarche d’actualisation du
PCA pour couvrir les indisponibilités liées aux
événements climatiques, plusieurs éléments
supplémentaires doivent être formalisés : Fiches réflexes adaptées aux périls climatiques
auxquels le site est exposé (inondation, tempête,
chaleur…)
Cartographie des voies d’accès et routes
alternatives. Inclure les routes prioritaires, les
routes à risque (crues, glissements de terrain...)
et les itinéraires de contingence.
La localisation des sites de repli et les backups
(documenter : le site principal de repli, le site
secondaire géographiquement dissocié de
l’aléas étudié, vérifier l’autonomie énergétique
en cas de coupure prolongée dans la zone…).
ARTICULATION
DU PCA
ET DES AUTRES
OUTILS DE GESTION
DES RISQUES
Le Plan de Continuité d’Activité doit être intégré dans un dispositif
plus vaste de gestion globale des risques et des crises.
Chapitre 6
Chapitre 6
6
ARTICULATION DU PCA ET DES AUTRES OUTILS DE GESTION DES RISQUES 78 — Les Plans de Continuité d’Activité GRAVITÉ FRÉQUENCE Risque faible Modéré Élevé Fort Critique Risques de fréquences Risques de gravité 1 1 2 2 2 3 3 4 4
6.1. PLAN DE CONTINUITÉ D’ACTIVITÉ
ET CARTOGRAPHIE DES RISQUES
La cartographie des risques et le Plan de Continuité
d’Activité sont étroitement liés : la première
identifie et hiérarchise les menaces, tandis que le
second organise la réponse opérationnelle visant à
en limiter les impacts sur les activités essentielles.
Le risque climatique, à l’instar du risque cyber,
peut être intégré dans les cartographies des
risques selon différentes modalités : en tant que
risque autonome, en tant que facteur contributif
ou aggravant de risques existants, ou selon une
approche hybride, désormais privilégiée car plus
représentative des interdépendances et des effets
systémiques.
Ces risques présentent des impacts potentiellement
critiques sur la continuité d’activité, y compris
lorsqu’ils se matérialisent de manière indirecte
ou différée. Leur intégration dans les matrices
probabilité/impact nécessite en conséquence
d’adapter les méthodes d’analyse, afin de mieux
prendre en compte des phénomènes à faible
fréquence mais à très forte gravité, dont les effets
peuvent dépasser les capacités traditionnelles de
reprise et de gestion de crise.
6.1.1. Risques de fréquence et risques de gravité
— Les Plans de Continuité d’Activité 79
La cartographie des risques est un outil
d’identification, de recensement et de
quantification des risques. Cette quantification
des risques s’opère par une approche statistique.
Ainsi, dans cette acception, le « risque » est défini
comme le produit de l’ensemble des fréquences
d’occurrence de l’évènement indésirable par les
impacts redoutés de la menace que le risque fait
peser sur l’organisation.
FOCUS CLIMAT
Risque climatique
L’analyse du risque climatique nécessite
une approche approfondie afin d’identifier
les menaces liées aux effets physiques
du changement climatique, qu’ils soient
chroniques (élévation des températures,
stress hydrique…) ou aigues (vagues de
chaleur, fortes pluies, tempêtes…) ainsi que
les risques de non-adaptation.
Elle s’appuie sur trois étapes clés :
Identifier des aléas climatiques (un
événement lié au climat –comme des
vagues de chaleurs, des fortes pluies,
etc..) ;
Evaluer l’exposition de l’actif
(l'emplacement, les attributs physiques et
la valeur des actifs ou des personnes qui
pourraient être affectés par un aléa) ;
Apprécier la vulnérabilité de l’actif
(propension ou prédisposition à être
affecté négativement par un certain
danger et englobe une variété de
concepts et d'éléments, y compris
la sensibilité ou la susceptibilité aux
dommages).
EXEMPLE
Cette approche par le diptyque « Probabilité/
Impact » permet également de déterminer de
groupes de risques :
6.1.1.1. Le groupe des risques de fréquence
Il est mesuré par l’indicateur de « fréquence
d’occurrence ». En effet, même si l’impact unitaire
de la réalisation du risque est peu important, le fait
qu’il se réalise souvent ou fréquemment engendre
ipso facto des conséquences financières
importantes pour l’organisation.
L’exemple type est celui de la flotte automobile
d’entreprise :
une population de commerciaux
possède des véhicules de fonction. Du fait
même que ces personnels réalisent de longs et
nombreux parcours professionnels, il est probable
qu’ils génèrent ou soient victimes d’accrochages
engendrant des destructions matérielles sans
conséquences corporelles. Pris unitairement, un
accrochage va générer un coût de réparation de
quelques milliers d’euros. En revanche, le nombre
important de véhicules de fonction va multiplier le
risque d’accrochages et donc un volume financier
de réparation très important.
Par voie de conséquence, il sera donc opportun
de mettre en place des actions de prévention
qui auront pour vocation d’abaisser la fréquence
d’apparition de l’événement indésirable. Dans
l’exemple présent, des cours de conduite « durable »
sur circuit permettront aux commerciaux de
l’entreprise de mieux maîtriser leur véhicule,
d’adopter une meilleure conduite et éviter
ainsi la survenance d’accrochages : le nombre
d’accrochages baissera et donc l’impact financier
sera moindre pour l’entreprise.
6
ARTICULATION DU PCA ET DES AUTRES OUTILS DE GESTION DES RISQUES
80 — Les Plans de Continuité d’Activité
6.1.1.2. Le groupe des risques de gravité (ou
risques de crises)
Il est mesuré par l’indicateur de « gravité de
l’impact ». Contrairement au risque de fréquence,
l’impact unitaire de la réalisation du risque est ici
très important, voire vital pour l’entreprise alors
que le risque de sa survenance est peu probable.
Il conviendra de mettre en place des plans de
traitement afin de réduire les impacts associés à la
réalisation de l’événement. Ainsi, le plan de gestion
de crise et le plan de continuité d’activité font
partie des outils de traitement des risques, des
outils curatifs, des moyens de protection.
En résumé, au sein du processus global de
management des risques, la cartographie des
risques constitue l’outil de référence lors de la
phase d’identification, de recensement et de
hiérarchisation des risques. Elle intervient avant
la mise en place d’outils de traitement des risques
parmi lesquels le PCA. Ce dernier a pour finalité de
réduire les impacts de l’apparition d’un risque de
gravité, c’est-à-dire une crise.
Retenons donc que :
la cartographie est un outil
d’identification et de quantification
de l’ensemble des risques de
l’organisation.
Le PCA est un outil de traitement
des risques de gravité (faible
probabilité d’occurrence/ forte
gravité de l’impact). Sa finalité est
opérationnelle.
Les méthodologies de
cartographies des risques utilisent
des approches probabilistes
pour quantifier les risques. La
méthodologie du PCA utilise
une approche déterministe pour
assurer la continuité des processus
identifiés comme critiques.
Contrairement aux autres risques
de gravité qui sont généralement
ponctuels, une cyberattaque
combine plusieurs caractéristiques
aggravantes : intentionnalité
(l'attaquant s'adapte aux
défenses), persistance (la menace
reste active), effet systémique
(propagation rapide à l'ensemble
du SI), et contamination de la
confiance (doute sur l'intégrité
des données). Ces spécificités
nécessitent une approche dédiée
détaillée en chapitre 4.
1
2
3
4
— Les Plans de Continuité d’Activité 81
6.2. PLAN DE CONTINUITÉ D’ACTIVITÉ
ET RECOURS AUX SYSTÈMES
D’ASSURANCE
Le PCA peut constituer un outil d’optimisation des
coûts assurantiels : toutes les opérations mises
en œuvre pour amortir l’impact financier d’une
crise sur les résultats seront autant de facteurs de
diminution des dédommagements prévus dans les
contrats d’assurances.
Il sera alors plus facile de négocier le montant de
la prime d’assurance en prouvant que l’entreprise
s’est mise en ordre de marche pour diminuer les
impacts de la crise (PCA et plan de gestion de
crise actualisés).
Par ailleurs, avec des couvertures d’assurances
et notamment la police « Dommages/ Pertes
d’exploitation », l’entreprise peut se prémunir
des frais de déclenchement du PCA (tel que
la location de salle de back-up, des frais de re-
routage téléphonique et courrier). Il est donc
indispensable d’intégrer les interlocuteurs du
monde de l’assurance dans l’élaboration du PCA,
sans oublier de faire jouer la concurrence.
6
ARTICULATION DU PCA ET DES AUTRES OUTILS DE GESTION DES RISQUES 82 — Les Plans de Continuité d’Activité
6.3. L’ARTICULATION
DES PROBLÉMATIQUES
DE « GESTION DE CRISE »
ET DE « CONTINUITÉ D’ACTIVITÉ »
Un consensus existe sur le fait que les
problématiques de « gestion de crise » et de
« continuité d’activité » doivent être articulées.
Néanmoins, il n’existe pas de normes sur
l’articulation de ces deux concepts. Certains
professionnels intègrent la gestion de crise dans
les politiques de continuité d’activité alors que
d’autres proposent d’insérer le PCA dans des
dispositifs plus globaux de gestion de crise. Il
convient de clarifier ce point et de proposer une
articulation.
Cette articulation est particulièrement mise
à l'épreuve lors des cyber-crises modernes.
Contrairement à un sinistre physique circonscrit,
une intrusion informatique avancée est un
événement dynamique qui requiert une
chorégraphie parfaite entre la réponse technique
(gestion d'incident), la prise de décision stratégique
(gestion de crise) et la restauration des opérations
(continuité d'activité). Le chapitre 1.3.1 reviendra
sur cette convergence indispensable, qui constitue
l'une des évolutions majeures de la pensée sur la
résilience d'entreprise.
FOCUS CLIMAT
Face aux événements météorologiques extrêmes assurables,
tels que les tempêtes, les inondations ou les épisodes de pluies
intenses, un Plan de Continuité d’Activité (PCA) robuste permet
de démontrer la capacité de l’organisation à limiter les impacts
opérationnels et financiers d’un sinistre. À ce titre, le PCA
constitue un levier structurant de dialogue et de négociation
avec l’assureur dommages aux biens, notamment en matière
de pertes d’exploitation, en objectivant les dispositifs de
prévention, d’adaptation et de reprise mis en place face aux
risques climatiques majeurs. Pour les collectivités territoriales,
cet enjeu est particulièrement sensible : elles sont aujourd’hui
confrontées à une multiplication des refus de couverture ou à
un durcissement des conditions assurantielles liées aux risques
climatiques. La capacité à démontrer l’existence d’un PCA
robuste, actualisé et éprouvé devient alors un levier essentiel
pour sécuriser une couverture assurantielle et renforcer la
crédibilité de la collectivité auprès de ses partenaires assureurs.
— Les Plans de Continuité d’Activité 83
Nous avons vu précédemment que le
fonctionnement normal d’une entreprise nécessite
le recours à un ensemble de ressources. En cas
de disparition ou d’indisponibilité d’une ou de
plusieurs ressources, le déclenchement du Plan
de Continuité d’Activité lui permettra de pallier
l’indisponibilité autant que faire se peut.
LA CRISE OPÉRATIONNELLE
Ce premier type de crise, portant atteinte
aux ressources de l’entreprise et par voie de
conséquence nécessitant le déclenchement du
PCA, est qualifié de « crise opérationnelle » .
Néanmoins, il existe un second type de crise qui
porte atteinte au capital de l’entreprise mais qui ne
nécessite pas le déclenchement du PCA.
LA CRISE DE VISIBILITÉ
C’est une crise dans laquelle « notre système de
visibilité » (détection, inventaire, évaluation) est
défaillant
(9)
. En effet, le dénominateur commun
de ce type de crise est la mise à l’épreuve
de la confiance qu’accorde l’ensemble des
acteurs à l’entreprise, ce qui peut se produire
dès lors qu’une ou plusieurs parties prenantes
de l’entreprise (actionnaires, clients, ONG…)
l’interroge voire la mette en cause sur telle ou telle
problématique (financière, sociétale, éthique,). Dès
lors, si l’organisation ne peut apporter une réponse
immédiate qui soit conforme aux représentations,
aux aspirations et aux attentes des parties
prenantes, elle se trouve en « crise de visibilité » .
6.3.1. Typologie de crise : « Crises opérationnelles »
et « crises de visibilité »
(9) Le concept de « Crise de visibilité » est défini dans l’ouvrage « Gérer les grandes crises », Louis CROCQ, Sophie HUBERSON, Benoit
VRAIE, éditions Odile Jacob, 2009.
ENVIRONNEMENT
ENTREPRISE
RESSOURCES
RESSOURCES
HUMAINES
SYSTÈMES
D’INFORMATIONS
MATÉRIELLES PARTENARIALES OUTILS
DE PRODUCTION
IMAGE
DE MARQUE
SAVOIR-FAIRE
6
ARTICULATION DU PCA ET DES AUTRES OUTILS DE GESTION DES RISQUES 84 — Les Plans de Continuité d’Activité
6.3.2. Rôles et responsabilités des équipes de gestion
de crise et équipe de continuité d’activité ACTIONS D'URGENCE Équipe de gestion de crise Équipe de continuité
EXEMPLE
La « crise de visibilité » a été traversée par
Nike dans les années 1990.
Une ONG a révélé
que l’entreprise faisait travailler des enfants en
Asie du Sud-Est, de surcroît dans des conditions
précaires. Devant l’ampleur du scandale, Nike
s’est vu contraint de cesser immédiatement cette
pratique qui ne correspondait pas aux attentes
éthiques de ses clients.
L’épisode de crise pandémique est éloquent. Les
experts prévoyaient une extension planétaire du
virus H5N1, initialement présent à l’état endémique
en Asie du Sud-Est. Mais c’est un autre virus,
le virus H1N1 qui est apparu au Mexique et s’est
diffusé rapidement. Dès l’origine, les experts ont
fourni des avis divergents, tant sur le caractère
pandémique que sur la dangerosité du virus.
Ainsi, chaque Etat, en fonction de ses propres
logiques (contexte, antécédents, sensibilité de la
population…) a exercé son principe de précaution
à des degrés divers, sans coordination tant à
l’échelle internationale qu’à l’échelle européenne ni
d’appréciation à sa juste mesure de la perception,
des représentations mentales et des réactions
de l’opinion publique. Ces différentes prises de
position et les divergences exprimées au sein
du monde scientifique ont donc très largement
contribué à l’apparition d’une crise de visibilité.
Nous voyons donc que ces organisations ont
traversé des crises très importantes alors même
que l’ensemble des ressources de l’entreprise
dans le premier cas, des Etats dans le second cas,
étaient toujours disponibles. A ce titre, il n’est pas
nécessaire de déclencher le plan de continuité
d’activité. En revanche, la restauration de l’image
fera l’objet de la mise en œuvre de mesures de
communication « extraordinaires ».
En complément, notons qu’il est possible qu’une
crise soit successivement ou simultanément
« crise opérationnelle » et « crise de visibilité ».
— Les Plans de Continuité d’Activité 85
RÔLES ET RESPONSABILITÉS DES ÉQUIPES
DE GESTION DE CRISE
Au sein de l’entreprise, un petit groupe de
collaborateurs rassemblés dans les cellules de crise
va mettre en place des actions « extraordinaires »
(au sens premier du terme, c'est-à-dire hors du
quotidien). Chaque membre de la cellule de crise
tiendra une fonction qui peut être différente
de celle qu’il exerce habituellement au sein de
l’entreprise. Exemple : le directeur financier se
retrouve « coordinateur » de la cellule de gestion
de crise de l’entreprise et de ce fait n’utilise plus
son expertise comptable et financière mais plutôt
ses talents de coordination en vue d’organiser
l’action collective de gestion de crise
RÔLES ET RESPONSABILITÉS DES ÉQUIPES
DE CONTINUITÉ D’ACTIVITÉ
Contrairement à la gestion de crise, tout ou partie
des salariés (selon la stratégie de continuité
adoptée par l’entreprise) continuera de pratiquer
leurs actions « usuelles » au sein de l’entreprise
(le comptable continuera de faire la comptabilité,
l’agent de maintenance de la maintenance) mais
dans un cadre et avec des modalités qui leur
seront « extraordinaires » comme le travail sur
un site de repli ou le travail à distance (télétravail).
EXEMPLES
6.4. PCA & AUTRE MODE DE GESTION
DES RISQUES
Comme nous l’avons vu le PCA ne constitue pas
une réponse définitive, il est un des différents
outils de gestion des risques. Il existe donc des
situations où le PCA ne constitue pas une solution
idoine/ effective, où l’effort d’investissement doit
être réalisé en termes de prévention plutôt qu’en
termes de protection. Exemple d’une machine-outil très
spécifique (quelques pièces produites à
l’échelle mondiale) au sein d’une chaîne de
production
En cas de sinistre, il sera très difficile de remplacer
la machine-outil. A ce titre, il est préférable
de prévenir tout incident susceptible d’altérer
l’intégrité de la machine-outil (en mettant en place
par exemple un système d’extinction automatique
à gaz en cas de début d’incendie) plutôt que de
mettre en place un PCA.
Exemple en matière de chaînes
d’approvisionnement
Il est conseillé de respecter deux principes de
prévention avant même de mettre en place une
réflexion PCA « fournisseurs critiques ». Primo, ne
pas dépendre d’un seul fournisseur mais partager
son activité entre plusieurs prestataires et secundo
faire appel à des prestataires travaillant sur des
zones géographiques distinctes et clairement
identifiées.
LE FACTEUR HUMAIN
EN SITUATION
DE CRISE :
LES DIMENSIONS
HUMAINES
ET SYMBOLIQUES
Chapitre 7
Chapitre 7
7
LE FACTEUR HUMAIN EN SITUATION DE CRISE : LES DIMENSIONS HUMAINES ET SYMBOLIQUES 88 — Les Plans de Continuité d’Activité
7.1. ÉVALUATION DE LA PERCEPTION
DE LA GRAVITÉ DES RISQUES
PAR LES COLLABORATEURS
À l’instar de la pandémie grippale de 2009, la
crise de la COVID 19 a révèlé les difficultés et
les leviers associés à la perception du risque par
les populations, tout en soulignant l’importance
du développement d’une culture du risque et de
la crise durablement ancrée dans la conscience
collective.
Lors de l’épisode pandémique, la politique de
l’Etat en matière de communication de crise s’est
enclenchée. Ainsi, le plan de communication a
été déroulé de façon automatique sans prendre
systématiquement en compte la dimension
sensible de l’imaginaire collectif, du stress et des
comportements. L’Etat n’a pas réalisé un diagnostic
et un suivi suffisants des attentes de la population
en termes de communication. Il a sous-estimé la
capacité d’adhésion, d’indifférence ou de rejet
des citoyens. En d’autres termes, il n’a pas tenu
compte du fait que la population pouvait percevoir
la menace d’une autre manière et avec une autre
intensité que celle qu’il avait prévue.
La prévision des comportements individuels et
collectifs en situation de menace ou de réalité
pandémique a manqué. Les pouvoirs publics se
sont contentés de distiller par voie descendante
une communication visant à « atténuer les
craintes et l’anxiété de la population et à éviter
le risque de désinformation, de rumeurs, voire de
déstabilisation » (Plan gouvernemental) mais ils
n’ont ni exploré ni inventorié les comportements
prévisibles de la population.
L’élaboration des PCA tient compte de la prévision
de ces comportements individuels et collectifs
en situation de menace inhabituelle. Le PCA doit
intégrer le facteur humain, individuel et collectif.
Il agrège les représentations mentales collectives
de la menace et du risque et les comportements
individuels ou collectifs aberrants (insouciance,
sous-estimation et déni du danger, ou au contraire
affolement et panique exacerbés sous l’effet des
rumeurs).
En premier lieu, il s’agit de comportements adaptés
et responsables. Pour reprendre l’exemple de la
pandémie, cela correspond à anticiper le danger,
adopter les mesures appropriées, puis s’informer
au jour le jour de l’état de la menace, sans s’affoler,
ne pas croire aux rumeurs et ne pas les propager,
appliquer les mesures de prévention (lavage des
mains, port de masques), se faire vacciner si les
autorités sanitaires le conseillent, consulter dès les
premiers symptômes d’atteinte grippale, se faire
soigner, éviter de contaminer ses proches.
En second lieu, il s’agit de comportements
d’insouciance, de négligence voire de déni,
irresponsables : ne pas croire (par optimisme
inconsidéré) à l’éventualité de la crise, ne pas
s’informer sur le danger qu’elle présente, ne pas
prendre connaissance des mesures de prévention,
afficher un scepticisme critique systématique vis-
à-vis des informations fournies, ne pas s’informer
de la progression de la menace.
— Les Plans de Continuité d’Activité 89
7.2. RESPECTER LES ÉQUILIBRES
« TRAVAIL/REPOS »
7.3. TUILAGE DES ÉQUIPES
DE CONTINUITÉ POUR DURER
En troisième lieu, il s’agit de comportements de
crainte exagérée, d’affolement et de panique : état
d’inquiétude exagéré à l’annonce de l’éventualité
d’une crise, excès dans la recherche de
l’information sur ce danger, puis dans l’investigation
quotidienne sur sa progression, éprouver une
sensibilité exacerbée aux rumeurs, procéder à des
achats inconsidérés et excessifs d’équipements…
En période de crise, des facteurs physiologiques
aggravants sont omniprésents, il est nécessaire
de respecter les équilibres « travail/ repos ». La
fatigue engendrée par la surcharge de travail
et la mauvaise ergonomie du poste de travail, la
privation de sommeil, la restauration frugale et
hâtive peuvent user les énergies individuelles et
exacerber les susceptibilités.
La crise peut durer plusieurs jours ou plusieurs
semaines. L’Organisation doit prévoir un
fonctionnement en binôme et un « tuilage » des
équipes. Plus qu’un simple briefing lors de la
passation de poste, il est important que les deux
personnes travaillent ensemble suffisamment
longtemps pour que la transmission d’informations
soit la plus complète et exacte possible afin
d’assurer une véritable continuité malgré le
changement.
Ainsi, en fonction de la problématique couverte
par tel ou tel PCA, il convient d’identifier les
représentations mentales des collaborateurs et
d’établir un diagnostic et un suivi suffisants des
attentes de la population. C’est donc davantage
un travail de pédagogie et d’acculturation de
la population à long terme que des réponses
ponctuelles, techniques et thématiques à telle ou
telle crise.
Ainsi, au-delà des aspects biologiques, il est
indispensable que l’individu respecte les équilibres
« travail/ repos » et qu’il pratique à échéance
régulière des exercices de décontraction. En
situation de crise, il convient donc de conserver
une hygiène de vie adéquate.
7
LE FACTEUR HUMAIN EN SITUATION DE CRISE : LES DIMENSIONS HUMAINES ET SYMBOLIQUES 90 — Les Plans de Continuité d’Activité
7.4. LE STRESS ET SES IMPACTS
La perception de la crise, du risque et du danger
peut devenir un facteur constitutif ou aggravant
de la crise elle-même. Le choc émotionnel peut
générer une véritable marée « désorganisante »
dans toutes les capacités cognitives et
opérationnelles des individus et des groupes : c’est
l’irruption du stress.
En s’inspirant d’une définition proposée par Selye,
Louis Crocq a défini (1999) le stress comme :
« la réaction neuro-biologique, physiologique et
psychologique d’alarme, de mobilisation et de
défense, de l’individu face à une agression ou
une menace, menace pour sa vie, son intégrité
physique ou son équilibre psychique ».
Le stress est une réaction utile, adaptative. Grâce
à son stress, l’individu échappe au danger ou se
trouve en mesure d’y faire face, ce qui correspond
au mot anglais « coping ».
(10) Voir à ce sujet les travaux du Médecin Général Louis CROCQ et de Benoit VRAIE
On admet que le stress a trois principaux
effets psychologiques :
il focalise l’attention sur la
situation menaçante, chassant
provisoirement de la conscience les
autres préoccupations et pensées
en cours,
il mobilise les capacités cognitives
(attention, mémorisation,
évaluation, raisonnement),
il incite à la prise de décision
et à l’action.
1
2
3
Crédit ptoho : laram-BpTqCNotBLI-unsplash
La contrepartie est que le stress est grevé de
symptômes gênants (pâleur, sueur, tachycardie,
spasmes viscéraux) et qu’il est coûteux en énergie.
Dans sa phase la plus intense on parle alors de
stress « post traumatique » et on obtient le tableau
clinique suivant
(10)
:
la sidération : l’individu est stupéfait, stuporeux,
aboulique, pétrifié ;
l’agitation stérile : le sujet est dans un état
d’excitation psychique, verbale et motrice ;
la fuite panique : la personne sous stress est
« lancée » dans une fuite éperdue, un état
d’affolement gééralisé ;
le comportement d’automate : l’individu réalise
des gestes mécaniques répétés dont il ne se
souviendra pas.
— Les Plans de Continuité d’Activité 91
7.5. « PRÉPAREZ-VOUS À ÊTRE PRÊT »
(11)
La Croix Rouge propose une campagne de
sensibilisation dont le paradigme est l’« auto-
résilience » c’est à dire la capacité du citoyen à
se prendre en charge en cas de crise. « Prévenir,
réfléchir et anticiper pour mieux agir, c’est réduire
considérablement les conséquences qui peuvent
découler de ces situations d’urgence : chacun peut
devenir acteur de sa survie et de celle des autres
grâce à des réflexes indispensables qui permettent
de réagir aux situations exceptionnelles.»
(12)
Ce principe est transposable aux salariés des
entreprises. Dans le cas de la problématique de
Crue de Seine, certaines entreprises disposent
d’un PCA dans lequel figure le nombre de
collaborateurs nécessaires à la reprise de l’activité.
Néanmoins, au-delà de la valeur numérique, ces
salariés ne seront peut-être pas disponibles pour
l’entreprise le jour J. En effet, le phénomène
de crue de Seine engendrera d’importantes
perturbations aux différents niveaux des services
d’Etat, des institutions et de l’ensemble des
infrastructures ainsi que des réseaux critiques :
eau, électricité, télécommunications, transports,
chauffage, ordures ménagères…
Le collaborateur devra donc gérer le fait que sa
famille ne dispose plus d’eau potable, d’électricité,
d’internet, de téléphonie… A ce titre, il n’est pas
certain que ce dernier, s’il n’est pas préparé,
réponde présent pour son entreprise. De ce
fait, les entreprises, dans leurs réflexions sur
les problèmes de continuité d’activité, doivent
repositionner « le collaborateur » au centre du
dispositif et mettre en place, pour les fonctions
critiques, des mesures d’accompagnement des
collaborateurs. Pour reprendre l’exemple de la
crue de Seine, les entreprises doivent sensibiliser
les collaborateurs sur l’attitude à adopter afin de
les préparer personnellement à ce scénario et
les accompagner (financièrement et/ou par des
modalités pratiques) dans la mise en sécurité de
leur famille.
(11) et (12) Site Internet « Croix Rouge Française »
« PRÉPARER
LA GUERRE EN TEMPS
DE PAIX » COMME
PHILOSOPHIE DU PCA
La boîte à outils servant à élaborer les différents types de PCA
est bien garnie. Chaque outil détient une fonction spécifique mais
ne sera efficace que s’il est bien utilisé par un personnel formé,
compétent et motivé.
Chapitre 8
Chapitre 8
8
? PRÉPARER LA GUERRE EN TEMPS DE PAIX ? COMME PHILOSOPHIE DU PCA 94 — Les Plans de Continuité d’Activité
8.1. LA CULTURE DE CRISE
La culture de crise et la culture de la continuité
d’activité vont de pair. L’objectif est de constituer
un corpus de valeurs, de convictions et de
savoirs partagés au sein de la communauté des
collaborateurs qui vise à bien appréhender les
situations de crise et à mobiliser les capacités de
ces équipes à les dépasser.
Cette posture consiste donc à adopter
collectivement une philosophie d’acceptation
raisonnée des risques, de vigilance et d’intelligence
au monde
(13)
face à des évènements indésirables.
Elle entraine de facto une responsabilisation de
l’ensemble des personnels détenteurs d’un part de
responsabilité dans trois fonctions distinctes :
fonction de sentinelle, de guetteur dans
l’identification des risques ;
fonction d’alerte dans la détection des signaux
faibles, presque-accidents, accident et crises ;
fonction de gestion dans les modalités de
traitement des risques et des crises.
Cette « culture de crise » est indispensable mais
ne se décrète pas : lorsqu’une population, une
organisation, une entreprise est confrontée à une
crise à un moment de son histoire, elle est déjà
conditionnée par ses habitudes et dépendante de
ses propres marqueurs. Ses normes, son cadre de
fonctionnement, son « terreau » seront propices
à générer des comportements spécifiques
pour réagir voire pour traiter la crise. Si pour les
collaborateurs en poste depuis longtemps, ce
corpus a été acquis lors de tests PCA et d’exercices
de gestion de crise (ou de gestion de crises en
situation réelle), ce dernier doit être transmis aux
nouvelles recrues comme autant de manières et
d’attitudes à adopter pour faire face aux crises à
venir.
Ainsi, la participation active de chaque
collaborateur à son niveau aux systèmes de
gestion des risques améliore la cohérence et la
résilience de l’ensemble du dispositif. Il démultiplie
l’efficacité des actions d’ensemble menées par
le « risk manager », le « responsable PCA » et le
« gestionnaire de crises » (fonctions qui peuvent
également être exercées par une seule et même
personne).
En effet, le « risk manager » est considéré trop
souvent comme l’« expert maison » capable de
traiter seul l’intégralité des problématiques de
gestion des risques. Or il est avant tout, dans sa
fonction ERM (Enterprise Risk Management) et
Assurances, un coordinateur, un facilitateur, un
animateur des acteurs de l’entreprise. Il convient
donc à chacun dans l’entreprise de « penser
l’envisageable, l’imprévisible et l’inimaginable » et
de devenir ainsi acteur de la gestion des risques.
Pour ce faire, l’implication de la direction des
ressources humaines est déterminante.
(13) « Gérer les grandes crises », Crocq, Huberson, Vraie ; 2009.
— Les Plans de Continuité d’Activité 95
8.2. LA GOUVERNANCE DU PROJET PCA ORGANISATION DU PLAN DE CONTINUITÉ D'ACTIVITÉ (PCA)
CorrespondantPCA ? A salariés salariés salariés
CHEF DE PROJET PCACOMITÉ
PCA DIRECTION
GÉNÉRALE
COMEX
I
N
S
T
A
N
C
E
S
R
E
P
R
ÉSENTATIVES DU PER
S
O
N
N
E
L
SPONSOR PCA
CorrespondantPCA ? B
CorrespondantPCA ? C
8.2.1. Une démarche d’entreprise acceptée par tous
et financée par la Direction Générale
Le rôle de la Direction Générale est bien
évidemment primordial dans la structuration et
l’entretien de la culture de gestion des risques et
des crises. Il passe par :
la clarification des orientations politiques et
stratégiques pour donner sens à l’action de
restauration des actifs endommagés par la crise ;
la mise à disposition d’un système de veille et
d’information pour anticiper les crises ;
la mise en place d’une organisation du
travail spécifique dans laquelle le paramètre
de « survenue d’une crise » joue un rôle
important : faire savoir, faire comprendre et faire
accepter que l’on puisse travailler dans d’autres
conditions que celles fixées initialement et ce
pour des raisons extraordinaires ;
la formation des acteurs de l’organisation à
la gestion de la crise et au travail en mode
dégradé ;
l’instauration d’un climat de dialogue social
propice à accepter des conditions de travail
différentes et parfois plus contraignantes qu’à
l’état normal.
La Direction Générale de l’Organisation affiche et
porte le projet PCA comme un projet fédérateur
car il implique et mobilise les différents services,
opérationnels ou transverses. Pour ce faire, cette
dernière doit être elle-même convaincue de l’utilité
du financement des PCA.
8
? PRÉPARER LA GUERRE EN TEMPS DE PAIX ? COMME PHILOSOPHIE DU PCA 96 — Les Plans de Continuité d’Activité
8.2.1.1. Le sponsor
Trouver un « sponsor », au mieux un commanditaire,
au sein de la direction Générale, est un gage de
réussite du projet. Ce dernier sera particulièrement
convaincu de l’intérêt supérieur de sa mission et
en sera autant valorisé. Il sera doté des pouvoirs
et de l’autorité nécessaires, bref de la légitimité
hiérarchique nécessaire à l’accomplissement de sa
mission.
Ce sponsor permet au responsable PCA de
bénéficier d’un appui et d’un facilitateur dans
le déploiement mais également d’une aide dans
la gestion et la résolution des problèmes et des
écueils inhérents à la réalisation d’un tel projet.
8.2.1.2. Le chef de projet PCA
Généralement, c’est le « Risk Manager » ou le
« Responsable Sécurité » de l’organisation (sauf
pour les organisations de grande taille au sein
desquelles la fonction « Responsable PCA » est
une fonction à part entière). Il est en tout état de
cause le porteur du projet PCA. A ce titre, il pilote
le projet, en assure le suivi et le bon déroulement,
anime le réseau de Correspondants PCA (cet
organigramme est à dimensionner en fonction de la
taille et de l’exposition aux risques de l’entreprise),
préside le Comité « Plan de continuité d’activité »,
consolide les données et assiste les « Métiers » et
« Fonctions-support » dans l’implémentation des
solutions de continuité d’activité. Il est également
le garant du maintien en conditions opérationnelles
du PCA. A ce titre, il assure les tests.
Pour un accueil favorable du PCA auprès de la Direction Générale :
les arguments à présenter.
Ils se classent en deux ordres :
Un ordre « quantitatif » car le PCA permet d’évaluer :
les pertes de l’entreprise au cas où l’on ne mettrait pas en œuvre une organisation
adéquate de continuité d’activité. (Cf. graphique page 28 sur les résultats de
l’entreprise sans l’instauration d’un PCA.) ;
la diminution de la prime d’assurance en raison de la meilleure protection de
l’entreprise : plus le bouclier est solide, moins la compagnie d’assurance n’aura besoin
d’indemniser….
Un ordre « qualitatif » car le PCA participe à la construction d’une meilleure
performance en termes de ressources Humaines :
La mobilisation du personnel sur un thème fédérateur : sauvegarder l’entreprise et par
là-même l’emploi ;
Améliorer la qualité dans l’entreprise en procédant à un audit organisationnel, en
testant les procédures et en jouant des exercices de crises ;
Améliorer la circulation de l’information dans l’entreprise en incitant les différents
services à travailler ensemble ;
En démontrant la valeur pédagogique de l’élaboration et de la mise en œuvre d’un
PCA : on se préoccupe autant des personnes que des biens. Les communications
interne et externe s’en trouvent améliorées.
1
2
— Les Plans de Continuité d’Activité 97
8.2.1.3. Le Comité « Plan de continuité
d’activité »
Le Chef de Projet PCA met en place un Comité
« Plan de continuité d’activité » composé des
Directeurs (ou « Correspondants PCA ») de
l’ensemble des fonctions-supports et des lignes de
Métier(s). La composition dudit Comité est validée
par la Direction Générale.
La mission de ce comité est de concevoir et de
mettre en œuvre le PCA, de valider les différentes
étapes et phases du projet qu’il convient de décliner
auprès de chaque unité/service de l’entreprise par
le biais de « correspondants PCA » .
Ce comité aura également pour mission de
« pondérer » les résultats chiffrés, de ré-étalonner
et de comparer les informations fournies par
chacun des Services (DIMA, impact sur le business
de l’arrêt de tel ou tel processus…) afin de réduire
les écarts provenant d’une surévaluation ou
d’une sous-évaluation des données. En effet, il
est possible qu’apparaissent des distorsions de
représentations quant à la gravité de l’arrêt de
l’activité de tel ou tel service lors des entretiens
individuels avec les collaborateurs de chacun des
services concernés.
Ce travail d’homogénéisation des données permet
de comparer et de consolider l’ensemble des
données fournies par chacun des services. Enfin,
ce comité propose des orientations de continuité
d’activité à la Direction Générale.
8.2.1.4. Les Correspondants PCA
Dans les organisations de grande taille, il est possible
que des relais PCA soient présents à l’échelle de
chaque Direction : ce sont les « Correspondants
PCA ». Leur fonction est de décliner l’ensemble des
opérations de mise en place d’un PCA à l’échelle
de leur périmètre de responsabilité (collecte
d’informations, mise en application de principes et
de règles PCA…).
8.2.1.5. Les salariés
Thucydide nous rappelle que « la sécurité de la
cité tient moins à la solidité de ses fortifications
qu’à la fermeté d’esprit de ses habitants ». Cette
citation prend tout son sens quand on l’applique au
domaine de la gestion des crises et de la continuité
d’activité. En effet, si la création d’un corpus
documentaire de référence et la mise en place
d’outils techniques de gestion et de reporting des
risques sont des étapes nécessaires à la mise en
place d’un PCA, il est indispensable que l’ensemble
des collaborateurs possèdent a minima une culture
de gestion des risques et des crises : la sécurité est
l’affaire de tous.
CONCLUSION
Chapitre 9
Une entreprise confrontée à une crise doit avoir mis en place
les meilleures conditions pour reprendre au plus vite un niveau
d’activité comparable à l’état antérieur et ce aux fins de remplir les
objectifs initialement fixés. A ce titre, la stratégie de continuité ne
peut plus résider uniquement dans une réponse technique ou un
transfert financier du risque vers les assureurs, en raison de l'impact
sur l'image de marque et parce que la survie de l'entreprise dépend
moins de sa capacité à indemniser des tiers que de son aptitude à
réagir efficacement et à communiquer face à une crise.
Chapitre 9
9
CONCLUSION 100 — Les Plans de Continuité d’Activité
L’efficience des dispositifs de continuité
d’activité en cas de crise dépendra directement
de la profondeur du questionnement et des
investigations préalablement réalisés dans les trois
dimensions constitutives de la problématique.
Dimension « documentaire » tout d’abord qui
se concrétise par la rédaction de documents
formalisés et régulièrement mis à jour, de
planification de la réaction à une catastrophe ou à
un sinistre grave.
Dimensions « matérielle et logistique »
qui permettent aux équipes de disposer des
équipements et matériels idoines pour répondre à
la problématique de destruction de telle ou telle
ressources (Bâtiments, problématiques sanitaires,
indisponibilités des S.I…).
Dimensions « culturelle et psychologique »
enfin, trop souvent oubliée dans les problématiques
de PCA et qui constitue à notre sens la dimension
la plus importante. A l’échelle individuelle mais
également à l’échelle des équipes des dispositifs
de continuité d’activité, il convient de « Penser
l’imprévisible », c’est à dire adopter la posture
mentale suivante: « Je dois être prêt à faire
face à un événement ou une détérioration de
situation que mon savoir, mon expérience et mon
intelligence ne peuvent pas imaginer ; je ne sais
pas quelle sera la nature de l’agression mais je dois
inventorier mes capacités et mes forces pour faire
face à l’agression inconnue ». En complément,
au niveau de l’entreprise, il convient d’informer
et de former l’ensemble des collaborateurs aux
problématiques de continuité d’activité, de gestion
de crise mais également aux effets du stress afin
de prévenir tout comportement atypique ou
pathogène (à l’échelle individuelle et collective), le
jour où la crise survient.
Les 3 matériaux de l’efficience du PCA
— Les Plans de Continuité d’Activité 101
D
Dans un environnement marqué par l’incertitude
et la multiplication des crises, le lien entre analyse
de risque et PCA devient dès lors fondamental.
L’analyse de risque ne se limite plus à un exercice
préalable de classement des menaces : elle
constitue la colonne vertébrale du PCA, en
permettant d’identifier les scénarios majeurs
susceptibles d’affecter les activités critiques et de
dimensionner des stratégies de continuité réalistes.
Sans compréhension fine des vulnérabilités, des
interdépendances internes et externes, des points
de fragilité humains et techniques, le PCA risque
de reposer sur des hypothèses inopérantes au
moment de la crise.
Cette exigence est particulièrement manifeste
face aux crises climatiques et cyber, qui
dépassent largement les schémas traditionnels
d’indisponibilité. Les crises climatiques, par
leur nature étendue, progressive ou brutale,
peuvent provoquer des ruptures simultanées
d’infrastructures, d’approvisionnements et de
services essentiels, affectant durablement les
territoires, les biens et les personnes. Elles
remettent en cause les hypothèses usuelles de
continuité et imposent de repenser les stratégies
de repli, les délais de reprise et les besoins de
redondance géographique.
Les crises cyber, quant à elles, illustrent
la dépendance critique au numérique des
organisations contemporaines. Leur capacité de
propagation rapide, leur caractère transversal
et leur potentiel d’effet domino sur les systèmes
internes et les chaînes d’approvisionnement
rendent indispensable une analyse de risque
approfondie, centrée sur les actifs critiques, les
dépendances technologiques et les scénarios
de perte de contrôle ou de confiance dans les
données. Sans cette analyse, le PCA ne peut
garantir ni la continuité des services numériques
essentiels ni un redémarrage maîtrisé des activités.
Ainsi, la continuité d’activité doit être appréhendée
comme une véritable stratégie d’entreprise,
intégrée à la gouvernance et à la gestion globale
des risques. Elle constitue un levier majeur
de résilience, mais aussi un facteur clé de
différenciation et de crédibilité. En renforçant
la capacité à faire face aux crises climatiques et
cyber, le PCA contribue à sécuriser les trajectoires
économiques, à maintenir la confiance des clients,
des financeurs et des assureurs, et à renforcer
durablement la pérennité des organisations. À
l’inverse, celles qui négligent cette approche
s’exposent à une fragilisation structurelle dans un
contexte où les crises ne sont plus des exceptions,
mais des enjeux récurrents.
En synthèse,
9
GLOSSAIRE 102 — Les Plans de Continuité d’Activité
AD : Active Directory - Service d'annuaire centralisé pour la gestion des identités et accès utilisateurs
Windows.
ANSSI : L'Agence nationale de la sécurité des systèmes d'information
API : application programming interface - interface de programmation d'application
BIA : Business Impact Analysis - Analyse d'impact sur l'activité
CERT : Computer Emergency Response Team - Équipe de réaction aux urgences informatiques.
CSE : Comité social et économique
CSIRT : Computer Security Incident Response Team - Équipe de réaction aux incidents de sécurité
informatique
CVE : Common Vulnerabilities and Exposures - Les vulnérabilités et expositions courantes
DANA : Depresión Aislada en Niveles Altos - dépression isolée en haute altitude
DDOS : Distributed Denial of Service - Attaque par déni de service distribué
DIMA : Durée d’Interruption Maximale Admissible
DLO : Data Loss Objective - Objectif de perte de données. Volume maximal de données qu'une
organisation peut accepter de perdre.
DORA : Digital Operational Resilience Act - règlement européen sur la résilience opérationnelle
numérique du secteur financier
DRP : Disaster Recovery Plan - Plan de reprise après sinistre
DSI : Directeur du Systèmes d’Information
EDR : Endpoint detection and response - Détection et réaction aux menaces sur points terminaux
ENISA : Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information
ERP : Entreprise Resource Planing - Progiciel de gestion intégré
IGH : Immeuble de Grande Hauteur
KISS : Keep It Simple and Sexy - “faisons simple et sexy “
KPI : Key Performance Indicator - Indicateur clé de performance
OT : Operational Technology - Technologies opérationnelles
PCA : Plan de Continuité d’Activité
PRA : Plan de Reprise d’Activité
PSI : Plan de Secours Informatique
— Les Plans de Continuité d’Activité 103
REC : Résilience des Entités Critiques
REX : Retour d’expérience
RIO : Recovery of Integrity Objective - Objectif de récupération d'intégrité. Délai maximum pour
restaurer l'intégrité des données après un incident.
RPCA : Responsable du Plan de Continuité d’Activité
RPO : Recovery Point Objective - Objectif de point de récupération
RTO : Recovery Time Objective - Objectif de temps de rétablissement
SAIV : Secteurs d’Activités d’Importance Vitale
SGDSN : Secrétariat général de la défense et de la sécurité nationale
SIEM : Security Information and Event Management - Gestion d’information et des événements
de sécurité.
SLA : Service Level Agreement - Accord de niveau de service.
SOC : Security Operations Center - Centre opérationnel de sécurité
SRAS : Syndrome Respiratoire Aigu Sévère
SSIAP : Service de sécurité incendie et d’assistance aux personnes
36 boulevard Sébastopol
75004 Paris
Tél. : 01 42 89 33 16
amrae.fr
Ancrer la gestion
des risques au cœur
de la performance et
de la résilience des
organisations.
L’Amrae (Association pour le Management des
Risques et des Assurances de l’Entreprise),
regroupe les principaux acteurs de la gestion
des risques (gestion des risques, contrôle
interne et audit, assurance et juridique).
À travers ses comités scientifiques, ses
publications, ses prises de position et son
congrès, elle œuvre pour l’excellence en matière
de risk management, qui contribue à sécuriser
la stratégie des entreprises et à organiser leur
résilience. L’Amrae regroupe environ 2000
membres issus de 850 organisations privées et
publiques.
Une gestion des risques éclairée et inscrite
dans la durée constitue le socle de la résilience
des entreprises. Elle vise à absorber les chocs,
à assumer leur responsabilité et à saisir les
opportunités, tout en déployant une croissance
durable et responsable. Ses bénéfices irriguent
les entreprises, leur écosystème et l’ensemble
du tissu économique.
L’Amrae a comme missions fondamentales :
CULTURE DU RISQUE
EXPERTISE
FORMATION & CONGRÈS
À PROPOS DE L’AMRAE
Les Plans de Continuité d'Activité - Edition 2026
Les Plans de Continuité d'Activité - Edition 2026
L’Amrae a entièrement révisé et enrichi son guide de référence sur les Plans de Continuité d’Activité, publié en 2013. Cette nouvelle édition intègre les évolutions majeures qui transforment aujourd’hui l’environnement des organisations : cyberattaques, changement climatique, nouvelles réglementations et interdépendances croissantes.
Le guide propose une approche actualisée de la continuité d’activité, fondée sur la résilience opérationnelle et la capacité à faire face aux crises systémiques.
Un ouvrage pratique destiné aux risk managers, dirigeants et professionnels de la gestion des risques souhaitant renforcer la robustesse de leur organisation.