Systèmes supervisés · en ligne SLA 99,9 % Support 7j/7 01 84 80 12 34
prestataire.org Devis gratuit

GUIDE CONTINUITÉ

Plan de continuité d'activité (PCA)

Le PCA organise le maintien de vos activités essentielles pendant une crise — panne, cyberattaque, sinistre, indisponibilité des locaux. Méthode et bonnes pratiques à l'échelle d'une PME.

En bref

  • PCA et PRA : la différence claire
  • Identifier les activités vitales
  • Méthode de construction en 5 étapes
  • Bonnes pratiques adaptées aux PME

PCA et PRA : deux plans, deux moments de la crise

Le plan de continuité d'activité (PCA) répond à la question : comment continuer à travailler pendant la perturbation ? Le plan de reprise d'activité (PRA) répond à une autre : comment reconstruire le système d'information après une interruption ? Le PCA accepte un fonctionnement dégradé mais sans rupture ; le PRA accepte une rupture mais en borne la durée.

CritèrePCAPRA
ObjectifMaintenir les activités vitales pendant la criseRestaurer le SI après interruption
InterruptionÉvitée ou quasi nulle (mode dégradé)Acceptée, limitée par le RTO
PérimètreToute l'entreprise : personnes, locaux, processus, ITPrincipalement l'informatique
Exemples de moyensTélétravail de repli, procédures manuelles, redondanceSauvegardes, site de secours, réplication

En pratique, le PRA est presque toujours un chapitre du PCA : on ne peut pas maintenir l'activité durablement sans reprendre l'informatique, et reprendre l'informatique ne sert à rien si personne ne sait travailler pendant la reconstruction.

Étape 1 : identifier les activités vitales et leurs dépendances

Tout ne mérite pas d'être maintenu coûte que coûte. Listez vos processus (facturation, production, prise de commandes, paie…) et posez pour chacun deux questions : combien coûte son arrêt par jour, et au bout de combien de temps l'arrêt devient-il critique ? Ce « bilan d'impact » (BIA) hiérarchise l'effort. Identifiez ensuite les dépendances de chaque activité vitale : applications, données, personnes clés, fournisseurs, locaux, télécoms. C'est souvent là qu'un audit informatique révèle des surprises — une activité « vitale » qui repose sur un serveur unique vieillissant, ou sur une seule personne.

Étape 2 : définir les scénarios et les parades

Un PCA de PME se construit sur une poignée de scénarios génériques plutôt que sur un catalogue exhaustif :

  • Indisponibilité des locaux (incendie, dégât des eaux, interdiction d'accès) : télétravail généralisé, matériel de repli, téléphonie basculée — d'où l'intérêt d'une téléphonie VoIP détachée des locaux et d'un télétravail sécurisé déjà rodé.
  • Indisponibilité du SI (panne majeure, ransomware) : procédures manuelles temporaires, messagerie de secours, puis déclenchement du PRA.
  • Indisponibilité des personnes (épidémie, départ brutal d'une personne clé) : suppléances désignées, documentation des tâches critiques.
  • Défaillance d'un fournisseur critique (opérateur, hébergeur, prestataire) : solution alternative identifiée à l'avance.

Pour chaque scénario, décrivez le mode dégradé acceptable : que fait-on à la main ? avec quels outils de secours ? pendant combien de temps ?

Étape 3 : écrire, tester, maintenir

  1. Rédigez court. Un PCA de PME tient en quelques pages par scénario : déclencheur, responsable, actions dans l'ordre, contacts. Un document de 80 pages ne sera jamais ouvert en crise.
  2. Stockez-le hors du SI. Version imprimée et copie cloud accessible depuis un smartphone : un plan enfermé dans le serveur en panne n'existe pas.
  3. Désignez une cellule de crise minimale : qui décide de déclencher, qui parle aux équipes, qui parle aux clients.
  4. Testez une fois par an : un exercice sur table (on déroule un scénario en réunion) suffit à révéler la plupart des trous. Complétez par un test technique du volet PRA — restauration réelle des sauvegardes.
  5. Mettez à jour après chaque test, chaque incident réel et chaque évolution notable (nouvel outil métier, déménagement, nouveau prestataire).

Bonnes pratiques PME : viser l'efficace, pas l'exhaustif

Les référentiels de continuité (ISO 22301) sont conçus pour de grandes organisations. Une PME en retient l'esprit, pas la bureaucratie :

  • Commencez par le risque le plus probable — aujourd'hui, la cyberattaque — et élargissez ensuite.
  • Appuyez-vous sur le cloud : messagerie et fichiers dans Microsoft 365 ou équivalent restent accessibles même locaux fermés, à condition que les accès soient sécurisés (MFA).
  • Adossez le volet technique à votre prestataire : un contrat d'infogérance avec engagements écrits sur la sauvegarde et la reprise vaut mieux qu'un classeur théorique.
  • Chiffrez les modes dégradés : « on fera les devis à la main » est crédible un jour, pas trois semaines.

Erreur à éviter : le PCA-alibi, rédigé pour rassurer un client ou un assureur puis rangé dans un tiroir. Un plan non testé et non maintenu donne une fausse confiance — c'est pire que d'avoir conscience de sa fragilité.

Questions fréquentes

FAQ

Le PCA est-il obligatoire ?

Pas pour la plupart des PME. Il l'est dans certains secteurs régulés (banque, santé…), et de plus en plus exigé contractuellement par les grands donneurs d'ordre et les cyber-assureurs.

Faut-il faire le PCA ou le PRA en premier ?

Pour une PME dont le risque principal est informatique, commencez par le volet PRA (sauvegardes testées, procédure de reprise), puis élargissez au PCA : personnes, locaux, fournisseurs, communication de crise.

Combien de temps faut-il pour bâtir un PCA de PME ?

Quelques jours de travail répartis sur un à deux mois : bilan d'impact, scénarios, rédaction, premier exercice sur table. L'essentiel est de commencer simple et de tester vite.

Qui doit porter le PCA dans l'entreprise ?

La direction, obligatoirement : les arbitrages (quelles activités maintenir, quels coûts accepter) sont stratégiques. Le prestataire informatique porte le volet technique, pas les décisions métier.

Préparez votre entreprise à la prochaine crise

Bilan d'impact, scénarios, volet technique : nous construisons un PCA réaliste, testé et maintenu.