Il faut commencer par définir le plan de continuité d’activité. Réaliser un plan de continuité d’activité (que nous appellerons PCA), c’est créer une stratégie de protection pour éviter des catastrophes ou en limiter les conséquences sur l’entreprise, pour assurer la continuité d’activité malgré la perte importante de ressources. C’est un dispositif relevant d’un équilibre coût / couverture de risques.

De manière plus concrète, le plan a pour but d’identifier les menaces potentielles pour une entreprise ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’entreprise. Un PCA doit donc prévoir l’ensemble des solutions de secours (organisationnelles, logistiques, techniques, humaines et de communication) permettant de réagir efficacement à une crise non maîtrisable et assurer la reprise rapide des fonctions vitales de l’entreprise en cas d’inaccessibilité des sites de production ou d’indisponibilité des moyens matériels et/ou humains nécessaires à leur exercice.

Mais qu’entendons-nous par menace ?

Voici quelques exemples de menaces pouvant avoir de graves conséquences sur l’activité de l’entreprise, au risque de compromettre sa pérennité :

- un incident sur site (exemple du 21 septembre 2001, explosion de l’usine AZF)
- une défaillance de prestataires
- une attaque informatique (17 avril 2001, intrusion sur le Playstation Network)
- une coupure électrique (concernant un datacenter par exemple)
- une disparition d’une personne clé comme un cadre dirigeant (20 octobre 2014, décès de Christophe de Margerie, PDG de Total SA)
- une attaque terroriste (11 septembre 2001, World Trade Center)
- une grève
- une coupure de ligne télécom (17 novembre 2004, panne nationale de Bouygues Telecom)
- un risque sanitaire (grippe aviaire Virus A(H5N1), Asie et Afrique 2006)

Il existe également une définition réglementaire du plan de continuité d’activité : le PCA représente l’ensemble des mesures visant à assurer, selon divers scénarios de crises, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes de l’entreprise, puis la reprise planifiée des activités1.

Le but principal d’un PCA est donc la continuité de l’activité durant la survenance d’événements exceptionnels.



Le MEDEF a établi un processus de création d’un PCA qui comprend 5 étapes listées ci-dessous.


1ère étape : Définition du contexte et identification des objectifs et des activités essentielles
- Impliquer la direction de l’entreprise.
- Nommer un chef de projet doté des compétences, de l’autorité et d’une autonomie nécessaires ;
- Délimiter le périmètre du PCA.
- Identifier les objectifs, les activités essentielles, les flux et les ressources critiques.
- Cartographier les processus de l’entreprise.
- Cartographier les flux entre les systèmes d’information supportant les processus.

2ème étape : Déterminer les attentes de sécurité pour tenir les objectifs
- Intégrer les systèmes de téléphonie, serveur de fichier et messagerie dans les systèmes critiques de l’entreprise.
- Prendre en compte les ressources critiques.
- Prendre en compte les ressources immatérielles.
- Expliciter les niveaux de fonctionnement en « mode dégradé » et les valider en liaison avec les clients.
- Prendre en compte les niveaux dégradés de prestations des fournisseurs.
- L’échelle de mesure des conséquences d’interruption validée avec les responsables doit être identique pour tous les processus.
3ème étape : Identifier, analyser, évaluer et traiter les risques

- En cas de présence d’une analyse de risque réalisée antérieurement au PCA, il faut vérifier à nouveau sa pertinence.
- L’analyse de risque doit permettre d’identifier ceux contre lesquels il est prioritaire de se protéger.
- Le PCA doit contenir autant de composantes que de scénario de risque retenu.
- Le PCA doit prendre en compte les risques opérationnels pour lesquels l’interruption d’activité résulte de la perte de ressources critiques.
- Identifier les partenaires des secteurs publics et privés susceptibles d’être concernés.
- Prendre en compte les interdépendances et les effets en cascade.

4ème étape : Définir la stratégie de continuité d’activité
- Les objectifs de continuité doivent être cohérents avec ceux de l’entreprise ; ils doivent être également mesurables et tenir compte des ressources nécessaires.
- Les objectifs de continuité en mode dégradé et pour la reprise d’activité doivent être cohérents avec les scénarios de risques retenus.
- Identifier l’ordre de priorité des procédures, des ressources, de la reprise et du basculement progressif sur les systèmes normaux.
- Prendre en compte de manière réciproque les exigences vis-à-vis des partenaires.
- Identifier les services de l’Etat et les organisations partenaires du PCA.
- Faire valider la stratégie par la direction.

5ème étape : Mettre en œuvre et assurer l’appropriation du plan
- Prévoir les actions de communication inhérentes au lancement, à l’appropriation et à la mise en œuvre du PCA.
- Rendre simple et accessible les mesures à mettre en œuvre ainsi que les procédures associées.
- Mettre en place de manière concrète les dispositifs, moyens et ressources nécessaires à la mise en œuvre du PCA.
- Désigner, informer et former les personnes responsables.
- Concevoir les indicateurs, les dispositifs itératifs de vérification mais aussi les contrôles, les exercices et évolutions du plan.
- Contrôler périodiquement les procédures de sauvegarde/récupération et les moyens critiques du PCA.

Le PCA est un donc un outil extrêmement utile pour une entreprise, surtout dans le contexte actuel où les événements exceptionnels se multiplient de jour en jour (attentat, catastrophe naturelle, etc). Il devient de plus en plus obligatoire par voie de règlement mais reste encore pour de nombreuses entreprises à l’origine de leur propre initiative.