top of page
Rechercher

PCA et PRA : construire la résilience là où les organisations sont le plus vulnérables

  • 26 févr.
  • 15 min de lecture

Les organisations qui disposent d'un Plan de Continuité d'Activité (PCA) ont généralement un point commun : elles l'ont fait rédiger par leur DSI ou leur prestataire informatique. Le document qui en résulte traite en détail la sauvegarde des données, la redondance des serveurs, les délais de restauration des systèmes. Il est souvent rigoureux sur la dimension technique.


Et il oublie presque entièrement la moitié du problème.

Car la continuité d'activité n'est pas un sujet informatique. C'est un sujet organisationnel global. Les disruptions qui interrompent ou compromettent les activités d'une organisation ne sont pas toujours numériques. Elles peuvent être physiques : un site rendu inaccessible, un bâtiment endommagé, une infrastructure physique dégradée, un incident de sûreté qui empêche le personnel d'accéder à son lieu de travail. Et ces scénarios, dans la très grande majorité des PCA que les organisations ont en portefeuille, ne sont pas traités avec le même niveau de rigueur que les scénarios IT.


C'est ce déséquilibre que cet article se propose de corriger — en donnant aux PCA et PRA leur vrai périmètre, leur vraie méthode, et leur vraie utilité.


La confusion qui affaiblit les organisations dès le départ

Il existe une croyance répandue selon laquelle le PCA et le PRA sont des outils essentiellement destinés aux équipes informatiques, utiles principalement en cas de cyberattaque ou de panne de système. Cette croyance s'est renforcée avec la montée en puissance des obligations réglementaires cyber (NIS2, DORA) dont la plupart des guides de mise en conformité abordent ces plans sous l'angle SI.

Elle est pourtant incorrecte, et sa conséquence est concrète : des organisations qui ont investi du temps et des ressources dans la construction d'un PCA se retrouvent sans aucun dispositif opérationnel lorsqu'un incident physique interrompt leurs activités.

Le SGDSN (Secrétariat Général de la Défense et de la Sécurité Nationale) définit le PCA comme un ensemble de dispositions visant à garantir la reprise et la continuité des activités à la suite d'un sinistre ou d'un événement perturbant gravement le fonctionnement normal d'une organisation — précisant qu'il doit permettre à l'organisation de répondre à ses obligations externes (législatives ou réglementaires, contractuelles) ou internes (risque de perte de marché, survie de l'entreprise, image). Cette définition ne mentionne pas l'informatique. Elle parle d'activités — toutes les activités — et de tous les types d'événements perturbateurs.

Un incendie qui détruit un site de production, une intrusion qui déclenche la mise sous scellés d'un bâtiment par la police judiciaire, une menace grave sur un établissement qui contraint à l'évacuation immédiate pendant plusieurs jours : ce sont des événements perturbateurs au même titre qu'une cyberattaque. Et ils exigent des réponses organisationnelles qui ne se trouvent pas dans un plan de restauration des serveurs.


Définitions précises : ce que sont vraiment le PCA et le PRA

Le Plan de Continuité d'Activité (PCA)

Le PCA est un dispositif stratégique et opérationnel qui décrit comment une organisation maintient ses activités essentielles dans des conditions dégradées, pendant une disruption. Son horizon est celui de la crise en cours — maintenir un niveau de service minimum, garantir la sécurité des personnes, préserver les engagements critiques envers les clients et partenaires, tout en gérant activement la situation.

Il répond à une question simple : si demain matin notre site principal est inaccessible, nos systèmes partiellement défaillants, une partie de nos équipes indisponibles — quelles activités devons-nous absolument maintenir, avec quels moyens alternatifs, et comment ?

Le PCA couvre cinq dimensions indissociables. Les activités critiques à maintenir, identifiées par ordre de priorité. Les ressources nécessaires — humaines, techniques, physiques — pour les maintenir en mode dégradé. Les sites alternatifs ou modes de fonctionnement de repli. Les chaînes de communication interne et externe en situation de crise. Et les seuils de déclenchement du plan — à quel moment et selon quels critères le PCA est-il activé.

Le Plan de Reprise d'Activité (PRA)

Le PRA est complémentaire au PCA mais distinct dans son objet. Là où le PCA gère la continuité pendant la disruption, le PRA organise la reprise après que la disruption a eu lieu. Il répond à la question : une fois l'événement maîtrisé, comment retournons-nous à un fonctionnement normal — et dans quel ordre, avec quelle priorité ?

Le PRA est souvent décrit comme un sous-ensemble du PCA, plus ciblé sur la restauration des systèmes et processus spécifiques. Dans le champ IT, cette distinction est bien documentée. Dans le champ de la sûreté physique, elle l'est beaucoup moins — mais elle est tout aussi réelle. Reprendre l'activité sur un site après un incident physique grave (remise en état des accès, réouverture après intervention des forces de l'ordre, reconstitution des équipes affectées) nécessite un plan spécifique distinct du plan de continuité.

La relation entre PCA et PRA — et les erreurs fréquentes

La confusion entre les deux plans génère deux types d'erreurs opposées.

La première est de les fusionner en un seul document, produisant un plan qui ne répond bien ni à la gestion de la continuité ni à la reprise. La distinction entre maintenir et rétablir n'est pas sémantique — elle correspond à des équipes différentes, des ressources différentes, des délais différents.

La seconde est de considérer que le PRA n'est qu'un sous-ensemble technique applicable uniquement à l'informatique. Cette vision réductrice laisse sans réponse tous les scénarios de reprise qui concernent la dimension physique des activités : accès aux sites, reconstitution des espaces de travail, gestion des équipes temporairement indisponibles.


Les trois piliers du BIA, RTO et RPO — avant de construire quoi que ce soit

Avant de rédiger la moindre procédure de continuité, une organisation doit avoir conduit un Bilan d'Impact sur les Activités (BIA). C'est l'étape fondatrice, et c'est celle que la plupart des organisations bâclent ou sautent entièrement.

Le BIA répond à une question brutale : si telle activité s'arrête pendant X heures, X jours, X semaines — quelles sont les conséquences réelles sur les dimensions financière, contractuelle, réglementaire, réputationnelle et humaine, et à partir de quel seuil ces conséquences deviennent-elles inacceptables ?

C'est ce travail qui permet de hiérarchiser les activités critiques, d'identifier les dépendances entre processus — y compris les dépendances physiques souvent ignorées (quel processus dépend de quel bâtiment, de quel équipement, de quel accès physique spécifique ?) — et de définir les paramètres de reprise.

Ces paramètres ont deux noms techniques qui doivent être explicitement définis pour chaque activité critique.

Le RTO (Recovery Time Objective) est la durée maximale admissible d'interruption. Au-delà de ce délai, les conséquences pour l'organisation deviennent inacceptables. Un service de réanimation d'hôpital a un RTO de quelques minutes. Un service de paie a un RTO de quelques jours. Ces délais, définis dans le PCA, correspondent exactement à ce que le SGDSN appelle les "durées d'interruptions maximales admissibles" pour chaque activité essentielle.

Le RPO (Recovery Point Objective) est le volume maximal de données ou d'informations que l'organisation peut se permettre de perdre, exprimé en temps : perdre les données des 4 dernières heures est acceptable, perdre celles des 48 dernières heures ne l'est pas. Ce paramètre concerne principalement les données numériques, mais il a aussi une dimension physique — les documents, dossiers et journaux de bord physiques non dématérialisés.

RTO et RPO ne sont pas des objectifs à définir par les équipes informatiques en chambre. Ils résultent du BIA et impliquent les responsables métiers, les fonctions juridiques et la direction générale. Le document unique d'évaluation des risques (DUER), prévu à l'article R. 4121-2 du Code du travail, est également un point d'entrée indispensable : la gestion des risques qui y est documentée alimente directement les scénarios du BIA.


Les scénarios physiques que les PCA ignorent parfois

L'angle mort du PCA classique est là : les scénarios de disruption physique. Ils sont moins documentés dans les guides de référence, moins visibles dans les obligations réglementaires cyber, et moins familiers aux rédacteurs de PCA issus du monde IT.

L'inaccessibilité du site est le scénario le plus fréquent et le plus sous-préparé. Un incendie, une inondation, une intrusion avec prise d'otage, un dépôt de bombe, une contamination — autant d'événements qui peuvent rendre un site totalement inaccessible pendant plusieurs jours ou semaines. Les questions auxquelles le PCA doit répondre ne sont pas "comment restaurer les serveurs ?" mais : où vont travailler les équipes ? comment accèdent-elles aux ressources physiques dont elles ont besoin ? comment les clients, fournisseurs et partenaires sont-ils informés et maintenus en relation ?

La mise sous scellés judiciaire est un scénario que peu d'organisations ont intégré dans leur PCA. Lorsqu'un incident grave survient sur un site — accident du travail mortel, agression, décès suspect — les autorités judiciaires peuvent placer les locaux sous scellés pendant la durée de l'enquête, parfois plusieurs semaines. L'organisation ne peut alors plus accéder à ses propres locaux, même pour y récupérer des documents ou des équipements. C'est l'un des cas où le plan de gestion de crise et le PCA doivent être coordonnés dès la phase de préparation — pas découverts comme manquants au moment de l'incident.

L'indisponibilité soudaine du personnel liée à un incident physique est un troisième scénario négligé. Une équipe entière en état de choc après un événement traumatisant, un responsable clé blessé ou décédé, des collaborateurs en arrêt prolongé. Ces situations ne se gèrent pas avec un plan de restauration informatique — elles se gèrent avec des procédures de suppléance, des formations croisées, et une documentation des processus suffisante pour que la continuité soit possible sans les titulaires habituels. La détection précoce des signaux faibles qui précèdent ce type d'incident est aussi une composante de la préparation — elle appartient au volet sûreté physique du dispositif global.

La dégradation de l'infrastructure physique de sécurité est le quatrième scénario : les systèmes de contrôle d'accès hors service, la vidéoprotection inopérante, les équipements de protection détruits ou volés. Ces défaillances exposent l'organisation à des risques secondaires immédiats, et le PCA doit intégrer les procédures compensatoires à activer en attendant la remise en état.

La sûreté physique de l'organisation et la continuité de ses activités sont donc intimement liées. Un incident de sûreté physique peut déclencher un scénario de continuité. Et un scénario de continuité mal préparé peut aggraver l'impact d'un incident de sûreté. C'est précisément pourquoi un audit de sûreté rigoureux en amont est l'un des meilleurs investissements préalables à la construction d'un PCA solide : les vulnérabilités physiques identifiées lors de l'audit alimentent directement les scénarios de disruption du BIA.


Le Triangle de Résilience des Organisations : le cadre CARINEL pour la résilience globale

Il est tentant de traiter la sûreté physique, la gestion de crise et la continuité d'activité comme trois disciplines séparées, gérées par des équipes distinctes avec des outils distincts. C'est une erreur de conception qui crée des zones grises dangereuses — et c'est une erreur que CARINEL a documentée dans la genèse de sa méthodologie.

La crise COVID-19 l'a illustré de manière particulièrement saillante. Les organisations confrontées simultanément à la protection physique de leurs personnels, à la gestion d'une crise sans précédent dans leur fonctionnement, et au maintien de leurs activités essentielles dans des conditions dégradées, ont découvert que ces trois dimensions ne pouvaient pas être pilotées de manière étanche. Leurs failles se combinaient. Leurs ressources se disputaient. Leurs décisions se contrariaient.

C'est dans ce contexte que CARINEL a formalisé le Triangle de Résilience des Organisations (TRO) — un modèle représentant les trois forces interdépendantes qui structurent la résilience d'une organisation face à tout type d'événement perturbateur.

Ces trois forces sont la sécurité et la sûreté, la gestion de crise, et la continuité d'activité. Chacune renforce les deux autres, et la défaillance de l'une fragilise l'ensemble du dispositif.

La sécurité et la sûreté forment le premier sommet du triangle. Selon la définition de l'OMS, la sécurité est "un état où les dangers et les conditions pouvant provoquer des dommages d'ordre physique, psychologique ou matériel sont contrôlés de manière à préserver l'intégrité et le bien-être des individus et de la communauté." Pour atteindre cet état, trois niveaux de prévention doivent être articulés : la prévention primaire (mesures de dissuasion et de détection), la prévention secondaire (mesures de réaction), et la prévention tertiaire (mesures de suivi et de récupération). C'est l'objet du Security Circle Model (SCM) de CARINEL, qui combine l'audit de sûreté, le conseil et la formation pour s'assurer que les mesures de sécurité et de sûreté mises en place correspondent aux besoins de l'organisation en temps normal comme en temps de crise.

La gestion de crise forme le deuxième sommet. Elle nécessite un savoir-faire spécifique et la capacité de reconnaître les différentes étapes d'une crise : la période d'incubation, l'élément déclencheur, la phase aiguë avec les réponses opérationnelles, la sortie de crise, et le retour d'expérience. Ce savoir-faire ne s'improvise pas au moment de l'incident — il s'acquiert par la formation, les exercices et les simulations qui permettent à l'organisation et à ses instances dirigeantes d'évaluer leur résilience et d'ajuster leurs protocoles. La cellule de crise, le plan de gestion de crise et les procédures associées constituent les pièces maîtresses de cette force.

La continuité d'activité forme le troisième sommet : le PCA et le PRA, avec pour objectif de maintenir les activités essentielles de manière continue lorsque l'évolution de la crise le permet, puis de rétablir progressivement l'ensemble des opérations.

La cohérence du triangle repose sur une articulation permanente entre ces trois forces — pas sur leur juxtaposition. Un PCA robuste ne peut pas être construit sans une analyse sérieuse des risques de sûreté physique : si l'organisation n'a pas identifié les scénarios d'intrusion, d'agression ou de dégradation physique qui la menacent spécifiquement, son BIA est incomplet. Inversement, une démarche de sûreté physique qui ignore les impacts sur la continuité d'activité produit des mesures de protection tactiquement pertinentes mais déconnectées des enjeux stratégiques de l'organisation.

Comme l'a formulé Edgar Morin : "Toute société a été ou sera en crise." La question n'est pas de savoir si votre organisation devra traverser une disruption majeure, mais de savoir si elle a construit les trois forces du TRO avec la même rigueur.


PCA, PRA et obligations réglementaires actueles

Le cadre réglementaire français et européen place désormais la continuité d'activité au centre des obligations de conformité pour un nombre croissant d'organisations.

La directive NIS2 (UE 2022/2555), entrée en vigueur en France en octobre 2024, s'applique à plus de 10 000 entités françaises dans 18 secteurs critiques. Son article 21 exige une approche "tous risques" — une gestion des risques qui intègre explicitement les risques physiques pesant sur les systèmes et leur environnement opérationnel. Les plans de continuité documentés font partie des mesures organisationnelles obligatoires. Les entités essentielles doivent notifier un incident significatif à l'ANSSI dans les 24 heures. Pour les entités concernées par la directive NIS2, la sûreté physique n'est donc plus une dimension optionnelle du PCA — elle est explicitement couverte par l'obligation d'approche "tous risques".

Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025 au secteur financier, impose des exigences de résilience opérationnelle numérique avec des tests réguliers des plans de continuité. Les entités financières doivent documenter leurs RTO et RPO, et démontrer par des exercices que ces objectifs sont effectivement atteignables.

La directive REC (Resilience of Critical Entities), en cours de transposition en France, étend les obligations de continuité à 11 secteurs d'infrastructure critique incluant l'énergie, les transports, la santé et l'alimentation. Elle impose explicitement des analyses de risques physiques et des plans de continuité intégrant les scénarios de menaces non numériques.

La loi du 9 juillet 2025 sur la sûreté des établissements de santé renforce les obligations spécifiques au secteur sanitaire en matière de protection physique et de continuité des soins — ancrant encore davantage le lien entre sûreté physique et continuité d'activité dans un cadre légal contraignant.

La norme ISO 22301 (Systèmes de management de la continuité d'activité) fournit le cadre international de référence. Non obligatoire pour la plupart des organisations, elle constitue la base méthodologique reconnue par les régulateurs pour structurer un BCMS (Business Continuity Management System) certifiable. S'appuyer sur ISO 22301 facilite la conformité à NIS2 et DORA et simplifie les audits réglementaires.


Construire un PCA opérationnel — les six étapes structurantes

Étape 1 : Définir le périmètre et la gouvernance

L'organisation définit le périmètre du PCA (quels sites, quels processus, quelles entités juridiques), recense ses obligations réglementaires et contractuelles en matière de continuité, et identifie les parties prenantes dont elle dépend — fournisseurs critiques, prestataires essentiels, infrastructures partagées.

C'est aussi à cette étape que la gouvernance du PCA est établie : qui est responsable de sa conception, de sa mise à jour, de son activation ? La continuité d'activité n'appartient pas au DSI seul — c'est un sujet de direction générale, qui exige un sponsor exécutif et un comité transversal. Le PCA doit faire apparaître explicitement le rôle des différents responsables, le dispositif de gestion de crise associé, et le processus de maintien opérationnel du plan lui-même.

Étape 2 : Conduire le Bilan d'Impact sur les Activités (BIA)

Le BIA identifie les processus critiques et évalue pour chacun l'impact d'une interruption selon plusieurs horizons temporels (1 heure, 4 heures, 1 jour, 3 jours, 1 semaine). Il couvre explicitement les dépendances physiques de chaque processus critique : quels locaux, quels équipements, quels accès physiques sont nécessaires ? Si ces dépendances sont rompues, quelles sont les conséquences et à partir de quel délai ?

Le BIA produit la liste des activités critiques, leur ordre de priorité, et pour chacune les paramètres RTO et RPO. Il doit également prendre en compte les ressources critiques qui peuvent avoir été perdues, jusqu'à la reprise de la situation normale — ce qui inclut les ressources physiques, pas seulement numériques.

Étape 3 : Évaluer les risques de disruption

Sur la base du BIA, l'organisation identifie les menaces susceptibles de provoquer les interruptions évaluées. Cette analyse des risques couvre les risques naturels, technologiques, cyber, mais aussi les risques physiques liés à la malveillance : intrusion, dégradation, menace grave. Elle évalue la probabilité et l'impact de chaque scénario, et hiérarchise les risques à traiter en priorité.

Pour les risques physiques, cette évaluation gagne en précision lorsqu'elle s'appuie sur un audit de sûreté préalable : les vulnérabilités physiques identifiées lors de l'audit alimentent directement les scénarios de disruption du BIA, et évitent de construire un PCA sur des angles morts.

Étape 4 : Définir les stratégies de continuité

Pour chaque activité critique et chaque scénario, l'organisation définit sa stratégie. Les formes possibles : site de repli (local alternatif préidentifié et équipé pour accueillir les équipes), télétravail étendu (avec les ressources techniques et procédures d'accès à distance nécessaires), partage de ressources avec un partenaire, ou dégradation maîtrisée (fonctionnement en mode réduit avec les activités non-critiques suspendues). Pour les scénarios physiques, la stratégie précise également les mesures compensatoires en cas de défaillance des dispositifs de sûreté physique.

Étape 5 : Rédiger les procédures et assembler le plan

Le document PCA comprend quatre composantes : les procédures d'activation (qui déclenche, selon quels critères, via quel canal, dans quel délai), les procédures opérationnelles par activité critique et par scénario, les plans de communication de crise interne et externe, et les fiches de ressources (contacts des sites de repli, coordonnées des prestataires d'urgence, accès aux systèmes de sauvegarde, annuaires de contacts prioritaires).

Le document doit être simple d'utilisation sous pression. Les procédures opérationnelles doivent tenir sur des fiches synthétiques, lisibles en 5 minutes. Des fiches réflexes par type de scénario — incendie, intrusion, mise sous scellés, panne informatique majeure — constituent les outils de première activation.

Étape 6 : Tester, mettre à jour, recommencer

Un PCA qui n'a jamais été testé est une illusion de résilience. Les tests prennent plusieurs formes selon leur ambition : test de lecture (identification des lacunes), test de communication (vérification que la chaîne d'alerte fonctionne et que les contacts sont à jour), simulation partielle sur un scénario spécifique, et exercice complet en conditions proches du réel. Chaque test produit un retour d'expérience structuré documenté. Les défaillances identifiées sont des problèmes à corriger, pas des échecs à dissimuler.


Les pièges qui font d'un PCA un document inutile

Plusieurs pièges reviennent systématiquement dans les PCA qui ne fonctionnent pas.

Le plan conçu hors-sol. Il est rédigé par des consultants externes, validé en CODIR, et transmis aux équipes sans qu'aucune d'elles n'ait été impliquée dans sa construction. Les responsables opérationnels ne connaissent pas le plan. Les procédures ne correspondent pas aux pratiques réelles. Un PCA qui n'appartient pas aux équipes qui doivent l'appliquer ne fonctionnera pas.

Les RTO/RPO irréalistes. L'organisation a défini des objectifs ambitieux lors du BIA, mais n'a pas investi dans les ressources (sites de repli, redondances, formations) nécessaires pour les tenir. Lors d'un incident réel, les délais affichés dans le plan sont impossibles à respecter avec les moyens disponibles.

L'absence de couverture physique. Le PCA ne couvre que les scénarios IT. Lorsqu'un incident physique frappe l'organisation, elle découvre qu'elle n'a pas de procédure pour les questions concrètes qui se posent.

La dépendance à des personnes-clés non remplaçables. Le PCA identifie correctement les activités critiques mais ne prévoit pas leur maintien si le responsable habituel est indisponible. La formation croisée, la documentation des processus, et les suppléants désignés sont des prérequis à une continuité réelle.

Le plan jamais mis à jour. L'organisation change — elle déménage, recrute, modifie ses processus, signe de nouveaux contrats critiques. Le PCA de 2022 ne correspond plus à l'organisation de 2026. CARINEL recommande une mise à jour du PCA tous les trois ans, complétée par une révision partielle annuelle pour intégrer les changements organisationnels et vérifier que les RTO/RPO restent atteignables.


Maintenir et tester — l'effort permanent que les organisations sous-estiment

Un PCA est un dispositif vivant. Il doit évoluer avec l'organisation, avec l'environnement réglementaire, et avec les enseignements tirés des exercices et des incidents réels.

Les exercices doivent se succéder à intervalles réguliers : un test de communication tous les six mois (vérifier que la chaîne d'alerte fonctionne et que les contacts sont à jour), une simulation sur scénario spécifique une fois par an (en choisissant un scénario différent à chaque exercice pour couvrir progressivement l'ensemble du périmètre), et un exercice complet tous les deux à trois ans. Pour les organisations soumises à NIS2 ou DORA, la traçabilité de ces tests et révisions est elle-même une obligation — les régulateurs et auditeurs la demanderont.

Les exercices de simulation sont aussi l'occasion de tester la cohérence entre le PCA et le plan de gestion de crise : les deux dispositifs doivent s'articuler sans créer de zones de responsabilité floues. La cellule de crise doit savoir à quel moment elle passe le relais au dispositif PCA — et inversement.

Le retour d'expérience de chaque exercice alimente une boucle d'amélioration continue : c'est lui qui transforme un PCA théorique en dispositif de résilience réel. Une organisation qui ne capitalise pas sur ses exercices et ses incidents réels n'apprend pas — et reproduira les mêmes défaillances à la prochaine disruption.

CARINEL accompagne les organisations dans la construction d'une résilience globale intégrant la sûreté physique, la gestion de crise et la continuité d'activité — de l'audit préalable au diagnostic du PCA existant, jusqu'à la simulation d'exercice et la mise à jour réglementaire.

📞 01 89 71 59 06

Commentaires

Les commentaires sur ce post ne sont plus acceptés. Contactez le propriétaire pour plus d'informations.
bottom of page