Gestion de crise en PME et ETI : cellule de crise, PCA et méthode 2026
Une PME peut être mise à genoux en quelques heures par une cyberattaque, la défaillance d'un fournisseur ou l'absence d'un homme-clé. Cette page rassemble la méthode des 7 réflexes du dirigeant, la cellule de crise et le plan de continuité d'activité à l'échelle d'une PME, le cadre des obligations (sécurité des salariés, NIS2) et les réponses aux questions des dirigeants.
Parler à un consultant Twist
Une crise en PME ou en ETI est un événement soudain qui menace les salariés, l'activité, la trésorerie ou la réputation de l'entreprise, et exige une décision rapide du dirigeant. Contrairement aux secteurs très réglementés, la PME dispose de peu d'obligations formelles de gestion de crise : son dispositif repose surtout sur l'anticipation volontaire, autour de deux outils, la cellule de crise et le plan de continuité d'activité. La donne change toutefois sur le volet cyber : avec la directive NIS2, de nombreuses PME et ETI entrent dans une obligation de cybersécurité. La directive concerne désormais 15 000 à 18 000 entités en France (source ANSSI).
La gestion de crise en entreprise couvre trois temps : la préparation (cellule de crise, PCA, sauvegardes, exercices), la réponse (qualification, protection des personnes et de l'activité, mode dégradé, communication), la sortie de crise (RETEX, consolidation, conformité). Cette page traite les trois temps, avec une orientation opérationnelle pour les dirigeants, directeurs généraux, DAF, DRH et responsables des systèmes d'information.
En 3 points
- La cellule de crise et le plan de continuité d'activité ne sont pas réservés aux grands groupes. En PME, ils peuvent être simples mais doivent être réels et activables : décider à froid qui fait quoi vaut mieux qu'improviser dans la panique.
- Le dirigeant a une obligation de sécurité envers ses salariés (Code du travail, DUERP). En crise, protéger les personnes passe avant la continuité de l'activité, et sa responsabilité peut être engagée.
- La directive NIS2, transposée par la loi du 30 juillet 2025 et applicable depuis 2026, fait basculer de nombreuses PME et ETI des secteurs couverts dans une obligation de cybersécurité et de notification des incidents à l'ANSSI.
Sommaire de la page
Cadre et obligations applicables aux PME et ETI
La PME relève moins d'un plan réglementaire imposé que d'un faisceau d'obligations et de standards. Certaines sont contraignantes (sécurité des salariés, NIS2 pour les entreprises concernées), d'autres relèvent de bonnes pratiques déterminantes (PCA, ISO 22301). Voici les éléments structurants.
Sources officielles : Code du travail, article L.4121-1 (Légifrance), ANSSI, directive NIS2, CNIL, AFNOR, ISO 22301, CPME.
| Cadre | Objet | Caractère |
|---|---|---|
| Obligation de sécurité Code du travail, L.4121-1, DUERP |
Obligation de l'employeur de protéger la santé physique et mentale des salariés. Matérialisée par le document unique d'évaluation des risques (DUERP). | Obligatoire |
| Directive NIS2 Loi du 30 juillet 2025, application 2026 |
Impose aux entités concernées des mesures de gestion des risques cyber et la notification des incidents majeurs à l'ANSSI. 15 000 à 18 000 entités visées en France. | Obligatoire si concerné |
| RGPD Protection des données personnelles |
Impose la sécurisation des données et la notification à la CNIL des violations de données personnelles, fréquentes lors d'une cyberattaque. | Obligatoire |
| Plan de continuité d'activité (PCA) Maintien des fonctions essentielles |
Organise la continuité de l'entreprise en situation dégradée : activités vitales, mode dégradé, solutions de repli, fournisseurs alternatifs. | Volontaire, déterminant |
| ISO 22301 Management de la continuité |
Norme internationale fournissant un cadre méthodologique pour structurer la continuité d'activité. Certification possible mais non obligatoire. | Volontaire |
| Responsabilité du dirigeant Civile et pénale |
Le dirigeant peut voir sa responsabilité engagée en cas de manquement caractérisé à la sécurité ou à ses obligations. La préparation est aussi une protection. | Transversal |
NIS2 : ce qui change pour les PME et ETI
Nouvelle obligation, à cadrer sans dramatiser
De nombreuses PME basculent dans la cybersécurité réglementée
Jusqu'ici, la cybersécurité réglementée ne visait que les grands opérateurs critiques. La directive NIS2, transposée par la loi du 30 juillet 2025 et applicable depuis 2026, élargit massivement le périmètre : de nombreuses PME et ETI des 18 secteurs couverts sont désormais concernées, selon leur taille.
- Entités importantes : entreprises de 50 à 249 salariés (ou 10 à 50 millions d'euros de chiffre d'affaires) des secteurs couverts.
- Entités essentielles : à partir de 250 salariés, avec des exigences renforcées.
- Obligations : enregistrement, mesures de gestion des risques cyber, notification des incidents majeurs à l'ANSSI. Sanctions pouvant atteindre plusieurs millions d'euros.
Le bon réflexe n'est pas de paniquer mais de vérifier si l'entreprise est concernée (secteur et seuils), puis de traiter le cyber comme ce qu'il est déjà : le premier risque opérationnel de la PME. NIS2 ne fait qu'imposer ce que le bon sens recommandait.
Quatre profils d'entreprises, un même enjeu
L'enjeu de résilience est commun, mais les moyens et l'exposition varient avec la taille et le secteur. La méthode reste la même, le dimensionnement change.
10 à 49 salariés
Structure légère, dirigeant très impliqué, moyens limités. Forte dépendance à quelques personnes et à des outils numériques mutualisés.
- Cellule de crise = dirigeant et 2 ou 3 personnes clés
- PCA simple centré sur les fonctions vitales
- Sauvegardes et cybersécurité de base prioritaires
50 à 249 salariés
Organisation plus structurée, fonctions support en place. Peut entrer dans le périmètre NIS2 en tant qu'entité importante selon le secteur.
- Cellule de crise pluridisciplinaire
- PCA formalisé et testé
- Vérifier l'éligibilité NIS2 et s'y préparer
250 à 4 999 salariés
Sites multiples, enjeux de réputation et de continuité forts. Souvent entité essentielle au sens de NIS2, avec des exigences renforcées.
- Dispositif de crise structuré et exercé
- PCA et PRA articulés, multi-sites
- Conformité NIS2 et cybersécurité avancée
Maillon d'une chaîne sensible
PME fournisseur d'un grand donneur d'ordre ou d'un secteur essentiel. Exposée par ricochet aux exigences de ses clients et à NIS2.
- Exigences de continuité imposées par les clients
- Cybersécurité comme condition commerciale
- PCA aligné sur les attentes de la chaîne
Huit typologies de crises en entreprise
Une PME peut être frappée par des crises de nature très différente, souvent en cascade. Le dispositif doit anticiper les plus probables pour son activité.
1. Cyberattaque
Rançongiciel, fraude au président, paralysie du système d'information. Premier risque opérationnel des PME. Mode dégradé, restauration, notification ANSSI et CNIL.
2. Défaillance fournisseur
Rupture d'approvisionnement, faillite d'un sous-traitant, tension sur la chaîne logistique. Recherche de solutions alternatives, priorisation des productions.
3. Perte d'un homme-clé
Départ, maladie ou décès d'une personne détenant un savoir-faire ou des relations critiques. Risque sous-estimé en PME, à anticiper dans le PCA.
4. Crise sociale interne
Conflit, mouvement social, accident du travail grave, alerte sur les conditions de travail. Dialogue, protection des personnes, communication interne maîtrisée.
5. Sinistre sur site
Incendie, dégât des eaux, accident industriel. Évacuation, mise en sécurité, continuité sur site de repli, déclaration d'assurance, reprise de l'activité.
6. Crise produit ou réputationnelle
Rappel produit, défaut qualité, bad buzz, mise en cause médiatique. Cellule communication, transparence maîtrisée, préservation de la confiance client.
7. Crise financière et de trésorerie
Choc de trésorerie, impayé majeur, perte d'un client clé. Mobilisation des partenaires bancaires, plan de redressement, communication aux parties prenantes.
8. Crise sanitaire ou climatique
Épidémie, canicule, inondation, événement climatique extrême. Continuité d'activité, télétravail, protection des salariés, adaptation des opérations.
Les 7 réflexes du dirigeant en crise
Cette méthode condense la doctrine validée par les RETEX d'exercices et de crises réelles. Elle est calibrée pour une PME : simple, rapide, sans dispositif lourd de grand groupe.
Activer la cellule de crise
Réunir sans délai une cellule de crise, même restreinte : dirigeant, responsable opérationnel, RH, responsable des systèmes d'information, communication. Dans une petite PME, le dirigeant et deux ou trois personnes clés suffisent. Ouvrir la main courante.
Qualifier l'événement et décider
Évaluer la nature, l'ampleur et l'impact sur les personnes, l'activité, les clients et la trésorerie. Décider des priorités immédiates et déclencher le niveau de réponse adapté. Le dirigeant assume la décision et protège l'entreprise.
Protéger les personnes et l'activité essentielle
Mettre en sécurité les salariés (obligation de sécurité de l'employeur) et identifier les activités essentielles à maintenir absolument. Hiérarchiser ce qui doit fonctionner, ce qui peut être ralenti, ce qui peut être suspendu.
Activer le plan de continuité et le mode dégradé
Mettre en oeuvre le plan de continuité d'activité : solutions de repli, mode dégradé, sauvegardes, fournisseurs alternatifs, télétravail. Sans PCA formalisé, improviser une continuité minimale autour des fonctions vitales de l'entreprise.
Communiquer avec les parties prenantes
Informer avec mesure les salariés, les clients, les fournisseurs, les partenaires bancaires et l'assureur. Une communication claire et honnête préserve la confiance et limite les dégâts réputationnels. Désigner un porte-parole unique.
Traiter les obligations légales et déclaratives
Selon l'événement : notification d'un incident de cybersécurité à l'ANSSI si l'entreprise est concernée par NIS2, déclaration d'une violation de données à la CNIL, déclaration de sinistre à l'assureur, information du CSE. Anticiper ces obligations à froid.
Faire le RETEX et consolider
Après le retour à la normale, conduire un RETEX, identifier les fragilités révélées et consolider : formaliser ou actualiser le PCA, renforcer la sauvegarde et la cybersécurité, former la cellule de crise, planifier un exercice.
Pourquoi la préparation est décisive
Une PME a rarement une seconde chance face à une crise majeure : une part importante des entreprises frappées par un sinistre grave sans préparation ne s'en relève pas. La bonne nouvelle, c'est qu'un socle de préparation utile est rapide et peu coûteux à mettre en place.
Une cellule de crise désignée
Quelques personnes, des rôles clairs, un moyen de se joindre hors des outils habituels. C'est l'investissement le plus rentable de la préparation.
Un PCA proportionné
Identifier les activités vitales, les ressources critiques et les solutions de repli. Pas besoin d'un document de cent pages, mais d'un plan réellement activable.
Des sauvegardes testées
Face au premier risque (le cyber), une sauvegarde déconnectée et régulièrement testée est souvent ce qui fait la différence entre l'incident et la catastrophe.
Un premier exercice
Un exercice sur table de deux heures révèle plus de failles qu'un audit. Il transforme un plan théorique en réflexe partagé par l'équipe.
La doctrine Twist appliquée à la PME
En PME, le piège est double : croire que la gestion de crise est un luxe de grand groupe, ou se laisser vendre un dispositif surdimensionné. Twist applique trois partis pris. D'abord, proportionner : le bon dispositif d'une PME de 30 salariés n'est pas une version réduite de celui d'un grand groupe, c'est un socle simple et activable. Ensuite, partir du dirigeant : dans une PME, c'est lui qui décide en crise, donc c'est sa préparation et celle de quelques proches qui comptent. Enfin, traiter le cyber comme la priorité : c'est aujourd'hui le risque qui met le plus souvent une PME à genoux, et NIS2 ne fait que confirmer cette réalité.
« Une PME n'a pas besoin d'un plan de crise de multinationale. Elle a besoin de trois choses : savoir qui décide, savoir ce qui doit continuer coûte que coûte, et avoir des sauvegardes qui marchent. Mon travail, c'est de poser ce socle simple, sans surdimensionner. »
Benoît Labalette, consultant en gestion de crise, TwistCas concret : cyberattaque sur une PME industrielle
Un rançongiciel paralyse la production d'une PME de 80 salariés
Une PME industrielle de 80 salariés découvre un lundi matin que son système d'information est chiffré par un rançongiciel : ERP, gestion de production et messagerie sont inaccessibles, une rançon est exigée. La production est à l'arrêt, les commandes clients bloquées. Le dirigeant, qui avait formalisé une cellule de crise restreinte et un plan de continuité simple, l'active dans l'heure.
La cellule, réunie autour du dirigeant, du responsable de production, du responsable informatique et de la RH, décide : ne pas payer la rançon, isoler les systèmes, basculer en mode dégradé papier pour maintenir les expéditions critiques, et solliciter un prestataire de réponse à incident. Les sauvegardes déconnectées, testées quelques mois plus tôt, permettent d'envisager une restauration. En parallèle, la PME, qui relève du périmètre NIS2 en tant qu'entité importante, notifie l'incident à l'ANSSI, et déclare à la CNIL la possible atteinte aux données personnelles. Les clients prioritaires sont informés avec transparence par un porte-parole unique.
L'activité repart partiellement sous une semaine, complètement sous trois. Le RETEX identifie deux fragilités : une segmentation réseau insuffisante et l'absence de procédure de mode dégradé écrite. Les deux sont corrigées, et un exercice est planifié pour l'année suivante.
Trois leviers décisifs
1. Des sauvegardes déconnectées et testées, qui ont rendu la restauration possible sans payer. 2. Une cellule de crise déjà définie, qui a permis de décider vite et de ne pas céder à la panique. 3. Une chaîne de notification anticipée (ANSSI au titre de NIS2, CNIL), déclenchée sans délai.
Cas composite anonymisé, construit à partir de scénarios d'exercices et de RETEX publics. Toute ressemblance avec une entreprise identifiable serait fortuite.
Glossaire de la gestion de crise en entreprise
Les termes clés à maîtriser pour piloter la résilience de votre PME ou ETI.
Cellule de crise
Groupe restreint qui pilote la réponse à la crise. En PME, le dirigeant et quelques personnes clés aux rôles définis.
PCA
Plan de Continuité d'Activité. Maintient les fonctions essentielles en situation dégradée : repli, mode dégradé, fournisseurs alternatifs.
PRA
Plan de Reprise d'Activité. Décrit la remise en route des systèmes et de l'activité après une interruption. Complète le PCA.
DUERP
Document Unique d'Évaluation des Risques Professionnels. Obligatoire, recense les risques pour les salariés et les mesures de prévention.
Obligation de sécurité
Obligation de l'employeur de protéger la santé de ses salariés (L.4121-1 du Code du travail). Priorité en crise.
NIS2
Directive cyber transposée par la loi du 30 juillet 2025, applicable depuis 2026. Élargit les obligations à de nombreuses PME et ETI.
Entité importante
Catégorie NIS2 : entreprises de 50 à 249 salariés des secteurs couverts. Obligations allégées par rapport aux entités essentielles.
ANSSI
Agence Nationale de la Sécurité des Systèmes d'Information. Destinataire des notifications d'incidents au titre de NIS2.
RGPD
Règlement sur la protection des données. Impose la notification à la CNIL des violations de données personnelles.
ISO 22301
Norme internationale de management de la continuité d'activité. Cadre de référence volontaire pour le PCA.
Homme-clé
Personne dont l'absence soudaine désorganise l'entreprise. Risque souvent sous-estimé en PME.
Mode dégradé
Fonctionnement avec des moyens réduits quand des ressources habituelles sont indisponibles : procédures manuelles, priorisation.
Questions fréquentes des dirigeants
Une PME a-t-elle vraiment besoin d'une cellule de crise ?
Oui. La cellule de crise n'est pas réservée aux grands groupes : c'est la manière organisée de décider vite et bien quand l'entreprise est menacée. Dans une PME, elle peut se résumer au dirigeant et à deux ou trois personnes clés, avec des rôles définis à l'avance, une salle, des moyens de communication et une main courante. Ce qui compte n'est pas la taille, mais le fait d'avoir réfléchi à froid à qui décide quoi, plutôt que d'improviser dans la panique.
Qu'est-ce qu'un plan de continuité d'activité (PCA) pour une PME ?
Le plan de continuité d'activité organise le maintien des fonctions essentielles de l'entreprise en cas de crise (cyberattaque, incendie, perte d'un fournisseur, indisponibilité de salariés). Il identifie les activités vitales, les ressources nécessaires, les solutions de repli et le mode dégradé. Pour une PME, un PCA peut être simple mais doit être réel : sauvegardes testées, fournisseurs alternatifs identifiés, procédures de repli connues. La norme ISO 22301 fournit un cadre de référence, sans être obligatoire.
Ma PME est-elle concernée par la directive NIS2 ?
Peut-être. La directive NIS2, transposée par la loi du 30 juillet 2025 et applicable depuis 2026, élargit fortement le périmètre : entre 15 000 et 18 000 entités sont concernées en France. Sont visées les entreprises de 18 secteurs qui atteignent certains seuils. Les entités importantes sont celles de 50 à 249 salariés (ou 10 à 50 millions d'euros de chiffre d'affaires) dans ces secteurs ; les entités essentielles, à partir de 250 salariés. Une PME d'un secteur couvert atteignant ces seuils doit gérer ses risques cyber et notifier ses incidents majeurs à l'ANSSI.
Quelles sont les obligations NIS2 et les sanctions ?
Les entités concernées doivent s'enregistrer, mettre en place des mesures de gestion des risques de cybersécurité et notifier les incidents significatifs à l'ANSSI selon un calendrier graduel (alerte précoce, notification, rapport final). Les sanctions peuvent atteindre, pour les entités essentielles, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, et pour les entités importantes, jusqu'à 7 millions d'euros ou 1,4 %. Au-delà de la conformité, NIS2 est surtout une incitation à traiter sérieusement un risque cyber qui touche déjà massivement les PME.
Quelle est l'obligation de sécurité d'un dirigeant envers ses salariés ?
L'employeur a une obligation de sécurité à l'égard de ses salariés (article L.4121-1 du Code du travail) : il doit prendre les mesures nécessaires pour protéger leur santé physique et mentale. Cette obligation se matérialise notamment par le document unique d'évaluation des risques professionnels (DUERP). En situation de crise, protéger les personnes est la première priorité du dirigeant, avant la continuité de l'activité, et sa responsabilité peut être engagée en cas de manquement caractérisé.
Combien de temps faut-il pour qu'une PME se prépare à une crise ?
L'essentiel d'une préparation utile peut se mettre en place en quelques semaines : identifier les scénarios de crise les plus probables, désigner et former une cellule de crise restreinte, formaliser un PCA proportionné, sécuriser les sauvegardes, et réaliser un premier exercice sur table. L'objectif n'est pas un dispositif lourd de grand groupe, mais un socle simple, connu de l'équipe et réellement activable. Twist accompagne les PME et ETI sur ce socle, sans surdimensionner.
Pourquoi les PME sont-elles des cibles fréquentes de cyberattaques ?
Les PME conjuguent une forte dépendance numérique et des moyens de cybersécurité souvent limités, ce qui en fait des cibles privilégiées des rançongiciels et des fraudes. Une cyberattaque peut paralyser la production, la facturation et la relation client, et menacer la survie de l'entreprise. La préparation combine prévention (sauvegardes, sensibilisation, mesures techniques) et gestion de crise (cellule, PCA, mode dégradé, notification). C'est aujourd'hui le premier risque opérationnel à anticiper pour une PME.
Qui peut accompagner une PME ou une ETI dans sa gestion de crise ?
Plusieurs acteurs interviennent. Les organisations professionnelles (CPME, MEDEF, branches) et les chambres consulaires diffusent guides et sensibilisation. L'ANSSI met à disposition des ressources cyber. Les cabinets spécialisés en gestion de crise, comme Twist, accompagnent la structuration de la cellule de crise, l'élaboration d'un PCA proportionné, la formation du dirigeant et de l'équipe, et la conception d'exercices adaptés à la taille de l'entreprise. L'enjeu est un dispositif simple, approprié et activable.
Préparer votre PME ou ETI à la crise
Structuration d'une cellule de crise proportionnée, élaboration d'un plan de continuité d'activité simple et activable, préparation à NIS2, formation du dirigeant et de l'équipe, conception d'exercices sur table, RETEX. Twist accompagne les PME et ETI sans surdimensionner le dispositif.
Échangeons sur votre résilience et vos prochains exercices.