PCA : comprendre, construire, tester, faire vivre
Le guide complet du Plan de Continuité d'Activité : norme ISO 22301:2019, Business Impact Analysis, RPO/RTO/MTPD, articulation DORA et NIS 2, méthode de mise en place en 6 étapes, exercice annuel, RETEX cyber et pandémie.
Le Plan de Continuité d'Activité (PCA) est le dispositif organisationnel et documentaire qui permet à une entreprise de continuer à délivrer ses services et produits essentiels en cas d'événement perturbateur — cyberattaque, pandémie, panne énergétique, défaillance fournisseur, incident industriel, climatique. La référence normative internationale est la norme ISO 22301:2019 — Sécurité et résilience — Systèmes de management de la continuité d'activité (BCMS).
Au-delà de la norme, le PCA est devenu obligatoire pour de nombreuses entreprises : DORA depuis le 17 janvier 2025 pour les entités financières, NIS 2 depuis la loi du 30 octobre 2024 pour les entités essentielles dans 18 secteurs, POI/PPI pour les sites Seveso. La crise COVID a aussi durablement modifié l'attendu : tout PCA antérieur à 2020 ignore la dimension pandémie et le travail à distance massif.
Chez Twist, marque gestion de crise de SCOPIC (société coopérative de production), nous accompagnons les entreprises dans la mise en place ou la refonte de leur PCA, en articulation systématique avec le volet cyber (RSSI, ANSSI, CERT-FR), les obligations sectorielles et les acteurs externes critiques. Pour passer à l'offre commerciale, voir notre page accompagnement PCA.
Le PCA n'est pas un classeur ISO 22301 à présenter à l'auditeur. C'est le dispositif qui maintiendra votre entreprise debout le jour où votre SI sera chiffré ou votre fournisseur clé défaillant.
L'essentiel à retenir
- Norme de référence : ISO 22301:2019 — Business Continuity Management Systems (BCMS).
- DORA depuis le 17 janvier 2025 : obligation pour les entités financières (banques, assurances, gestionnaires d'actifs) et leurs prestataires TIC critiques.
- NIS 2 depuis la loi du 30 octobre 2024 : entités essentielles et importantes dans 18 secteurs.
- BIA fondateur : Business Impact Analysis avec RPO, RTO et MTPD documentés et challengés.
- Articulation cyber-PCA : la cyberattaque est désormais l'un des scénarios majeurs à couvrir.
- PRA = sous-ensemble du PCA : le Plan de Reprise d'Activité couvre la reprise du SI ; le PCA couvre l'ensemble.
- Cycle PDCA : Plan-Do-Check-Act pour faire vivre le BCMS dans la durée.
- Plan court > classeur de 500 pages : 60-100 pages opérationnelles + annexes détaillées séparées.
Sommaire du guide
Qu'est-ce qu'un Plan de Continuité d'Activité ?
Le Plan de Continuité d'Activité (PCA) est l'ensemble des dispositions organisationnelles, techniques, humaines et documentaires qui permettent à une entreprise de continuer à délivrer ses services et produits essentiels lorsqu'un événement perturbe gravement son fonctionnement habituel. La norme ISO 22301:2019 en est la référence internationale et l'inscrit dans un dispositif plus large, le BCMS (Business Continuity Management System).
Concrètement, un PCA décrit comment l'entreprise alerte ses équipes, active une cellule de crise, bascule en mode dégradé, communique aux clients, partenaires et autorités, articule l'action avec ses fournisseurs critiques, et organise la reprise progressive vers un fonctionnement normal. Le PCA n'a pas pour but de tout préserver : il garantit que les activités critiques identifiées par le BIA restent disponibles, à un niveau dégradé acceptable.
Le PCA n'est pas le PRA ni le PGC. Le PRA (Plan de Reprise d'Activité) est centré sur la reprise du système d'information après sinistre — il est un sous-ensemble du PCA. Le PGC (Plan de Gestion de Crise) est le dispositif d'animation et de décision en situation — il sert à activer et piloter le PCA. Les trois sont complémentaires et obligatoirement articulés.
Pourquoi un PCA change la trajectoire de l'entreprise
Une entreprise sans PCA face à un événement majeur subit un effet cumulatif : perte de revenus immédiate, perte de clients (qui basculent chez les concurrents), dégradation de la marque, mise en cause juridique des dirigeants, voire effondrement définitif. Les statistiques convergent : 40 à 60 % des PME qui subissent un sinistre majeur sans PCA ne reprennent jamais leur activité, ou disparaissent dans les 12 mois.
Un PCA bien conçu transforme cette trajectoire : activation cellule de crise sous 1 heure, basculement en mode dégradé maîtrisé, communication client préparée, fournisseurs alternatifs activables, équipes sachant quoi faire. L'entreprise ne devient pas invulnérable — elle devient résiliente.
Trois enjeux majeurs
- Enjeu de survie : un PCA bien fait protège l'existence même de l'entreprise face aux scénarios catastrophiques (cyber rançongiciel, sinistre site, défaillance fournisseur unique).
- Enjeu commercial : nombreux donneurs d'ordres exigent désormais un PCA documenté dans leurs appels d'offres, particulièrement dans les marchés publics, le secteur financier et l'industrie critique.
- Enjeu de gouvernance : la responsabilité des dirigeants (civile, pénale, administrative) est de plus en plus engagée, particulièrement post-COVID et avec l'entrée en vigueur de DORA et NIS 2.
Cadre normatif et réglementaire
Le PCA s'inscrit dans un cadre principalement normatif (ISO 22301), complété par des obligations sectorielles qui se sont densifiées depuis 2024-2025.
| Texte | Apport |
|---|---|
| Norme ISO 22301:2019 | Référence internationale BCMS — structure le PCA, certification volontaire |
| Norme ISO 22313:2020 | Lignes directrices pour la mise en œuvre d'ISO 22301 |
| Règlement UE 2022/2554 (DORA) | Applicable depuis le 17 janvier 2025 — résilience opérationnelle numérique pour le secteur financier |
| Loi n° 2024-1099 du 30 octobre 2024 (transposition NIS 2) | Entités essentielles et importantes dans 18 secteurs — obligations cyber et continuité |
| Code monétaire et financier | Obligations ACPR/AMF pour banques, assurances, gestionnaires d'actifs |
| Code de l'environnement (ICPE Seveso) | POI / PPI pour sites industriels à risque, articulation avec le PCA |
| RGPD (UE 2016/679) | Volet protection des données personnelles, articulation avec PCA cyber |
| Code du travail | Obligations de sécurité, télétravail, droit de retrait, dérogations en SSE |
À retenir : DORA et NIS 2 ont changé la donne
Avant 2024, le PCA était une bonne pratique recommandée. Depuis 2024-2025, c'est une obligation pour des dizaines de milliers d'entreprises françaises : tout le secteur financier sous DORA, et toutes les entités essentielles/importantes des 18 secteurs NIS 2. Les sanctions sont substantielles (jusqu'à 2 % du CA mondial pour DORA).
Quelles entreprises doivent avoir un PCA ?
L'obligation s'applique à des dizaines de milliers d'entreprises françaises depuis l'entrée en vigueur de DORA et NIS 2 en 2024-2025.
Banques & assurances
Sous DORA depuis le 17 janvier 2025. Tests de résilience opérationnelle, gestion des incidents, gestion des risques tiers TIC. Articulation ACPR/AMF.
Entités essentielles
18 secteurs visés : énergie, transport, santé, eau, infrastructure numérique, administration publique, fabrication critique, agroalimentaire. Sociétés > 250 salariés ou 50 M€.
Entités importantes
Mêmes secteurs que les entités essentielles, mais avec un seuil plus bas : sociétés > 50 salariés ou 10 M€ de CA. Obligations légèrement allégées.
Sites Seveso seuil haut
Articulation PCA avec POI et PPI. Continuité économique et organisationnelle complémentaire de la gestion de l'urgence sécurité.
Tech & SaaS
Éditeurs SaaS, hébergeurs, prestataires cloud, opérateurs de services numériques. Souvent visés par NIS 2 comme infrastructure numérique critique.
Fournisseurs grands comptes
Toute entreprise répondant à des appels d'offres grands comptes ou marchés publics. Le PCA est souvent exigé même hors obligation légale.
BIA, RPO, RTO, MTPD : les fondamentaux
Le BIA (Business Impact Analysis) est l'étape fondatrice de tout BCMS. Sans BIA rigoureux, le PCA est arbitraire — il sur-protège des activités peu critiques, sous-protège des activités vitales, et coûte beaucoup pour rien.
Étapes d'un BIA
- Cartographier les activités : produits, services, processus internes, fonctions support, dépendances externes.
- Identifier les activités critiques : celles dont l'interruption durable mettrait en péril la mission de l'entreprise.
- Évaluer les impacts : financiers, juridiques, réputationnels, sanitaires, opérationnels, sur 4 horizons (1 h, 24 h, 1 semaine, 1 mois).
- Définir RPO, RTO, MTPD par activité critique.
- Cartographier les dépendances : SI, fournisseurs, sous-traitants, infrastructure, personnel clé.
- Hiérarchiser : par criticité, par fenêtre de récupération, par investissement requis.
Les trois mesures clés
RPO (Recovery Point Objective) : perte de données acceptable. Si un système tombe à 14h00, jusqu'à quand peut-on remonter sans perte critique ? RPO de 1 heure = sauvegarde toutes les heures requises.
RTO (Recovery Time Objective) : délai de reprise acceptable. À partir du moment du sinistre, dans quel délai l'activité doit-elle être à nouveau opérationnelle (même en mode dégradé) ? RTO de 4 heures = solution de bascule active à 4 h.
MTPD (Maximum Tolerable Period of Disruption) : durée maximale d'interruption supportable avant impact irréversible. Au-delà, l'entreprise ne peut plus se relever. MTPD de 7 jours = au-delà, l'activité critique est durablement compromise.
RPO et RTO ne se choisissent pas, ils se déduisent
Le RPO et le RTO ne sont pas des objectifs souhaitables — ce sont des seuils à respecter pour ne pas mettre en péril l'entreprise. Trop ambitieux : ils coûtent une fortune sans bénéfice. Trop laxistes : ils exposent l'entreprise. Le BIA permet de les calibrer rationnellement.
Les composants d'un BCMS conforme ISO 22301
La norme ISO 22301:2019 structure le BCMS autour de 10 clauses principales. Voici les 8 composants opérationnels que tout PCA utile doit contenir.
1. Contexte et leadership (clauses 4-5)
Engagement de la direction, périmètre du BCMS, politique de continuité, rôles et responsabilités. Sans portage exécutif explicite, le PCA est un projet de DSI ou de risk officer qui ne tiendra pas dans la durée.
2. Analyse de risques et BIA (clauses 6, 8.2)
Identification et évaluation des risques, BIA documenté, hiérarchisation des activités critiques avec RPO/RTO/MTPD validés par la direction.
3. Stratégie de continuité (clause 8.3)
Choix des stratégies pour chaque activité critique : redondance, repli géographique, télétravail massif, fournisseurs alternatifs, mode dégradé documenté.
4. Cellule de crise et procédures d'urgence (clause 8.4.2-8.4.3)
Composition nominative, schéma d'activation, salle de crise, moyens techniques, articulation avec le PRA et le PGC.
5. Plans de continuité opérationnels (clause 8.4.4)
Procédures détaillées par activité critique, fiches actions par fonction, modes dégradés documentés, scénarios de reprise.
6. Communication de crise (clause 8.4.3)
Stratégie de communication interne et externe, messages pré-rédigés, porte-parole, articulation avec autorités sectorielles (ACPR/AMF, CNIL, ANSSI).
7. Tests et exercices (clause 8.5)
Programme d'exercices structuré : tabletop, simulation, grandeur réelle, tests cyber dédiés (red team, TLPT pour DORA).
8. Évaluation et amélioration continue (clauses 9-10)
Audits internes, revue de direction, RETEX systématique, cycle PDCA. Sans ce volet, le BCMS dérive en moins de 18 mois.
PCA, PRA, PGC : trois dispositifs articulés
La confusion entre ces trois acronymes est l'une des erreurs les plus fréquentes. Chacun a un rôle distinct mais complémentaire.
| Dispositif | Périmètre | Pilote | Activé |
|---|---|---|---|
| PGC Plan de Gestion de Crise | Dispositif décisionnel et d'animation en situation | Cellule de crise, dirigeant | Dès l'alerte |
| PCA Plan de Continuité d'Activité | Maintien des activités critiques en mode dégradé | Direction métiers, RSSI, BCM | Phase 2 - 24 h à 72 h |
| PRA Plan de Reprise d'Activité | Reprise du SI après sinistre informatique | DSI, RSSI | Sous-ensemble du PCA, sur volet IT |
Schéma type : un sinistre déclenche le PGC qui pilote la cellule de crise. Le PGC active le PCA qui maintient les activités critiques en mode dégradé. Le PCA active le PRA qui restaure progressivement le SI. Trois dispositifs, une chaîne d'activation cohérente.
Le volet cyber : DORA, NIS 2 et la nouvelle donne
Depuis 2024-2025, la cyberattaque est devenue le scénario de référence des PCA. 10 % des victimes de rançongiciel en France sont des entreprises selon l'ANSSI, et l'impact moyen d'une attaque réussie dépasse 1,5 M€ pour une PME.
DORA — Digital Operational Resilience Act
Le règlement UE 2022/2554 est applicable depuis le 17 janvier 2025. Il impose aux entités financières (banques, assurances, gestionnaires d'actifs, sociétés d'investissement, prestataires TIC critiques) :
- Un cadre intégré de gestion des risques TIC sous l'autorité de la direction.
- Le signalement des incidents majeurs aux autorités compétentes (ACPR, AMF, BCE).
- Des tests de résilience opérationnelle réguliers, dont des TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités les plus critiques.
- Une gestion renforcée des risques liés aux tiers TIC (cloud, SaaS, prestataires informatiques).
- Un partage d'information sur les menaces cyber au sein du secteur financier.
NIS 2 en France
La directive UE 2022/2555 a été transposée par la loi n° 2024-1099 du 30 octobre 2024. Elle s'applique aux entités essentielles et entités importantes dans 18 secteurs. Obligations :
- Gouvernance cyber de niveau direction.
- Gestion des risques cyber documentée.
- Notification d'incidents significatifs sous 24 h.
- Tests et audits réguliers.
- Formation des dirigeants et collaborateurs.
- Sanctions étendues : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles.
Articulation avec le PCA
Le volet cyber du PCA documente : le mode dégradé du SI (procédures papier, prescription, identitovigilance, traçabilité), l'articulation avec le RSSI et le DSI, les conventions avec l'ANSSI et le CERT-FR, le plan de communication crise cyber, les exercices conjoints PCA-cyber. Pour les entités sous DORA, ce volet est documenté de manière exhaustive et soumis à audit.
La cellule de crise entreprise : composition et fonctionnement
La cellule de crise est le poste de commandement opérationnel pendant la crise. Sa composition s'adapte à la taille de l'entreprise : 8 fonctions pour une ETI mono-site, jusqu'à 15-20 fonctions pour un groupe ou une grande entité financière.
Fonctions canoniques
- Directeur de crise : DG ou directeur désigné, autorité de décision finale.
- Anticipation : projection 6h-24h-72h, alimente les arbitrages stratégiques.
- Situation : main courante, suivi des indicateurs (lits, RPO/RTO, fournisseurs critiques).
- RSSI & DSI : pilotage du volet cyber, mode dégradé SI, articulation ANSSI.
- Communication : interne (équipes), externe (clients, médias, autorités).
- Juridique : conformité, mises en cause, communication aux autorités sectorielles.
- RH : mobilisation, télétravail, droit de retrait, soutien psychologique.
- Métiers critiques : représentants des activités identifiées comme prioritaires au BIA.
- Achats / Supply chain : fournisseurs alternatifs, conventions de continuité.
- Liaison autorités : ACPR, AMF, ANSSI, CERT-FR, CNIL selon contexte.
Une cellule de crise se forme, elle ne s'improvise pas
Les fonctions doivent être pré-désignées avec titulaires et suppléants, formées en amont, entraînées en exercice. Une cellule activée pour la première fois en situation réelle perd 4 à 6 heures à se mettre en ordre de marche. Voir notre offre cellule de crise →
Construire un PCA opérationnel en 6 étapes
La méthode Twist pour mettre en place ou refondre un BCMS conforme ISO 22301.
Diagnostic et BIA
Audit du PCA en place, Business Impact Analysis, cartographie des activités critiques, RPO/RTO/MTPD documentés et challengés, dépendances internes et externes, scénarios de menace.
Cadrage normatif
Articulation avec ISO 22301, DORA pour le secteur financier, NIS 2 pour les entités essentielles, POI/PPI pour les sites Seveso. Validation par direction et conseil d'administration.
Rédaction du PCA
Plan opérationnel court (60-100 pages) ouvrable en situation, plan détaillé en annexes pour la mise à jour. Composition de la cellule de crise, scénarios de continuité, articulation avec le PRA.
Fiches actions par fonction
15 à 25 fiches « 15 premières minutes » pour chaque fonction de la cellule de crise. Format pliable plastifié, déposé en salle de crise et en sites stratégiques.
Exercice de validation et formation cellule
Exercice sur table ou simulation à blanc. Formation des cadres décisionnaires sur la posture, les rituels, les anti-biais, la communication aux clients et aux autorités.
RETEX et cycle PDCA
Capitalisation après tout exercice ou événement, intégration au plan, transfert progressif à l'équipe interne. Cycle PDCA (Plan-Do-Check-Act) ISO 22301 mis en œuvre. Voir notre méthode RETEX.
Mettre en place ou auditer votre PCA
Diagnostic, BIA, rédaction, fiches actions, exercice, formation cellule, RETEX. Tarif sur devis, calibré selon votre entreprise.
Tester le PCA : la seule preuve qu'il fonctionne
La norme ISO 22301 (clause 8.5) exige des tests réguliers du BCMS. DORA impose des tests annuels pour les entités financières, dont des TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités les plus critiques. NIS 2 impose des audits réguliers.
Exercice sur table (tabletop)
Format le plus économique. La cellule de crise réunie dans sa salle déroule un scénario présenté par injects successifs. Durée typique : 3 à 4 heures. Idéal pour valider une procédure ou intégrer de nouveaux cadres.
Simulation à blanc
Format intermédiaire. Le scénario est joué en partie sur le terrain (bascule SI test, télétravail simulé, fournisseur alternatif activé) avec figurants. Durée typique : une demi-journée à une journée.
Exercice grandeur réelle
Format le plus exigeant. Mobilisation effective des moyens, inclusion possible des fournisseurs critiques. Réservé aux entreprises matures, souvent organisé tous les 2-3 ans.
TLPT pour DORA
Le Threat-Led Penetration Testing est un test de pénétration cyber piloté par une menace réaliste, conduit par des testeurs externes accrédités, sous supervision de l'autorité (ACPR/BCE). Obligatoire tous les 3 ans pour les entités financières les plus critiques sous DORA.
Faire vivre le PCA dans la durée — le cycle PDCA
Un PCA rédigé puis classé est un PCA obsolète à 18 mois. Le turnover des cadres, les évolutions d'organisation, les fusions-acquisitions, l'évolution des menaces (cyber notamment) imposent un cycle de vie continu. La norme ISO 22301 structure ce cycle autour du PDCA — Plan-Do-Check-Act.
Plan
Définir et planifier les améliorations à apporter au BCMS. Inclure les évolutions réglementaires (DORA, NIS 2), les évolutions du métier, les nouvelles dépendances.
Do
Mettre en œuvre les améliorations : mise à jour du PCA, formation des nouveaux cadres, déploiement de nouvelles solutions techniques.
Check
Vérifier l'efficacité des dispositifs : audits internes, exercices, RETEX d'événements réels, indicateurs de performance (RPO/RTO atteints, taux de couverture).
Act
Décider et corriger : intégrer les leçons apprises, ajuster le BCMS, communiquer les évolutions, préparer le cycle suivant.
Pilotage interne
Le BCM (Business Continuity Manager) ou le RSSI / risk officer doit avoir un rôle dédié, formé, et soutenu par un sponsor de direction. Sans portage interne explicite, le PCA dérive en moins de 24 mois.
Les 7 erreurs récurrentes dans les PCA
Notre expérience d'audit de PCA existants révèle des écueils récurrents.
1. Le PCA-classeur ISO 22301
BCMS exhaustif sur le papier, certifié ISO, jamais ouvert en situation. Solution : plan court (60-100 pages) opérationnel + annexes détaillées.
2. BIA superficiel ou daté
RPO/RTO non challengés ou hérités d'un BIA de 2018. Solution : BIA refait tous les 2 ans, validé par direction.
3. Volet cyber inexistant ou daté
PCA pré-2020 ou pré-DORA qui ignore les exigences NIS 2. Solution : refonte avec articulation RSSI/ANSSI/CERT-FR.
4. Cellule de crise nominée mais non formée
Liste de noms à jour, aucun exercice depuis 24 mois. Solution : exercice annuel + formation continue.
5. Dépendances tiers TIC sous-évaluées
Cloud, SaaS, prestataires informatiques considérés comme acquis. Sous DORA, leur défaillance est un risque majeur. Solution : cartographie tiers TIC + clauses contractuelles + alternatives.
6. Pas de RETEX systématique
Exercices et événements réels non capitalisés. Solution : RETEX sous 6-8 semaines, traçabilité des modifications du plan.
7. Communication crise non préparée
Pas de messages pré-rédigés, porte-parole non identifié, pas d'articulation avec autorités sectorielles. Solution : volet communication structuré, exercices dédiés.
Deux scénarios pour incarner les principes
Cas anonymisés tirés d'événements réels et d'exercices conduits avec des entreprises. Les détails ont été modifiés.
Rançongiciel sur une ETI industrielle
Contexte : ETI industrielle, 1 200 salariés, 3 sites en France et à l'étranger. Rançongiciel chiffrant les serveurs métiers (ERP, GPAO, supervision industrielle).
PCA déclenché à H+30 minutes. Cellule de crise activée. Mode dégradé documenté : production manuelle papier, communication par canaux out-of-band, fournisseurs critiques alertés. Articulation ANSSI, CERT-FR, gendarmerie cyber. Restauration progressive du SI à partir des sauvegardes air-gapped.
Issue : retour à la normale en 11 jours. 3,2 M€ de pertes directes. RETEX a renforcé le volet cyber, formalisé les conventions ANSSI, et conduit à un exercice annuel cyber dédié.
Défaillance fournisseur unique en pandémie
Contexte : ETI agroalimentaire, fournisseur unique d'un emballage critique défaillant pendant pic épidémique COVID. Risque d'arrêt complet de la ligne de production phare en 5 jours.
PCA déclenché à H+0. Cellule de crise activée. Activation des fournisseurs alternatifs identifiés au BIA, négociation expresse, ajustement du planning de production, communication clients sur tensions ponctuelles. Articulation HSE pour gestion COVID interne.
Issue : continuité de production maintenue en mode dégradé. −15 % de volumes pendant 6 semaines. RETEX a conduit à diversifier les fournisseurs sur 3 catégories critiques et à intégrer un volet pandémie au PCA.
À qui sert ce dispositif au quotidien ?
Le PCA n'est pas l'affaire des seuls dirigeants. Il structure les rôles de toute l'entreprise en situation exceptionnelle.
Direction et conseil d'administration
Engagement, gouvernance du BCMS, validation du BIA, arbitrages stratégiques, articulation avec autorités sectorielles.
DSI, RSSI, BCM
Pilotage opérationnel du BCMS, gestion du volet cyber, articulation avec ANSSI/CERT-FR, exercices techniques.
Responsables métiers
Identification des activités critiques, modes dégradés métier, fiches actions par fonction, formation des équipes opérationnelles.
Communication et juridique
Messages pré-rédigés, porte-parole, articulation autorités (ACPR, AMF, CNIL), RGPD, communication clients.
RH et soutien équipes
Mobilisation, télétravail, droit de retrait, dérogations Code du travail, soutien psychologique en pandémie ou cyber.
Achats et supply chain
Cartographie fournisseurs critiques, conventions de continuité, fournisseurs alternatifs activables, clauses contractuelles BCM.
FAQ Plan de Continuité d'Activité
Qu'est-ce qu'un Plan de Continuité d'Activité (PCA) ?
Le PCA est un dispositif organisationnel et documentaire qui permet à une entreprise de continuer à délivrer ses services et produits essentiels en cas d'événement perturbateur. La référence normative internationale est la norme ISO 22301:2019.
Le PCA est-il obligatoire ?
Le PCA est obligatoire pour : les entités financières sous DORA depuis le 17 janvier 2025 ; les entités essentielles et importantes au titre de NIS 2 (loi du 30 octobre 2024) dans 18 secteurs ; les sites Seveso seuil haut. Au-delà, il est exigé par de nombreux donneurs d'ordres.
Quelle différence entre PCA, PRA et PGC ?
Le PCA couvre l'ensemble des moyens permettant de maintenir les activités critiques. Le PRA est centré sur la reprise du SI — sous-ensemble du PCA. Le PGC est le dispositif d'animation et de décision en situation. Les trois sont complémentaires.
Qu'est-ce qu'un BIA ?
Le BIA (Business Impact Analysis) est l'étape fondatrice de tout BCMS. Il cartographie les activités critiques, évalue les impacts d'une interruption, définit RPO, RTO et MTPD pour chaque activité. Sans BIA rigoureux, le PCA est arbitraire.
Qu'est-ce que DORA ?
DORA (Digital Operational Resilience Act), règlement UE 2022/2554, applicable depuis le 17 janvier 2025. Impose aux entités financières des exigences renforcées en matière de résilience opérationnelle numérique : gestion des risques TIC, signalement des incidents, tests de résilience (TLPT), gestion des tiers TIC.
Qu'est-ce que NIS 2 et qui est concerné ?
NIS 2 (transposée par la loi n° 2024-1099 du 30 octobre 2024) renforce les obligations cyber des entités essentielles et importantes dans 18 secteurs. Visées : organisations > 50 salariés ou 10 M€ de CA dans ces secteurs. Sanctions jusqu'à 10 M€ ou 2 % du CA.
Le PCA doit-il être testé ?
Oui. La norme ISO 22301 exige des tests réguliers. DORA impose des tests annuels et des TLPT tous les 3 ans pour les entités financières les plus critiques. Voir notre offre exercice →
Combien de temps faut-il pour mettre en place un PCA ?
Pour une ETI mono-site, comptez 4 à 6 mois. Pour un groupe multi-sites ou une entité financière sous DORA, comptez 6 à 12 mois. Une mise à jour ciblée se traite en 6 à 10 semaines.
Quelle articulation entre PCA et cybersécurité ?
Depuis NIS 2 et DORA, le volet cyber est central. Twist articule systématiquement PCA et cybersécurité : mode dégradé du SI documenté, articulation RSSI/DSI, conventions ANSSI/CERT-FR, exercices conjoints PCA-cyber.
Que se passe-t-il si l'entreprise n'a pas de PCA à jour ?
Pour les entités obligées, sanctions administratives jusqu'à 2 % du CA mondial pour DORA et 10 M€ ou 2 % du CA pour NIS 2. Au-delà, l'entreprise se retrouve démunie le jour de l'événement, avec risque de perte de revenus, dégradation réputation, mise en cause des dirigeants.
Explorer les pages connexes
Service rédaction PCA
Diagnostic, BIA, rédaction, fiches actions, exercice, formation cellule, RETEX. Conformité ISO 22301, DORA, NIS 2. Tarif sur devis.
DécouvrirPanorama des plans de gestion de crise
PCS, PICS, Plan Blanc, Plan Bleu, PCA, DICRIM, PPMS et les composants communs des plans réglementaires français.
LireGuide cellule de crise
Composition, rôles, activation, salle de crise, rituels, postures anti-biais. Les fondamentaux d'une cellule de crise entreprise.
LireExercice de crise
Tabletop, simulation, grandeur réelle, TLPT pour DORA. Conformité ISO 22301 clause 8.5.
LireRETEX gestion de crise
Méthode pour capitaliser après tout déclenchement réel ou exercice. Cycle PDCA ISO 22301.
LireParcours Entreprise
Parcours dédié aux entreprises : sensibilisation, cartographie, plan, cellule, exercice. Adapté aux ETI et PME en croissance.
LireLes termes à connaître
PCA
Plan de Continuité d'Activité. Dispositif organisationnel maintenant les activités critiques en mode dégradé.
PRA
Plan de Reprise d'Activité. Centré sur la reprise du SI après sinistre — sous-ensemble du PCA.
PGC
Plan de Gestion de Crise. Dispositif d'animation et de décision en situation, active le PCA.
BCMS
Business Continuity Management System. Système de management de la continuité d'activité (ISO 22301).
ISO 22301:2019
Norme internationale de référence pour les BCMS. Sécurité et résilience.
BIA
Business Impact Analysis. Étape fondatrice du BCMS, cartographie activités critiques + RPO/RTO/MTPD.
RPO
Recovery Point Objective. Perte de données acceptable. Détermine la fréquence des sauvegardes.
RTO
Recovery Time Objective. Délai de reprise acceptable. Détermine le niveau de redondance requis.
MTPD
Maximum Tolerable Period of Disruption. Durée maximale d'interruption supportable avant impact irréversible.
DORA
Digital Operational Resilience Act. Règlement UE 2022/2554, applicable depuis le 17 janvier 2025.
NIS 2
Directive UE 2022/2555 sur la cybersécurité. Transposée en France par la loi du 30 octobre 2024.
TLPT
Threat-Led Penetration Testing. Test de pénétration cyber piloté par menace réaliste. Obligatoire DORA tous les 3 ans pour entités critiques.
ACPR
Autorité de Contrôle Prudentiel et de Résolution. Autorité de tutelle pour banques et assurances en France.
AMF
Autorité des Marchés Financiers. Autorité de régulation des marchés financiers en France.
ANSSI
Agence Nationale de la Sécurité des Systèmes d'Information. Autorité française en cybersécurité.
CERT-FR
Computer Emergency Response Team — France. Cellule cyber opérationnelle de l'ANSSI.
POI
Plan d'Opération Interne. Plan d'urgence d'un site Seveso seuil haut, piloté par l'exploitant.
PPI
Plan Particulier d'Intervention. Plan d'urgence externe d'un site Seveso, piloté par le préfet.
PDCA
Plan-Do-Check-Act. Cycle d'amélioration continue ISO. Structurant pour le BCMS dans la durée.
BCM
Business Continuity Manager. Fonction dédiée au pilotage du BCMS dans l'entreprise.
RSSI
Responsable de la Sécurité des Systèmes d'Information. Pilote du volet cyber du PCA.
Mode dégradé
Fonctionnement réduit mais opérationnel. Permet de maintenir les activités critiques en attendant la reprise complète.
Tier TIC critique
Prestataire informatique dont la défaillance impacte directement la continuité (cloud, SaaS, infogérance). Cadré par DORA.
RETEX
Retour d'EXpérience. Capitalisation systématique. Voir le pilier dédié.
Signature SCOPIC
Twist est la marque gestion de crise de SCOPIC, une équipe de 20 consultant·es, créatif·ves et chef·fes de projets qui accompagne les entreprises et les territoires dans leurs projets de transformation, de concertation et de communication responsables. Notre signature : ne jamais livrer un plan seul. Plan + exercice + culture, toujours articulés. Sur le PCA : refus de la conformité formelle, exigence d'opérationnalité, neutralité revendiquée vis-à-vis des éditeurs BCM.
Construire ou auditer votre PCA ?
30 minutes pour cadrer vos enjeux, objectiver l'existant et dessiner une trajectoire réaliste. Conformité ISO 22301, DORA, NIS 2 selon votre contexte. Gratuit et sans engagement.
Voir notre offre rédaction PCA