Continuité des activités (Article 21 NIS2) — Gestion des sauvegardes, reprise d'activité, gestion de crise

L'article 21 §2(c) de la directive NIS2 impose aux entités essentielles et importantes de mettre en œuvre la gestion de la continuité des activités, y compris la gestion des sauvegardes, la reprise après sinistre et la gestion de crise. Cette mesure n'est pas une option réglementaire : elle constitue le socle de la résilience opérationnelle face aux incidents majeurs.

NIS2 impose environ 15 000 entités en France à disposer de plans de continuité et de reprise testés annuellement. En 2025, 66 % des entreprises françaises ont subi au moins une cyberattaque significative, et l'ANSSI a traité 4 386 événements de sécurité en 2024, une hausse de 15 % sur un an qui place la continuité d'activité au cœur des obligations de sécurité.

Dans cet article, nous décryptons les obligations de continuité des activités de l'article 21 §2(c) : définition des RTO et RPO, stratégies de sauvegarde immuable, plans de reprise informatique, prestataires ANSSI à mobiliser, outils techniques recommandés et exemples d'incidents documentés montrant les conséquences d'une absence de PCA/PRA.

Ce que dit l'article 21 §2(c) — texte de la mesure et intention réglementaire

L'article 21 §2(c) impose la mise en place de la continuité d'activité (business continuity), incluant la gestion des sauvegardes (backup management), la reprise après sinistre (disaster recovery) et la gestion de crise.

Cette obligation s'inscrit dans une approche globale : les organisations doivent implémenter des mesures de gestion des risques cyber appropriées et proportionnées, et démontrer qu'elles fonctionnent en pratique.

L'intention du régulateur est claire : garantir que les services critiques puissent continuer ou être rapidement restaurés après un incident cyber perturbateur. En pratique, cela signifie :

• Un Plan de Continuité d'Activité (PCA) : maintien des fonctions essentielles en mode dégradé pendant la crise.
• Un Plan de Reprise d'Activité (PRA) : restauration complète des systèmes d'information critiques après l'incident.
• Une gestion de crise opérationnelle : procédures de coordination, cellule de crise, communication, décision sous pression.

NIS2 et DORA imposent des plans testés annuellement, des sauvegardes fiables et une reprise démontrée en conditions réelles. Fini le temps des plans rédigés sur papier : les autorités insistent sur des plans opérationnels, testables et auditables, avec des sauvegardes immuables, des RTO/RPO respectés en conditions réelles et une capacité de reprise démontrée.

Référentiels et standards qui s'articulent avec la mesure

Plusieurs référentiels reconnus encadrent la mise en œuvre de la continuité d'activité. Ils forment un écosystème complémentaire à NIS2 :

ISO 22301:2019 – Management de la continuité d'activité

ISO 22301 est la norme internationale de référence pour les systèmes de management de la continuité d'activité (BCMS). Elle fournit un cadre pour planifier, établir, mettre en œuvre, exploiter, surveiller, réviser et améliorer en continu un système documenté afin de se protéger contre les perturbations et garantir la reprise.

ISO 22301 définit les exigences relatives à la mise en place, la gestion et l'amélioration continue d'un système de management de la continuité d'activité. Elle inclut la Business Impact Analysis (BIA), le développement de stratégies de continuité adaptées et la mise en place de tests réguliers.

ISO/IEC 27031:2025 – Préparation TIC pour la continuité d'activité

ISO 27031 fournit des lignes directrices pour la préparation des technologies de l'information et de la communication (TIC) pour la continuité d'activité. Elle fournit un cadre pour adapter les systèmes d'information aux besoins de continuité métiers.

Elle complète ISO/IEC 27001 en traitant de la continuité TIC dans le contexte de la sécurité de l'information, et soutient ISO 22301 en alignant la préparation TIC avec les objectifs de continuité d'activité plus larges.

ISO/IEC 27001:2022 – Sécurité de l'information

ISO 27001, bien que centré sur la sécurité de l'information, inclut des contrôles spécifiques sur la disponibilité, la redondance et la sauvegarde. La continuité d'activité fait partie intégrante de sa clause A.17.1 (continuité de la sécurité de l'information).

RGS – Référentiel Général de Sécurité (France)

Le RGS s'applique aux autorités administratives et intègre des exigences de disponibilité, de réversibilité et de continuité pour les systèmes traitant des données sensibles. Il complète les obligations NIS2 pour le secteur public.

NIST Cybersecurity Framework 2.0 – Fonction Recover

Le NIST CSF 2.0 structure la gestion de crise autour de six fonctions, dont Recover (Récupération) qui couvre la planification de reprise, les améliorations post-incident et la communication en crise.

Guides ANSSI

L'ANSSI propose plusieurs guides pratiques :

• Anticiper et gérer une crise cyber : s'assurer de l'existence d'un PCA robuste aux cyberattaques et d'un PRA, préparer les capacités de réponse à incident, y compris en cas de perte des moyens informatiques et de communication nominaux.
• Organiser un exercice de gestion de crise cyber : co-réalisé avec le Club de la continuité d'activité (CCA).
• Guide sauvegarde des systèmes d'information (18 octobre 2023), qui détaille les stratégies 3-2-1 et l'immutabilité.

Mise en œuvre opérationnelle — étapes concrètes pour une entité régulée

Étape 1 : Business Impact Analysis (BIA) et définition des criticités

Réaliser une Business Impact Analysis (BIA) : identifier les services et systèmes critiques, déterminer le temps d'arrêt maximal tolérable et définir les objectifs de temps de reprise (RTO) et de point de reprise (RPO).

RTO (Recovery Time Objective) : durée maximale d'indisponibilité acceptable d'un service. RPO (Recovery Point Objective) : quantité maximale de données qu'il est acceptable de perdre, mesurée en temps (ex. : 15 minutes, 1 heure, 24 heures).

Un BIA robuste identifie :

• Les processus métiers essentiels (facturation, logistique, soins, production…).
• Les systèmes d'information qui les supportent (ERP, CRM, SCADA, applications métier…).
• Les dépendances internes (bases de données, annuaire AD, messagerie) et externes (cloud, fournisseurs).

Étape 2 : Élaborer les plans PCA, PRA et PCI

Plan de Continuité d'Activité (PCA) : permet de réduire l'impact et la gravité des menaces provoquant un arrêt de l'activité. Il est stratégique car il permet d'éviter une interruption de l'activité ; en cas de défaillance, l'activité continue malgré un fonctionnement dégradé.

Plan de Reprise d'Activité (PRA) : permet de remettre rapidement en route le système en restaurant les données et en optimisant le temps de récupération des fonctions critiques.

Plan de Continuité Informatique (PCI) : déclinaison opérationnelle du PCA pour le SI. Il accompagne le retour en mode dégradé (basculement site de secours, postes de travail nomades, téléphonie de secours).

Contenu minimum d'un PRA :

• Inventaire exhaustif des actifs critiques (applications, bases, serveurs, données).
• Procédures documentées de restauration par ordre de priorité.
• Annuaire de crise (contacts internes, prestataires PRIS/PASSI, assureur cyber, support éditeurs).
• Stratégies de repli : site de secours, cloud de basculement, infrastructure redondante.

Étape 3 : Implémenter une stratégie de sauvegarde robuste (règle 3-2-1-1-0)

La sauvegarde est la dernière barrière avant la perte irréversible de données. La sauvegarde constitue la dernière barrière avant la perte définitive d'informations stratégiques. Une attaque sur les sauvegardes compromet directement la capacité de l'entreprise à redémarrer.

La règle du 3-2-1, popularisée par Peter Krogh et reprise par l'ANSSI et le CERT-FR, constitue le socle de toute stratégie de sauvegarde professionnelle :

• 3 copies : original + 2 sauvegardes distinctes.
• 2 supports : diversifier les technologies (disque local + cloud, ou disque + bandes).
• 1 copie hors site : pour résister aux sinistres physiques (incendie, inondation, vol).

Extension recommandée 3-2-1-1-0 :

• +1 : au moins une copie immuable (WORM, Write-Once-Read-Many) ou déconnectée physiquement (air-gap) pour se protéger contre les ransomwares. Les sauvegardes immuables sont sauvegardées dans un format WORM qui ne peut être altéré ou supprimé, même par des hackers disposant de credentials d'administration. L'immutabilité rend plus difficile la suppression ou l'altération des copies, même en cas d'accès complet au réseau.
• 0 erreurs : vérifier régulièrement la restaurabilité des sauvegardes (tests trimestriels minimum).

L'ANSSI recommande dans son guide Sauvegarde des systèmes d'information (18 octobre 2023) les sauvegardes sur bandes magnétiques pour les sauvegardes hors ligne. Cela dit, les solutions cloud qualifiées SecNumCloud offrent également une réelle protection, à condition qu'elles soient configurées en mode append-only avec rétention garantie.

Étape 4 : Tester, tester, tester

Tester régulièrement la restauration des sauvegardes et l'application du plan de continuité ou de reprise de l'activité. Un PRA jamais testé est un PRA inopérant.

Tests minimum :

• Restauration de sauvegardes (mensuel ou trimestriel) : fichiers, bases de données, VM complètes.
• Exercice de crise PCA (annuel) : simulation d'indisponibilité d'un datacenter, d'une attaque ransomware ou d'une panne majeure.
• Test de basculement (semestriel pour infrastructures critiques) : activation du site de secours, repli sur infrastructure cloud.
• Drill de cellule de crise (semestriel) : convocation, communication, prise de décision sous pression.

62 % des entreprises interrogées déclarent avoir mis en place un programme d'entraînement pour faire face à une cyber-crise, contre 57 % en 2023 et 51 % en 2022, signe que l'exercice prend désormais toute sa place dans les plans de reprise d'activité.

Étape 5 : Mettre en place une gestion de crise opérationnelle

Anticiper les menaces cyber et adapter le dispositif de crise à ces menaces ; formaliser une stratégie de communication cyber ; contractualiser le cas échéant des prestations de réponse à incident et souscrire une assurance cyber.

La cellule de crise doit inclure :

• Direction générale / COMEX.
• RSSI / responsable sécurité.
• DSI / responsable infrastructure.
• Responsable métier (le PCA est multi-métiers, pas uniquement IT).
• Juriste / DPO (notification CNIL, ANSSI, plainte pénale).
• Responsable communication (communication interne, externe, presse).

Prévoir des moyens de communication hors SI compromis : téléphones dédiés, messagerie sécurisée externalisée, salle de crise physique ou virtuelle hors périmètre attaqué.

Prestataires ANSSI à mobiliser pour cette mesure

La continuité d'activité mobilise l'ensemble de l'écosystème cyber qualifié ANSSI. Voici les qualifications pertinentes, disponibles dans l'annuaire officiel.

PASSI – Audit de sécurité et diagnostic pré-crise

Le PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) intervient en amont pour auditer la robustesse de vos dispositifs de sauvegarde, vérifier l'efficacité de votre PRA sur le papier et dans les faits, et identifier les vulnérabilités pouvant empêcher une reprise rapide.

Un audit PASSI-LPM peut être exigé pour les Opérateurs d'Importance Vitale (OIV). Pour les entités NIS2 non-OIV, un audit PASSI standard suffit mais constitue une bonne pratique.

PRIS – Réponse à incident et gestion de crise cyber

Le PRIS (Prestataire de Réponse aux Incidents de Sécurité) intervient pendant la crise. Il accompagne l'investigation forensique, l'endiguement de l'attaque, l'éradication du malware et la coordination de la reprise.

Le PRIS peut être contractualisé en amont (mode retainer) pour garantir une intervention rapide en cas d'incident majeur. Contractualiser le cas échéant des prestations de réponse à incident est une recommandation explicite de l'ANSSI.

PDIS – Détection et supervision continue

Le PDIS (Prestataire de Détection des Incidents de Sécurité) opère un SOC (Security Operations Center) qui surveille 24/7 les systèmes d'information. En cas d'anomalie (début de chiffrement, exfiltration, mouvement latéral), le PDIS alerte immédiatement, permettant une activation précoce du PCA/PRA avant l'impact complet.

Un PDIS réduit drastiquement le temps de détection (MTTD – Mean Time To Detect), facteur critique pour limiter les dégâts et accélérer la reprise.

PACS – Conseil en continuité et en gestion de crise

Le PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) peut accompagner la rédaction du PCA/PRA, la conduite de BIA, l'organisation d'exercices de crise et la mise en conformité NIS2 globale.

SecNumCloud – Hébergement sécurisé et sauvegarde souveraine

Les solutions qualifiées SecNumCloud offrent un hébergement cloud de confiance pour les données critiques et les sauvegardes externalisées. Elles garantissent la souveraineté juridique (hors Cloud Act), la résilience infrastructure, la redondance géographique et des engagements contractuels sur la disponibilité.

Utiliser un cloud SecNumCloud pour stocker la copie de sauvegarde externalisée renforce à la fois la conformité NIS2 et la robustesse du PRA.

Outils techniques recommandés pour la continuité d'activité

Voici les grandes catégories d'outils nécessaires, sans citer de marques spécifiques (approche agnostique) :

Solutions de sauvegarde et de réplication

• Logiciels de backup d'entreprise : sauvegarde automatisée, restauration granulaire, réplication hors site, support multi-plateformes (VM, physique, cloud, SaaS).
• Fonctionnalités critiques : immutabilité (WORM), air-gap logique ou physique, chiffrement AES-256, déduplication, compression, gestion de rétention.

Plateformes de Disaster Recovery as a Service (DRaaS)

Permettent un basculement rapide vers un site de secours virtualisé dans le cloud. Le RTO peut descendre à quelques minutes pour les infrastructures critiques.

Orchestration de reprise

• Automation de plan de reprise : outils capables d'exécuter automatiquement les étapes de restauration dans l'ordre (réseau → stockage → VM → applications → données).
• Runbooks automatisés : scripts de reprise, checklist interactive, validation étape par étape.

Outils de test de PRA/PCA

• Environnements de test isolés : bacs à sable permettant de tester la restauration sans impacter la production.
• Plateformes d'exercice de crise : simulations scénarisées (tabletop exercises, red team vs blue team).

SIEM et SOAR – Supervision et orchestration de réponse

Les SIEM (Security Information and Event Management) centralisent les logs et détectent les anomalies. Les SOAR (Security Orchestration, Automation and Response) automatisent la réponse et la coordination de crise (création ticket, notification équipes, lancement scripts d'isolation).

Communication de crise

• Messageries chiffrées dédiées : Hors périmètre SI compromis (ex. : applications mobiles chiffrées de bout en bout).
• Téléphones dédiés cellule de crise : lignes directes, annuaire pré-enregistré.

Cas d'incidents documentés — défaillance de continuité et impact aggravé

Plusieurs incidents documentés entre 2023 et 2026 illustrent les conséquences désastreuses d'un PCA/PRA absent ou défaillant.

Hôpital public d'Île-de-France (2022)

Un hôpital public dans le sud de l'Île-de-France a été complètement paralysé pendant trois mois par une cyberattaque en 2022, et devait revenir à son état pré-crise en septembre 2024. L'absence d'un PRA robuste a transformé une attaque ransomware en crise sanitaire majeure : déprogrammation d'interventions chirurgicales, retour au papier pour les dossiers patients, transfert de patients vers d'autres établissements.

Secteur santé et médico-social (2023)

En 2023, 581 signalements d'incidents ont été déclarés dans les secteurs santé et médico-social, dont 50 % d'origine malveillante. Beaucoup d'établissements ne disposaient pas de kits PRA/PCA standardisés. Des travaux ont été conduits pour mettre à disposition un kit méthodologique PCRA (plan de continuité et reprise d'activité), testé et amélioré avec 28 établissements volontaires.

PME françaises victimes de ransomware (2024-2025)

66 % des PME ont subi une cyberattaque en 2025 (Orange Cyberdefense), et 50 à 60 % des entreprises victimes risquent la cessation d'activité dans les mois suivants (ANSSI). La corrélation est nette : sans PRA testé et sauvegarde hors ligne, la récupération est compromise.

Selon Cybermalveillance.gouv.fr, 1 entreprise sur 2 attaquée par un ransomware ne parvient pas à récupérer toutes ses données.

Selon IBM Security 2024 Cost of a Data Breach, le coût moyen d'une interruption liée à un ransomware dépasse 4,45 millions USD, et 60 % des entreprises concernées subissent un arrêt supérieur à 5 jours.

CrowdStrike/Windows – Incident juillet 2024

L'épisode de juillet 2024 l'a rappelé de façon spectaculaire : une perturbation liée à un acteur de cybersécurité a eu un impact mondial, avec des effets en cascade sur des postes Windows dans de nombreuses entreprises. Les organisations sans plan de continuité robuste ont subi des temps d'arrêt prolongés. Celles disposant de PRA multi-fournisseurs et de procédures de basculement rapide ont limité l'impact.

Sanctions et risques en cas de non-conformité

Sanctions administratives NIS2

La directive NIS2 fixe un plafond à 10 millions d'euros ou 2 % du chiffre d'affaires global pour les entités essentielles ne respectant pas leurs obligations techniques ou de gouvernance.

L'absence de PCA/PRA testé, de sauvegarde opérationnelle ou de procédure de gestion de crise peut entraîner une sanction directe de l'autorité nationale compétente (en France, l'ANSSI via le régime de supervision NIS2).

Les collectivités qui ne se conforment pas à ces normes encourent non seulement des sanctions financières, mais aussi une atteinte à leur réputation auprès du public.

Responsabilité personnelle des dirigeants

NIS2 Article 32(6) introduit une responsabilité personnelle pour les organes de direction des entités essentielles : les autorités nationales peuvent tenir les membres des organes de direction personnellement responsables en cas de non-respect négligent.

L'absence de plan de continuité documenté et testé peut être qualifiée de négligence managériale.

Sanctions RGPD connexes

En cas de violation de données résultant d'un incident de sécurité mal géré (absence de sauvegarde, pas de PRA), le RGPD prévoit jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, notamment en cas de défaut de sécurité ou de retard de notification lors d'une violation de données personnelles.

Coûts indirects massifs

Au-delà des amendes, les coûts indirects sont souvent bien plus élevés :

• Perte de chiffre d'affaires (arrêt production, incapacité à facturer).
• Pénalités contractuelles (SLA non respectés, clauses de dommages et intérêts).
• Atteinte réputationnelle durable (perte de confiance clients, partenaires, investisseurs).
• Augmentation des primes d'assurance cyber ou refus de renouvellement.

---

Ressources pour aller plus loin :

• Directive NIS2 (texte officiel) : https://eur-lex.europa.eu/eli/dir/2022/2555/oj
• ANSSI – Anticiper et gérer une crise cyber : https://cyber.gouv.fr/anticiper-et-gerer-une-crise-cyber
• ANSSI – Annuaire des prestataires qualifiés : https://cyber.gouv.fr/produits-services-qualifies
• MonEspaceNIS2 (plateforme officielle) : https://monespacenis2.cyber.gouv.fr/
• Autres mesures NIS2 : analyse des risques et sécurité des si, gestion des incidents, sécurité de la chaîne d'approvisionnement
• Secteurs régulés : santé, énergie, administration publique