Continuité
PCA : Plan de Continuité d'Activité
Le Plan de Continuité d'Activité (PCA) garantit la survie et la pérennité des activités d'une organisation pendant et après la survenue d'une crise. Il vise à garantir le maintien, ou le redémarrage rapide, des fonctions essentielles d'une entreprise lorsqu'un événement disruptif survient. Le PCA identifie les activités critiques, les ressources nécessaires, et les procédures opérationnelles pour fonctionner en mode dégradé face à des crises majeures : cyberattaques, pandémies, catastrophes naturelles, incendies ou pannes techniques.
Contenu et déploiement du PCA
Un PCA est un document opérationnel qui décrit très précisément les procédures à mettre en œuvre, de la détection et qualification d'un incident au plan de communication de crise, en passant par l'envoi d'alertes et l'activation de la cellule de crise. Il s'articule autour de plusieurs piliers : la cartographie des processus critiques, l'analyse des risques, la définition de la durée maximale d'interruption acceptable (RTO), le dispositif de gestion de crise, les procédures de reprise et les responsabilités opérationnelles. L'élaboration d'un Plan de Continuité d'Activité est encadrée par la norme ISO 22301 2019. Le SGDSN (Secrétariat général de la Défense et de la Sécurité nationale) met à disposition un guide méthodologique pour accompagner les organisations dans cette démarche. Les exercices de simulation et les tests pratiques sont essentiels pour valider l'efficacité du plan, identifier les éventuelles lacunes et garantir que les parties prenantes savent comment réagir en situation de crise.
Lien avec NIS2
L'article 21 de NIS2 impose 10 mesures minimales de gestion des risques cyber, dont la continuité des activités (sauvegarde, reprise après sinistre, gestion de crise). Les entités régulées doivent élaborer des plans de continuité (PCA) et de reprise d'activité (PRA), incluant la gestion de crise et les sauvegardes. La continuité d'activité impose des sauvegardes et un plan de reprise après sinistre (PCA/PRA) testés en restauration réelle. Cette mesure fait partie intégrante de la conformité NIS2 : les organisations doivent non seulement documenter leur PCA, mais démontrer qu'il est régulièrement testé, mis à jour et opérationnel. La mesure (c) de l'article 21 §2 couvre l'ensemble du cycle de vie de la continuité (gestion des sauvegardes, PRA, gestion de crise). L'ANSSI prévoit de détailler cette exigence dans un référentiel d'objectifs de sécurité attendu en 2026.
Voir aussi : Mesure Article 21 §2 (c) — Continuité d'activité.