PCA — Définition IT

Le PCA (Plan de Continuité d'Activité, en anglais BCP — Business Continuity Plan) est l'ensemble des dispositifs organisationnels, techniques et humains qui permettent à une entreprise de maintenir ses activités essentielles, même partiellement, lors d'un sinistre majeur : panne IT, cyberattaque, incendie, inondation, pandémie, conflit social. C'est un sujet de gouvernance SI et de gouvernance d'entreprise au sens large.

Avec l'entrée en application de DORA (Digital Operational Resilience Act) en janvier 2025 dans la finance et de NIS2 dans 18 secteurs critiques, le PCA n'est plus optionnel : c'est une obligation réglementaire avec des sanctions à la clé. Selon une enquête Gartner 2024, 65 % des entreprises ayant subi un sinistre majeur sans PCA testé ont mis plus de six mois à retrouver leur niveau de performance d'avant — un quart d'entre elles ne s'en sont jamais remises.

PCA vs [PRA](/fr/glossary/pra) : la distinction fondamentale

C'est une confusion fréquente :

• •Le PCA est large : il couvre toute l'entreprise — IT, ressources humaines, locaux, communication, logistique, fournisseurs. Son objectif : maintenir le métier.
• •Le PRA (Plan de Reprise d'Activité, DRP — Disaster Recovery Plan) est un sous-ensemble technique du PCA, focalisé sur la restauration du SI après un sinistre.

Autrement dit : sans PRA, le PCA n'a pas de socle technique ; sans PCA, le PRA est un exercice IT sans contexte métier.

Les étapes de construction d'un PCA

La démarche normalisée (ISO 22301) suit cinq étapes :

1. Analyse d'impact métier (BIA — Business Impact Analysis) : identifier les processus critiques, leur tolérance à l'arrêt (RTO), leur tolérance à la perte de données (RPO), et leur dépendance technique.
2. Analyse des risques : recensement des menaces (cyber, naturelles, humaines, fournisseurs).
3. Définition des stratégies de continuité : sites de repli, télétravail généralisable, modes dégradés, partenariats fournisseurs, RTO cible.
4. Documentation du plan : procédures, organigrammes de crise, scripts de communication, coordonnées.
5. Tests et amélioration continue : exercices réguliers (tabletop, simulation, basculement réel), retour d'expérience, mise à jour annuelle minimum.

Le contenu type d'un PCA

Un PCA documenté inclut :

• •La cellule de crise: : composition, rôles, suppléances, salles physiques et virtuelles.
• •Les processus critiques: : liste hiérarchisée avec RTO et RPO.
• •Les modes dégradés: : comment fonctionner sans IT, en mode papier, en télétravail forcé.
• •Les sites de repli: : géographique et IT (active-active, active-passive, cloud).
• •Le plan de communication: : interne (collaborateurs), externe (clients, fournisseurs, presse, autorités).
• •Les arbres d'appel: : qui contacte qui, dans quel ordre, par quel moyen.
• •Les annexes techniques: : procédures de bascule, scripts, configurations.

Tester son PCA : une discipline non négociable

Un PCA non testé est un document de papier. Les niveaux de test :

• •Tabletop exercise: : revue des procédures en salle, sans bascule réelle.
• •Walkthrough: : déroulé pas-à-pas avec les équipes concernées.
• •Simulation: : crise simulée en conditions réelles, sans impact sur la production.
• •Test partiel: : bascule réelle d'un système ou d'un site secondaire.
• •Test complet (Full failover): : bascule complète sur le site de secours. À faire au moins une fois par an pour les organisations critiques.

DORA exige un test au moins annuel pour les institutions financières, et un test complet de résilience tous les 3 ans.

Les normes et référentiels

• •ISO 22301: : norme internationale du management de la continuité d'activité.
• •ISO 22313: : guide d'application d'ISO 22301.
• •ITIL 4: : pratique de Service Continuity Management.
• •NIST SP 800-34: : guide américain de contingency planning.
• •AFNOR BP Z74-700: : guide français.

PCA et cartographie applicative

Construire un PCA crédible exige de savoir précisément quelles applications soutiennent quels processus métier critiques. Sans cartographie applicative à jour, l'analyse d'impact (BIA) est un exercice spéculatif. Kabeen connecte automatiquement applications, usages métiers et coûts pour bâtir un BIA basé sur des données vivantes.