Le PCA, indispensable aux infrastructures critiques

Un capitaine expérimenté et un équipage qui sait ce qu’il doit faire…

Introduction

Nous avons vu, il y a peu, comment établir un DRP (Disaster Recovery Plan) un plan de recouvrement de l’activité après une catastrophe, dans nos contrées géographiquement favorisées, le plus souvent une cyberattaque.

Le Business Continuity Plan (BCP) ou le plan de continuité des activités, est son complément pour les entreprises ou les institutions qui ne peuvent se permettre une coupure d’activité prolongée, car si le DRP répare, il ne supplée pas…

Origines et histoire

Les prémices du Business Continuity Plan remontent aux années 1960 et 1970, une période où l’essor de l’informatique industrielle imposait aux entreprises de réfléchir aux moyens de protéger leurs systèmes et données, encore peu connectés.

À ses débuts, la démarche se concentrait sur le DRP déjà évoqué précédemment, avec des acteurs pionniers comme IBM ou HP, qui mettaient en place des solutions pour pallier les défaillances des infrastructures informatiques, encore percluses de nombreux défauts de jeunesse.

Au fil des décennies, le concept s’est progressivement élargi au-delà des seules problématiques informatiques, car la technique n’est pas seule en cause, loin de là.

La prise de conscience des risques globaux, combinée à l’apparition de nouvelles menaces, notamment les cyberattaques issues des réseaux, amena les organisations à intégrer dans leur réflexion la continuité de l’ensemble de leurs processus critiques.

L’approche globale

Durant les années 1980 et 1990, le BCP connaît une transformation notable :

  • Élargissement du périmètre de la continuité : alors que les premières pratiques se focalisaient sur la protection des systèmes informatiques, la nécessité de maintenir l’ensemble des opérations commerciales s’impose rapidement.
  • Standardisation et professionnalisation : l’élaboration de normes internationales, telles que l’ISO 17799 (introduite en 1995) a marqué une étape importante en structurant le management de la sécurité de l’information et en intégrant des exigences spécifiques en matière de continuité des opérations.

Ces phases de transformation illustrent comment les enseignements tirés des crises passées ont façonné l’approche moderne, intégrant à la fois des dimensions techniques et stratégiques, mais aussi humaines, pour mieux anticiper et réagir aux perturbations majeures d’un ensemble de systèmes complexes.

Composantes clés d’un PCA

Un plan de continuité des activités repose, au minimum, sur une structuration en trois grandes étapes, qui forment un cycle vertueux si elles sont respectées :

  • L’analyse de vulnérabilité et l’évaluation des risques : la première phase consiste à identifier les menaces potentielles et à évaluer leur impact sur les fonctions de l’entreprise. Cette analyse permet de déterminer le niveau de criticité des activités et, surtout, de fixer des objectifs en termes de temps d’indisponibilité acceptable.
  • Les mesures préventives : à partir de l’analyse, un plan de traitement des risques est élaboré. Il détaille les actions à entreprendre pour maintenir l’organisation sous un seuil de vulnérabilité critique, notamment à travers des dispositifs de sauvegarde, des redondances et des solutions de sécurité renforcées, mais aussi un entrainement adapté du personnel.
  • Le plan de rétablissement ou plan de survie : la dernière étape décrit les procédures opérationnelles à activer en cas de crise. Elle vise à rétablir rapidement les fonctions essentielles, en mobilisant les ressources matérielles, humaines et techniques pour assurer une reprise progressive, voire immédiate, des activités.

Normes et prévention

L’évolution du PCA fut largement influencée par le développement de normes et de cadres de référence internationaux, spécialement créés pour les grandes entreprises et les institutions :

  • ISO 22301 : publié pour la première fois en 2012, ce standard propose un cadre complet pour la gestion de la continuité des activités, en insistant sur l’importance de la redondance et de la préparation aux incidents, deux points clés de la résilience.
  • Directives du Business Continuity Institute (BCI) : l’établissement de cet organisme en 1994 a contribué à professionnaliser la discipline, en proposant des lignes directrices et des formations spécifiques.
  • À noter qu’en Suisse, l’autorité fédérale de surveillance des marchés financiers (FINMA) impose certaines exigences en matière de Business Continuity Management (BCM), notamment pour les acteurs des marchés financiers : analyse d’impact sur les activités (Business Impact Analysis) et tests de continuité (tests de résilience sur incident).

Ces cadres normatifs sont essentiels pour assurer une cohérence dans la démarche de continuité. Pour les plus petites structures, qui n’auront pas les budgets nécessaires au strict respect de ces normes, le DRP comme le PCA peuvent toujours être réduits et adaptés aux moyens disponibles, mais en aucun cas ignorés…

Leçons du terrain, PCA en action

Les exemples concrets d’activation — ou d’absence — de PCA sont les meilleurs révélateurs de leur valeur réelle.

  • Lors de l’attaque ransomware contre Collins Aerospace en septembre 2025, le contraste fut saisissant : British Airways, dotée de backups opérationnels et d’un PCA testé, a maintenu ses opérations avec un impact limité ; d’autres, sans redondance suffisante, sont revenues aux procédures papier pendant plusieurs jours.
  • En août 2022, le Centre Hospitalier Sud Francilien de Corbeil-Essonnes, frappé par le ransomware Ragnar Locker et faute de PCA adapté, a fonctionné en mode dégradé pendant plusieurs mois — coût humain et financier de plusieurs millions d’euros.
  • À l’inverse, en juillet 2024, lors de la panne mondiale « CrowdStrike », les organisations disposant de plans de continuité documentés et testés ont redémarré en quelques heures, là où d’autres ont mis plusieurs jours.

Ces trois cas, survenus en moins de trois ans, confirment une réalité simple : le PCA n’est pas seulement un document de conformité — c’est un avantage concurrentiel crucial, qui déploie sa vraie mesure en situation de crise.

Perspectives

Le paysage des risques est plus mouvant que jamais :

  • Cybermenaces : l’augmentation massive des attaques pousse à intégrer des stratégies de cybersécurité adéquates dans le PCA.
  • Changements climatiques et catastrophes naturelles : les événements extrêmes exigent une préparation renforcée dans des secteurs essentiels (énergie, santé, communications, transports).
  • Évolutions technologiques : la digitalisation croissante et la dépendance aux technologies de l’information, mais aussi à l’électricité, imposent une veille constante.

Enfin, comme tous les plans d’urgence, le PCA doit être régulièrement révisé, testé et mis à jour pour rester pertinent et efficace.

Conclusion

Le Business Continuity Plan est bien plus qu’un dispositif de sauvegarde : il incarne une stratégie globale de résilience organisationnelle, véritable signature invisible de confiance.

L’ignorer, c’est risquer une cessation brutale des activités, avec une date de retour à la normale inconnue — car c’est dans les périodes de crise que la confiance réputationnelle d’une entreprise peut se renforcer, ou s’évanouir en quelques heures…


Pour aller plus loin

  • EDR, les cybergardiens — Supervisant antivirus et pare-feux, les logiciels Endpoint Detection and Response sont devenus essentiels à la cybersécurité moderne.
  • L’Internet des Objets (IoT) — L’une des cinq révolutions numériques majeures de notre époque.