Qu’est-ce que le plan de continuité d’activité (PCA) ?

Le plan de continuité d’activité (PCA) est l’ensemble des mesures qui permettent à une entreprise de maintenir ses activités essentielles pendant une crise, puis de les reprendre normalement. Dans le secteur financier, ce n’est pas une option : le règlement européen DORA, applicable depuis janvier 2025 à plus de 20 000 entités, exige un dispositif de continuité testé et documenté. Ce guide couvre la définition du PCA, sa mise en place étape par étape, la différence avec le PRA et les obligations de test.

Plan de continuité d’activité (PCA) : définition

La définition réglementaire du plan de continuité d’activité (PCA) vient historiquement du règlement CRBF n° 97-02 du 21 février 1997, abrogé et remplacé par l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur bancaire. Depuis le 17 janvier 2025, le règlement DORA ajoute des exigences européennes de continuité et de résilience numérique, détaillées dans notre guide DORA en pratique.

Le PCA est défini comme l’ensemble des mesures établies par une organisation et qui permettent d’anticiper les conséquences d’une crise sur son activité principale. L’objectif est non seulement de se doter des capacités de faire face à cette crise en assurant le maintien (total ou partiel) des tâches opérationnelles essentielles ; mais aussi de prévoir la reprise complète de ces activités à l’issue de la crise.

Le plan de continuité d’activité permet à l’entreprise de répondre à ses obligations externes (engagements contractuels, respect des réglementations…) et internes (image de marque, stratégie, survie de l’organisation…).

Plan de continuité́ d’activité (PCA)

La mise en place d'un plan de continuité d’activité

Au cours des dernières décennies et plus particulièrement pendant la pandémie de COVID-19, le secteur bancaire et financier a été confronté à de nombreuses crises, plus ou moins importantes. Dans ce contexte mouvant, les entreprises doivent plus que jamais faire preuve de résilience pour surmonter les crises et limiter leur impact sur la sécurité des données utilisateurs, leur chiffre d’affaire, leur réputation ou leur fonctionnement en interne.

PCA simplifié et PCA complet

Le plan de continuité d’activité peut être complet ou simplifié. Les entreprises qui n’ont pas de stratégie de gestion des risques identifiée pourront mettre en place un PCA simplifié, c’est-à-dire se concentrer sur des actions majeures prioritaires qui lui permettront de maintenir ses activités essentielles pendant la crise et de les rétablir après. 

Le PCA complet, lui, s’intègre dans la stratégie de gestion des risques de l’organisation. Il est privilégié par les banques et les assurances, qui sont responsables de procédures incluant la manipulation de données sensibles, et se doivent donc de mettre en place une stratégie de gestion des risques efficace. 

Les étapes de la mise en place d’un PCA

Pour mettre en œuvre un plan de continuité d’activité, les entreprises doivent d’abord définir le périmètre géographique et fonctionnel qui sera pris en compte dans ce plan. Ensuite, elles doivent formaliser les besoins de continuité de manière concrète. Autrement dit, il est nécessaire d’identifier, pour chaque activité essentielle, le niveau de service minimal à maintenir et la durée maximale d’indisponibilité que l’entreprise peut tolérer. 

Une fois les activités essentielles identifiées, l’entreprise doit analyser les risques prioritaires ainsi que les risques résiduels qui risquent de se produire malgré les actions de prévention mises en place. 

Ensuite, elle pourra formaliser les procédures qui seront déployées en cas de crise et définir la stratégie de continuité. Pour cela, elle doit identifier les méthodes de veille et les mesures de communication qui permettront d’informer les responsables en cas de signal d’alerte.  

Une fois que toute la stratégie a été mise en place, l’entreprise doit produire un document écrit qui servira de guide en cas de crise. régulièrement, des contrôles devront être menés pour s’assurer que ces mesures sont toujours à jour. L’entreprise pourra faire évoluer le PCA autant que besoin en fonction des résultats de ces contrôles.

Les responsables du PCA

Il est indispensable de définir des représentants du plan de continuité d’activité. Généralement, il est soutenu par la cellule de gestion de crise de l’organisation. Un responsable du PCA doit être nommé pour piloter les actions à déployer en cas de crise, conformément au plan établi par l’entreprise. Il travaille en coordination avec le responsable de la gestion de crise. 

Bon à savoir : pour mettre en place un plan de continuité d’activité, les entreprises peuvent se baser sur la norme ISO 22301, référentiel international qui fournit un cadre méthodologique pour anticiper et gérer les crises. Il est important d’intégrer les principes de la norme ISO 22301 à sa stratégie de résilience pour minimiser l’impact d’une crise sur l’état de santé financier et la réputation de l’entreprise.

PCA et PRA : quelle différence ?

Le PCA maintient les activités essentielles pendant la crise ; le plan de reprise d’activité (PRA) organise le redémarrage des systèmes après un sinistre, notamment informatique. Le PRA est donc un volet du PCA, centré sur la remise en état des infrastructures IT. Une banque a besoin des deux : le PCA pour continuer à servir ses clients en mode dégradé, le PRA pour restaurer le fonctionnement normal.

Tester son PCA : une obligation, pas une formalité

Un PCA qui n’est pas testé n’offre aucune garantie. Les tests doivent couvrir des scénarios réalistes (cyberattaque, indisponibilité d’un prestataire critique) et impliquer les métiers, pas seulement l’informatique. Dans le secteur financier, DORA impose des tests réguliers de résilience opérationnelle, jusqu’aux tests d’intrusion fondés sur la menace (TLPT) pour les établissements les plus importants. En pratique, un exercice complet par an est le minimum, avec un compte rendu qui alimente la mise à jour du plan.

FAQ – Questions fréquentes sur le PCA

C’est quoi un PCA en entreprise ?

Un PCA (plan de continuité d’activité) est un dispositif documenté qui permet à une entreprise de maintenir ses activités essentielles pendant une crise (cyberattaque, panne, sinistre), puis de revenir à un fonctionnement normal.

Quelle est la différence entre PCA et PRA ?

Le PCA couvre la continuité de l’ensemble des activités pendant la crise ; le PRA (plan de reprise d’activité) se concentre sur la remise en service des systèmes informatiques après un arrêt.

Qui est responsable du PCA ?

Un responsable PCA (ou RPCA) est nommé pour piloter le dispositif. Il travaille avec la cellule de gestion de crise et rend compte à la direction. Dans les banques, ce rôle répond aux exigences de l’arrêté du 3 novembre 2014 et de DORA.

À quelle fréquence faut-il tester un PCA ?

Au moins une fois par an pour un exercice complet, et après chaque évolution majeure (nouveau système critique, nouveau prestataire, réorganisation). DORA impose en plus des tests de résilience réguliers aux entités financières.