Plan de continuité d'activité informatique (PCA) : définition et fonctionnement

Les cyberattaques n’épargnent plus aucune organisation. Si l’on ajoute à cela les risques physiques sur les infrastructures, développer une culture de résilience informatique est devenu vital pour les entreprises. C’est dans ce contexte qu’un plan de continuité d’activité (PCA) informatique s’impose.

Près de 60 % des PME qui subissent une cyberattaque déposent le bilan en France (source Le Monde informatique). Plus aucune organisation n’est à l’abri. Phishing, ransomware, virus, piratages divers… En 2022, près de 400 000 cyberattaques réussies contre des organisations publiques ou privées ont été recensées en France, soit plus de mille par jour. La dépendance croissante à leur système d’information (SI) rend les organisations de plus en plus vulnérables. Le plan de continuité d’activité (PCA) informatique est devenu à ce titre indispensable pour développer une culture de résilience à toute épreuve.

Un Plan de continuité d’activité informatique, appelé aussi plan de continuité informatique (PCI), forme l’un des grands volets du plan de continuité d'activité (PCA) général d’une entreprise. Il vise à garantir la survie de l’organisation en cas de panne informatique majeure, de défaillance ou de cyberattaque de son système d’information. Pour de nombreuses organisations, c’est une affaire de vie ou de mort économique.

Concrètement, le plan de continuité d’activité informatique est un document formel qui liste et décrit les risques (pannes, cybersécurité, risques naturels, accidents, terrorisme…), les mesures préventives ainsi que les procédures d’urgence visant à préserver la continuité d’activité informatique, à travers la restauration des ressources critiques et l’accès des équipes au SI.

Un plan de continuité informatique a pour objectif de :

• Structurer le dispositif de gestion de crise informatique, autrement dit toutes les procédures d’urgence déployables ;
• Garantir l’accès aux applications et aux données critiques durant la crise ;
• Limiter les dégâts sur les activités de l’entreprise (pertes de données et donc de valeur) ;
• Accélérer la sortie de crise et le retour à la normale.

Pour demeurer efficace, le plan de continuité informatique doit être régulièrement testé et mis à jour.

Il peut être difficile de s’y retrouver entre les différents sigles : PCA, PRA, PUPA… Le PUPA (Plan d'urgence et de poursuite de l'activité) constitue, depuis 2014, l’équivalent du PCA dans le secteur bancaire. Quant au PRA, il s’agit du Plan de reprise d’activité.

Le PRA est parfois préféré par les plus petites entreprises ou les organisations qui n’ont pas les ressources financières pour créer et faire évoluer dans le temps un PCA informatique. En effet, un PRA est un plan opérationnel qui se concentre uniquement à la restauration des processus et des systèmes informatiques à la suite d’un sinistre (panne, destruction, cyberattaque…), tandis que le PCA, bien plus large, a aussi une visée préventive et évolutive. Il couvre la gestion des risques et la prévention, jusqu’à la sécurité incendie des data centers, par exemple.

En cas de défaillance du système informatique, le PRA définit seulement l’ordre et la nature des procédures à opérer pour un retour à la normale du SI. L’idéal est donc toujours de disposer d’un PCA, qui inclut un PRA.

Un plan de continuité informatique est une nécessité existentielle pour la plupart des entreprises, pour qui une interruption prolongée de l’activité informatique peut avoir des conséquences catastrophiques.

Un PCA informatique est un outil de réduction des risques :

• Opérationnels. Le PCA informatique réduit (voire empêche) en cas de crise l’activité opérationnelle habituelle de l’entreprise. C’est sa raison d’être. 
• Commerciaux et financiers. L’arrêt des activités informatiques et opérationnelles peut avoir de lourdes conséquences économiques et financières pour les entreprises les plus digitalisées. Sans compter le coût que représente la réparation d’un système d’informatique anéanti. Le PCA informatique permet de conserver sa clientèle et de limiter l’impact sur le chiffre d’affaires.
• Juridiques. Dans certains domaines, un arrêt d’activité peut être sanctionné d’un point de vue réglementaire ou légal. Une défaillance informatique d’ampleur peut également faire peser un risque juridique si elle venait à remettre en cause la protection des données à laquelle toute entreprise est tenue.
• Réputationnels. Le PCA prémunit l’entreprise d’une dégradation de son image, notamment auprès de ses clients, en cas de crise informatique majeure. La continuité de l’activité est la meilleure manière d’instaurer de la confiance et de protéger sa crédibilité.

La résilience informatique est devenue un enjeu économique et sociétal prioritaire à l’échelle nationale comme européenne. Face à l’augmentation du risque cyber, les organisations publiques comme privées sont désormais encouragées à mieux protéger leur SI et mettre en place des stratégies complètes de continuité d’activité informatique.

Mais la résilience est une qualité qui s’anticipe, se prépare et se cultive dans la durée. De la gestion des risques à la gestion des crises, c’est toute une culture d’entreprise à développer. Le plan de continuité informatique est sans doute la meilleure manière d’y parvenir. 

L’élaboration d’un plan de continuité informatique se décline en plusieurs phases : analyser, définir, planifier, communiquer et tester.

Avant de formaliser le PCA informatique en tant que tel, une analyse des risques pesant sur le SI est un prérequis essentiel. Cyberattaques, virus, pannes, sinistres, actes de vandalisme, négligence… Chaque menace doit être recensée, ainsi que son impact sur le fonctionnement informatique et général de l’entreprise.

L’analyse des risques est à la base de tout plan de continuité d’activité, qu’il soit informatique ou général.

La deuxième étape consiste à définir et chiffrer les objectifs visés par votre plan de continuité d’activité informatique. Ceux-ci reposent en général sur deux indicateurs de sécurité de référence :

• Le RTO (Recovery Time Objective) précise la durée maximale tolérée d’interruption des outils informatiques en cas d’incident. Il est très variable d’une activité à l’autre.
• Le RPO (Recovery Point Objective) précise la quantité maximale de données que l’entreprise accepte de perdre en cas d’incident. Il vient définir par conséquent la fréquence des sauvegardes.

Une fois les risques et les objectifs définis, le plan de continuité d’activité des systèmes informatiques peut être élaboré. Celui-ci est multidimensionnel. Il englobe les réponses techniques et technologiques (sauvegarde et restauration des données, systèmes de secours, etc.), mais aussi humaines (formations et sensibilisation) et organisationnelles (procédures décisionnelles et responsabilités), à mettre en place pour garantir la continuité de l’activité informatique en cas de perturbation grave.

En parallèle du PCA informatique, il est recommandé de définir les grandes lignes des plans de communication de crise, à destination de l’interne comme de l’externe. Qui informer ? Dans quels délais ? Par quels canaux ? Tous ces points doivent être clarifiés. Cette anticipation permettra de réagir plus rapidement en cas d’incident informatique et de mieux préserver l’image de l’entreprise. 

Tester et valider régulièrement le plan de continuité informatique est nécessaire pour s’assurer de sa pertinence mais aussi pour le mettre à jour au fil des évolutions informatiques, technologiques ou humaines au sein de l’organisation, mais aussi de l’évolution des menaces. Cette révision doit être au minimum annuelle.

La norme internationale de référence pour les plans de continuité d’activité des organisations est l’ISO 22301. Visant à développer une véritable culture de résilience, notamment informatique, cette norme propose une méthode et un référentiel complet. Ses principes intègrent des notions de ressources humaines, de coordination ou encore de gouvernance.

Au final, la certification ISO 22301 permet d’aboutir à la mise en place d’un système de management de la continuité d'activité (SMCA1), qui regroupe le plan de continuité d'activité (PCA) et le plan de reprise d'activité (PRA).

Dans une approche plus large, en amont comme en aval, le SMCA renforce la planification, le déploiement mais aussi le monitoring et la mise à jour de la stratégie de continuité d'activité informatique.

1. Les systèmes d’information des organisations sont soumis à des menaces fortes et croissantes : cyberattaques, sinistres, vandalisme, pannes…
2. Un plan de continuité d’activité (PCA) informatique constitue la clé de voûte de toute stratégie de résilience informatique d’entreprise.
3. Le PCA informatique permet d’analyser les risques, de définir les indicateurs et objectifs, de bâtir le plan de continuité d’activité, de le tester et de le faire évoluer dans le temps.
4. En s’appuyant sur la norme internationale ISO 22301, les organisations peuvent approfondir leur stratégie en créant un système de management de la continuité d'activité (SMCA1) informatique.